第79章 ログ種別の設定

---

ログ ＞ 種別

この章では、トラブルシューティングと診断のためにＳｏｎｉｃＷＡＬＬセキュリティ装置のログ機能を分類およびカスタマイズするための設定タスクについて説明します。

補足　ＳｏｎｉｃＷＡＬＬ ＶｉｅｗＰｏｉｎｔを使用して、ＳｏｎｉｃＷＡＬＬセキュリティ装置のログ レポート機能を拡張できます。ＶｉｅｗＰｏｉｎｔは、詳細で包括的なレポートのためのウェブベースのグラフィカル レポーティング ツールです。ＳｏｎｉｃＷＡＬＬ ＶｉｅｗＰｏｉｎｔレポーティング ツールの詳細については、www.sonicwall.comを参照してください。

ログの重要度/優先順位

このセクションには、キャプチャされたログ メッセージの優先順位と、電子メールで通知される対応する警告メッセージの優先順位の設定についての情報があります。

ログ レベル

「ログ レベル」コントロールは、優先順位を基準にしてイベントを選別します。同じまたはより高い優先順位のイベントは通過し、より低い優先順位のイベントは破棄されます。「ログ レベル」メニューには、最高から最低の順に以下の優先順位区分が含まれます。

･ 緊急 （最高の優先順位）

･ 警告

･ 重大

･ エラー

･ 注意

･ 通知

･ 情報

･ デバッグ （最低の優先順位）

警告レベル

「警告レベル」コントロールは、電子メール警告の送信方法を決定します。同じまたはより高い優先順位のイベントによって、電子メール警告が発行されます。より低い優先順位のイベントでは、警告は送信されません。イベントは「ログ レベル」コントロールによって事前に選別されるので、「ログ レベル」コントロールが「警告レベル」コントロールよりも高い優先順位に設定されている場合は、「ログ レベル」と同じまたはより高い優先順位の警告のみが送信されます。警告レベルは以下を含みます。

･ なし （電子メール警告を無効にする）

･ 緊急 （最高の優先順位）

･ 警告

･ 重大

･ エラー （最低の優先順位）

ログ冗長フィルタ

「ログ冗長フィルタ」では、同じ攻撃がＳｏｎｉｃＷＡＬＬのログで単一のエントリとして「ログ ＞ 表示」ページにログされる秒数を定義できます。各種の攻撃が頻繁に素早く繰り返されることがあるので、すべての攻撃を記録するとログがすぐに一杯になってしまいます。ログ冗長フィルタの既定設定は６０秒です。

警告冗長フィルタ

「警告冗長フィルタ」では、警告が発行されるまでに、同じ攻撃がＳｏｎｉｃＷＡＬＬのログで単一のエントリとして「ログ ＞ 表示」ページにログされる秒数を定義できます。警告冗長フィルタの既定設定は９００秒です。

ログの種別

ＳｏｎｉｃＷＡＬＬセキュリティ装置は、有名なセキュリティ上の弱点への攻撃に対する自動的な保護を提供します。このような従来の攻撃の大半は、証拠となるＩＰまたはＴＣＰ／ＵＤＰ特性によって識別され、認識は一連の固定されたレイヤ３およびレイヤ４の値に限定されていました。攻撃の範囲および技術が進化するにつれ、トラフィックを詳しく調べること、および新たな脅威に対応するための順応性を高めることが不可欠になりました。

ＳｏｎｉｃＷＡＬＬ ＩＰＳを実行するものも含むすべてのＳｏｎｉｃＷＡＬＬセキュリティ装置は、このような従来のポートおよびプロトコル タイプの攻撃を引き続き認識します。ＳｏｎｉｃＷＡＬＬセキュリティ装置機器での現在の動作は、これら従来の攻撃を自動的および総体的に防ぎます。つまり、これらの攻撃からの保護を個別またはグローバルに無効にすることはできません。

