セキュリティログの確認方法¶
FSGモニタリング機能の1つであるセキュリティログの確認方法について説明します。
手順¶
- セキュリティログを確認するセルグループを左ペインの「セルグループ情報」ドロップダウンリストから選択します。
- 左ペインの「セキュリティログ」を選択します。
- 表示できるセキュリティログの詳細は以下の通りです。
ログ種別 | 意味 |
---|---|
Traffic | トラフィックログ |
Threat | 脅威ログ(ウィルス、スパイウェア、脆弱性) |
URL Filter | URLフィルタリングログ |
WildFire | WildFire送信ログ |
DataFiltering | データフィルタリングログ |
User-IDログ | IPアドレスとユーザー名のマッピングログ |
認証ログ | Captive Portalを用いたユーザー認証のログ |
- 各ログを確認したい場合は、『ログ検索ボタン』を押下してください。
- 必要な項目を記載し「ログ取得」を押下します。
カラム | 意味 |
---|---|
ログタイプ | 検索/表示するログのタイプを指定
Traffic, Threat, URL Filter, WildFire, DataFiltering, User-IDログ, 認証ログから選択可能
|
対象期間選択(JST) | 直近1時間 : 現在時刻から1時間前までのログを取得
直近3時間 : 現在時刻から3時間前までのログを取得
直近6時間 : 現在時刻から6時間前までのログを取得
直近1日 : 現在時刻から1日前までのログを取得
開始時刻と終了時刻のカスタマイズ : 現在時刻から6ヶ月前までの範囲で、最大1週間の範囲を指定可能
|
レコード数 | 表示するログ件数を指定
100, 500, 1000, 2000, 3000, 4000から選択可能
|
その他の条件 | 詳細な検索条件を設定する場合は、チェックボックスにチェックを入れてください。
|
検索タイプ (オプション設定) | 検索時の詳細設定を指定してください
完全一致 : 検索内容に入力した文字列と完全に一致するログを表示する
部分一致 : 検索内容に入力した文字列を含むログを表示する
正規表現 : 検索内容に入力した正規表現に一致するログを表示する
|
詳細条件 (オプション設定) | フィルタリング対象となるカラムと文字列を入力してください。
複数の条件を指定する場合は、追加ボタンを押下して詳細条件を増やしてください。フィルタ条件は最大5,000件登録可能です。
同じカラムを対象とした詳細条件はor条件でフィルタリングいたします。
異なるカラムを対象とした詳細条件はand条件でフィルタリングいたします。
対象カラム : ログタイプごとにカラムが異なります。詳細は 各ログタイプの詳細一覧 をご参照ください。
検索内容 : 詳細な検索を行う文字列を入力してください。
|
- 各ログのカラムは下記の通りです。
- 『Record』タブにて一度に表示したい件数を変更することが可能です。(100件/500件/1000件/2000件/3000件/4000件)
- 各ログの詳細を確認したい場合は、該当ログの『詳細』を押下します。
- 下記のような詳細画面が表示されますので、各ログの詳細情報を確認することが可能です。
- 各ログをcsvでダウンロードしたい場合は、『ダウンロード(csv)』を押下します。
- ダウンロードしたいログの範囲を指定後、「ダウンロード」を押下しCSVファイルをダウンロードします。
- CSV File Download
カラム | 意味 |
---|---|
ダウンロードタイプ | 表示データのダウンロード : FSGコンソールに表示されているデータをCSVファイルにExportしてダウンロードする
最大行数を選択してダウンロード : 最大レコード数で指定した件数のデータをダウンロードする
|
対象期間選択(JST) | 検索結果の日時 : ログ取得時の 検索条件 で指定した内容を引用
直近1時間 : 現在時刻から1時間前までのログを取得
直近3時間 : 現在時刻から3時間前までのログを取得
直近6時間 : 現在時刻から6時間前までのログを取得
直近1日 : 現在時刻から1日前までのログを取得
開始時刻と終了時刻のカスタマイズ : 現在時刻から6ヶ月前までの範囲で、最大1週間のダウンロード範囲を指定可能
|
最大レコード数 | 12,000行 : 12,000行ダウンロードする
40,000行 : 40,000行ダウンロードする
60,000行 : 60,000行ダウンロードする
|
- 各ログのカラムは下記の通りです。
- Traffic (詳細は こちら をご参照ください)
カラム | 意味 |
---|---|
Receive Time | 該当ログの通信は発生した時刻 |
Type | TRAFFIC(固定値となります。) |
Source Zone | Trust(固定値となります。)セル内部からの通信を意味します。 |
Destination Zone | Untrust(固定値となります。)セル外部への通信を意味します。 |
Source address | 送信元アドレス |
Destination address | 送信先アドレス |
Destination Port | 送信先ポート(80 or 443) |
Application | こちら にカテゴライズされた『NAME』の種類を表示します。 |
Rule | 合致したセキュリティポリシールールの名を意味します。 |
Session End Reason | 該当セッションを終了した事由。詳細は こちら を参照ください。 |
Bytes | セッションの合計バイト数 |
Device Name | セルグループ内におけるUTMのID |
- Threat(詳細は こちら をご参照ください)
カラム | 意味 |
---|---|
Receive Time | 該当ログの通信は発生した時刻 |
Threat/Content Type | virus / spyware / vulnerability |
Threat/Content Name | 検知したThreatの内容を表示します。 |
Source Zone | Trust(固定値となります。)セル内部からの通信を意味します。 |
