fwm logexport

説明

セキュリティログファイル($FWDIR/log/*.log)または監査ログ閉じた 管理サーバに対する管理者アクション (ログインとログアウト、オブジェクトの作成または変更、ポリシーのインストールなど) を含むログ。ファイル($FWDIR/log/*.adtlog)をASCIIファイルにエクスポ ートします。

注:

マルチドメインサーバでは、該当するドメイン管理サーバのコンテキストでこのコマンドを実行する必要があります。

mdsenv <IP Address or Name of Domain Management Server>

構文

fwm logexport -h

fwm [-d] logexport [{-d <Delimiter> | -s}] [-t <Table Delimiter>] [-i <Input File>] [-o <Output File>] [{-f | -e}] [-x <Start Entry Number>] [-y <End Entry Number>] [-z] [-n] [-p] [-a] [-u <Unification Scheme File>] [-m {initial | semi | raw}]

パラメータ

パラメータ

説明

-h

内蔵の使用状況を表示します。

-d

デバッグモードでコマンドを実行します。

コマンド自体のトラブルシューティングを行う場合のみ使用します。

ベストプラクティス- このパラメータを使用する場合、出力をファイルにリダイレクトするか、script コマンドを使用して CLI セッション全体を保存してください。

完全なデバッグ手順については、sk97638fwm プロセスの説明をご覧ください。

-d <Delimiter> | -s

ログエントリのフィールド間の出力デリミタを指定します。

  • -d <Delimiter> - 指定されたデリミターを使用する。

  • -s - デリミターとしてASCII文字#255(ノンブレイキングスペース)を使用します。

注:デリミターを明示的に指定しない場合、デフォルトはセミコロン(; )です。

-t <Table Delimiter>

テーブルフィールド内の出力デリミタを指定する。

テーブルフィールドは、次のようになります。

ROWx:COL0,ROWx:COL1,ROWx:COL2

:表の区切り文字を明示的に指定しない場合、デフォルトはコンマ(, )です。

-i <Input File>

入力ログファイル名を指定する。

注:

  • このコマンドは、セキュリティログファイル($FWDIR/log/*.log)と監査ログファイル($FWDIR/log/*.adtlog)のみをサポートします。

  • 入力ログファイルを明示的に指定しない場合、コマンドはアクティブなSecurityログファイルを処理します。 $FWDIR/log/fw.log

-o <Output File>

出力ファイル名を指定する。

- 出力ログファイルを明示的に指定しない場合、コマンドはその出力を画面に出力します。

-f

現在開いているログファイルの終端に達した後、ログファイルを無期限に監視し続け、新しいエントリもエクスポートするように指定します。

-active のログファイルにのみ適用されます。$FWDIR/log/fw.log または $FWDIR/log/fw.adtlog

-e

現在開いているログファイルの終端に達した後、ログファイルを無期限に監視し続け、新しいエントリも同様にエクスポートします。

-active のログファイルにのみ適用されます。$FWDIR/log/fw.log または $FWDIR/log/fw.adtlog

-x <Start Entry Number>

指定されたログエントリ番号以下のログエントリを、ログファイルの先頭から数えてエクスポートを開始します。

-y <End Entry Number>

ログファイルの先頭から数えて、指定されたログエントリ番号までのログエントリのエクスポートを開始します。

-z

エラー(例えば、間違ったフィールド値)の場合、ログエントリのエクスポートを継続するように指定します。

デフォルトの動作は停止です。

-n

ログファイルに含まれるIPアドレスのDNS解決を行わないことを指定します(デフォルトの動作です)。

これにより、ログの処理が大幅に高速化されます。

-p

ログファイル中のポート番号の解決を行わないように指定します(デフォルトの動作です)。

これにより、ログの処理が大幅に高速化されます。

-a

アカウントログエントリのみをエクスポートします。

-u <Unification Scheme File>

ログ統一スキームファイルのパスと名前を指定します。

デフォルトのログ統一スキームファイルです。

$FWDIR/conf/log_unification_scheme.C

-m {initial | semi | raw}

ログ統一モードを指定します。

  • initial - ログエントリーの完全一本化。このコマンドは、各IDに対して1つのユニファイドログエントリーをエクスポートします。これはデフォルトです。

    -f" パラメータも指定した場合、更新は一切出力されず、新規接続の開始に関連するエントリのみが出力されます。アップデートもエクスポートするには、"semi" パラメータを使用します。

  • semi - ログエントリーの段階的な統一。各ログエントリについて、以前に遭遇した同じIDを持つすべてのエントリとこのエントリを統合するエクスポートエントリ。

  • raw - ログを統一しない。すべてのログエントリをエクスポートします。

fwm logexport コマンドの出力は、表形式で表示されます。

最初の行は、ログエントリに含まれるすべてのログフィールドの名前をリストアップします。

次の行は、それぞれ1つのログエントリからなり、そのフィールドは最初の行と同じ順序でソートされています。

ログエントリに特定のフィールドの情報がない場合、このフィールドは空のままです(2つの連続したセミコロン ";;" で示されます)。

コマンドの出力に表示されるログのフィールドを制御することができます。

ステップ

手順

1

$FWDIR/conf/logexport.ini ファイルを作成します。

[Expert@MGMT:0]# touch $FWDIR/conf/logexport.ini

2

$FWDIR/conf/logexport.ini ファイルを編集します。

[Expert@MGMT:0]# vi $FWDIR/conf/logexport.ini

3

ログフィールドを出力に含めたり除外したりするには、設定ファイルに以下の行を追加してください。

[Fields_Info]
included_fields = field1,field2,field3,<REST_OF_FIELDS>,field100
excluded_fields = field10,field11

