2.2.19. ログ解析¶
2.2.19.1. ログ解析 画面¶
[ログ&レポート]をクリックします。
ログ解析 画面が開きます。前回の検索結果が残っているときなど、検索結果が表示された状態で詳細画面が開くことがあります。
検索結果は初期状態で、お客さまの全てのデバイスの48時間分のログが10ログずつ、タイムスタンプの降順に表示されます。これらの条件は左側にある[デバイスを選択]、[時間範囲指定]、[表示指定]で変更することができます。
検索結果が「表示行数」よりも多いときは、ページ ナビゲーションでページを移動します。
生ログは1ログ目だけ全体が表示され、2ログ目以降は一部だけ表示されています。マウスポインターを合わせると、そのログの生ログ全体が表示されます。
生ログは左端の[+]をクリックして表示されるログフィールドでも確認できます。
2.2.19.2. 検索ボックス¶
検索ボックスはパラメーターを入力して検索できます。
入力欄でスペース キーや矢印キーなど何かキーを押すと、検索条件として指定できる項目が表示されます。
これらの項目と、パラメーター、ANDやORなどの演算子を組み合わせることで任意の検索条件を指定することができます。
また、* (アスタリスク)をワイルドカードとして使用できます。
検索条件には日本語など2バイトの文字は使用できません。大文字と小文字を区別します。
入力例で説明します。
入力例 | 説明 |
---|---|
* | すべてのログを検索します。
ただし、検索結果には[検索クエリ指定]で指定された時間範囲のログが表示されることに注意してください。
|
src_ip:10.0.0.1 | 発信元IPアドレスが10.0.0.1のログを検索します。 |
src_port:22 | 発信元ポートが22のログを検索します。 |
dst_ip:10.0.0.1 | 宛先IPアドレスが10.0.0.1のログを検索します。 |
dst_port:80 | 宛先ポートが80のログを検索します。 |
type:attack | ログのタイプがattackのログを検索します。 |
type:traffic | ログのタイプがtrafficのログを検索します。 |
src_ip:10.0.0.1 AND dst_port:22 | 発信元IPアドレスが10.0.0.1で宛先ポートが22のログを検索します。 |
src_ip:10.0.0.1 OR src_ip:10.0.0.2 | 発信元IPアドレスが10.0.0.1または10.0.0.2のログを検索します。 |
NOT(src_ip:10.0.0.1 OR src_ip:10.0.0.2) | 発信元IPアドレスが10.0.0.1でも10.0.0.2でもないログを検索します。 |
2.2.19.3. 検索クエリ指定¶
検索クエリ指定には初期状態で、すべてのデバイス、最新48時間以内(日本時間)、1ページにつき10ログ、タイム スタンプの降順に、ログ表示モードで表示されます。
これらの条件は左赤枠内で変更することができます。
項目 | 説明 |
---|---|
デバイスを選択(デバイス名) | チェックしたデバイスが検索対象のデバイスです。 |
開始・終了 | 検索対象とする期間の開始日時と終了日時です。カレンダーのボタンをクリックして指定してください。 |
タイムゾーン | ログ表示モードでの開始日時と終了日時のタイムゾーンです。UTCかJSTのどちらかを選択してください。簡易統計モードではこの指定に依らずUTCが用いられます。 |
指定時間 | 開始日時と終了日時の、範囲内を検索するか範囲外を検索するか、選択してください。 |
ログ表示モード | 検索結果にログを表示します。 |
簡易統計モード | 検索結果にログのフィールドごとの簡易統計を表示します。 |
表示行数 | ログ表示モードのとき、1ページに表示するログ数です。 |
並び替え | ログ表示モードのときの並び順を指定します。 |
検索対象とする期間は、「ログ解析の詳細画面を開いた時点から48時間以内」が指定されます。
表示行数を増やすと、検索に時間がかかる場合やWebブラウザーの警告が表示される場合があります。
2.2.19.4. 検索クエリ保存¶
[時間範囲指定]以外の検索条件に、名前を付けて保存することができます。
保存したい検索条件を指定した後、赤枠の入力欄に検索クエリの名前を入力して[クエリ保存]をクリックします。
日本語など2バイトの文字は使用できません。英文字は小文字で入力しても大文字で保存されます。
