有線LAN速度:10/100Mbps 有線LANポート数:4 対応セキュリティ:UPnP/DMZ
お気に入りに追加
有線ブロードバンドルーター > NTT-ME > MN8300
菜楽さんこの掲示板に質問を書くのは初めてなので、年甲斐もなく緊張します。
MN8300のsyslogについて、ご利用中の方のご助言賜りたくお願いします。
MN8300にはsyslog機能がありますが、ファシリティとレベルについての記述がありません。試行錯誤した結果下記のことがわかりました。
ファシリティ=user
レベル=notice
ファシリティはlocal0〜7のどれかだろうと期待したのですが見事に期待を
裏切られました。userを使用されると(簡単にログが取り込めますが)、
ホストマシンのログ(FreeBSD4.9)と切り離せません。
8300のログは結構多いので、せめてファイルは別にしたいのですが、実現
方法が見つからず苦戦しています。
第一ファシリティを変更しようにも変更方法が見つけられません。
ちなみに、YAMAHA RT52iなどには変更コマンドがあるのですが、Telnetを
サポートしないブロードバンドルータの宿命なのでしょうか?
書込番号:2214092
0点
MN8300はあくまでもコンシューマ向けの製品だからね。いわゆる「一般
ユーザ」が必要とする機能ではない。俺もいらない。
もしかしたらMN8300に「裏ページ」が存在するかもしれないが,少なく
とも公式な方法では,菜楽さんの望む設定は出来ないと思う。telnet
は関係ないと思うよ。
書込番号:2214260
0点
菜楽さん2003/12/09 23:24(1年以上前)
Jimoさん、ありがとうございます。
そうですか、見落としではないのですね。
確かにこれができてどうって言われると返答に困りますが・・
ログってないと不安ですが、ホストマシンのログが埋もれてしまうのはま
ずいので、分離しておこうと思った次第です。
対策をご存じの方ありましたらよろしくお願いします。
書込番号:2214365
0点
見えざる手2さん2003/12/11 00:56(1年以上前)
具体的にどういった情報ほしいのでしょうか?
私の認識が、甘いと思いますがファシリティについてそうそうこだわらなければ、ならない事ってあります?
書込番号:2218219
0点
syslogについて勉強したく、飛び入り参加させていただきます。
私のAirStation WHR-G54にもsyslog設定なる設定画面があります。
その画面の「種類」のヘルプには「残すログの種類(Facility)と
レベル(Priority)を指定します。」とあります。
この説明を参考にして以下のキーワードで検索エンジンで検索してみました。
ログの種類 Facility レベル Priority
で参考になったのが以下のPDF文書です。
分散コンピューティング環境におけるログ管理 ...
http://www.ipa.go.jp/SYMPO/sympo2000/pdf/ipa19_2_61_3.PDF
「Soraris2.6では、」以下でsyslogについてのことが書かれています。
ファシリティとレベルは/etc/syslog.confファイルからログの出力先
を探し出すための検索キーになるわけですね(^^)。
なるほど菜楽さんは、ログの出力先を切り替えたいためにファシリティと
レベルを変更したいというわけですね。大変勉強になりました、ありがとうございます。
書込番号:2220807
0点
菜楽さん2003/12/11 23:24(1年以上前)
のり〜のり さん、そうなんです。
先日からMN8300で友人に頼まれたサーバを試験運転中なんです。
ついでに、MN8300のログをと考えたのですが、ホストマシンの
/var/log/messageに割り込んできて、訳が分からなくなっています。
公開しますからセキュリティチェックも厳しくしなければならず、
ログは重要なんですね。
そういうわけで、ログを分離して分かりやすくしようという狙いです。
>私のAirStation WHR-G54にもsyslog設定なる設定画面があります。
>その画面の「種類」のヘルプには「残すログの種類(Facility)と
>レベル(Priority)を指定します。」とあります。
そうなんですか、カタログからはここまでは分からないですからね。
変更できないと思っていなかったし、仮に固定でもLocalxを使っていてく
れれば問題なかったんですよ。
このおかげで週末をつぶしてしまった哀れなおじさんです。
書込番号:2221277
0点
> 変更できないと思っていなかったし、仮に固定でもLocalxを使って
> いてくれれば問題なかったんですよ。
マジにこんな風に考えていたとすれば,あまりに「世間知らず」では?
