WazuhでCiscoネットワーク機器を監視する:完全ガイド
ネットワークインフラは、現代のあらゆる組織にとって基盤となる重要な要素です。そのインフラを保護し監視するためには、ログの一元収集と分析が不可欠です。
本記事では、CiscoスイッチやルーターからSyslogメッセージをWazuhに送信し、リアルタイムでイベントを検知・可視化する方法を紹介します。
🚀 なぜCiscoとWazuhを統合するのか?
- ✅ Cisco機器のログを一元的に収集
- 🔍 インターフェースの状態変化やログイン試行などのイベントをリアルタイムで監視
- ⚠️ ルールに基づいたセキュリティアラートの生成
- 📊 Wazuhダッシュボード(Kibana)での視覚化
🛠️ システム構成図(テキスト)
+--------------------+ +------------------------+ +---------------------+
| Ciscoスイッチ/ルーター +-------------> | Wazuhマネージャー +-------------> | ルールエンジン |
| (IOS/ASA/NX-OS) | (UDP/TCP 514) | (ログ収集機能あり) | | (アラート生成) |
+--------------------+ +-----------+------------+ +---------------------+
|
| ログ保存
v
+----------------------------+
| /var/ossec/logs/archives/ |
| /var/ossec/logs/alerts/ |
+-------------+--------------+
|
(オプション)で可視化
v
+------------------------------+
| Wazuhダッシュボード(Kibana)|
| イベント分析と検索 |
+------------------------------+⚙️ 設定手順
1. Cisco機器側のSyslog送信設定
Ciscoスイッチまたはルーターで以下を設定:
conf t
logging host <WAZUH_IP> transport udp port 514
logging trap informational
service timestamps log datetime msec
exit
udpの代わりにtcpを使用してもOK。ポート番号はWazuh側と一致させてください。
2. Wazuhマネージャー側の設定
/var/ossec/etc/ossec.conf を編集して以下を追加:
<remote>
<connection>syslog</connection>
<port>514</port>
<protocol>udp</protocol>
<allowed-ips>192.168.10.0/24</allowed-ips>
<local_ip>192.168.10.10</local_ip> <!-- WazuhサーバーのIP -->
</remote>変更後、Wazuhマネージャーを再起動:
sudo systemctl restart wazuh-manager3. CiscoからのSyslogサンプル
<189>Jun 10 14:22:10 switch01 33953: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/24, changed state to up
<189>Jun 10 14:23:45 switch01 33954: %SEC_LOGIN-5-LOGIN_SUCCESS: Login Success [user: admin] [Source: 192.168.1.50]
<190>Jun 10 14:24:30 switch01 33955: %SYS-5-CONFIG_I: Configured from console by admin on vty0 (192.168.1.50)これらのログはWazuhによって解析され、適切なアラートや通知が生成されます。
4. Wazuhダッシュボードでの可視化
ログ受信後、以下のことが可能になります:
- IPアドレスやキーワードでログ検索
- ダッシュボードでイベント分析(例:インターフェースダウン、ログイン成功/失敗)
- 重要イベントのアラート表示
🔒 <allowed-ips>の使い方
この設定は、信頼できるIPアドレスだけがSyslogを送信できるようにするセキュリティ機能です:
<allowed-ips>192.168.10.0/24</allowed-ips>不正なアクセスやノイズを防ぐため、最小限の範囲で指定するのがベストです。
✅ まとめ
Cisco機器をWazuhに統合することで、ネットワークセキュリティ監視がリアルタイムかつ高精度に実現できます。システム変更、アクセス試行、異常なイベントなどを即座に把握できるため、企業のセキュリティ対策強化に非常に有効です。
🔗 関連リンク
Get in Touch with us
Chat with Us on LINE
iiitum1984
Related Posts
- SCS評価制度がもたらす中小企業セキュリティ需要——日本のMSPが今、バックエンドを刷新すべき理由
- 2026年版 ローカルLLMのためのハードウェア選定ガイド:実用的なサイジング
- オープンソースだけで本番運用できるSOCを構築した話 — Wazuh + DFIR-IRIS + 自社統合レイヤー
- FarmScript:農業IoTのためにDSLをゼロから設計した話
- スマート農業プロジェクトがパイロット段階を脱せずに終わる理由
- ERPプロジェクトが予算オーバー・納期遅延・期待外れに終わる理由
- 耐障害性ドローン群設計:セキュア通信を備えたリーダーレス・トレラント・メッシュネットワーク
- NumPyブロードキャストの法則:`(3,)` と `(3,1)` の動作が異なる理由 ― そして「警告なしに間違った答えを返す」場面とは
- 重要インフラへの攻撃:ウクライナ電力網から学ぶIT/OTセキュリティの教訓
- LM Studioのコーディング向けシステムプロンプト設計:`temperature`・`context_length`・`stop`トークン徹底解説
- LlamaIndex + pgvector:日本語・タイ語ビジネス文書に対応したRAGの本番運用
- simpliShop:受注生産・多言語対応のタイ向けECプラットフォーム
- ERPプロジェクトが失敗する理由と成功のための実践的アプローチ
- Payment APIにおけるIdempotencyとは何か
- Agentic AI × SOCワークフロー:プレイブックを超えた自律防御【2026年版ガイド】
- SOCをゼロから構築する:Wazuh + IRIS-web 現場レポート
- ECと基幹システムの二重入力をなくす:受注から仕訳までの自動化アーキテクチャ
- SIerのブラックボックスから脱却する:オープンソースで構築する中小企業向けSOCアーキテクチャ
- リサイクル工場管理システム:日本のリサイクル事業者が見えないところで損をしている理由
- エネルギー管理ソフトウェアのROI:電気代を15〜40%削減できる理由
