詳細なトラフィック分析のための NDR ログフィールドの理解 - Cloud Firewall

Network Detection and Response (NDR) は、リアルタイムでログを自動的に収集・生成します。ログ分析およびトラフィック監査のため、ログ検索を迅速化するログフィールドを指定できます。本トピックでは、NDR の各ログフィールドについて説明します。

サポート対象プロトコル

Agentic NDR は、55 種類のプロトコルを識別します。HTTP、DNS、ICMP、TLS、MySQL、PostgreSQL、FTP、WebSocket、SSH、RDP、MQTT、Syslog、SIP、Kerberos、SOCKS の各プロトコルについては、共通フィールドに加えて、プロトコル固有のフィールドを抽出・表示する深層解析を提供します。その他のすべてのプロトコルについては、現時点ではプロトコル固有フィールドの抽出は未対応のため、識別のみが可能です。

サポート対象プロトコル：

FTP_CONTROL, DNS, HTTP, PostgreSQL, MySQL, SSL, ICMP, WebSocket, POP3, SMTP, IMAP, NTP, NetBIOS, NFS, SSDP, SNMP, SMB, Syslog, RTSP, Telnet, LDAP, RTP, RDP, VNC, SSH, TFTP, SIP, Kerberos, MsSQL-TDS, PPTP, Citrix, OpenVPN, RTCP, RSYNC, Oracle, SOCKS, RTMP, Redis, QUIC, MQTT, MongoDB, Memcache, RPC, RPCBind, SVN, Cassandra, Zookeeper, IPsec, Nagios, Oracle_docker, Impala, Zabbix, Kafka, Thrift, SSE

プロトコルログフィールドカテゴリ

プロトコルカテゴリ	フィールドカテゴリ	フィールド名
共通フィールド	識別情報	ndr_log_type
	セッション情報	start_time, end_time, src_ip, src_port, dst_ip, dst_port, net_connect_dir, l3_protocol, l4_protocol, l7_protocol, tcp_flags, new_conn, app_id_extend, app_name_extend, category_id, category_name
	地理情報	country_id, city_id
	生ペイロードデータ	req_trans_data, resp_trans_data, req_trans_offsets, resp_trans_offsets, req_trans_lens, resp_trans_lens
ICMP プロトコル	メッセージタイプフィールド	type, code, type_str
	マッチングフィールド	id, seq
	ICMP カプセル化パケット	inner_src_ip, inner_src_port, inner_dest_ip, inner_dest_port, inner_l4_proto
HTTP プロトコル	概要情報	host, request_uri, request_method, http_referer, http_user_agent, querystring, request_path, http_x_forwarded_for, status, response_set_cookie, content_type, response_content_type, proxy_connection, proxy_authorization, location
HTTP プロトコル	ペイロード情報	request_header, request_body, response_header, response_info
TLS プロトコル	TLS 基本情報	version, sni, state
	TLS 証明書情報	cert_subject, cert_issuer, cert_serial, cert_fingerprint
	TLS フィンガープリント	ja3_str_client, ja3_str_server, ja3_hash_client, ja3_hash_server
	TLS 暗号スイート	cipher_suite
DNS プロトコル	基本情報	type, id, rcode
	質問セクション	query_name, query_type
	応答セクション	answers, additional, authority
データベースプロトコル	データベース基本情報	db_type, type, user, db
	ハンドシェイク／ログインフェーズ	protocol_version, salt, server_version, server_status, auth_response
	クライアントコマンド	command_type, sql
	サーバー応答	fail, result, error_code, error_message, return_rows, return_rows_data, affect_rows, last_insert_id
FTP プロトコル	基本情報	user, password, cwd
FTP プロトコル	コマンドと応答	request_command, request_arg, response_code, response_arg
WebSocket プロトコル	フレーム情報	opcode, masking_key
WebSocket プロトコル	ペイロード情報	payload_len, payload
SSH プロトコル	バージョン	client, server, version
	キー関連パラメーター	cipher_alg, compression_alg, host_key, host_key_alg, kex_alg, mac_alg
	認証	auth_attempts, auth_success
RDP プロトコル	接続詳細	cert_count, cert_type, encryption_level, encryption_method, result
RDP プロトコル	クライアント詳細	client_build, client_channels, client_dig_product_id, client_name, cookie
MQTT プロトコル	サブスクリプションメッセージ	ack, action, topics
	接続詳細	client_id, connect_status, proto_name, proto_version, will_payload, will_topic
	パブリッシュメッセージ	from_client, payload, payload_len, qos, retain, status, topic
Syslog プロトコル	ログ詳細	facility, message, severity
SIP プロトコル	メッセージ識別子	call_id, method, seq, uri
	応答	content_type, response_body_len, response_from, response_to, status_code, status_msg, warning
	リクエスト	reply_to, request_body_len, request_from, request_to, user_agent
Kerberos プロトコル	基本情報	client, request_type, service
	リクエストオプション	forwardable, renewable
	結果	cipher, error_code, error_msg, from, success, till
SOCKS プロトコル	基本情報	status, user, version
	リクエストオプション	bound_host, bound_name
	結果	bound_p, request.host, request.name, request_p