一般のコンシューマがそんな機能を趣味以外の目的で使うはずがない
でしょ。
それに,ログを取っていれば分かると思うが,MN8300が残すログなんて
大したものではない。なりすまされたらおしまいだし,第一アプリケー
ション層の攻撃は全く見つけられないのだから。nachiがはくecho
requestをためても大した意味はないし,何か使い方を間違っている気
がする。
本当に攻撃の形跡とかを追いかけたかったら,そのBSDのマシンにsnort
の類を入れ,NICをもう1枚挿し,MN8300のフィルタ類(SPI, Packet
Filter)をはずして, GapNATで全パケットを監視した方がいいんじゃ
ない?どっちかというと,やりたいことはIDSにやらせた方が良いよう
に思う。MN8300はあくまでもコンシューマ向けのNATルータと割り切る
のが正解だと思う。
書込番号:2221365
0点
菜楽さん2003/12/12 19:39(1年以上前)
レスがつくかどうかわからないと思った内容に多数のご意見ありがとうございます。
>本当に攻撃の形跡とかを追いかけたかったら,そのBSDのマシンにsnort
>の類を入れ,NICをもう1枚挿し,MN8300のフィルタ類(SPI, Packet
>Filter)をはずして, GapNATで全パケットを監視した方がいいんじゃ
>ない?どっちかというと,やりたいことはIDSにやらせた方が良い
ご指摘のBSDマシンにはIDSは入っていませんが、カーネル再構築によって全パケットを監視
できる状況の構築は行っています。
しかし、単純なパケットはMN8300ではじいてほしいと思って、試用してきています。
コンシューマ向けとはいいながらさほど安くはない機器ですから、あながちなくて当然とは
いえないと思っています。
定期的にメールで送信できれば、これでも用が足りるんですが、BA8000Proの機能があまり
引き継がれていないのは残念ではあります。
>nachiがはくecho requestをためても大した意味はない
同感ですが、単純で解析する価値のないパケットは、水際でなく入り口でシャットアウト
したいです。だからこそ、MN8300のフィルタははずしていません。
最終的に私は、MN8300のログを捨ててしまうには惜しいというレベルで捕らえています。
それにしても、半信半疑でMN8300を試用していますが、なかなかやるじゃないですか。
もっとくだらない仕様ならさっさとあきらめています。
現実に、購入時にRTX1000、RT57iと比較対照を行いましたが、この価格差は如何ともしがた
いではないですか。それだけ価格帯の異なる機種と比較しようという気になったことに対し
メーカの努力を評価しています。
多くを期待してはいけないと思いますが、ユーザとしてあと今一歩の改善に対する声をあ
げていきたいと考えます(これは掲示板ではなくメーカに言うべきですがね)。
書込番号:2223741
0点
> しかし、単純なパケットはMN8300ではじいてほしいと思って、試用
> してきています。
これって,まさにFirewallの基本的なポリシーでしょう?Firewallの
ログの場合,「何を防いだか」を見るのであって,「どんな攻撃が
あったか」を見るものではないよね?また,そもそもIPフィルタなど
の設定を間違えていたり,あるいは間違えていなくてもHTTPなどの
プロトコルに細工して侵入を試みる場合には,Firewallは無力。これ
はMN8300でも同じ事。分かっていると思うが,Firewallのログを監視
したところで,クリティカルな問題が見つかることはまず無い。それ
よりもFirewallの内側,DMZやIntranetにIDS, IDPの類を入れるのが
正しい姿では?俺には,菜楽さんのログ収集の目的が分からないんだ。
仮の話として,
・もしログを見てクリティカルな侵入試行を見つけたいなら
MN8300どころか,ビジネスユースのFirewallのログを見たって,
大した情報は得られない。
・もし試しに傾向分析をしたいなら
syslogで切り分けるのではなく,全イベントを記録するべきではな
いのか。もちろん,画面に表示したい内容と記録だけにしたい内容
があるだろうが,それはMN8300の本分じゃない。
MN8300は,菜楽さんが言うように,この価格帯において出来る限りの
パフォーマンスと高機能を実現しようというコンセプトだろう。その
コンセプトの中で,syslogがおろそかになっても,俺は全く違和感が
ない。
それともう一つ。MN8300はBA8000 PROの後継じゃない。全く別の系列
