セキュリティログの確認方法

FSGモニタリング機能の1つであるセキュリティログの確認方法について説明します。

手順

  1. セキュリティログを確認するセルグループを左ペインの「セルグループ情報」ドロップダウンリストから選択します。
  2. 左ペインの「セキュリティログ」を選択します。
../_images/monitoring01.png

  1. 表示できるセキュリティログの詳細は以下の通りです。
ログ種別 意味
Traffic トラフィックログ
Threat 脅威ログ(ウィルス、スパイウェア、脆弱性)
URL Filter URLフィルタリングログ
WildFire WildFire送信ログ
DataFiltering データフィルタリングログ
User-IDログ IPアドレスとユーザー名のマッピングログ
認証ログ Captive Portalを用いたユーザー認証のログ

  1. 各ログを確認したい場合は、『ログ検索ボタン』を押下してください。
../_images/monitoring24.png
  1. 必要な項目を記載し「ログ取得」を押下します。
../_images/monitoring29.png

セキュリティログ検索項目
カラム 意味
ログタイプ
検索/表示するログのタイプを指定
Traffic, Threat, URL Filter, WildFire, DataFiltering, User-IDログ, 認証ログから選択可能
対象期間選択(JST)
直近1時間 : 現在時刻から1時間前までのログを取得
直近3時間 : 現在時刻から3時間前までのログを取得
直近6時間 : 現在時刻から6時間前までのログを取得
直近1日 : 現在時刻から1日前までのログを取得
開始時刻と終了時刻のカスタマイズ : 現在時刻から6ヶ月前までの範囲で、最大1週間の範囲を指定可能
レコード数
表示するログ件数を指定
100, 500, 1000, 2000, 3000, 4000から選択可能
その他の条件
詳細な検索条件を設定する場合は、チェックボックスにチェックを入れてください。
検索タイプ (オプション設定)
検索時の詳細設定を指定してください
完全一致 : 検索内容に入力した文字列と完全に一致するログを表示する
部分一致 : 検索内容に入力した文字列を含むログを表示する
正規表現 : 検索内容に入力した正規表現に一致するログを表示する
詳細条件 (オプション設定)
フィルタリング対象となるカラムと文字列を入力してください。
複数の条件を指定する場合は、追加ボタンを押下して詳細条件を増やしてください。フィルタ条件は最大5,000件登録可能です。
同じカラムを対象とした詳細条件はor条件でフィルタリングいたします。
異なるカラムを対象とした詳細条件はand条件でフィルタリングいたします。
対象カラム : ログタイプごとにカラムが異なります。詳細は 各ログタイプの詳細一覧 をご参照ください。
検索内容 : 詳細な検索を行う文字列を入力してください。

  • 各ログのカラムは下記の通りです。

  • 『Record』タブにて一度に表示したい件数を変更することが可能です。(100件/500件/1000件/2000件/3000件/4000件)
../_images/monitoring25.png

  1. 各ログの詳細を確認したい場合は、該当ログの『詳細』を押下します。
../_images/monitoring26.png

  1. 下記のような詳細画面が表示されますので、各ログの詳細情報を確認することが可能です。
../_images/monitoring27.png

  1. 各ログをcsvでダウンロードしたい場合は、『ダウンロード(csv)』を押下します。
../_images/monitoring30.png

  1. ダウンロードしたいログの範囲を指定後、「ダウンロード」を押下しCSVファイルをダウンロードします。
../_images/monitoring31.png

  • CSV File Download
カラム 意味
ダウンロードタイプ
表示データのダウンロード : FSGコンソールに表示されているデータをCSVファイルにExportしてダウンロードする
最大行数を選択してダウンロード : 最大レコード数で指定した件数のデータをダウンロードする
対象期間選択(JST)
検索結果の日時 : ログ取得時の 検索条件 で指定した内容を引用
直近1時間 : 現在時刻から1時間前までのログを取得
直近3時間 : 現在時刻から3時間前までのログを取得
直近6時間 : 現在時刻から6時間前までのログを取得
直近1日 : 現在時刻から1日前までのログを取得
開始時刻と終了時刻のカスタマイズ : 現在時刻から6ヶ月前までの範囲で、最大1週間のダウンロード範囲を指定可能
最大レコード数
12,000行 : 12,000行ダウンロードする
40,000行 : 40,000行ダウンロードする
60,000行 : 60,000行ダウンロードする
  • 各ログのカラムは下記の通りです。

