6.3. セキュリティログの確認方法¶
FSGモニタリング機能の1つであるセキュリティログの確認方法について説明します。
手順¶
- セキュリティログを確認するセルグループを左ペインの「セルグループ情報」ドロップダウンリストから選択します。
- 左ペインの「セキュリティログ」を選択します。
- 表示できるセキュリティログの詳細は以下の通りです。
| ログ種別 | 意味 |
|---|---|
| Traffic | トラフィックログ |
| Threat | 脅威ログ(ウィルス、スパイウェア、脆弱性) |
| URL Filter | URLフィルタリングログ |
| WildFire | WildFire送信ログ |
| DataFiltering | データフィルタリングログ |
| User-IDログ | IPアドレスとユーザー名のマッピングログ |
| 認証ログ | Captive Portalを用いたユーザー認証のログ |
- 各ログを確認したい場合は、『ログ検索ボタン』を押下してください。
- 必要な項目を記載し「ログ取得」を押下します。
| カラム | 意味 |
|---|---|
| ログタイプ | 検索/表示するログのタイプを指定
Traffic, Threat, URL Filter, WildFire, DataFiltering, User-IDログ, 認証ログから選択可能
|
| 対象期間選択(JST) | 直近1時間 : 現在時刻から1時間前までのログを取得
直近3時間 : 現在時刻から3時間前までのログを取得
直近6時間 : 現在時刻から6時間前までのログを取得
直近1日 : 現在時刻から1日前までのログを取得
開始時刻と終了時刻のカスタマイズ : 現在時刻から6ヶ月前までの範囲で、最大1週間の範囲を指定可能
|
| レコード数 | 表示するログ件数を指定
100, 500, 1000, 2000, 3000, 4000から選択可能
|
| その他の条件 | 詳細な検索条件を設定する場合は、チェックボックスにチェックを入れてください。
|
| 検索タイプ (オプション設定) | 検索時の詳細設定を指定してください
完全一致 : 検索内容に入力した文字列と完全に一致するログを表示する
部分一致 : 検索内容に入力した文字列を含むログを表示する
正規表現 : 検索内容に入力した正規表現に一致するログを表示する
|
| 詳細条件 (オプション設定) | フィルタリング対象となるカラムと文字列を入力してください。
複数の条件を指定する場合は、追加ボタンを押下して詳細条件を増やしてください。フィルタ条件は最大5,000件登録可能です。
同じカラムを対象とした詳細条件はor条件でフィルタリングいたします。
異なるカラムを対象とした詳細条件はand条件でフィルタリングいたします。
対象カラム : ログタイプごとにカラムが異なります。詳細は 各ログタイプの詳細一覧 をご参照ください。
検索内容 : 詳細な検索を行う文字列を入力してください。
|
- 各ログのカラムは下記の通りです。
- 『Record』タブにて一度に表示したい件数を変更することが可能です。(100件/500件/1000件/2000件/3000件/4000件)
- 各ログの詳細を確認したい場合は、該当ログの『詳細』を押下します。
- 下記のような詳細画面が表示されますので、各ログの詳細情報を確認することが可能です。
- 各ログをcsvでダウンロードしたい場合は、『ダウンロード(csv)』を押下します。
- ダウンロードしたいログの範囲を指定後、「ダウンロード」を押下しCSVファイルをダウンロードします。
- CSV File Download
| カラム | 意味 |
|---|---|
| ダウンロードタイプ | 表示データのダウンロード : FSGコンソールに表示されているデータをCSVファイルにExportしてダウンロードする
最大行数を選択してダウンロード : 最大レコード数で指定した件数のデータをダウンロードする
|
| 対象期間選択(JST) | 検索結果の日時 : ログ取得時の 検索条件 で指定した内容を引用
直近1時間 : 現在時刻から1時間前までのログを取得
直近3時間 : 現在時刻から3時間前までのログを取得
直近6時間 : 現在時刻から6時間前までのログを取得
直近1日 : 現在時刻から1日前までのログを取得
開始時刻と終了時刻のカスタマイズ : 現在時刻から6ヶ月前までの範囲で、最大1週間のダウンロード範囲を指定可能
|
| 最大レコード数 | 12,000行 : 12,000行ダウンロードする
40,000行 : 40,000行ダウンロードする
60,000行 : 60,000行ダウンロードする
|
- 各ログのカラムは下記の通りです。
- Traffic (詳細は こちら をご参照ください)
| カラム | 意味 |
|---|---|
| Receive Time | 該当ログの通信は発生した時刻 |
| Type | TRAFFIC(固定値となります。) |
| Source Zone | Trust(固定値となります。)セル内部からの通信を意味します。 |
| Destination Zone | Untrust(固定値となります。)セル外部への通信を意味します。 |
| Source address | 送信元アドレス |
| Destination address | 送信先アドレス |
| Destination Port | 送信先ポート(80 or 443) |
| Application | こちら にカテゴライズされた『NAME』の種類を表示します。 |
| Rule | 合致したセキュリティポリシールールの名を意味します。 |
| Session End Reason | 該当セッションを終了した事由。詳細は こちら を参照ください。 |
| Bytes | セッションの合計バイト数 |
| Device Name | セルグループ内におけるUTMのID |
- Threat(詳細は こちら をご参照ください)
| カラム | 意味 |
|---|---|
| Receive Time | 該当ログの通信は発生した時刻 |
| Threat/Content Type | virus / spyware / vulnerability |
| Threat/Content Name | 検知したThreatの内容を表示します。 |
| Source Zone | Trust(固定値となります。)セル内部からの通信を意味します。 |
| Destination Zone | Untrust(固定値となります。)セル外部への通信を意味します。 |