ＳｏｎｉｃＷＡＬＬセキュリティ装置は、ログに記録できる攻撃種別の拡張リストを備えるようになりました。

「表示形式」メニューには、以下の３つのログ種別表示があります。

･ すべての種別 － 「従来の種別」と「拡張された種別」の両方を表示します。

･ 従来の種別 － 以前のＳｏｎｉｃＷＡＬＬログ イベント種別から引き継がれたログ種別を表示します。

･ 拡張された種別 － 古い従来の種別ログ イベントを再編して新しい構造に組み入れた、拡張された種別リストを表示します。

次の表は、従来と拡張の両方のログ種別を示しています。

ログ タイプ	種別	説明
８０２.１１管理	従来	ＷＬAＮ ＩＥＥＥ ８０２.１１接続を記録します。
高度なルーティング	拡張	ＲＩＰｖ２およびＯＳＰＦルーティング イベントに関するメッセージを記録します。
アンチスパム サービス	拡張	ＳｏｎｉｃＷＡＬＬ アンチスパム サービスのアクティビティを記録します。
アプリケーション ファイアウォール	拡張	ＳｏｎｉｃＷＡＬＬ アプリケーション ファイアウォールのイベントを記録します。
攻撃	従来	サービス拒否攻撃 （ＳＹＮフラッド、Ｐｉｎｇ ｏｆ Ｄｅａｔｈ、ＩＰスプーフィングなど） を示すメッセージを記録します。
認証済アクセス	拡張	管理者、ユーザ、およびゲストのアカウントのアクティビティを記録します。
Ｂｌｏｃｋｅｄ Ｊａｖａ Ｅｔｃ	従来	ＳｏｎｉｃＷＡＬＬセキュリティ装置によって遮断されたＪａｖａ、ＡｃｔｉｖｅＸ、およびｃｏｏｋｉｅを記録します。
Ｂｌｏｃｋｅｄ Ｗｅｂ Ｓｉｔｅｓ	従来	コンテンツ フィルタ リストや個別フィルタによって遮断されたウェブ サイトやニュースグループを記録します。
ＢＯＯＴＰ	拡張	ＢＯＯＴＰのアクティビティを記録します。
暗号化テスト	拡張	暗号化アルゴリズムとハードウェアのテストを記録します。
ＤＤＮＳ	拡張	Ｄｙｎａｍｉｃ ＤＮＳのアクティビティを記録します。
Ｄｎｉｅｄ ＬＡＮ ＩＰ	従来	ＳｏｎｉｃＷＡＬＬセキュリティ装置によって拒否されたすべてのＬＡＮ ＩＰアドレスを記録します。
ＤＨＣＰクライアント	拡張	ＤＨＣＰクライアント プロトコルのアクティビティを記録します。
ＤＨＣＰリレー	拡張	ＤＨＣＰのセントラルおよびリモート ゲートウェイのアクティビティを記録します。
ＤＨＣＰサーバ	拡張	ＤＨＣＰサーバのアクティビティを記録します。
Ｄｒｏｐｐｅｄ ＩＣＭＰ	従来	遮断された着信ＩＣＭＰパケットを記録します。
Ｄｒｏｐｐｅｄ ＴＣＰ	従来	遮断された着信ＴＣＰ接続を記録します。
Ｄｒｏｐｐｅｄ ＵＤＰ	従来	遮断された着信ＵＤＰパケットを記録します。
動的アドレス オブジェクト	拡張	動的アドレス オブジェクト （ＤＡＯ）のアクティビティを記録します。
ファイアウォール イベント	拡張	内部ファイアウォールのアクティビティを記録します。
ファイアウォール ハードウェア	拡張	ファイアウォール ハードウェアのエラー イベントを記録します。
ファイアウォール ログ	拡張	一般的なイベントとエラーを記録します。
ファイアウォール ルール	拡張	ファイアウォール ルールの変更を記録します。
ＦＴＰ	拡張	ＦＴＰセッションとアクティビティを記録します。
ＧＭＳ	拡張	ＧＭＳの状況イベントを記録します。
高可用性	拡張	高可用性のアクティビティを記録します。
ＩＰｃｏｍｐ	拡張	ＩＰ圧縮のアクティビティを記録します。
侵入阻止	拡張	侵入阻止関連のアクティビティを記録します。
Ｌ２ＴＰクライアント	拡張	Ｌ２ＴＰクライアントのアクティビティを記録します。
Ｌ２ＴＰサーバ	拡張	Ｌ２ＴＰサーバのアクティビティを記録します。
マルチキャスト	拡張	マルチキャストＩＧＭＰのアクティビティを記録します。
ネットワーク	拡張	ネットワークＡＲＰ、フラグメンテーション、およびＭＴＵのアクティビティを記録します。
ネットワーク アクセス	拡張	ネットワークおよびファイアウォールのプロトコル アクセスのアクティビティを記録します。
ネットワーク デバッグ	従来	ＮｅｔＢＩＯＳブロードキャスト、ＡＲＰ解決の問題、およびＮＡＴ解決の問題を記録します。ネットワーク管理者がアクティブなＶＰＮトンネルの問題をトラブルシューティングするのを支援するために、ＶＰＮ接続に関する詳細メッセージも表示されます。「 ネットワーク デバッグ」情報は、経験豊富なネットワーク管理者向けです。
ネットワーク監視	拡張	ネットワーク監視トラフィックを記録します。
ネットワーク トラフィック	拡張	ネットワーク トラフィックのレポート イベントを記録します。
ＰＰＰ	拡張	一般的なＰＰＰアクティビティを記録します。
ＰＰＰダイアルアップ	拡張	ＰＰＰダイアルアップのアクティビティを記録します。
ＰＰＰｏＥ	拡張	ＰＰＰｏＥのアクティビティを記録します。
ＰＰＴＰ	拡張	ＰＰＴＰのアクティビティを記録します。
ＲＢＬ	拡張	リアルタイム ブラック リストのアクティビティを記録します。
ＲＩＰ	拡張	ＲＩＰのアクティビティを記録します。
リモート認証	拡張	ＲＡＤＩＵＳおよびＬＤＡＰサーバのアクティビティを記録します。
ＲＦ 監視	拡張	無線 ＲＦ 監視のアクティビティを記録します。
セキュリティ サービス	拡張	セキュリティ サービスのアクティビティを記録します。
ＳｏｎｉｃＰｏｉｎｔ	拡張	ＳｏｎｉｃＰｏｉｎｔのアクティビティを記録します。
ＳｏｎｉｃＰｏｉｎｔＮ	拡張	ＳｏｎｉｃＰｏｉｎｔＮのアクティビティ （８０２.１１ｎ無線を使用） を記録します。
ＳＳＬＶＰＮ	拡張	ＳＳＬＶＰＮと仮想オフィスのアクティビティを記録します。
ＳＳＯエージェント認証	拡張	シングル サインオン （ＳＳＯ） エージェント認証の試行とアクティビティを記録します。
システム環境	拡張	システム環境のアクティビティを記録します。
システム エラー	従来	ＤＮＳおよび電子メールの問題を記録します。
Ｓｙｓｔｅｍ Ｍａｉｎｔｅｎａｎｃｅ	従来	システム起動などの全般的なシステム アクティビティを記録します。
Ｕｓｅｒ Ａｃｔｉｖｉｔｙ	従来	成功および失敗したログイン試行を記録します。
ＶＯＩＰ	拡張	ＶｏＩＰ Ｈ.３２３／ＲＡＳ、Ｈ.３２３／Ｈ.２２５、およびＨ.３２３／Ｈ.２４５のアクティビティを記録します。
ＶＰＮ	拡張	ＶＰＮのアクティビティを記録します。
ＶＰＮクライアント	拡張	ＶＰＮクライアントのアクティビティを記録します。
ＶＰＮ ＩＫＥ	拡張	ＶＰＮ ＩＫＥのアクティビティを記録します。
ＶＰＮ ＩＰｓｅｃ	拡張	ＶＰＮ ＩＰｓｅｃのアクティビティを記録します。
ＶＰＮ ＰＫＩ	拡張	ＶＰＮ ＰＫＩのアクティビティを記録します。
ＶＰＮトンネル状況	従来	ＶＰＮトンネルの状況情報を記録します。
ＷＡＮアクティビティ	拡張	ＷＡＮインターフェースの利用可能変更のアクティビティを記録します。
ＷＡＮフェイルオーバー	拡張	ＷＡＮフェイルオーバーのアクティビティを記録します。
無線	拡張	無線のアクティビティを記録します。
Ｗｌａｎ ＩＤＳ	拡張	ＷＬＡＮ ＩＤＳのアクティビティを記録します。