共通フィールドおよび追加プロトコル別ログフィールド

共通フィールド

パラメーター	説明	例の値
ndr_log_type	Agentic NDR プロトコルログの種類です。この値はプロトコルによって異なります。有効な値のリストについては、「サポートされるプロトコルタイプ」をご参照ください。	HTTP
start_time	セッションの開始時刻（秒単位の Unix タイムスタンプ）です。	1750157428
end_time	セッションの終了時刻（秒単位の Unix タイムスタンプ）です。	1750157428
src_ip	セッションの送信元 IP アドレスです。	8.153.XX.XXX
src_port	セッションの送信元ポートです。	33321
dst_ip	セッションの宛先 IP アドレスです。	203.119.XXX.XXX
dst_port	セッションの宛先ポートです。	80
net_connect_dir	ご利用の資産に対するセッショントラフィックの方向です。 `in`：受信（インバウンド）。インターネットまたは内部ネットワーク内の他の ECS インスタンスから、ご利用の資産へ向かうトラフィックです。 `out`：送信（アウトバウンド）。ご利用の資産から、インターネット上のリソースや内部ネットワーク内の他の ECS インスタンスへ向かうトラフィックです。	in
l3_protocol	レイヤー 3 プロトコルのタイプです。	ipv4, ipv6, other
l4_protocol	レイヤー 4 プロトコルのタイプです。	tcp, udp, icmp, other
l7_protocol	レイヤー 7 プロトコルのタイプです。	HTTP
tcp_flags	TCP フラグ（10 進数で表記）。この値は、このトラフィックフロー内のすべてのパケットの TCP フラグに対してビット単位の OR 演算を行った結果です。	26
new_conn	現在のフローが新規接続であるかどうかを示します。 `0`：現在のフローは新規接続ではありません。 `1`：現在のフローは新規接続です。	0
app_id_extend	ネットワークアプリケーションを一意に識別するアプリケーション ID です。	72
app_name_extend	アプリケーション ID に対応するアプリケーション名です。	HTTP_POST
category_id	アプリケーションのシナリオに基づく分類を行うアプリケーションカテゴリ ID です。	5
category_name	アプリケーションカテゴリの名前です。	WEB
country_id	ISO 3166-1 標準による 2 文字の国・地域コードです。注：空の値は、認識できない国・地域を示します。 `net_connect_dir` が `in` の場合、このフィールドはトラフィックの送信元国・地域を指定します。 `net_connect_dir` が `out` の場合、このフィールドはトラフィックの送信先国・地域を指定します。	CN
city_id	都市を一意に識別する ID です。中国の県およびそれ以上の行政区分の 6 桁の行政区分コードに基づきます。これらのコードの公式リファレンスを使用して、対応する都市を照会できます。	110000
req_trans_data	生のリクエストデータです。元のペイロードが長すぎる場合、データは切り捨てられることがあります。	L7PROTODATAL7PROTODATAL7PROTODATAL7PROTODATA
resp_trans_data	生のレスポンスデータです。元のペイロードが長すぎる場合、データは切り捨てられることがあります。	L7PROTODATAL7PROTODATAL7PROTODATA
req_trans_offsets	`req_trans_data` 内の各リクエストデータセグメントのバイトオフセットです。	0,700,2472,3177,3935
resp_trans_offsets	`resp_trans_data` 内の各レスポンスデータセグメントのバイトオフセットです。	0,329,1003
req_trans_lens	切り捨て前の各リクエストデータセグメントの長さです。	700,1772,705,758,374
resp_trans_lens	切り捨て前の各レスポンスデータセグメントの長さです。	329,674,1002

