生ログ検索
対象装置から転送された生ログに対して、複数の検索条件を指定し、該当ログを特定します。
検索画面にて、対象装置の選択、タイプ検索、条件の指定を行います。
タイプ検索には、以下の種類があります。
- ファイアウォールの生ログ
- プロキシの生ログ
- 不明なプロトコル
また、生ログタイプとして、以下のチェック項目があります。
- VPNの生ログ
- ウイルス/攻撃の生ログ
- トラフィックログ
- 装置管理の生ログ
- 拒否の生ログ
条件の指定では、以下の各項目から条件を選択します。
- プロトコル
- 送信元(送信元IPアドレス)
- 宛先(宛先IPアドレス)
- ユーザー
- ウイルス
- 攻撃
- 重要度(syslogのプライオリティ値:emerg/alert/critical/err/warning/notice/info/debug/none)
- URL
- ステータス
- ルール
- VPN
- 期間
- メッセージ
- VPNグループ
- ポート
- アプリケーション
- カテゴリ
- 送信元の国名
- 宛先の国名
- 送信インターフェース
- 宛先インターフェース
- クラウド名前
- クラウドカテゴリ
- 送信元メールアドレス
- 宛先メールアドレス
入力する値の条件には、以下の種類があります。
- 次に等しい
- 次に等しくない
- 次を含む
- not contains(次を含まない)
- 次の文字列で始まる
- not starts with(次の文字列で始まらない)
- ends with(次の文字列で終わる)
- not ends with(次の文字列で終わらない)
複数の条件を指定する場合、条件右の[+]をクリックすることで、条件の追加が可能です。また、条件を複数追加した際には、画面上部の項目のいずれかを選択してください。
・いずれかの条件に合致(OR)
・以下のすべてに一致
検索条件を指定し、[作成]をクリックすると検索条件に該当するログ情報が表示されます。
検索後は、[フォーマットされたログ]と[生ログ]タブから該当のログを確認することができます。
- フォーマットされたログ
生ログを日時やホスト、ユーザーなど、各カラムごとに分け、視覚的に分かりやすい形式で表示します。 - 生ログ
対象装置から転送されたsyslogを、加工せずそのままの状態で表示します。
- 画面上部の[保存]より、検索した条件をプロファイルとして保存することができます。
※保存したプロファイルは、[レポート]→[カスタムレポート]のプロファイル一覧に追加され、次回以降、検索条件を入力せずに保存した条件で検索することができます。
※[スケジュール]を有効化することで、検索条件に対する検索結果を定期出力します。 -
[フォーマットされたログ]タブを表示した際の、画面上部の[表示カラム選択]から、一覧に表示するカラム情報を選択することができます。
※選択可能なカラムは11個までです。 - 検索結果画面右上の時計アイコンより、検索対象の時間帯を任意に設定することができます。
- [生ログ検索]機能を使用して特定の生ログを検索する他に、インストールフォルダーに保存されたテキストベースのファイルから生ログを参照することもできます。
生ログファイルが保存されているインストールフォルダーパスは、アーカイブファイル設定の[アーカイブ先変更]に記載のパスを確認してください。
※インストールフォルダー配下の生ログファイルを削除、変更すると、Firewall Analyzer上でデータが参照できなくなる可能性があるので、取り扱いにはご注意ください。