fw log

説明

Check Point のログ・ファイルの内容を表示します - Security ($FWDIR/log/*.log) または Audit ($FWDIR/log/*.adtlog).

構文

fw log {-h | -help}

fw [-d] log [-a] [-b "<Start Timestamp>" "<End Timestamp>"] [-c <Action>] [{-f | -t}] [-g] [-H] [-h <Origin>] [-i] [-k {<Alert Name> | all}] [-l] [-m {initial | semi | raw}] [-n] [-o] [-p] [-q] [-S] [-s "<Start Timestamp>"] [-e "<End Timestamp>"] [-u <Unification Scheme File>] [-w] [-x <Start Entry Number>] [-y <End Entry Number>] [-z] [-#] [<Log File>]

パラメータ

パラメータ

説明

{-h | -help}

内蔵の使用状況を表示します。

:内蔵の使用方法では、この表に記載されているパラメータのいくつかが表示されません。

-d

デバッグモードでコマンドを実行します。

コマンド自体のトラブルシューティングを行う場合のみ使用します。

ベストプラクティス- このパラメータを使用する場合、出力をファイルにリダイレクトするか、script コマンドを使用して CLI セッション全体を保存してください。

-a

アカウントログエントリのみを表示します。

-b "<Start Timestamp>" "<End Timestamp>"

指定した開始時刻と終了時刻の間にログに記録されたエントリのみを表示します。

  • <Start Timestamp> および<End Timestamp> は、日付、時刻、またはその両方を指定することができる。

  • date が省略された場合、コマンドは現在の日付を仮定する。

  • <Start Timestamp>""<End Timestamp> をシングルクォートまたはダブルクォートで囲んでください(-b 'XX' 'YY", or-b "XX" "YY )。

  • -b" パラメータは、"-s" または "-e" パラメータと一緒に使用することはできません。

  • 下記の日付と時刻のフォーマットを参照してください。

-c <Action>

指定されたアクションを持つイベントのみを表示します。いずれかの方法を実行します。

  • accept

  • drop

  • reject

  • encrypt

  • decrypt

  • vpnroute

  • keyinst

  • authorize

  • deauthorize

  • authcrypt

  • ctl

注:

  • fw log コマンドは、常にControl (ctl) のアクションを表示します。

  • login アクションについては、authcrypt.

-e "<End Timestamp>"

指定した時間以前にログに記録されたエントリのみを表示します。

注:

  • <End Timestamp> は、日付、時間、またはその両方を指定することができる。

  • <End Timestamp> を一重引用符または二重引用符で囲む (-e '...', or-e "...").

  • -e" パラメータと "-b" パラメータを併用することはできません。

  • 下記の日付と時刻のフォーマットを参照してください。

-f

このパラメータです。

  1. 指定した条件に合致する保存されたエントリを表示します。

  2. このコマンドは、現在開いているログファイルの終端に達した後も、ログファイルを無期限に監視し続け、指定された条件に一致する新しいエントリを表示します。

- activeログファイル$FWDIR/log/fw.logまたは$FWDIR/log/fw.adtlogのみに適用されます。

-g

デリミタを表示しない。

デフォルトの動作は

  • フィールド名の後にコロン(:)を表示する

  • フィールドの値の後にセミコロン(;)を表示する

-H

High Level Logのキーを表示します。

-h <Origin>

指定したIPアドレスまたはオブジェクト名(SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。で設定されたもの)のSecurity Gatewayで生成されたログのみを表示します。

-i

ログのUIDを表示します。

-k {<Alert Name> | all}

特定のアラートタイプに一致するエントリを表示します。

  • <Alert Name> - 特定のアラートタイプに一致するエントリのみを表示する。

    • alert

    • mail

    • snmp_trap

    • spoof

    • user_alert

    • user_auth

  • all - すべてのアラートタイプに一致するエントリを表示する(これはデフォルトです)。

-l

各ログエントリの日付と時刻の両方を表示します。

デフォルトでは、関連するエントリの上に一度だけ日付を表示し、その後、各ログエントリに時間を指定するようになっています。

-m

ログ統一モードを指定します。

  • initial - ログエントリの完全一本化。コマンドは、各IDに対して1つのユニファイドログエントリを表示します。これはデフォルトです。

    -f パラメータも指定した場合、出力には更新は表示されず、新規接続の開始に関連するエントリのみが表示されます。アップデートを表示するには、semi パラメータを使用します。