説明

HTTP、SSL、SSH、RDP、MQTT、Syslog、SIP のログには、req_trans_data、resp_trans_data、req_trans_offsets、resp_trans_offsets、req_trans_lens、resp_trans_lens の各フィールドは含まれません。

ICMP プロトコル

パラメーター	説明	例
type	ICMP メッセージのタイプコードです。	8
code	メッセージタイプをさらに詳しく説明するサブタイプコードです。	0
type_str	ICMP メッセージタイプを説明する、人間が読める英語の文字列です。	Echo (ping) reply
id	リクエストと応答を一致させるために使用される識別子（例：PING セッション ID）です。送信者がこの識別子を生成し、受信者はこれを変更せずに返信する必要があります。	24367
seq	セッション内（例：連続する PING パケット）でのメッセージ順序を指定するために使用されるシーケンス番号です。	256
inner_src_ip	ICMP ペイロード内にカプセル化されたパケットがある場合の、その内部パケットの送信元 IP アドレスです。	8.8.X.X
inner_src_port	ICMP ペイロード内にカプセル化されたパケット（例：元の TCP または UDP パケット）がある場合の、その内部パケットの送信元ポートです。	22546
inner_dest_ip	ICMP ペイロード内にカプセル化されたパケットがある場合の、その内部パケットの宛先 IP アドレスです。	1.1.X.X
inner_dest_port	ICMP ペイロード内にカプセル化されたパケット（例：元の TCP または UDP パケット）がある場合の、その内部パケットの宛先ポートです。	50988
inner_l4_proto	ICMP ペイロード内にカプセル化されたパケットがある場合の、その内部パケットのトランスポート層プロトコルです。プロトコル番号（例：`6` は TCP、`17` は UDP）で識別されます。	17

HTTP プロトコル

パラメーター	説明	例の値
host	リクエストの `Host` ヘッダーから取得したターゲットホスト名およびポート番号です。	aliyun.com:8080
request_uri	パスおよびクエリパラメーター（例：`/api/data?id=123`）を含む完全なリクエスト URI です。ルーティング、リソースの特定、および完全なリクエストパスの監査に使用されます。 `request_path` との違い： `request_uri` にはクエリパラメーターが含まれますが、`request_path` にはパスのみが含まれます。	/api?key=value
request_method	GET、POST、PUT、DELETE などの HTTP リクエストメソッドです。	POST
http_referer	`Referer` ヘッダーから取得した参照元ページの完全な URL です。	https://aliyun.com/workplace
http_user_agent	`User-Agent` リクエストヘッダーから取得したクライアント識別文字列です。	Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.6261.95 Safari/537.36
querystring	URL の `?` 以降のクエリパラメーターです。	key=value
request_path	クエリパラメーターを除いた URI のパス部分です。	/api
http_x_forwarded_for	リバースプロキシチェーンにおける元のクライアント IP アドレス（`X-Forwarded-For` ヘッダー）です。形式：カンマ区切りの IP アドレスリスト。	11.11.XX.XX, 22.22.XX.XX
status	3 桁の HTTP 応答ステータスコードです。	200
response_set_cookie	サーバーが `Set-Cookie` ヘッダーで設定するセッション識別子です。	user=sincerexia; state1=180; state2=135; Secure
content_type	リクエストボディのメディアタイプです。	application/x-www-form-urlencoded; charset=UTF-8
response_content_type	レスポンスボディのメディアタイプです。	text/plain;charset=UTF-8
proxy_connection	プロキシサーバー、クライアント、オリジンサーバー間の永続接続の再利用を制御します。	keep-alive
proxy_authorization	プロキシサーバーに対する認証資格情報です。	Basic Yxxxxxxxxxxxxxxxxxx==
location	リダイレクト先の URL です。	http://relocation.com
request_header	HTTP リクエストヘッダーの完全な生コンテンツです。リクエストライン（メソッド、URI、プロトコルバージョン）およびすべてのヘッカーのキーと値のペアを含みます。	`POST /api?key=value HTTP/1.1 X-Real-IP: 8.8.8.8 X-Forwarded-For: 11.11.XX.XX, 22.22.XX.XX Host: aliyun.com:3080 Connection: close Content-Length: 123`
request_body	POST、PUT、PATCH などのメソッドで送信される HTTP リクエストボディの生データです。	&user=sincerexia
response_header	HTTP レスポンスヘッダーの完全な生コンテンツです。	`HTTP/1.1 200 OK Cache-Control: no-cache Expires: Thu, 01 Jan 1970 00:00:00 GMT Last-Modified: Wed, 18 Jun 2025 08:25:56 GMT Content-Type: text/plain;charset=UTF-8 Transfer-Encoding: chunked Date: Wed, 18 Jun 2025 08:25:56 GMT Connection: close`
response_info	HTTP レスポンスボディの生コンテンツです。	`{ "result": "OK" }`