検索クエリとして保存できるのは、[時間範囲指定]を除く検索条件です。
赤枠のボタンをクリックするか、入力欄でスペース キーや矢印キーなど何かキーを押すと、保存されたクエリが表示されます。利用したいクエリの名前をクリックすると、保存した検索条件が呼び出されます。[時間範囲指定]は検索の都度、指定してください。
検索クエリとして保存できるのは、[時間範囲指定]を除く検索条件です。
検索クエリ名の[×]をクリックすると、保存されたクエリを削除します。
確認のダイアログが表示されます。
[OK]をクリックすると保存されたクエリを削除します。
2.2.19.5. ログフィールド¶
ログ解析 の詳細画面では、ログを要素ごとに分解しログフィールドに表示することができます。
検索結果の、左端の[+]ボタンをクリックすると、そのログのログフィールドが表示されます。
ログ フィールドの緑色の[+]ボタンをクリックするとその要素(項目と値)を検索条件に追加することができます。
例えば、* (アスタリスク)ですべてのログを検索したあとで、ログ フィールドから「date 2020-09-10 18:24:45」という要素を[+]で追加すると、検索ボックスに「* date:"2020-09-10 18:24:45"」と入力され検索結果が更新されます。
[一致するクエリ]は、保存された検索クエリでそのログが検索できるかどうかを示します。
クエリ名の[インポート]ボタンをクリックすると、保存された検索クエリが呼び出され、検索結果の表示が更新されます。
検索クエリとして保存できるのは、[時間範囲指定]を除く検索条件です。
2.2.19.6. 簡易統計モード¶
簡易統計モードでは指定した項目ごとにログ数を確認できます。
指定できる項目は、ログフィールドで確認できる項目と同じです。入力欄をクリックすると表示されます。
複数の項目を追加できますが、組合せられない項目もあります。
組合せられない項目を追加すると、警告が表示されます。
警告が表示されたときは最後に追加された項目を削除し、項目の組合せを変更してください。
項目は[×]ボタンをクリックすると削除できます。
簡易統計モードの検索結果は、指定した項目ごとにログ数が表示されます。
複数のフィールドを指定した場合は、最初の項目を主キーとして項目ごとに組合せカウントされます。
時間範囲指定のタイムゾーンにJSTを選択していても、簡易統計モードではUTCが用いられます。
2.2.19.7. クエリログのダウンロード¶
[クエリログのダウンロード]をクリックすると、検索結果をCSVファイルとしてダウンロードすることができます。
ダウンロード対象フィールド
[クエリログのダウンロード]をクリックして表示される[エクスポートするフィールドを選択してください。]画面で、ダウンロード対象とするフィールド名を選択します。
初期状態ですべてのフィールドが選択されています。ダウンロード対象としないフィールドは×ボタンで選択を除外します。
[リセット]をクリックすると、選択がすべて除外されます。
除外したフィールドは、空欄のどこかをクリックして表示されたフィールド名から再度選択できます。
[OK]をクリックすると、ダウンロードが開始されます。
[OK]をクリックすると選択したフィールドが記憶され、次回[クエリログのダウンロード]をクリックしたとき同じフィールドが選択された状態の画面が開きます。
txtファイルには、この画面で選択した順番にフィールドが並びます。例えば、前回フィールドを[rawlog]のみ選択した場合は、次回 [rawlog]のみ選択された状態の画面が開きます。
ダウンロード対象ログ
ダウンロードの対象となるのは、検索結果のすべてのログではなく、検索結果として1ページに表示されている分のログまたは簡易統計結果です。
ログ表示モードで[表示行数]を「10行」としている場合、検索結果が1,007件あっても[クエリログのダウンロード]ボタンをクリックしたときそのページに表示されている10件のログだけがダウンロードされます。
簡易統計モードの場合は、項目ごとのカウント結果だけがダウンロードされます。ログは含まれません。
2.2.19.8. Attackログの詳細情報¶
お客さまがManaged WAFを利用している場合、[Attackの詳細]でURLやユーザー エージェントを確認することができます。
Attackの詳細は、各ログ行の左端のプラス記号をクリックしたときにデバイスから取得するため、表示に時間がかかることがあります。
[Attackの詳細]は[RAWログのダウンロード]からはダウンロードできません。