各変数の意味は以下のとおりです。

  • included_fields パラメータのみ、excluded_fields パラメータのみ、または両方を指定することができます。

  • num フィールドは常に最初に表示されなければならない。このフィールドを操作することはできません。

  • <REST_OF_FIELDS> は、フィールドのリストを参照するオプションの予約済みトークンである。

    • -f" パラメータを指定した場合、<REST_OF_FIELDS>$FWDIR/conf/logexport_default.C ファイルのフィールドのリストに基づいています。

    • -f" パラメータを指定しない場合、<REST_OF_FIELDS> は入力ログファイルに基づいています。

4

変更をファイルに保存し、Vi エディタを終了します。

5

ログをエクスポートします。

fwm logexport <options>

例 1 - すべてのログエントリをエクスポートする

[Expert@MGMT:0]# fwm logexport -i MySwitchedLog.log
Starting... There are 113 log records in the file
num;date;time;orig;type;action;alert;i/f_name;i/f_dir;product;LogId;ContextNum;origin_id;ContentVersion;HighLevelLogKey;SequenceNum;log_sys_message;ProductFamily;fg-1_client_in_rule_name;fg-1_client_out_rule_name;fg-1_server_in_rule_name;fg-1_server_out_rule_name;description;status;version;comment;update_service;reason;Severity;failure_impact
0;13Jun2018;19:47:54;CXL1_192.168.3.52;control; ;;daemon;inbound;VPN-1 & FireWall-1;-1;-1;CN=CXL1_192.168.3.52,O=MyDomain_Server.checkpoint.com.s6t98x;5;18446744073709551615;2;Log file has been switched to: MyLog.log;Network;;;;;;;;;;;;
1;13Jun2018;19:47:54;CXL1_192.168.3.52;account;accept;;;inbound;FG;-1;-1;CN=CXL1_192.168.3.52,O=MyDomain_Server.checkpoint.com.s6t98x;5;18446744073709551615;1;;Network;Default;Default;;;;;;;;;;
... ...
35;13Jun2018;19:55:59;CXL1_192.168.3.52;account;accept;;;inbound;FG;-1;-1;CN=CXL1_192.168.3.52,O=MyDomain_Server.checkpoint.com.s6t98x;5;18446744073709551615;1;;Network;Default;Default;Host Redirect;;;;;;;;;
36;13Jun2018;19:56:06;CXL1_192.168.3.52;control; ;;;inbound;Security Gateway/Management;-1;-1;CN=CXL1_192.168.3.52,O=MyDomain_Server.checkpoint.com.s6t98x;5;18446744073709551615;1;;Network;;;;;Contracts;Started;1.0;<null>;1;;;
... ...
47;13Jun2018;19:57:02;CXL1_192.168.3.52;control; ;;;inbound;Security Gateway/Management;-1;-1;CN=CXL1_192.168.3.52,O=MyDomain_Server.checkpoint.com.s6t98x;5;18446744073709551615;1;;Network;;;;;Contracts;Failed;1.0;;1;Could not reach "https://productcoverage.checkpoint.com/ProductCoverageService". Check DNS and Proxy configuration on the gateway.;2;Contracts may be out-of-date
... ...
[Expert@MGMT:0]#

例2 - 指定した番号のログエントリのみをエクスポートする場合

[Expert@MGMT:0]# fwm logexport -i MySwitchedLog.log -x 36 -y 47
Starting... There are 113 log records in the file
num;date;time;orig;type;action;alert;i/f_name;i/f_dir;product;LogId;ContextNum;origin_id;ContentVersion;HighLevelLogKey;SequenceNum;log_sys_message;ProductFamily;fg-1_client_in_rule_name;fg-1_client_out_rule_name;fg-1_server_in_rule_name;fg-1_server_out_rule_name;description;status;version;comment;update_service;reason;Severity;failure_impact
36;13Jun2018;19:56:06;CXL1_192.168.3.52;control; ;;;inbound;Security Gateway/Management;-1;-1;CN=CXL1_192.168.3.52,O=MyDomain_Server.checkpoint.com.s6t98x;5;18446744073709551615;1;;Network;;;;;Contracts;Started;1.0;<null>;1;;;
37;13Jun2018;19:56:06;CXL1_192.168.3.52;account;accept;;;inbound;FG;-1;-1;CN=CXL1_192.168.3.52,O=MyDomain_Server.checkpoint.com.s6t98x;5;18446744073709551615;2;;Network;Default;Default;Host Redirect;;;;;;;;;
... ...
46;13Jun2018;19:56:59;CXL1_192.168.3.52;account;accept;;;inbound;FG;-1;-1;CN=CXL1_192.168.3.52,O=MyDomain_Server.checkpoint.com.s6t98x;5;18446744073709551615;1;;Network;Default;Default;Host Redirect;;;;;;;;;
47;13Jun2018;19:57:02;CXL1_192.168.3.52;control; ;;;inbound;Security Gateway/Management;-1;-1;CN=CXL1_192.168.3.52,O=MyDomain_Server.checkpoint.com.s6t98x;5;18446744073709551615;1;;Network;;;;;Contracts;Failed;1.0;;1;Could not reach "https://productcoverage.checkpoint.com/ProductCoverageService". Check DNS and Proxy configuration on the gateway.;2;Contracts may be out-of-date
[Expert@MGMT:0]#