Fortinet FortiGateセキュリティゲートウェイのイベントメッセージのサンプル
このサンプル イベント メッセージは、JSA との統合が成功したことを確認する方法として使用します。
SyslogまたはSyslogリダイレクトプロトコルを使用した場合のFortinet FortiGateセキュリティゲートウェイのサンプルメッセージ
書式設定のため、メッセージ形式をテキスト エディタに貼り付け、キャリッジ リターンまたは改行文字を削除します。
サンプル 1: 次のサンプルは、Microsoft Exchange Server に影響を与えるリモート アクセスの脆弱性を使用しようとする試みを示しています。リモートからの攻撃者は、特別に作成されたvCalおよびiCalカレンダーデータを含む会議リクエストを電子メールで送信することで、この脆弱性を使用します。その結果、攻撃者は脆弱なシステムを制御できる可能性があります。
<185>date=2011-05-09 time=14:31:07 devname=exampleDeviceName device_id=EXAMPLEDEVID2 log_id=0987654321 type=ips subtype=signature pri=alert severity=high carrier_ep="N/A" profilegroup="N/A" profiletype="N/A" profile="Example_Profile" src=10.10.10.10 dst=10.20.20.20 src_int=exampleVlan2 dst_int=exampleVlan1 policyid=4 identidx=0 serial=123456 status=detected proto=6 service=smtp vd="exampleDomain" count=1 src_port=50000 dst_port=8080 attack_id=11897 sensor=exampleSensor ref=url.example.test user="N/A" group=Example_Group incident_serialno=1234567890 msg="email: MS.Exchange.Mail.Calender.Buffer.Overflow"
| JSAフィールド名 |
ハイライトされたペイロード フィールド名 |
|---|---|
| イベント ID |
attack_id |
| ソース IP |
Src |
| 送信元ポート |
src_port |
| 宛先 IP |
Dst |
| 宛先ポート |
dst_port |
| プロトコル |
プロト |
| ポリシー |
policyid |
| デバイスの時刻 |
日付 + 時間 |
サンプル 2: 次の例は、ルーティング情報が変更されたことを示しています。
date=2020-09-17 time=01:36:20 logid="0100022921" type="event"subtype="system" level="critical" vd="root" eventtime=1600331781108372788 tz="-0700" logdesc="Routing information changed" name="Google_Ping" interface="TEST-INF1" status="down" msg="Static route on interface TEST-INF1 may be removed by health-check Google_Ping. Route: (10.10.10.27->10.10.8.8 ping-down)"
| JSAフィールド名 |
ハイライトされたペイロード フィールド名 |
|---|---|
| イベント ID |
logdesc + レベル |
| デバイスの時刻 |
日付 + 時間 |
サンプル 3: 以下のサンプルは、ファイアウォールが許可されていることを示しています。
date=2020-09-10 time=05:01:35 logid="0000000013" type="traffic" subtype="forward" level="notice" vd="root" eventtime=1599739296076496743 tz="-0700" srcip=192.168.14.111 srcport=54923 srcintf="internal" srcintfrole="lan" dstip=192.168.14.112 dstport=80 dstintf="wan1" dstintfrole="wan" srccountry="Reserved" dstcountry="Test Country" sessionid=53159 proto=6 action="close" policyid=1 policytype="policy" poluuid="a9b81e06- c6a0-51e8-e434-a05c75d5ad74" policyname="Internet_Access" service="HTTP" trandisp="snat" transip=172.16.72.26 transport=54923 appid=17735 app="Facebook_Apps" appcat="Social.Media" apprisk="medium" applist="default" duration=187 sentbyte=2333 rcvdbyte=2585 sentpkt=42 rcvdpkt=42 vwlid=6 vwlservice="Facebook-Instagram" vwlquality="Seq_num(1 wan1), alive, sla(0x1), cfg_order(0), cost(10), selected" utmaction="allow" countapp=1 sentdelta=1092 rcvddelta=780 utmref=65515-3302
| JSAフィールド名 |
ハイライトされたペイロード フィールド名 |
|---|---|
| イベント ID |
utmaction |
| ソース IP |
srcip |
| 送信元ポート |
srcport |
| 宛先 IP |
dstip |
| 宛先ポート |
dstport |
| Natより前のソースIP |
srcip |
| NATソースポートの事前設定 |
srcport |
| NAT 後ソース IP |
transip |
| NAT後のソースポート |
トランスポート |
| プロトコル |
プロト |
| ポリシー |
policyid |
| 所要時間(秒) |
期間 |
| デバイスの時刻 |
日付 + 時間 |