fw log

説明

Check Pointの、セキュリティ($FWDIR/log/*.log) または監査($FWDIR/log/*.adtlog)ログファイルの内容を表示します。

構文

fw log {-h | -help}

fw [-d] log [-a] [-b "<Start Timestamp>" "<End Timestamp>"] [-c <Action>] [{-f | -t}] [-g] [-H] [-h <Origin>] [-i] [-k {<Alert Name> | all}] [-l] [-m {initial | semi | raw}] [-n] [-o] [-p] [-q] [-S] [-s "<Start Timestamp>"] [-e "<End Timestamp>"] [-u <Unification Scheme File>] [-w] [-x <Start Entry Number>] [-y <End Entry Number>] [-z] [-#] [<Log File>]

パラメータ

パラメータ

説明

{-h | -help}

ビルトインの使用状況を表示します。

- 組み込みの使用では、この表に記載されているパラメータのいくつかが表示されません。

-d

デバッグモードでコマンドを実行します。

コマンド自体のトラブルシューティングを行う場合のみ使用します。

ベストプラクティス - このパラメータを使用する場合、出力をファイルにリダイレクトするか、scriptコマンドを使用してCLIセッション全体を保存してください。

-a

アカウントログエントリのみを表示します。

-b "<Start Timestamp>" "<End Timestamp>"

指定した開始時刻と終了時刻の間にログに記録されたエントリのみを表示します。

  • <Start Timestamp><End Timestamp>は、日付、時刻、またはその両方を指定することができます。

  • 日付を省略した場合、コマンドでは現在の日付を想定します。

  • <Start Timestamp>""<End Timestamp>は、二重引用符または一重引用符で囲む必要があります(-b 'XX' 'YY"または-b "XX" "YY)。

  • "-b"パラメータは、"-s"または "-e"パラメータと一緒に使用することはできません。

  • 下記の日付と時刻のフォーマットを参照してください。

-c <Action>

指定されたアクションを持つイベントのみを表示します。いずれかの方法を実行します。

  • accept

  • drop

  • reject

  • encrypt

  • decrypt

  • vpnroute

  • keyinst

  • authorize

  • deauthorize

  • authcrypt

  • ctl

注:

  • fw logコマンドは、常にControl (ctl) のアクションを表示します。

  • ログインアクションには、authcrypt

-e "<End Timestamp>"

指定した時間以前にログに記録されたエントリのみを表示します。

注:

  • <End Timestamp>は、日付、時間、またはその両方にすることができます。

  • <End Timestamp>は一重引用符または二重引用符で囲む必要があります (-e '...'または-e "...")。

  • "-e"パラメータと "-b"パラメータを併用することはできません。

  • 下記の日付と時刻のフォーマットを参照してください。

-f

次のパラメータ:

  1. 指定した条件に合致する保存されたエントリを表示します。

  2. このコマンドは、現在開いているログファイルの終わりまで達した後も、ログファイルを無限に監視し続け、指定された条件に一致する新しいエントリを表示します。

-アクティブなログファイルのみに適用される$FWDIR/log/fw.log または$FWDIR/log/fw.adtlog

-g

区切り文字を表示しません。

デフォルトの動作は

  • フィールド名の後にコロン(:)を表示する

  • フィールド値の後にセミコロン(;)を表示する

-H

High Level Logのキーを表示します。

-h <Origin>

指定したIPアドレスまたはオブジェクト名(SmartConsoleで設定)のSecurity Gatewayで生成されたログのみを表示します。

-i

ログのUIDを表示します。

-k {<Alert Name> | all}

特定のアラートタイプに一致するエントリを表示します。

  • <Alert Name>- 特定のアラートタイプに一致するエントリのみを表示します:

