今朝はまた少し冷え込んだ。気温は0℃をちょっと下回っている。少し寝坊気味に7時過ぎに起床。
とりあえずいつもどおりの散歩。久々の快晴なので気持ちがいい。公園脇でふと見たら、メジロが椿の花に群れている。小ぶりでかつ迷彩色なので、撮影が難しいのだが、下の絵の真ん中あたりに一羽いる。
今朝は久々に富士山もはっきりと見えた。公園の中腹から撮影。
高台からの景色もこんな感じで青空。いい感じのお散歩日和。
残念ながら、今朝も猫たちは不在。折り返して、また先ほどの椿の木がある公園脇の階段を下る。そういえば、ここに一本だけ河津桜が植えてある。
もう一月もすると花をつけるのだろうかな。早咲きの桜。
さて、今日もちょっとOSSIMにハマっていた。といっても、午前中はうまくログをはかないJuniper-SRXに手こずって時間をとられたのだが。そもそもIDPのシグネチャがエラーで更新できないってどうよ。何か不整合が起きているようだが、あれこれいじってどうにもならずこれはあきらめた。とりあえず、セッションログの取り込みをちょっと調整していたら、なんと、DMZへのポリシーがおかしいことに気づいた。ブロックされるはずのポートがブロックされず、1434/TCPとかへの通信が、セッションログに出てくる始末。え~、と思ってあれこれ調べてみるが原因がわからず悪戦苦闘。もちろん、そんなサービスは上がっていないのでリセットで終わるのだが、ファイアウォールが意味なしでは困る。数時間いろんなことをやってみて、結局、カスタムのポート定義から、なんとポート番号が欠落しているのを見つけた。それじゃ、any/tcpがオープンになっていてもしかたがない。最初は間違いなくポート番号が入っていたのだけど、いつの時点で落ちたのだろう・・・。だんだん、この製品が信用できなくなってきた。とりあえず、設定を直して、それからDENYログが出るようにする。この製品、デフォルトDENYでドロップしたパケットはログに出てこない。しかたがないので、DMZゾーンの出入りのDENYは明示的にルールを書いてそのルールでログ出力を指定するようにした。
最後にIPv6まわりのログも取り込むようにしてみたのだが、取り込んでみると、OSSIMのIPフィールドはv4専用らしく、正規表現が正しくてもうまく入らない。バージョン4の近いリリースでサポートされるようなので、結局それを待つしかなさそう。とりあえずは、カスタムフィールドを使ってアドレスを格納するようにしてみよう。
そんなことをしていたらあっという間に夕方になってしまった。でもまぁ、だんだんOSSIMの癖もわかってきたので、ファイアウォール周りは少しおいといて、ほかのログを食わせて、相関させてみよう。
きれいな夕焼けを見ながら、晩飯を買い出しに出て、晩飯を食ってからちょっと、まったりしている。さて、これを書いたら一風呂浴びるとしよう。明日から3連休だが、特に予定はなし。どこかで一滑り・・・も考えたが、あえて混雑する連休に動くこともないしな・・・とちょっと億劫になっている。まぁ、3連休続けてOSSIMにハマってみるのもいいかもしれない。出たとこ勝負でいこうか。
コメントする