5.ログの確認方法¶
5.1.ログの参照方法¶
PAポータルから: Firewall/Traffic、Firewall/URL、Firewall/Threat、/Firewall/GlobalProtectのログを参照できます。
各種ログは期間を絞って参照でき、参照したログはCSVファイルでダウンロードが可能です。
各種ログの詳細についてご説明いたします。
① Incidents and Alerts > Log Viewerをクリックします。
② [∨]から閲覧するログを選択します。
③ ログ項目(送信元や送信先など)をクリックします。
④ ③でクリックした項目が表示されます。(該当欄に直接入力することも可能です)
⑤ 対象期間を選択します。
※期間は15分、60分、10時間、1日、7日、30日、60日、90日、Customから選択可能です。
Customを選択すれば90日以上の日数が選択可能です。
⑥ [search]ボタンをクリックします。
⑦ 一覧にフィルタ結果が表示されます。
⑧ アイコンをクリックすることでログの詳細が確認可能です。
5.2.Firewall/Trafficログの確認方法¶
① Time Generatedは時間が出力されます。
② Subtypeは「end:通信完了」、「drop:通信失敗」等が出力されます。
③ Applicationは「outlook-web」等のアプリケーションが出力されます。
アプリケーションの一覧は<https://applipedia.paloaltonetworks.com/>を参照してください。
④ Actionは「allow:許可」または「deny or drop:拒否」が出力されます。
⑤ Ruleは一致したセキュリティポリシー名が出力されます。
⑥ Source Addressは送信元IPアドレスが出力されます。
⑦ Destination Addressは送信先IPアドレスが出力されます。
5.3.Firewall/URLログの確認方法¶
① Time Generatedは通信時間が出力されます。
② URLはアクセスした対象のURLが出力されます。
③ URL Category ListはIPアドレスが出力されます。
URL Category一覧はhttps://docs.paloaltonetworks.com/advanced-url-filtering/administration/url-filtering-basics/url-categoriesを参照
④ Actionは「alert:許可」、「block-url:拒否」が出力されます。
⑤ Ruleは一致したセキュリティポリシー名が出力されます。
⑥ Source User Nameはユーザ名が表示されます。
※Firewall/URLログでblock-URLが出力された際は端末のブラウザでは以下のようなページが確認できます。
※httpsのサイトへアクセスした場合は、ユーザ通知画面は表示されずに、無応答(「安全な接続ができませんでした」等の画面表示)となります。
<注意!>ブラウザや通信内容によっては、ブラウザのタイムアウト画面が表示される場合もございます。
5.4.Firewall/Threatログの確認方法¶
① Time Generatedは通信時間が出力されます。
② Severityは検知した脅威の重要度「critical」、「High」、「medium」、「 low 」、「informational」が出力されます。
標準設定では「critical」、「High」、「medium」がブロック対象となります。
③ File Nameは検知したURL/ファイルが出力されます。
④ Actionは「alert:許可」、「reset-both:拒否」が出力されます。
⑤ Source Addressは送信元IPアドレスが出力されます。
⑥ Destination Addressは送信先IPアドレスが出力されます。
5.5.Firewall/Global Protectログの確認方法¶
① Time Generatedは時間が出力されます。
② Endpoint Device Nameは端末の名前が出力されます。
③ Source User Nameはログイン時に試みたユーザ名が出力されます。
④ Connection Errorは認証失敗時に、「Authentication failed: Invalid username or password」が出力されます。