  • Traffic (詳細は こちら をご参照ください)
カラム 意味
Receive Time 該当ログの通信は発生した時刻
Type TRAFFIC(固定値となります。)
Source Zone Trust(固定値となります。)セル内部からの通信を意味します。
Destination Zone Untrust(固定値となります。)セル外部への通信を意味します。
Source address 送信元アドレス
Destination address 送信先アドレス
Destination Port 送信先ポート(80 or 443)
Application こちら にカテゴライズされた『NAME』の種類を表示します。
Rule 合致したセキュリティポリシールールの名を意味します。
Session End Reason 該当セッションを終了した事由。詳細は こちら を参照ください。
Bytes セッションの合計バイト数
Device Name セルグループ内におけるUTMのID

  • Threat(詳細は こちら をご参照ください)
カラム 意味
Receive Time 該当ログの通信は発生した時刻
Threat/Content Type virus / spyware / vulnerability
Threat/Content Name 検知したThreatの内容を表示します。
Source Zone Trust(固定値となります。)セル内部からの通信を意味します。
Destination Zone Untrust(固定値となります。)セル外部への通信を意味します。
Source address 送信元アドレス
Destination address 送信先アドレス
Destination Port 送信先ポート(80 or 443)
Application こちら にカテゴライズされた『NAME』を種類を表示します。
Action reset-both / alert
Severity informational / low / medium / high / critical
URL/Filename 合致したURL/Filenameを表示します。
file_url 何も表示されません。
Rule 合致したセキュリティポリシールールの名を意味します。
Device Name セルグループ内におけるUTMのID

  • URL Filer(詳細は こちら をご参照ください)
カラム 意味
Receive Time 該当ログの通信は発生した時刻
Category こちら にカテゴライズされた『Category』の種類を表示します。
URL/Filename 合致したURL/Filenameを表示します。
Source Zone Trust(固定値となります。)セル内部からの通信を意味します。
Destination Zone Untrust(固定値となります。)セル外部への通信を意味します。
Source address 送信元アドレス
Destination address 送信先アドレス
Destination Port 送信先ポート(80 or 443)
Application こちら にカテゴライズされた『NAME』の種類を表示します。
Action default / reset-both / alert (allowはログに出力されません)
http_headers 何も出力されません。
Rule 合致したセキュリティポリシールールの名を意味します。
Device Name セルグループ内におけるUTMのID

  • WildFire(詳細は こちら をご参照ください)
カラム 意味
Receive Time 該当ログの通信は発生した時刻
URL/Filename 合致したURL/Filenameを表示します。
file_url 何も出力されません。
Source Zone Trust(固定値となります。)セル内部からの通信を意味します。
Destination Zone Untrust(固定値となります。)セル外部への通信を意味します。
Source address 送信元アドレス
Destination address 送信先アドレス
Destination Port 送信先ポート(80 or 443)
Application こちら にカテゴライズされた『NAME』を種類を表示します。
Category こちら にカテゴライズされた『Category』の種類を表示します。
Action allow / block
Severity informational / low / medium / high / critical
filetype こちら にカテゴライズされた『FILE TYPES SUPPORTED FOR ANALYSIS』の種類を表示します。
Rule 合致したセキュリティポリシールールの名を意味します。
Device Name セルグループ内におけるUTMのID

  • DataFiltering(詳細は こちら をご参照ください)
カラム 意味
Receive Time 該当ログの通信は発生した時刻
Category こちら にカテゴライズされた『Category』の種類を表示します。
URL/Filename 合致したURL/Filenameを表示します。
file_url 何も出力されません。
Threat/Content Name こちら にカテゴライズされた『Name』の種類を表示します。
Source Zone Trust(固定値となります。)セル内部からの通信を意味します。
Destination Zone Untrust(固定値となります。)セル外部への通信を意味します。
Source address 送信元アドレス
Destination address 送信先アドレス
Destination Port 送信先ポート(80 or 443)
Application こちら にカテゴライズされた『NAME』を種類を表示します。
Category こちら にカテゴライズされた『Category』の種類を表示します。
Action alert / block / continue
Rule 合致したセキュリティポリシールールの名を意味します。
Device Name セルグループ内におけるUTMのID
  • User-IDログ(詳細は こちら をご参照ください)
カラム 意味
Receive Time 該当ログが発生した時刻
Source IP 送信元アドレス
User 認証ユーザー名
Data Source マッピング情報の収集源
userbysource IPアドレスとユーザ名のマッピングによって導き出された送信元ユーザー名
Device Name セルグループ内におけるUTMのID
  • 認証ログ(詳細は こちら をご参照ください)
カラム 意味
Receive Time 該当ログが発生した時刻
Source IP 送信元アドレス
User 認証ユーザー名
Normalized User 正規化されたユーザー名
Authentication Policy 認証ポリシー名
Event Type 認証結果の種別