ログの使用

追跡するログの選択

確認したいトラフィックパターンを見るなど、ログには役に立つ情報が含まれています。セキュリティポリシーで必要なルールをすべて追跡するよう確認します。複数のルールを追跡すると、ログファイルが膨大になり、ディスク空き容量や管理操作が更に必要になります。

これらの要件を満たすため、サイバーセキュリティを向上し、ユーザの活動を理解でき、さらにレポートで役立つルールを追跡するようにします。

ポリシールールの追跡の設定

ルールの追跡を設定するには

追跡カラムを右クリックします。
追跡オプションを選択します。
ポリシーをインストールします。

追跡オプション

ルールの追跡カラムの以下のオプションを選択します。

なし - ログ記録しません。
ログ - これはデフォルトの追跡オプションです。これは、接続を照合するためにセキュリティゲートウェイが使用したすべての情報を表示します。最小限の場合、これは発信元、宛先、発信元ポート、および宛先ポートです。アプリケーションを指定するルールにマッチした場合、セッションのログにアプリケーションの名前（たとえば、Dropbox）が表示されます。データタイプを指定するルールにマッチした場合、セッションのログにファイル情報とファイルの内容が表示されます。
アカウンティング - これを選択すると、10分間隔でログをアップデートし、接続中のデータ量を表示します。アップロードバイト、ダウンロードバイトおよび閲覧時間。

注 - R77.XまたはR80からR81.10にアップグレードすると、追跡カラムのオプションの動作に変更が生じます。詳細については、sk116580を参照してください。

追跡の詳細オプション

詳細ログおよび拡張ログは、レイヤで次のブレードが1つ以上有効な場合のみ使用できます。Application & URL Filtering、Content Awareness、Mobile Access。

詳細ログ - ログオプションに相当しますが、ルールがアプリケーションを指定していなくても、接続にマッチしたアプリケーションも表示します。ベストプラクティス - R77 アプリケーションコントロールのルールベースからアップグレードされたアプリケーションとURLフィルタリングのポリシーレイヤのクリーンアップルール（任意/インターネット/許可）を使用します。
拡張ログ - 詳細オプションに相当しますが、接続またはセッションのURLの完全なリストとファイルも表示します。URLとファイルはログビューの下部のペインに表示されます。

ログの生成

接続ごと - これを選択すると、セッションの各接続に対して別々のログを表示します。これは、ファイアウォールだけが有効なレイヤのルールのデフォルトです。これらは基本のファイアウォールログです。
セッションごと - これを選択すると、同じセッションのすべての接続に対して1つのログを生成（ログセッションを参照）します。これは、アプリケーション&URLフィルタリングまたはコンテンツアウェアネスが有効なレイヤのルールのデフォルトです。これらは基本のアプリケーションコントロールのログです。

アラート:

各アラートオプションに対して、メニュー>グローバルプロパティ>ログとアラート>アラートの順に移動して、スクリプトを定義できます。

なし - アラートを生成しません。
アラート - アラートのログを生成して、以下のコマンドを実行します。ポップアップウィンドウの表示、EメールアラートやSNMPトラップアラートの送信、グローバルプロパティで定義したユーザ定義スクリプトの実行。
SNMP - グローバルプロパティで定義したとおりに、アラートのログを生成してSNMPアラートをSNMP GUIへ送信します。
メール - グローバルプロパティで定義したとおりに、アラートのログを生成してEメールを管理者に送信します。
ユーザ定義のアラート - アラートのログを生成して3つのいずれかのカスタマイズされたアラートを送信します。このアラートは、グローバルプロパティで指定したスクリプトで定義されます。

ログセッション

セッションとは、特定のサイトや特定のアプリケーションにおけるユーザのアクティビティのことです。セッションは、ユーザがアプリケーションやサイトに接続した時点から開始されます。セキュリティゲートウェイによって、ユーザがそのセッションで行うすべてのアクティビティが1つのセッションのログに記録されます(上位の発信元、宛先、サービスを表示するセキュリティゲートウェイログとは異なる)。

