My Home NW Lab

逸般の誤家庭のネットワーク

Meraki MXのセキュリティ系イベントで2週間以上前のログはAPIから参照する

Meraki

Meraki MXのセキュリティ系イベントの情報は、Meraki DashboardSecurity Centerから参照すると最大で2週間前 (当日を含む15日間)までしか確認できません。

Security Center

ですが、Cloud Data Retention Policies のドキュメントでは2週間を超えて保存できるログ種別の記載があるため、一見すると矛盾が発生しているように見えます。

documentation.meraki.com

Cloud Data Retention Policies (2022年11月03日時点)

実は2週間を超えて保存されるログ種別についてはMeraki Cloud上には保存されているため、Meraki Dashboard APIを用いれば参照が可能になっております。 悪く言えば、わざわざMeraki Dashboard APIを用いないと参照できないとも言えます。

実際の取得方法の一例ですが、

GET /organizations/{organizationId}/appliance/security/events

APIを用いるとOrganization全体のセキュリティ系イベントを取得できます。

Get Organization Appliance Security Events
https://developer.cisco.com/meraki/api-v1/#!get-organization-appliance-security-events

GET /organizations/{organizationId}/appliance/security/events の使用例

長期的にログを保存したい場合は、Splunk Enterprise / Splunk Cloudにて Splunk Add-on for Cisco Meraki を用いてセキュリティ系イベントを取得して保存する方法があります。

myhomenwlab.hatenablog.com

Splunk Add-on for Cisco Meraki を用いたログ保存の例 (1/2)

Splunk Add-on for Cisco Meraki を用いたログ保存の例 (2/2)

本仕様は2022年08月頃にサポートに問い合わせて確認しております。