    • alert

    • mail

    • snmp_trap

    • spoof

    • user_alert

    • user_auth

  • all- すべてのアラートタイプに一致するエントリーを表示する(これがデフォルト)。

-l

各ログエントリの日付と時刻の両方を表示します。

デフォルトでは、関連するエントリの上に一度だけ日付を表示し、その後、各ログエントリに時間を指定するようになっています。

-m

ログ統一モードを指定します。

  • initial- ログエントリーの完全な統一。コマンドは、各IDに対して1つの統一ログエントリを表示します。これはデフォルトです。

    -fパラメータも指定した場合、出力には更新は表示されず、新規接続の開始に関連するエントリのみが表示されます。アップデートを表示するには、semiパラメータを使用します。

  • semi- ログエントリーを段階的に統一。各ログエントリに対して、以前に同じIDを持つエントリがあった場合は同一ログを統一してエントリを表示します。

  • raw- ログを統一しない。出力には、すべてのログエントリが表示されます。

-n

ログファイル内のIPアドレスのDNS解決を行わない(これはデフォルトの動作です)。

これにより、ログの処理が大幅に高速化されます。

-o

詳細ログチェーンを表示 - ログエントリのすべてのログセグメントを表示します。

-p

ログファイル内のポート番号の解決を行わない(これはデフォルトの動作です)。

これにより、ログの処理が大幅に高速化されます。

-q

ログヘッダフィールドの名称を表示します。

-S

連続番号を表示します。

-s "<Start Timestamp>"

指定した時間以降にログに記録されたエントリのみを表示します。

注:

  • <Start Timestamp>は、日付、時間、またはその両方にすることができます。

  • 日付を省略した場合、コマンドは現在の日付を想定します。

  • <Start Timestamp>は一重引用符または二重引用符で囲む必要があります (-s '...'または-s "...")。

  • "-s"パラメータと "-b"パラメータを併用することはできません。

  • 下記の日付と時刻のフォーマットを参照してください。

-t

次のパラメータ:

  1. 指定した条件に合致する保存されたエントリを表示しません。

  2. このコマンドは、現在開いているログファイルの終わりまで達した後も、ログファイルを無限に監視し続け、指定された条件に一致する新しいエントリを表示します。

-アクティブなログファイルのみに適用される$FWDIR/log/fw.log または$FWDIR/log/fw.adtlog

-u <Unification Scheme File>

ログ統一スキームファイルのパスと名前を指定します。

デフォルトのログ統一スキームファイル:

$FWDIR/conf/log_unification_scheme.C

-w

各ログエントリのフラグ(ログの「性質」を指定するために使用される異なるビット - 例えば、制御、監査、会計、補完など)を表示します。

-x <Start Entry Number>

ログファイルの先頭から数えて、指定したログエントリ番号以下のエントリのみを表示します。

-y <End Entry Number>

ログファイルの先頭から数えて、指定したログエントリ番号までのエントリのみを表示します。

-z

エラー(フィールドの値が間違っているなど)が発生した場合、ログエントリを表示し続けます。

デフォルトの動作は停止です。

-#

機密ログを平文で表示します。

<Log File>

読み込むログファイルを指定します。

ログファイルを明示的に指定しない場合、コマンドは$FWDIR/log/fw.logのログファイルを開きます。

切り替えられたログファイルを指定することができます。

日付と時刻のフォーマット

タイムスタンプの一部

フォーマット

日付のみ

MMM DD, YYYY

June 11, 2018

時間のみ

注 - この場合、コマンドは現在の日付を想定しています。

HH:MM:SS

14:20:00

日付と時刻

MMM DD, YYYY HH:MM:SS

June 11, 2018 14:20:00

出力

各出力行は1つのログエントリからなり、そのフィールドはこのようなフォーマットで表示されます。

- 表示されるフィールドは、接続タイプによって異なります。

HeaderDateHour ContentVersion HighLevelLogKey Uuid SequenceNum Flags Action Origin IfDir InterfaceName LogId ...