だよ。OEM先も異なる。BA8000 PROの後継が出るなら,同じMIPS系の
CPUを使っていると思う。
書込番号:2223838
0点
菜楽さん2003/12/12 22:48(1年以上前)
JImoさん、ご助言ありがとうございます。
>・もしログを見てクリティカルな侵入試行を見つけたいなら
>・もし試しに傾向分析をしたいなら
ログの収集目的はどちらかといえば後者で、どんなパケットが漏れてく
るか、どんなパケットを防止できたかを見たいというところです。
実用レベルではなく、取るに足りないものと判断すればSPIもIPフィル
タも利用しないとなるでしょう。逆に使用に耐えうるならばそのまま
運用する可能性もあると思います。
>もちろん,画面に表示したい内容と記録だけにしたい内容がある
これは私の期待することに近く、かなり的を得ていますね。本分である
かどうかは別にして、家庭においてFirewallとルータが別に存在するこ
とは経済的にみて困難であり、MN8300のような装置に過大な期待が発生
すると私は思います。CiscoとFirewall-1という構成はあり得ないと。
>それともう一つ。MN8300はBA8000 PROの後継じゃない。全く別の系列
>だよ。OEM先も異なる。BA8000 PROの後継が出るなら,同じMIPS系の
>CPUを使っていると思う。
そのようですね。BA8000ProはPlanexがらみのようで、BRL-04FMの出来
を見るにつけ、類似したハードにコンセプトの異なるファームに後悔
近い感情を持ちましたね。ただ、MN8300はこれといった前任機種がなく、
収集した資料にはBA8000Proの後継に近い存在とありました。
メーカにとってどんなCPUであろうと、どこのOEMだろうと、後継と位置
づけることは可能でしょう。ただ、シリーズが異なるのですから、その
気はないというほうが正解でしょうね。
書込番号:2224385
0点
BSDマシンの全パケットキャプチャは常時動かしているわけでは無い
でしょ?全てレコーディングしていたら,ディスクがすぐにパンクす
るだろうし。
一方で,
> どんなパケットが漏れてく
> るか、どんなパケットを防止できたかを見たいというところです。
この発言。良く解らない。漏れて通過してしまうものを,通過した
全パケットを常時監視していない状態で,いったいどうやって判断
できるの?IDSでも入れなければ,どだい無理な話でしょ。漏れた
ものはどこにも記録が残っていないのだから。
やっぱり,どう考えても基本的な監視ポリシーが間違っている気が
する。
書込番号:2226824
0点
菜楽さん2003/12/13 17:43(1年以上前)
Jimoさん、度々ご意見賜り、ありがとうございます。
書いていただいている内容が、だんだん分かってきたのですが、当方の説
明が不十分のために、多くの時間を割いてのご指導大変恐縮です。
諸般の都合により、この形態での試用を一時停止し機種変更を含めて検討
し直すことになりそうです。経費を抑えながら、所定の目的を実現するの
が簡単でないことが解りました。
ただ、この期間を通じてMN8300の基本性能は想像以上でしたので、今後、個人用に利用しようかと思います。
このスレッドでご助言いただいた方々ありがとうございました。
また、改めて別の機会がございましたら、よろしくお願いいたします。
書込番号:2227010
0点
このスレッドに書き込まれているキーワード
クチコミ掲示板検索
クチコミトピックス
- 3月8日(月)
- 通信環境を改善する方法
- 野鳥動画撮影用の一脚
- サウンドバー選びについて
- 3月5日(金)
- タイヤ選びのアドバイス
- 初心者用の一眼レフ選び
- 色設定が初期化される
- 3月3日(水)
- パープルフリンジの解決策
- 動画編集や大学用ノートPC
- 音質が良いイヤホン選び
- 3月2日(火)
- 録画した番組フォルダ分け
- レンズフードのおすすめは
- 動画編集向きノートPC選び
新着ピックアップリスト
-
【その他】会社用NAS
-
【質問・アドバイス】15万円で自作PCを作りたかった男(2)
-
【おすすめリスト】あげるれる
-
【欲しいものリスト】My low price Mix PC
-
【欲しいものリスト】TECONO用
価格.comマガジン
注目トピックス
新製品ニュース Headline
更新日:3月5日
-
[スマートフォン]
-
[スマートフォン]
-
[薄型テレビ・液晶テレビ]
-
[スマートフォン]
-
[スマートフォン]
(パソコン)