TLS プロトコル

パラメーター	説明	例の値
version	暗号化通信に使用される SSL/TLS プロトコルのバージョンです。	TLS 1.3
sni	TLS ハンドシェイク中にクライアントが送信するターゲットサーバーのドメイン名です。	aliyun.com
state	TLS ハンドシェイクの状態です。有効な値は以下のとおりです。 `IN_PROGRESS`：TLS ハンドシェイクが進行中です。 `TLS_STATE_CERT_READY`：証明書の送信が完了しました。 `HANDSHAKE_DONE`：TLS ハンドシェイクが完了しました。	HANDSHAKE_DONE
cert_subject	X.500 形式で表記された証明書所有者（サブジェクト）に関する情報です。ドメイン名、組織、地理的位置などが含まれます。	C=CN, ST=ZheJiang, L=HangZhou, O=Alibaba (China) Technology Co., Ltd., CN=aliyuncs.com
cert_issuer	証明書を発行した認証局（CA）です。	C=BE, O=GlobalSign nv-sa, CN=GlobalSign GCC R3 OV TLS CA 2024
cert_serial	認証局（CA）が証明書に割り当てた一意のシリアル番号です。	45:33:16:59:11:9B:XX:XX:XX:XX:XX:XX
cert_fingerprint	証明書の内容を一意に識別するハッシュ値です。	14:2e:56:4b:8f:b1:c2:0f:8c:8b:ce:36:XX:XX:XX:XX:XX:XX:XX:XX
ja3_str_client	クライアントの TLS ハンドシェイクから得られるフィンガープリント文字列で、クライアントの動作を識別します。	771,4866-4867-4865-49196-49200-159-52393-52392-52394-49195-49199-158-49188-49192-107-49187-49191-103-49162-49172-57-49161-49171-51-157-156-61-60-53-47-255,0-11-10-35-22-23-13-43-45-51,29-23-30-25-24,0-1-2
ja3_str_server	サーバーの TLS ハンドシェイクから得られるフィンガープリント文字列で、サーバーの動作を識別します。	771,4866,43-51
ja3_hash_client	クライアントの JA3 文字列の 32 文字の 16 進数 MD5 ハッシュです。	40adfd923eb82b89d8836ba37a19bca1
ja3_hash_server	サーバーの JA3 文字列の 32 文字の 16 進数 MD5 ハッシュです。	15af977ce25de452b96affa2addb1036
cipher_suite	鍵交換、認証、対称暗号化、メッセージ認証コード（MAC）の各アルゴリズムを組み合わせたものです。	TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

DNS プロトコル

パラメーター	説明	例の値
type	DNS メッセージタイプを指定します。クエリまたは応答のいずれかです。有効な値は以下のとおりです。 `query`：ログエントリが DNS クエリです。 `response`：ログエントリが DNS 応答です。	query
id	トランザクション ID は、リクエストと応答を照合するために使用される 16 ビットの一意の識別子です。	40125
rcode	DNS リクエストの処理状況を示します。	NOCODE
query_name	クライアントが解決を要求した完全修飾ドメイン名（FQDN）です。	oss-cn-hangzhou.aliyuncs.com
query_type	要求されたリソースレコードタイプ（RR Type）で、返すデータの種類を決定します。	A
answers	クエリに直接応答するリソースレコードの JSON 配列です。	`[ { "name": "oss-cn-hangzhou.aliyuncs.com", "type": "A", "data": "118.31.XX.XX", "ttl": 131 } ]`
additional	クエリに関連する追加情報を含む JSON 配列です。	[ ]
authority	ドメインの権限を持つ DNS サーバー（NS レコードなど）に関する情報を提供する JSON 配列です。	`[ { "name": "", "type": "SOA", "data": "ns1.alidns.com", "ttl": 600 } ]`