この表は、いくつかのフィールドを説明しています。

フィールドヘッダ

説明

HeaderDateHour

日付と時刻

12Jun2018 12:56:42

ContentVersion

バージョン

5

HighLevelLogKey

ハイレベルログキー

<max_null>または空

Uuid

ログUUID

(0x5b1f99cb,0x0,0x3403a8c0,0xc0000000)

SequenceNum

ログシークエンス番号

1

Flags

ログの「性質」を指定する内部フラグ(例:制御、監査、会計、補完など)

428292

Action

この接続で実行されたアクション

  • accept

  • dropreject

  • encrypt

  • decrypt

  • vpnroute

  • keyinst

  • authorize

  • deauthorize

  • authcrypt

  • ctl

Origin

このログを生成したセキュリティゲートウェイのオブジェクト名

MyGW

IfDir

インタフェースを介したトラフィックの方向性:

  • <- アウトバウンド(セキュリティゲートウェイから送信される)

  • >- インバウンド(セキュリティゲートウェイで受信)

  • <

  • >

InterfaceName

このトラフィックが記録されたSecurity Gatewayのインタフェース名

セキュリティゲートウェイが何らかの内部アクション(例えば、ログスイッチ)を実行した場合、ログエントリには次のように表示されます。daemon

  • eth0

  • daemon

  • N/A

LogId

ログID

0

Alert

アラートタイプ

  • alert

  • mail

  • snmp_trap

  • spoof

  • user_alert

  • user_auth

OriginSicName

このログを生成したセキュリティゲートウェイのSIC名

CN=MyGW,O=MyDomain_Server.checkpoint.com.s6t98x

inzone

インバウンドセキュリティゾーン

Local

outzone

アウトバウンドセキュリティゾーン

External

service_id

この接続を検査するために使用されるサービスの名前

ftp

src

接続元のコンピュータのオブジェクト名またはIPアドレス

MyHost

dst

接続先のコンピュータのオブジェクト名またはIPアドレス

MyFTPServer

proto

接続プロトコルの名前

tcp

sport_svc

接続元ポート

64933

ProductName

このログを生成したCheck Point製品の名前

  • VPN-1 & FireWall-1

  • Application Control

  • FloodGate-1

ProductFamily

このログを生成したCheck Point製品ファミリ名

Network

fw log -l

[Expert@MyGW:0]# fw log -l -s "June 12, 2018 12:33:00"

12Jun2018 12:33:00 5 N/A 1 accept MyGW > N/A LogId: <max_null>; ContextNum: <max_null>; OriginSicName: CN=MyGW,O=MyDomain_Server.checkpoint.com.s6t98x; fg-1_client_in_rule_name: Default; fg-1_client_out_rule_name: Default; fg-1_server_in_rule_name: Host Redirect; fg-1_server_out_rule_name: ; ProductName: FG; ProductFamily: Network;

 

12Jun2018 12:33:39 5 N/A 1 drop MyGW < eth0 LogId: 0; ContextNum: <max_null>; OriginSicName: CN=MyGW,O=MyDomain_Server.checkpoint.com.s6t98x; inzone: Local; outzone: External; service_id: ftp; src: MyGW; dst: MyFTPServer; proto: tcp; UP_match_table: TABLE_START; ROW_START: 0; match_id: 2; layer_uuid: 4e26fc30-b345-4c96-b8d7-9db6aa7cdd89; layer_name: MyPolicy Network; rule_uid: 802020d9-5cdc-4c74-8e92-47e1b0eb72e5; rule_name: ; ROW_END: 0; UP_match_table: TABLE_END; UP_action_table: TABLE_START; ROW_START: 0; action: 0; ROW_END: 0; UP_action_table: TABLE_END; ProductName: VPN-1 & FireWall-1; svc: ftp; sport_svc: 64933; ProductFamily: Network;

 

... ... ...

