Sophos UTMのCloudWatch Logs連携

AWSで起動したSophos UTMのログは、Amazon CloudWatch Logsに連携できます。連携する手順をご紹介します。

IAMロールを設定する

EC2コンソールから、IAMロールを設定します。IAMロールにはポリシーCloudWatchLogsFullAccessを割り当てました。

CloudWatch Logs連携を有効にする

UTM管理画面＞ログとレポート＞ログ設定＞CloudWatchからログを有効化し、適用します。スイッチボタンが緑色になれば有効になっています。特定のログだけCloudWatch Logsに連携することはできません。

CloudWatchコンソール＞ログから連携されたログを確認できます。WebAdminログの場合、以下のように確認できます。

CloudWatch Logsへの連携はほぼリアルタイムに行われます。UTMローカルに保存する期間は、ログとレポート＞ログ設定＞ローカルログから変更できます。

CloudWatch Logsに連携されたログの保存期間はCloudWatchコンソール＞ログ＞次の期間経過後にイベントを失効から設定できます。

本機能を有効にする前に、CloudWatch Logsの料金と連携するログ量を計算することをお勧めします。ログや使い方によっては高額な課金が発生する可能性があります。具体的には、プロキシやファイアウォールログは1日に数GB〜数10GBになることもあります。ログ量が多い場合は、ローカルに保存するかsyslogサーバーに連携する方法をお試しください。

まとめ

AWSで起動したSophos UTMのログは、Amazon CloudWatch Logsに連携できます。連携したログはCloudWatchコンソールから確認できます。ログ量が多いとAWS料金が大きくなる可能性があるため、ご注意ください。