データベースプロトコル

説明

データベースプロトコル（例：MySQL、PostgreSQL）では、同じログフィールドが使用されます。ただし、すべてのプロトコルがすべてのフィールドを抽出できるわけではなく、一部のプロトコルでは結果セットの抽出ができない場合があります。

パラメーター	説明	例
db_type	データベースエンジンのタイプです。 `MySQL`：MySQL データベースです。 `PostgreSQL`：PostgreSQL データベースです。	MySQL
type	現在のログタイプです。有効な値は以下のとおりです。 `Server Greeting`：サーバーハンドシェイクログです。 `Login Request`：クライアントログイン要求ログです。 `Server Greeting & Login Request`：サーバーハンドシェイクおよびクライアントログイン要求の両方を含むログです。 `Request`：汎用のリクエストログです。 `Unknown`：その他のログタイプです。	Server Greeting & Login Request
user	操作を開始したユーザー名です。	root
db	ターゲットデータベース名（接続時に指定されたデフォルトデータベース）です。	test_db
protocol_version	データベースプロトコルのバージョン番号です。	10
salt	認証フェーズ中にサーバーが生成するランダムな salt 値です。	x!2k7Gg^9TqL
server_version	データベースサーバーのバージョン文字列です。	5.7.40-log
server_status	サーバーのステータスを示すフラグです。	2
auth_response	クライアントから送信された暗号化された認証応答です。	5f28eeab88bfc739938db314591ff3f9501e8cd5
command_type	SQL コマンドのタイプです。	Query
sql	SQL ステートメントの生テキストです。	`SELECT * FROM users;`
fail	操作が失敗したかどうかを示します。有効な値は以下のとおりです。 `0`：成功です。 `1`：失敗です。 `-1`：不明です。	0
result	操作結果の要約です。	SUCCESS
error_code	データベース固有のエラーコードです。	0
error_message	エラーの内容を人間が読める形で説明した文字列です。	You have an error in your SQL syntax
return_rows	クエリによって返された行数です。	1
return_rows_data	結果セットの内容で、カンマ区切り値（CSV）形式でフォーマットされています。	admin,123456
affect_rows	Data Manipulation Language（DML）操作によって影響を受けた行数です。	3
last_insert_id	自動インクリメント主キーに対して最も最近挿入された値です。	42

FTP プロトコル

パラメーター	説明	例の値
user	FTP 認証に使用されるユーザー名です。このフィールドは、セッションを開始したクライアントを識別します。	user
password	クライアントが認証中に送信するプレーンテキストパスワードです。	password
cwd	クライアントの現在の作業ディレクトリへのパスです。`CWD`（Change Working Directory）コマンドにより、このフィールドは動的に更新されます。	/test
request_command	RFC 959 で定義されたクライアントが送信する FTP コマンドです。要求された操作を指定します。例： `USER`/`PASS`：認証 `LIST`/`NLST`：ディレクトリ一覧表示 `RETR`：ファイルのダウンロード `STOR`：ファイルのアップロード `DELE`：ファイルの削除 `PORT`/`PASV`：データ接続モード	USER
request_arg	クライアントの FTP コマンドに対する引数です。`request_command` とともに、完全な操作を指定します。	username
response_code	RFC 959 で定義された、クライアントリクエストに対するサーバーからの 3 桁のステータスコードです。先頭の数字は応答カテゴリを識別します。 `1xx`：暫定応答（例：`150 File status okay`） `2xx`：成功（例：`226 Transfer complete`） `3xx`：中間応答（さらにアクションが必要）（例：`331 Password required`） `4xx`：一時的なエラー（例：`425 Can't open data connection`） `5xx`：恒久的なエラー（例：`530 Not logged in`）	331
response_arg	サーバーのステータスコードに付随する説明テキストです。	Anonymous access granted, restrictions apply