ログ種別の管理

「ログ種別」テーブルでは、ログ種別の情報が以下の列に表示されます。

･ 種別 － ログ種別の名前を表示します。

･ 説明 － ログ種別のアクティビティ タイプを説明します。

･ ログ － 「ログ ＞ 表示」ページにおけるログ イベントの表示を有効／無効にするチェック ボックスを提供します。

･ 警告 － その種別に関する警告の送信を有効／無効にするチェック ボックスを提供します。

･ Ｓｙｓｌｏｇ － ＳｏｎｉｃＷＡＬＬセキュリティ装置のＳｙｓｌｏｇへのログ イベントのキャプチャを有効／無効にするチェック ボックスを提供します。

･ イベント数 － その種別のイベント数を表示します。「更新」ボタンを選択すると、この数が更新されます。

「ログ種別」テーブル内のログ種別を並べ替えるには、列見出しを選択します。たとえば、「種別」という見出しを選択すると、ログ種別が既定の昇順に代わって降順で並べ替えられます。列名の左側にある上向きまたは下向きの矢印は、列が昇順で並べられているのか降順で並べられているのかを示します。

テーブル内の種別のチェック ボックスを選択することにより、種別ごとに「ログ」、「警告」、および「Ｓｙｓｌｏｇ」を有効または無効にできます。列見出しにあるチェック ボックスを選択することにより、すべての種別について「ログ」、「警告」、および「Ｓｙｓｌｏｇ」を有効または無効にできます。