(yyyy.mm.dd追記)
はじめに
Checkpointをさわる機会があり、今後また関わる時用の備忘録として残します。
構築手順も気が向いた時に載せる予定です。
当記事を参考にする上で、以下の点に注意してください。
- 投稿主が機器構築時に得られた知見を記載しているので、ものによってはマニュアルに記載のないものもあったり、サポート外のものもあったりします。実際に活用するときは自己責任でお願いします。
- 以下のバージョンで確認取れてますが、その他のバージョンの場合コマンドが弾かれる可能性があるので注意。
> show version all
Product version Check Point Gaia R80.20
OS build 101
OS kernel version 2.6.18-92cpx86_64
OS edition 64-bit
どんな人向け?
- CheckpointのCLIコマンド使いたいけどあまりわからない。
- パラメータシート作る時に何を参考にしたら良いかわからない。
Expertモードについて
Expertモードに移行すると、Unixコマンドを使うことができます。
(※)Gateway⇔Management間のSIC認証する際もExpertモード必須のようなので注意。
移行するにはまずExpertパスワードを設定する必要があります。
# Expertモードパスワードを設定
set expert-password
知ってると便利なコマンド
Gaiaパラメータシート作る分には、とりあえず以下コマンド打っておけば一通り情報は取れる想定です。
Gaia ( ホスト名> )
# ページ自動送り
set clienv rows 0
# コンフィグ情報
show configuration
# OSバージョン
show version all
# インターフェイス情報(MACアドレス確認等)
show interfaces all
Expertモード ( [Expert@ホスト名:x]# )
Expertモードに切り替える際、パスワード設定しておかないと切り替えられないので注意。
# ハードウェア情報(Serial番号確認等)
dmidecode
# Linuxカーネル情報
cat /proc/version
監査(Audit)ログについて
FW運用していると出てくるのが監査ログですね。
(※)以下、ポリシーによって許可、拒否されたトラフィックログを監査ログとします。
適用しているポリシー内のルールで、Log出力するよう設定しておけばSmart ConsoleのLog & Monitorに出力します。
GUI上でやるのもいいですが、だいたい監査ログは毎日取得する必要があるのでこれを運用に載せるのはスマートではないです。
そこで、スマートにCLIベースでやりたい、あわよくば自動化する方法を紹介します。
CLIベースでポリシーログを取得
Expertモードで作業する必要があるので、事前にExpertモードのパスワードを設定しておく必要があります。
ポリシーログは以下に格納されております。
# ログディレクトリ
cd /var/log/opt/CPsuite-R80.20/fw1/log
# ポリシーログ
ls -l
~中略~
-rw-rw---- 1 admin root xxxxxxxx mmm dd hh:nn yyyy-mm-dd_hhnnss.log
~中略~
上記ディレクトリ内のファイルを見ると他にもいろんなログがあったんですが、時間がなく調べきれませんでした(ヽ´ω`)
catコマンド等で直接ファイルの中は文字化けして見れませんので、ユーティリティのfwm logexport
でエクスポートする必要があります。
※ASCIIコードで出力
/opt/CPsuite-R80.20/fw1/bin/fwm logexport -i (ポリシーログファイル名) -o (出力ログファイル名) -n -p
各オプションは以下の通りです。-n、-pは入れておくと早くなるとかなんとか。
-i : 入力ログファイル名
-o : 出力ログファイル名
-n : ログファイルのIPアドレスをホスト名解決しない
-p : ログファイルのポート番号をサービス解決しない
/bin/gzip
もあるので、出力ログファイルをgzipで固めてFTP転送するといい感じになります。
あわよくば自動化したい
/home/admin
に上記処理のシェルスクリプトを置いてCronによる自動化も可能です。
また、Gaia上からもJob Scheduler
上で設定できます。
※Job Shcedulerでシェル登録すると、Cronも自動的に登録されるので実質同じっぽいです。
補足事項
- 初回はブラウザからログインして操作することになる。
おわりに
dbeditコマンド
によるポリシーオブジェクトやルール作成ができるようですがよくわからず。
次構築するときはそこらへん突き詰めたいですね。
参考文献
Command Line Interface R80.20 Reference Guide - fwm logexport