WebSocket プロトコル

パラメーター	説明	例の値
opcode	WebSocket フレームヘッダーのビット 4～7 に格納される 4 ビットの符号なし整数です。この値はフレームの種別を識別し、ペイロードデータの解釈方法を決定します。	1
masking_key	ペイロードデータをバイト単位でマスキングするために使用される 4 バイト（32 ビット）のランダム値です。通常、クライアントからサーバーへのフレームに含まれます。このフィールドには、マスキングキーの文字列表現が格納されます。	pb37e1b69
payload_len	ペイロードデータの長さ（バイト単位）です。	15
payload	フレームに格納される実際のアプリケーション層のデータです。`masking_key` が存在する場合、このフィールドにはマスク解除後のデータが格納されます。	`{ "request": true }`

SSH プロトコル

パラメーター	説明	例の値
client	SSH 接続を開始するクライアントソフトウェアの名前およびバージョン番号です。この情報は、互換性分析、脆弱性評価、行動分析、セキュリティポリシー管理のためのクライアント識別に使用されます。	OpenSSH_8.4p1
server	SSH 接続を受信するサーバーソフトウェアの名前およびバージョン番号です。この情報は、サーバー識別、脆弱性管理、セキュリティパッチの追跡に役立ちます。	OpenSSH_8.4p1 Ubuntu-4ubuntu0.3
version	接続開始時にネゴシエートされる SSH プロトコルのバージョン番号（1、2、または未設定）です。	2
cipher_alg	SSH セッション中にデータを暗号化して機密性を確保する対称暗号化アルゴリズムです。一般的なアルゴリズムには AES-CTR や ChaCha20 があります。AES-256 のような強力なアルゴリズムを選択することで、盗聴攻撃を防止できます。	AES-128-GCM
compression_alg	SSH セッション中にネットワーク帯域幅の使用量を削減するためにデータを圧縮するアルゴリズムです。値は `none`（圧縮なし）または `zlib` などの特定のアルゴリズムになります。圧縮を有効にするとパフォーマンスに影響を与える可能性があるため、効率性とセキュリティのバランスを取る必要があります。	none
host_key	サーバーの公開鍵の指紋で、その ID を検証し、中間者攻撃を防止するために使用されます。この公開鍵のダイジェストにより、ユーザーは意図したサーバーに接続していることを確認できます。	cc:aa:aa:b7:********:cc:50:11:2d:71:f0:ee
host_key_alg	サーバーのホスト鍵の公開鍵アルゴリズム（RSA や ECDSA など）です。アルゴリズムの強度は、認証のセキュリティに直接影響します。RSA-SHA2 のようなより強力なアルゴリズムは、偽造攻撃を防止するのに役立ちます。	ECDSA-SHA2-NISTP256
kex_alg	接続初期化時にセッション鍵を安全にネゴシエートし、前方秘匿性を提供するために使用される鍵交換アルゴリズムです。一般的なアルゴリズムには Curve25519 や Diffie-Hellman があります。	Curve25519-SHA256
mac_alg	データ整合性および真正性を保証し、改ざんを防止するメッセージ認証コード（MAC）アルゴリズムです。一般的なアルゴリズムには HMAC-SHA2 ファミリーがあります。	HMAC-SHA2-256-ETM
auth_attempts	SSH セッション中の認証試行回数です。ユーザー名、パスワード、または公開鍵を使用した試行が含まれます。値が 1 より大きい場合、複数の失敗した試行や、サーバーが二要素認証を要求している可能性があります。このフィールドは、ブルートフォース攻撃の監視およびセキュリティイベントの監査に使用します。	3
auth_success	SSH 認証が成功（`true`）したか、失敗（`false`）したかを示します。この情報は、不正アクセスの検出、監査ログの記録、セキュリティアラートのトリガーに役立ちます。アカウント乗っ取りを防止するための主要なメトリックです。	false