  • semi - ログエントリの段階的な統一。各ログエントリに対して、このエントリと以前に遭遇した同じIDを持つすべてのエントリを統一したエントリを出力します。

  • raw - ログを統一しない。出力には、すべてのログエントリが表示されます。

-n

ログファイル内のIPアドレスのDNS解決を行わない(これはデフォルトの動作です)。

これにより、ログの処理が大幅に高速化されます。

-o

Shows detailed log chains - ログエントリのすべてのログセグメントを表示します。

-p

ログファイル内のポート番号の解決を行わない(これはデフォルトの動作です)。

これにより、ログの処理が大幅に高速化されます。

-q

ログヘッダーフィールドの名称を表示します。

-S

Sequence Number を表示します。

-s "<Start Timestamp>"

指定した時間以降にログに記録されたエントリのみを表示します。

注:

  • <Start Timestamp> は、日付、時間、またはその両方を指定することができる。

  • 日付が省略された場合、コマンドは現在の日付を想定している。

  • <Start Timestamp> を一重引用符または二重引用符で囲む (-s '...', or-s "...").

  • -s" パラメータと "-b" パラメータを併用することはできません。

  • 下記の日付と時刻のフォーマットを参照してください。

-t

このパラメータです。

  1. 指定した条件に合致する保存されたエントリを表示しない。

  2. このコマンドは、現在開いているログファイルの終端に達した後も、ログファイルを無期限に監視し続け、指定された条件に一致する新しいエントリを表示します。

- activeログファイル$FWDIR/log/fw.logまたは$FWDIR/log/fw.adtlogのみに適用されます。

-u <Unification Scheme File>

ログ統一スキームファイルのパスと名前を指定します。

デフォルトのログ統一スキームファイルです。

$FWDIR/conf/log_unification_scheme.C

-w

各ログエントリのフラグ(ログの「性質」を指定するために使用される異なるビット - 例えば、制御、監査、会計、補完など)を表示します。

-x <Start Entry Number>

ログファイルの先頭から数えて、指定したログエントリ番号以下のエントリのみを表示します。

-y <End Entry Number>

ログファイルの先頭から数えて、指定したログエントリ番号までのエントリのみを表示します。

-z

エラー(フィールドの値が間違っているなど)が発生した場合、ログエントリを表示し続けます。

デフォルトの動作は停止です。

-#

機密ログを平文で表示する。

<Log File>

読み込むログファイルを指定します。

ログファイルを明示的に指定しない場合、コマンドは$FWDIR/log/fw.log のログファイルを開きます。

切り替えられたログファイルを指定することができます。

日付と時刻のフォーマット

タイムスタンプの一部

フォーマット

日付のみ

MMM DD, YYYY

June 11, 2018

時間のみ

注:この場合、コマンドは現在の日付を想定しています。

HH:MM:SS

14:20:00

日付と時刻

MMM DD, YYYY HH:MM:SS

June 11, 2018 14:20:00

出力

各出力行は1つのログエントリからなり、そのフィールドはこのようなフォーマットで表示されます。

- 表示されるフィールドは、接続タイプによって異なります。

HeaderDateHour ContentVersion HighLevelLogKey Uuid SequenceNum Flags Action Origin IfDir InterfaceName LogId ...

