[すべてのセキュリティ イベント] ページについて
このページを使用すると、ネットワーク環境の全体像を把握できます。ログデータを関連付けて分析すると、異常なイベント、攻撃、ウイルス、またはワームを表示できます。
このページは、管理者に高度なフィルタリングメカニズムを提供し、ログコレクタによって収集された実際のイベントを可視化します。時間範囲スライダーを使用すると、タイム スライダーを対象地域にドラッグすることで、異常なアクティビティのエリアに即座に焦点を合わせることができます。スライダーと [時間範囲] の下の [カスタム] ボタンは、各タブの上部に残ります。ユーザーは時間範囲を選択し、[概要ビュー] タブまたは [詳細ビュー] タブを使用して、データの表示方法を決定できます。
実行できるタスク
このページから、次のタスクを実行できます。
概要ビュー
ネットワーク内のすべてのイベントの概要を表示できます。ページの中央には、イベントの総数、検出されたウイルス、ダウンしたインターフェイスの総数、攻撃の数、CPUスパイク、システムの再起動などの重要な情報が表示されます。このデータは、選択した時間範囲に基づいて自動的に更新されます。ページの下部には、特定の時間に発生しているさまざまなイベントのスイムレーンビューがあります。イベントには、ファイアウォール、Web フィルタリング、VPN、コンテンツ フィルタリング、アンチスパム、アンチウィルス、および IPS が含まれます。各イベントは色分けされており、暗い色合いはより高いレベルのアクティビティを表します。各タブには、その特定の時間に発生したイベントの種類や数などの詳細な情報が表示されます。
表 1 に、「すべてのイベントの概要ビュー」ページのウィジェットを示します。
フィールド |
説明 |
---|---|
合計イベント数 |
ファイアウォール、Web フィルタリング、IPS、IPSec VPN、コンテンツ フィルタリング、アンチスパム、ウイルス対策イベントを含むすべてのイベントの合計数を表示します。 |
ウイルスインスタンス |
システムで実行されている仮想インスタンスの総数を表示します。 |
攻撃 |
ファイアウォールに対する攻撃の総数を表示します。 |
インターフェイスのダウン |
ダウンしているインターフェイスの総数を表示します。 |
CPU スパイク |
CPU 使用率の急上昇が発生した合計回数を表示します。 |
再起動 |
システムの再起動の合計回数を表示します。 |
セッション |
ファイアウォール経由で確立されたセッションの合計数を表示します。 |
詳細ビュー
[ 詳細ビュー ] をクリックすると、並べ替え可能な列を含む表形式でイベントの包括的な詳細が表示されます。[グループ化] オプションを使用してイベントを並べ替えることができます。たとえば、重大度に基づいてイベントを並べ替えることができます。このテーブルには、イベントの原因となったルール、イベントの重大度、イベント ID、トラフィック情報、イベントが検出された方法とタイミングなどの情報が含まれています。
Advanced Search
表形式の列の上にあるテキストフィールドを使用して、すべてのイベントの高度な検索を実行できます。これには、フィルター文字列の一部として論理演算子が含まれます。テキストフィールドに検索文字列を入力すると、入力に基づいて、フィルターコンテキストメニューのアイテムのリストが表示されます。.リストから値を選択し、有効な論理演算子を選択して高度な検索操作を実行できます。 Enter キーを押すと、下の表形式の列に検索結果が表示されます。
テキストフィールド内の検索文字列を削除するには、削除アイコン(Xアイコン)をクリックします。
イベント ログ フィルターの例を次の一覧に示します。
米国を起点または米国内に上陸する特定のイベント
送信元の国 = 米国 OR 送信先の国 = 米国 AND イベント名 = IDP_ATTACK_LOG_EVENT、IDP_ATTACK_LOG_EVENT_LS、IDP_APPDDOS_APP_ATTACK_EVENT_LS、IDP_APPDDOS_APP_STATE_EVENT、IDP_APPDDOS_APP_STATE_EVENT_LS、AV_VIRUS_DETECTED_MT、AV_VIRUS_DETECTED、ANTISPAM_SPAM_DETECTED_MT、ANTISPAM_SPAM_DETECTED_MT_LS、FWAUTH_FTP_USER_AUTH_FAIL、 FWAUTH_FTP_USER_AUTH_FAIL_LS、FWAUTH_HTTP_USER_AUTH_FAIL、FWAUTH_HTTP_USER_AUTH_FAIL_LS、FWAUTH_TELNET_USER_AUTH_FAIL、FWAUTH_TELNET_USER_AUTH_FAIL_LS、FWAUTH_WEBAUTH_FAIL,FWAUTH_WEBAUTH_FAIL_LS
ユーザーは、特定の国のIPアドレスから発信され、特定の国のIPに到達するすべてのRTフローセッションをフィルタリングしたい