| Source address | 送信元アドレス |
| Destination address | 送信先アドレス |
| Destination Port | 送信先ポート(80 or 443) |
| Application | こちら にカテゴライズされた『NAME』を種類を表示します。 |
| Action | reset-both / alert |
| Severity | informational / low / medium / high / critical |
| URL/Filename | 合致したURL/Filenameを表示します。 |
| file_url | 何も表示されません。 |
| Rule | 合致したセキュリティポリシールールの名を意味します。 |
| Device Name | セルグループ内におけるUTMのID |
- URL Filer(詳細は こちら をご参照ください)
| カラム | 意味 |
|---|---|
| Receive Time | 該当ログの通信は発生した時刻 |
| Category | こちら にカテゴライズされた『Category』の種類を表示します。 |
| URL/Filename | 合致したURL/Filenameを表示します。 |
| Source Zone | Trust(固定値となります。)セル内部からの通信を意味します。 |
| Destination Zone | Untrust(固定値となります。)セル外部への通信を意味します。 |
| Source address | 送信元アドレス |
| Destination address | 送信先アドレス |
| Destination Port | 送信先ポート(80 or 443) |
| Application | こちら にカテゴライズされた『NAME』の種類を表示します。 |
| Action | default / reset-both / alert (allowはログに出力されません) |
| http_headers | 何も出力されません。 |
| Rule | 合致したセキュリティポリシールールの名を意味します。 |
| Device Name | セルグループ内におけるUTMのID |
- WildFire(詳細は こちら をご参照ください)
| カラム | 意味 |
|---|---|
| Receive Time | 該当ログの通信は発生した時刻 |
| URL/Filename | 合致したURL/Filenameを表示します。 |
| file_url | 何も出力されません。 |
| Source Zone | Trust(固定値となります。)セル内部からの通信を意味します。 |
| Destination Zone | Untrust(固定値となります。)セル外部への通信を意味します。 |
| Source address | 送信元アドレス |
| Destination address | 送信先アドレス |
| Destination Port | 送信先ポート(80 or 443) |
| Application | こちら にカテゴライズされた『NAME』を種類を表示します。 |
| Category | こちら にカテゴライズされた『Category』の種類を表示します。 |
| Action | allow / block |
| Severity | informational / low / medium / high / critical |
| filetype | こちら にカテゴライズされた『FILE TYPES SUPPORTED FOR ANALYSIS』の種類を表示します。 |
| Rule | 合致したセキュリティポリシールールの名を意味します。 |
| Device Name | セルグループ内におけるUTMのID |
- DataFiltering(詳細は こちら をご参照ください)
| カラム | 意味 |
|---|---|
| Receive Time | 該当ログの通信は発生した時刻 |
| Category | こちら にカテゴライズされた『Category』の種類を表示します。 |
| URL/Filename | 合致したURL/Filenameを表示します。 |
| file_url | 何も出力されません。 |
| Threat/Content Name | こちら にカテゴライズされた『Name』の種類を表示します。 |
| Source Zone | Trust(固定値となります。)セル内部からの通信を意味します。 |
| Destination Zone | Untrust(固定値となります。)セル外部への通信を意味します。 |
| Source address | 送信元アドレス |
| Destination address | 送信先アドレス |
| Destination Port | 送信先ポート(80 or 443) |
| Application | こちら にカテゴライズされた『NAME』を種類を表示します。 |
| Category | こちら にカテゴライズされた『Category』の種類を表示します。 |
| Action | alert / block / continue |
| Rule | 合致したセキュリティポリシールールの名を意味します。 |
| Device Name | セルグループ内におけるUTMのID |
- User-IDログ(詳細は こちら をご参照ください)
| カラム | 意味 |
|---|---|
| Receive Time | 該当ログが発生した時刻 |
| Source IP | 送信元アドレス |
| User | 認証ユーザー名 |
| Data Source | マッピング情報の収集源 |
| userbysource | IPアドレスとユーザ名のマッピングによって導き出された送信元ユーザー名 |
| Device Name | セルグループ内におけるUTMのID |
- 認証ログ(詳細は こちら をご参照ください)
| カラム | 意味 |
|---|---|
| Receive Time | 該当ログが発生した時刻 |
| Source IP | 送信元アドレス |
| User | 認証ユーザー名 |
| Normalized User | 正規化されたユーザー名 |
| Authentication Policy | 認証ポリシー名 |
| Event Type | 認証結果の種別 |