 

[Expert@MyGW:0]#

[Expert@MyGW:0]# fw log -l -b "June 12, 2018 12:33:00" 'June 12, 2018 12:34:00'

12Jun2018 12:33:00 5 N/A 1 accept MyGW > N/A LogId: <max_null>; ContextNum: <max_null>; OriginSicName: CN=MyGW,O=MyDomain_Server.checkpoint.com.s6t98x; fg-1_client_in_rule_name: Default; fg-1_client_out_rule_name: Default; fg-1_server_in_rule_name: Host Redirect; fg-1_server_out_rule_name: ; ProductName: FG; ProductFamily: Network;

 

12Jun2018 12:33:39 5 N/A 1 drop MyGW < eth0 LogId: 0; ContextNum: <max_null>; OriginSicName: CN=MyGW,O=MyDomain_Server.checkpoint.com.s6t98x; inzone: Local; outzone: External; service_id: ftp; src: MyGW; dst: MyFTPServer; proto: tcp; UP_match_table: TABLE_START; ROW_START: 0; match_id: 2; layer_uuid: 4e26fc30-b345-4c96-b8d7-9db6aa7cdd89; layer_name: MyPolicy Network; rule_uid: 802020d9-5cdc-4c74-8e92-47e1b0eb72e5; rule_name: ; ROW_END: 0; UP_match_table: TABLE_END; UP_action_table: TABLE_START; ROW_START: 0; action: 0; ROW_END: 0; UP_action_table: TABLE_END; ProductName: VPN-1 & FireWall-1; svc: ftp; sport_svc: 64933; ProductFamily: Network;

 

12Jun2018 12:33:45 5 N/A 1 ctl MyGW > LogId: <max_null>; ContextNum: <max_null>; OriginSicName: CN=MyGW,O=MyDomain_Server.checkpoint.com.s6t98x; description: Contracts; reason: Could not reach "https://productcoverage.checkpoint.com/ProductCoverageService". Check DNS and Proxy configuration on the gateway.; Severity: 2; status: Failed; version: 1.0; failure_impact: Contracts may be out-of-date; update_service: 1; ProductName: Security Gateway/Management; ProductFamily: Network;

[Expert@MyGW:0]#

[Expert@MyGW:0]# fw log -l -c drop

12Jun2018 12:33:39 5 N/A 1 drop MyGW < eth0 LogId: 0; ContextNum: <max_null>; OriginSicName: CN=MyGW,O=MyDomain_Server.checkpoint.com.s6t98x; inzone: Local; outzone: External; service_id: ftp; src: MyGW; dst: MyFTPServer; proto: tcp; UP_match_table: TABLE_START; ROW_START: 0; match_id: 2; layer_uuid: 4e26fc30-b345-4c96-b8d7-9db6aa7cdd89; layer_name: MyPolicy Network; rule_uid: 802020d9-5cdc-4c74-8e92-47e1b0eb72e5; rule_name: ; ROW_END: 0; UP_match_table: TABLE_END; UP_action_table: TABLE_START; ROW_START: 0; action: 0; ROW_END: 0; UP_action_table: TABLE_END; ProductName: VPN-1 & FireWall-1; svc: ftp; sport_svc: 64933; ProductFamily: Network;

[Expert@MyGW:0]#

[Expert@MyGW:0]# fw log -l -q -w -c drop

HeaderDateHour: 12Jun2018 12:33:39; ContentVersion: 5; HighLevelLogKey: <max_null>; LogUid: ; SequenceNum: 1; Flags: 428292; Action: drop; Origin: MyGW; IfDir: <; InterfaceName: eth0; Alert: ; LogId: 0; ContextNum: <max_null>; OriginSicName: CN=MyGW,O=MyDomain_Server.checkpoint.com.s6t98x; inzone: Local; outzone: External; service_id: ftp; src: MyGW; dst: MyFTPServer; proto: tcp; UP_match_table: TABLE_START; ROW_START: 0; match_id: 2; layer_uuid: 4e26fc30-b345-4c96-b8d7-9db6aa7cdd89; layer_name: MyPolicy Network; rule_uid: 802020d9-5cdc-4c74-8e92-47e1b0eb72e5; rule_name: ; ROW_END: 0; UP_match_table: TABLE_END; UP_action_table: TABLE_START; ROW_START: 0; action: 0; ROW_END: 0; UP_action_table: TABLE_END; ProductName: VPN-1 & FireWall-1; svc: ftp; sport_svc: 64933; ProductFamily: Network;

[Expert@MyGW:0]#

[Expert@MyGW:0]# fw log -l -x 0 -y 10

... ...

[Expert@MyGW:0]#