RDP プロトコル

パラメーター	説明	例の値
cert_count	RDP セッションがサーバー認証および安全な通信のために使用するデジタル証明書の数です。	2
cert_type	証明書のタイプ（例：自己署名証明書または認証局（CA）発行証明書）で、認証のセキュリティレベルを決定します。	RSA
encryption_level	RDP 接続の暗号化強度で、データの機密性および整合性の保護レベルを決定します。	Client compatible
encryption_method	RDP 接続の暗号化方法です。	56bit
result	RDP 接続試行の結果で、セッションが確立されたか、あるいは失敗した理由を示します。	Success
client_build	RDP クライアントのビルドバージョンで、特定のソフトウェアリリースを識別します。	RDP 5.1
client_channels	RDP クライアントがサポートするチャネルのリストです。これらのチャネルは、クリップボード共有やプリンター転送などの機能を可能にします。	rdpdr, cliprdr, rdpsnd
client_dig_product_id	クライアント製品のユニークなデジタル識別子で、ソフトウェアの起源を追跡するために使用されます。	76487-OEM-**-00107
client_name	RDP 接続を開始するクライアントのコンピューター名またはホスト識別子です。	UserPC
cookie	RDP 接続におけるセッション管理および状態永続化に使用される Cookie で、セキュリティコンテキストを提供し、セッションの継続性を保証します。	session_token

MQTT プロトコル

パラメーター	説明	例
ack	サーバーがサブスクリプション要求を承諾したかどうかを示します。サーバーは要求を承諾した場合にのみ、確認応答を送信します。	true
action	SUBSCRIBE または UNSUBSCRIBE などのサブスクリプション操作のタイプです。	SUBSCRIBE
topics	クライアントがサブスクライブするトピックのリストで、メッセージ受信の範囲を定義します。	sensor/temperature
client_id	セッション管理および認証に使用されるクライアントの一意の識別子です。	client123
connect_status	クライアントとサーバー間の接続ステータスです。	Connection Accepted
proto_name	通常は MQTT（Message Queuing Telemetry Transport）であるプロトコルの名前です。	MQTT
proto_version	互換性を確保するための MQTT プロトコルのバージョン（例：3.1.1 や 5.0）です。	3.1.1
will_payload	クライアントが予期せず切断された場合に、サーバーが自動的に公開する will メッセージのペイロードです。	offline
will_topic	サーバーが will メッセージを公開するトピックです。	status/offline
from_client	メッセージがクライアントから（サーバーではなく）発信されたかどうかを示します。	TRUE
payload	テキストやバイナリなど、任意のデータ形式で構成されるメッセージの内容です。	Hello World
payload_len	メッセージペイロードの長さ（バイト単位）で、データサイズの監視に使用されます。	11
qos	サービス品質（Quality of Service）です。	at most once
retain	サーバーがメッセージを保持するかどうかを示します。これにより、新規サブスクライバーが即座にメッセージを受信できます。	false
status	メッセージの公開ステータスです。	ok
topic	メッセージが公開されるトピックで、ルーティングおよびフィルタリングに使用されます。	sensor/data

Syslog プロトコル

パラメーター	説明	例の値
facility	カーネル、ユーザープログラム、メールシステムなど、ログを生成したコンポーネントのタイプを指定します。この分類は、ログのフィルタリングおよび分析に役立ちます。	USER
message	イベント、エラー、または操作に関する詳細を含むログメッセージの内容です。このデータは、システム動作の診断および監視に使用されます。	System rebooted unexpectedly
severity	緊急（最も重大）からデバッグ（最も軽微）までのログメッセージの重大度レベルを指定します。「emergency」「alert」「critical」「error」「warning」「notice」「info」「debug」の各レベルは、重要なイベントを優先順位付けするのに役立ちます。	INFO