この表は、いくつかのフィールドを説明しています。

フィールドヘッダー

説明

HeaderDateHour

日付と時刻

12Jun2018 12:56:42

ContentVersion

バージョン

5

HighLevelLogKey

ハイレベル・ログ・キー

<max_null>または空

Uuid

ログUUID

(0x5b1f99cb,0x0,0x3403a8c0,0xc0000000)

SequenceNum

ログシークエンス番号

1

Flags

ログの「性質」を指定する内部フラグ(例:制御、監査、会計、補完など

428292

Action

この接続で実行されたアクション

  • accept

  • dropreject

  • encrypt

  • decrypt

  • vpnroute

  • keyinst

  • authorize

  • deauthorize

  • authcrypt

  • ctl

Origin

このログを生成したセキュリティゲートウェイ閉じた Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。のオブジェクト名

MyGW

IfDir

インタフェースを介したトラフィックの方向性。

  • < - アウトバウンド(セキュリティゲートウェイからの送信)

  • > - インバウンド(セキュリティゲートウェイで受信)

  • <

  • >

InterfaceName

このトラフィックが記録されたSecurity Gatewayのインタフェース名

Security Gatewayが何らかの内部動作(例えば、ログ切り替え)を行った場合、ログエントリに daemon

  • eth0

  • daemon

  • N/A

LogId

ログID

0

Alert

アラートタイプ

  • alert

  • mail

  • snmp_trap

  • spoof

  • user_alert

  • user_auth

OriginSicName

このログを生成したセキュリティゲートウェイのSIC閉じた Secure Internal Communication。安全な通信のために、CheckPointソフトウェアを実行するCheckPointコンピュータがSSLを介して相互に認証するCheckPoint独自のメカニズム。この認証は、ICAがCheck Point Management Serverで発行した証明書に基づいています。

CN=MyGW,O=MyDomain_Server.checkpoint.com.s6t98x

inzone

インバウンドセキュリティゾーン

Local

outzone

アウトバウンドセキュリティゾーン

External

service_id

この接続を検査するために使用されるサービスの名前

ftp

src

接続元のコンピュータのオブジェクト名またはIPアドレス

MyHost

dst

接続先のコンピュータのオブジェクト名またはIPアドレス

MyFTPServer

proto

接続プロトコルの名称

tcp

sport_svc

接続元ポート

64933

ProductName

このログを生成したチェック・ポイント製品の名前

  • VPN-1 & FireWall-1

  • Application Control

  • FloodGate-1

ProductFamily

このログを生成したチェック・ポイントの製品ファミリ名

Network

fw log -l

[Expert@MyGW:0]# fw log -l -s "June 12, 2018 12:33:00"

12Jun2018 12:33:00 5 N/A 1 accept MyGW > N/A LogId: <max_null>; ContextNum: <max_null>; OriginSicName: CN=MyGW,O=MyDomain_Server.checkpoint.com.s6t98x; fg-1_client_in_rule_name: Default; fg-1_client_out_rule_name: Default; fg-1_server_in_rule_name: Host Redirect; fg-1_server_out_rule_name: ; ProductName: FG; ProductFamily: Network;

 

12Jun2018 12:33:39 5 N/A 1 drop MyGW < eth0 LogId: 0; ContextNum: <max_null>; OriginSicName: CN=MyGW,O=MyDomain_Server.checkpoint.com.s6t98x; inzone: Local; outzone: External; service_id: ftp; src: MyGW; dst: MyFTPServer; proto: tcp; UP_match_table: TABLE_START; ROW_START: 0; match_id: 2; layer_uuid: 4e26fc30-b345-4c96-b8d7-9db6aa7cdd89; layer_name: MyPolicy Network; rule_uid: 802020d9-5cdc-4c74-8e92-47e1b0eb72e5; rule_name: ; ROW_END: 0; UP_match_table: TABLE_END; UP_action_table: TABLE_START; ROW_START: 0; action: 0; ROW_END: 0; UP_action_table: TABLE_END; ProductName: VPN-1 & FireWall-1; svc: ftp; sport_svc: 64933; ProductFamily: Network;

 

... ... ...