ログセッションを検索するには

ログ&モニタリングビューのログタブで、次を入力します:

type:Session

ログセッションの詳細を表示するには

ログ&モニタリングビューのログタブで、セッションログを選択します。

ログタブの下部のペインで、タブをクリックしてセッションのログの詳細を表示します。

接続 - セッションのすべての接続を表示します。ルールの追跡オプションで接続ごとを選択した場合に表示されます。
URL - セッションのすべてのURLを表示します。ルールの追跡オプションで拡張ログを選択した場合に表示されます。
ファイル - セッションのアップロード/ダウンロードされたすべてのファイルを表示します。ルールの追跡オプションで拡張ログを選択した場合、またはデータタイプが接続で照合された場合に表示されます。

セッションの一部である接続についてのログを表示するには

ログ&モニタリングビューのログタブで、セッションの一部である接続のログ記録をダブルクリックします。
ログの詳細で、右上隅にあるセッションのアイコンをクリックして新規タブのセッションログを検索します。

セッションタイムアウトを設定するには

デフォルトではセッションは3時間続いた後、セキュリティゲートウェイによって新しいセッションのログが開始しされます。これを変更するには、SmartConsoleで管理 & 設定ビューから、ブレード>Application & URL Filtering>詳細設定→全般>接続の統合の順にクリックします。

ルールログの表示

特定のルールによって生成されたログは、セキュリティポリシー、またはログ&モニタリング > ログタブから検索できます。

ルールによって生成されたログを確認するには（セキュリティポリシーから検索する場合）

SmartConsoleでセキュリティポリシービューへ移動します。
アクセスコントロールポリシーまたはThreat Preventionポリシーで、ルールを選択します。
下部ペインで、以下のタブのいずれかをクリックして表示します。
- ログ - デフォルトでは、現在のルールのログが表示されます。発信元、宛先、ブレード、アクション、サービス、ポート、発信元ポート、ルール（現在のルールがデフォルト）、発生元、ユーザ、またはその他フィールドでログを絞り込むことができます。
- 履歴（アクセスコントロールポリシーのみ） - 発生順のルールに関連するルール操作のリスト（監査ログ）。ルールタイプと、変更した管理者に関する情報が記載されています。

ルールによって生成されたログを確認するには、以下を実行します（ログ検索を行う場合）。

SmartConsoleでセキュリティポリシービューへ移動します。
アクセスコントロールポリシーまたはThreat Preventionポリシーで、ルールを選択します。
ルール番号を右クリックし、ルールUIDのコピーを選択します。
ログ&モニタリング > ログタブで、以下のいずれかの方法を使用してログを検索します。
- クエリ検索バーにルールUIDを貼り付け、Enterキーをクリックします。
- 結果をより速く得るには、クエリ検索バーで以下の構文を使用します。
  
  layer_uuid_rule_uuid:*_<UID>
  
  たとえば、クエリ検索バーに以下を貼り付け、Enterキーをクリックします。
  
  layer_uuid_rule_uuid:*_46f0ee3b-026d-45b0-b7f0-5d71f6d8eb10

パケットキャプチャ

ネットワークトラフィックをキャプチャできます。パケットキャプチャの内容で、ログを生成したトラフィックの洞察を得ることができます。この機能を有効にすると、セキュリティゲートウェイからログサーバに、ログと共にパケットキャプチャファイルが送信されます。ファイルを開けることも、ファイルを保存しておいて情報を後で取得することもできます。

一部のブレードでは、パケットキャプチャオプションはThreat Policyによりデフォルトで有効になっています。

パケットキャプチャを無効にするには（Threat Policyのみ）

SmartConsoleのセキュリティポリシービュー
ルールの追跡カラムで、パケットキャプチャを右クリックしてクリアします。

パケットキャプチャを表示するには

SmartConsoleで、ログ&モニタリングビューを開きます。
ログをを開きます。
パケットキャプチャフィールドのリンクをクリックします。

パケットキャプチャがファイルの種類に紐付けられたプログラムで開きます。
オプション：Save（保存）をクリックして、コンピュータにパケットキャプチャのデータを保存します。