Meraki MXではIDS/IPSのルール更新が定期的に行われますが、ルール更新の情報はEvent logから確認可能です。
確認方法
メニュー: Network-wide > Event log の画面にて for security appliances を選択して、Event type: Intrusion detection rules update のログ情報を確認します。
Event type include で Intrusion detection rules update に絞ると確認しやすくなります。
また、IDS/IPS関連のEvent typeは他にも Intrusion detection started や Intrusion detection error があるため All Intrusion Detection で絞ると関連処理も追いやすくなります。
IDS/IPSのルール更新時のログ出力例は下記のようになります。
| Event type | Details |
|---|---|
| Intrusion detection rules update | snort_rules_version: 2.9.15.1, source: ids-vrt-security, rules: d9fc81e4a76dce02546a78be6d013248feb556fd |
IDS/IPSのルール更新間隔の設定
IDP/IPSのルール更新間隔の設定自体は、メニュー: Security & SD-WAN > SD-WAN & traffic shaping の Uplink configuration セクションより List update interval にて指定できます。設定値には Hourly, Daily, Weekly を指定可能です。
更新チェック時に今より新しいルールが必ずあるとは限らないので、設定通りの間隔で Event type: Intrusion detection rules update が出力されるわけではない点に留意してください。
例えば、List update interval を Hoourly に設定していても、1時間毎にログが出力されるとは限りません。
また、List update interval に関してのドキュメントは下記になります。
List update interval
This setting determines how often the MX should check for updates to security lists. You can specify an Hourly, Daily, or Weekly update interval. To specify different intervals depending on which uplink is being used to download lists, click "details". This can be useful if you want to control bandwidth usage due to security list downloads on a low-bandwidth WAN link or cellular uplink.Features affected by this setting include IDS/IPS, Top Sites Content Filtering, and Malware Scanning.
Features affected by this setting include IDS/IPS, Top Sites Content Filtering, and Malware Scanning. の記述があるように、List update interval はIDS/IPSのルール更新のためだけの機能ではない点に留意してください。