SIP プロトコル

パラメーター	説明	例
call_id	Call-ID ヘッダーの値で、通話セッションを一意に識別します。同一セッション内のすべてのリクエストおよび応答メッセージを関連付けます。	101365e0-7e65-**-**-00163e10aabd
method	SIP リクエストのメソッドで、操作タイプを定義します。例：INVITE（セッション確立）、ACK（確認応答）、BYE（セッション終了）、CANCEL（リクエストキャンセル）などです。	INVITE
seq	SIP メッセージの CSeq フィールドで、コマンドシーケンス番号およびメソッドを含みます。リクエストと応答を一致させ、メッセージの順序および整合性を保証します。	12345 INVITE
uri	SIP リクエストラインの統一資源識別子（URI）で、リクエストのターゲットを指定します。	sip:bob@example.com
content_type	レスポンスメッセージボディのメディアタイプで、メッセージコンテンツのフォーマットを説明します。例：Session Description Protocol（SDP）の場合は application/sdp です。	application/sdp
response_body_len	レスポンスメッセージボディの長さ（バイト単位）です。この値はデータサイズを示し、ネットワーク伝送の問題を診断するのに役立ちます。	256
response_from	レスポンスメッセージの送信元アドレスで、通常は SIP From ヘッダーに対応します。メッセージの送信元を識別します。	"66666" <sip:66666@example.com>
response_to	レスポンスメッセージの送信先アドレスで、通常は SIP To ヘッダーに対応します。メッセージの受信者を識別し、タグパラメーターを含む場合があります。	<sip:777777@example.com>;tag=aaaaaaaaaa
status_code	SIP 応答ステータスコードで、リクエストの結果を示します。例：200（OK）、404（Not Found）、500（Server Error）などです。	180
status_msg	OK や Not Found などのステータスコードの、人間が読めるテキストによる説明です。	Ringing
warning	セッションのタイムアウトや互換性の問題など、潜在的な問題または非重大なエラーを示す警告テキストです。	399 example.com Session expired
reply_to	応答メッセージをリダイレクトするためのアドレスで、通常は SIP Reply-To ヘッダーに対応します。	sip:carol@example.com
request_body_len	リクエストメッセージボディの長さ（バイト単位）です。この値はデータサイズを示し、帯域幅使用量および伝送効率の監視に役立ちます。	128
request_from	リクエストメッセージの送信元アドレスで、通常は SIP From ヘッダーに対応します。メッセージの送信元を識別します。	"66666" <sip:66666@example.com>
request_to	リクエストメッセージの送信先アドレスで、通常は SIP To ヘッダーに対応します。メッセージの受信者を識別します。	<sip:777777@example.com>;tag=aaaaaaaaaa
user_agent	リクエストを送信したクライアントソフトウェアまたはデバイスを識別し、ユーザーエージェントの識別および互換性チェックを可能にします。	Zoiper/2.0

Kerberos プロトコル

パラメーター	説明	例
request_type	Kerberos メッセージタイプ（Authentication Service（「AS」）または Ticket Granting Service（「TGS」））を識別します。	AS
client	Kerberos リクエストを開始するユーザーまたはサービスのプリンシパル名です。通常は `username@REALM` または `service/hostname@REALM` の形式で表記されます。これは認証のためのコア識別子であり、リクエストの発信元を指定します。	user2/EXAMPLE.COM
service	ターゲットサービスのプリンシパル名です。TGS-REQ メッセージの場合、クライアントはこのサービスのサービスチケットを要求します。AP-REQ メッセージの場合、クライアントはこのサービスにサービスチケットを提示して認証を行います。	krbtgt/EXAMPLE.COM
forwardable	Ticket Granting Ticket（TGT）に `FORWARDABLE` フラグが設定されているかどうかを示します。	true
renewable	チケットに `RENEWABLE` フラグが設定されているかどうかを示します。	true
success	Kerberos リクエストが成功したかどうかを示します。	true
error_code	リクエストが失敗した場合のプロトコル定義エラーコードです。	24
error_msg	リクエストが失敗した場合に提供される `error_code` の人間が読める説明文です。	PREAUTH_FAILED
from	チケットの有効期間の開始時刻を示します。	0
till	チケットの有効期限です。	1763692488
cipher	Kerberos チケットまたはプロトコルメッセージに使用される暗号化アルゴリズムで、`aes256-cts-hmac-sha1-96`、`arcfour-hmac-md5`、`des3-cbc-sha1-kd` などの文字列識別子で指定されます。このアルゴリズムは、チケットまたはセッションキーのセキュリティ強度を決定します。	aes256-cts-hmac-sha1-96

SOCKS プロトコル

パラメーター	説明	例の値
version	SOCKS プロトコルのバージョン（SOCKS4 の場合は 4、SOCKS5 の場合は 5）を指定します。	5
user	クライアントがプロキシ認証に使用するユーザー名（空の場合あり）です。	admin
status	プロキシサーバーの応答ステータスです。	success
bound_host	プロキシサーバーがバインドした IP アドレスです。	127.0.0.1
bound_name	プロキシサーバーがバインドしたホスト名です。	localhost
bound_p	プロキシサーバーがバインドしたポートです。	1080
request.host	宛先サーバーの IP アドレスです。	0.0.0.0
request.name	宛先サーバーのドメイン名です。	alibaba.com
request_p	宛先サーバーのポートです。	80