Destination Zone | Untrust(固定値となります。)セル外部への通信を意味します。 |
Source address | 送信元アドレス |
Destination address | 送信先アドレス |
Destination Port | 送信先ポート(80 or 443) |
Application | こちら にカテゴライズされた『NAME』を種類を表示します。 |
Action | reset-both / alert |
Severity | informational / low / medium / high / critical |
URL/Filename | 合致したURL/Filenameを表示します。 |
file_url | 何も表示されません。 |
Rule | 合致したセキュリティポリシールールの名を意味します。 |
Device Name | セルグループ内におけるUTMのID |
- URL Filer(詳細は こちら をご参照ください)
カラム | 意味 |
---|---|
Receive Time | 該当ログの通信は発生した時刻 |
Category | こちら にカテゴライズされた『Category』の種類を表示します。 |
URL/Filename | 合致したURL/Filenameを表示します。 |
Source Zone | Trust(固定値となります。)セル内部からの通信を意味します。 |
Destination Zone | Untrust(固定値となります。)セル外部への通信を意味します。 |
Source address | 送信元アドレス |
Destination address | 送信先アドレス |
Destination Port | 送信先ポート(80 or 443) |
Application | こちら にカテゴライズされた『NAME』の種類を表示します。 |
Action | default / reset-both / alert (allowはログに出力されません) |
http_headers | 何も出力されません。 |
Rule | 合致したセキュリティポリシールールの名を意味します。 |
Device Name | セルグループ内におけるUTMのID |
- WildFire(詳細は こちら をご参照ください)
カラム | 意味 |
---|---|
Receive Time | 該当ログの通信は発生した時刻 |
URL/Filename | 合致したURL/Filenameを表示します。 |
file_url | 何も出力されません。 |
Source Zone | Trust(固定値となります。)セル内部からの通信を意味します。 |
Destination Zone | Untrust(固定値となります。)セル外部への通信を意味します。 |
Source address | 送信元アドレス |
Destination address | 送信先アドレス |
Destination Port | 送信先ポート(80 or 443) |
Application | こちら にカテゴライズされた『NAME』を種類を表示します。 |
Category | こちら にカテゴライズされた『Category』の種類を表示します。 |
Action | allow / block |
Severity | informational / low / medium / high / critical |
filetype | こちら にカテゴライズされた『FILE TYPES SUPPORTED FOR ANALYSIS』の種類を表示します。 |
Rule | 合致したセキュリティポリシールールの名を意味します。 |
Device Name | セルグループ内におけるUTMのID |
- DataFiltering(詳細は こちら をご参照ください)
カラム | 意味 |
---|---|
Receive Time | 該当ログの通信は発生した時刻 |
Category | こちら にカテゴライズされた『Category』の種類を表示します。 |
URL/Filename | 合致したURL/Filenameを表示します。 |
file_url | 何も出力されません。 |
Threat/Content Name | こちら にカテゴライズされた『Name』の種類を表示します。 |
Source Zone | Trust(固定値となります。)セル内部からの通信を意味します。 |
Destination Zone | Untrust(固定値となります。)セル外部への通信を意味します。 |
Source address | 送信元アドレス |
Destination address | 送信先アドレス |
Destination Port | 送信先ポート(80 or 443) |
Application | こちら にカテゴライズされた『NAME』を種類を表示します。 |
Category | こちら にカテゴライズされた『Category』の種類を表示します。 |
Action | alert / block / continue |
Rule | 合致したセキュリティポリシールールの名を意味します。 |
Device Name | セルグループ内におけるUTMのID |
- User-IDログ(詳細は こちら をご参照ください)
カラム | 意味 |
---|---|
Receive Time | 該当ログが発生した時刻 |
Source IP | 送信元アドレス |
User | 認証ユーザー名 |
Data Source | マッピング情報の収集源 |
userbysource | IPアドレスとユーザ名のマッピングによって導き出された送信元ユーザー名 |
Device Name | セルグループ内におけるUTMのID |
- 認証ログ(詳細は こちら をご参照ください)
カラム | 意味 |
---|---|
Receive Time | 該当ログが発生した時刻 |
Source IP | 送信元アドレス |
User | 認証ユーザー名 |
Normalized User | 正規化されたユーザー名 |
Authentication Policy | 認証ポリシー名 |
Event Type | 認証結果の種別 |