 

[Expert@MyGW:0]#

[Expert@MyGW:0]# fw log -l -b "June 12, 2018 12:33:00" 'June 12, 2018 12:34:00'

12Jun2018 12:33:00 5 N/A 1 accept MyGW > N/A LogId: <max_null>; ContextNum: <max_null>; OriginSicName: CN=MyGW,O=MyDomain_Server.checkpoint.com.s6t98x; fg-1_client_in_rule_name: Default; fg-1_client_out_rule_name: Default; fg-1_server_in_rule_name: Host Redirect; fg-1_server_out_rule_name: ; ProductName: FG; ProductFamily: Network;

 

12Jun2018 12:33:39 5 N/A 1 drop MyGW < eth0 LogId: 0; ContextNum: <max_null>; OriginSicName: CN=MyGW,O=MyDomain_Server.checkpoint.com.s6t98x; inzone: Local; outzone: External; service_id: ftp; src: MyGW; dst: MyFTPServer; proto: tcp; UP_match_table: TABLE_START; ROW_START: 0; match_id: 2; layer_uuid: 4e26fc30-b345-4c96-b8d7-9db6aa7cdd89; layer_name: MyPolicy Network; rule_uid: 802020d9-5cdc-4c74-8e92-47e1b0eb72e5; rule_name: ; ROW_END: 0; UP_match_table: TABLE_END; UP_action_table: TABLE_START; ROW_START: 0; action: 0; ROW_END: 0; UP_action_table: TABLE_END; ProductName: VPN-1 & FireWall-1; svc: ftp; sport_svc: 64933; ProductFamily: Network;

 

12Jun2018 12:33:45 5 N/A 1 ctl MyGW > LogId: <max_null>; ContextNum: <max_null>; OriginSicName: CN=MyGW,O=MyDomain_Server.checkpoint.com.s6t98x; description: Contracts; reason: Could not reach "https://productcoverage.checkpoint.com/ProductCoverageService". Check DNS and Proxy configuration on the gateway.; Severity: 2; status: Failed; version: 1.0; failure_impact: Contracts may be out-of-date; update_service: 1; ProductName: Security Gateway/Management; ProductFamily: Network;

[Expert@MyGW:0]#

[Expert@MyGW:0]# fw log -l -c drop

12Jun2018 12:33:39 5 N/A 1 drop MyGW < eth0 LogId: 0; ContextNum: <max_null>; OriginSicName: CN=MyGW,O=MyDomain_Server.checkpoint.com.s6t98x; inzone: Local; outzone: External; service_id: ftp; src: MyGW; dst: MyFTPServer; proto: tcp; UP_match_table: TABLE_START; ROW_START: 0; match_id: 2; layer_uuid: 4e26fc30-b345-4c96-b8d7-9db6aa7cdd89; layer_name: MyPolicy Network; rule_uid: 802020d9-5cdc-4c74-8e92-47e1b0eb72e5; rule_name: ; ROW_END: 0; UP_match_table: TABLE_END; UP_action_table: TABLE_START; ROW_START: 0; action: 0; ROW_END: 0; UP_action_table: TABLE_END; ProductName: VPN-1 & FireWall-1; svc: ftp; sport_svc: 64933; ProductFamily: Network;

[Expert@MyGW:0]#

[Expert@MyGW:0]# fw log -l -q -w -c drop

HeaderDateHour: 12Jun2018 12:33:39; ContentVersion: 5; HighLevelLogKey: <max_null>; LogUid: ; SequenceNum: 1; Flags: 428292; Action: drop; Origin: MyGW; IfDir: <; InterfaceName: eth0; Alert: ; LogId: 0; ContextNum: <max_null>; OriginSicName: CN=MyGW,O=MyDomain_Server.checkpoint.com.s6t98x; inzone: Local; outzone: External; service_id: ftp; src: MyGW; dst: MyFTPServer; proto: tcp; UP_match_table: TABLE_START; ROW_START: 0; match_id: 2; layer_uuid: 4e26fc30-b345-4c96-b8d7-9db6aa7cdd89; layer_name: MyPolicy Network; rule_uid: 802020d9-5cdc-4c74-8e92-47e1b0eb72e5; rule_name: ; ROW_END: 0; UP_match_table: TABLE_END; UP_action_table: TABLE_START; ROW_START: 0; action: 0; ROW_END: 0; UP_action_table: TABLE_END; ProductName: VPN-1 & FireWall-1; svc: ftp; sport_svc: 64933; ProductFamily: Network;

[Expert@MyGW:0]#

[Expert@MyGW:0]# fw log -l -x 0 -y 10

... ...

[Expert@MyGW:0]#