イベント名 = RT_FLOW_SESSION_CREATE,RT_FLOW_SESSION_CLOSE AND 送信元IP = 177.1.1.1,220.194.0.150,14.1.1.2,196.194.56.4 AND 宛先IP = 255.255.255.255,10.207.99.75,10.207.99.72,223.165.27.13 AND 送信元国 = ブラジル、米国、中国、ロシア、アルジェリア AND 仕向国 = ドイツ、インド、米国
ポリシーのゾーンペア間のトラフィック – IDP2
送信元ゾーン = 信頼 AND 宛先ゾーン = 信頼できない、内部 AND ポリシー名 = IDP2
特定の送信元の国、送信先の国、送信元IPアドレス(特定の宛先IPアドレスの有無にかかわらず)からのコンテンツセキュリティログ。
イベント カテゴリ = スパム対策、ウイルス対策、コンテンツ フィルター、Web フィルター AND 送信元の国 = オーストラリア AND 宛先の国 = トルコ、米国、オーストラリア、送信元 IP = 1.0.0.0,1.1.1.3 または宛先 IP = 74.125.224.47,5.56.17.61
特定の送信元IPを持つイベント、またはホストDC-SRX1400-1またはvSRX仮想ファイアウォール-75からのHTP、FTP、HTTP、および不明なアプリケーションにヒットするイベント。
アプリケーション = tftp、ftp、http、不明 OR 送信元IP = 192.168.34.10,192.168.1.26 AND ホスト名 = dc-srx1400-1,vSRX 仮想ファイアウォール-75
表 2 に、[すべてのイベント] 詳細ビュー ページのフィールドを示します。
フィールド |
説明 |
---|---|
時間 |
ログを受信した時刻を表示します。 |
イベント名 |
ログのイベント名を表示します。 |
サイト |
テナント サイトの名前を表示します。 |
原産国 |
送信元の国名を表示します。 |
送信元 IP |
イベントが発生した送信元 IP アドレスを表示します。 |
仕向国 |
イベントが発生した宛先の国名を表示します。 |
宛先 IP |
イベントの宛先 IP アドレスを表示します。 |
送信元ポート |
イベントの送信元ポートを表示します。 |
宛先ポート |
イベントの宛先ポートを表示します。 |
説明 |
ログの説明を表示します。 |
攻撃名 |
ログの攻撃名 (トロイの木馬、ワーム、ウイルスなど) を表示します。 |
脅威の重大度 |
脅威の重大度レベルを表示します。 |
ポリシー名 |
ログ内のポリシー名を表示します。 |
コンテンツ セキュリティ カテゴリまたはウイルス名 |
ログの [コンテンツ セキュリティ] カテゴリを表示します。 |
Url |
イベントをトリガーしたアクセス済み URL 名を表示します。 |
イベント カテゴリ |
ログのイベント カテゴリを表示します。 |
ユーザー名 |
ログのユーザー名を表示します。 |
アクション |
イベントに対して実行されたアクション (警告、許可、ブロック) を表示します。 |
ログソース |
ログ・ソースの IP アドレスを表示します。 |
アプリケーション |
イベントまたはログの生成元のアプリケーション名を表示する |
ホスト |
ログでホスト名を表示します。 |
サービス名 |
アプリケーション サービスの名前。たとえば、FTP、HTTP、SSH などです。 |
ネストされたアプリケーション |
入れ子になったアプリケーションをログで表示します。 |
ソースゾーン |
ログのソースゾーンを表示します。 |
宛先ゾーン |
ログの宛先ゾーンを表示します。 |
プロトコル ID |
ログ内のプロトコル ID を表示します。 |
役割 |
ログに関連付けられているロール名を表示します。 |
理由 |
ログ生成の理由を表示します。たとえば、接続の破棄には、"認証に失敗しました" などの理由が関連付けられている場合があります。 |
NAT 送信元ポート |
翻訳されたソースポートを表示します。 |
NAT 宛先ポート |
変換された宛先ポートを表示します。 |
NAT 送信元ルール名 |
NAT 送信元ルール名を表示します。 |
NAT 宛先ルール名 |
NAT 宛先ルール名を表示します。 |
NAT 送信元 IP |
変換された(またはナットされた)送信元 IP アドレスを表示します。IPv4 または IPv6 アドレスを含めることができます。 |
NAT 宛先 IP |
変換された(nattedとも呼ばれる)宛先IPアドレスを表示します。 |
トラフィック セッション ID |
ログのトラフィック セッション ID を表示します。 |
パス名 |
ログのパス名を表示します。 |
論理システム名 |
論理システムの名前を表示します。 |
ルール名 |
ルールの名前を表示します。 |
プロファイル名 |
イベントをトリガーした [すべてのイベント] プロファイルの名前を表示します。 |