Cloud Firewall は、すべてのトラフィックを自動的に記録し、視覚的な Log Audit ページを提供します。このページでは、攻撃イベント、トラフィック詳細、および操作ログをクエリできます。これにより、攻撃ソースの追跡とトラフィック分析が簡素化され、迅速化されます。デフォルトでは、過去 7 日間の監査ログをクエリでき、リアルタイムのセキュリティ監視と効果的なインシデントレスポンスをサポートします。
Cloud Firewall は、デフォルトで監査ログを 7 日間保存します。ログをより長期間保持したり、等級保護要件を満たしたり、生ログデータをエクスポートしたりするには、ログ分析機能を有効にすることができます。詳細については、「ログ分析の概要」をご参照ください。
ログタイプ
Cloud Firewall は、イベントログ、トラフィックログ、操作ログの 3 種類のログを生成します。
イベントログは、Cloud Firewall が潜在的なセキュリティ脅威または異常な動作として識別したすべてのトラフィックを記録します。各ログエントリには、イベント時間、脅威タイプ、送信元 IP アドレス、宛先 IP アドレス、アプリケーションタイプ、重要度、ポリシーアクションなどの主要情報が含まれます。この情報は、セキュリティイベントの追跡と分析に役立ちます。
仮想パッチと基本保護によってブロックされたイベントについては、イベントログリストで 攻撃サンプル取得 をクリックして、過去 7 日間の攻撃サンプルを生成できます。攻撃サンプルには、攻撃イベントに関する詳細なデータが含まれています。生成された攻撃サンプルは 1 か月間保持されます。
トラフィックログは、Cloud Firewall を通過するすべての正常なネットワークトラフィックを記録します。各エントリには、送信元 IP アドレス、宛先 IP アドレス、ポート番号、プロトコル、およびトラフィック量が含まれます。トラフィックログを使用して、ネットワーク使用パターンを理解し、ネットワーク行動分析を実行します。
操作ログは、ルール構成の変更、システム設定の調整、またはその他の管理操作など、Cloud Firewall コンソールでのすべてのユーザー操作を記録します。操作ログは、ユーザーの行動を監査し、システム変更に対するアカウンタビリティを確保するのに役立ちます。
監査ログのクエリ
ここでは、トラフィックログのクエリを例に、Log Audit 機能について説明します。クエリフィールドはログタイプごとに異なります。利用可能な特定のフィールドについては、コンソールのページをご参照ください。
Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
トラフィックログ タブをクリックし、ログをクエリしたいファイアウォールタイプを選択します。
クエリ条件と時間範囲を設定し、検索 をクリックします。
トラフィックログの主要フィールド
次の表は、トラフィックの特性と動作を理解するのに役立つ、トラフィックログの主要なフィールドについて説明しています。
トラフィックログをクエリする際、検索バーの右側にある 設定一覧 をクリックして、トラフィックログリストに表示するフィールドを選択できます。必須フィールドに加えて、最大 8 つのオプションフィールドを選択できます。
フィールド | 説明 |
[ルール名/ルール ID] | トラフィックが一致したアクセス制御ポリシーまたは攻撃防御ルールの名前または ID。 このフィールドが空の場合、トラフィックはどのアクセス制御ポリシーまたは攻撃防御ルールにも一致しなかったことを示します。 |
ACL 事前一致ステータス | トラフィックが Cloud Firewall を通過する際、優先度に基づいてアクセス制御ポリシーと照合されます。特定のアクセス制御ポリシーとの照合時に Cloud Firewall がトラフィックのアプリケーションまたはドメインを識別できない場合、ACL 事前一致ステータス フィールドに対応する未識別ステータスが表示され、ACL プレマッチングポリシー フィールドにそのアクセス制御ポリシーの名前が表示されます。ACL 事前一致ステータス の有効な値は次のとおりです。
|
ACL プレマッチングポリシー | |
アプリケーションの識別ステータス | アクセス制御ポリシー照合中のアプリケーション識別ステータス。有効な値:
|