Dell SonicWALL ネットワーク セキュリティ装置は、潜在的なセキュリティの脅威を追跡するためのイベント ログを保持します。このログは、「ログ > 表示」ページに表示したり、利便性やアーカイブのために電子メール アドレスに自動的に送信したりできます。ログはテーブルに表示され、列を基準にして並べ替えることができます。
ファイアウォールは、ファイアウォールへの攻撃などの重要なイベントについて警告を出すことができます。警告は、電子メール アドレスか電子メール ページャーに直ちに送信されます。ログ エントリには、イベントの日時、およびイベントを説明する簡単なメッセージが含まれます。
このセクションは次のサブセクションから構成されています。
ログはテーブルに表示され、列を基準にして並べ替えることができます。「ログ」テーブルには次の列があります。
• 時間 - イベントの日時。
• 優先順位 - ログ イベントに関連付けられた優先順位。
Syslog は 8 つの種別を使用してメッセージの特性を表します。 以下に、種別を重大度が高い順に示します。
– 緊急
– 警告
– 重大
– エラー
– 注意
– 通知
– 情報
– デバッグ
「ログ > 種別」ページでファイアウォールでの優先順位を指定すると、その優先順位のメッセージに加えて、それより重大度が高いタグを付けられたすべてのメッセージが記録されます。例えば、優先順位として'エラー'を選択すると、‘エラー’のタグを付けられたすべてのメッセージと、'重大'、‘警告’、または‘緊急’のタグを付けられたメッセージが記録されます。 ‘デバッグ'を選択すると、すべてのメッセージが記録されます。
Note 個々のログ イベントの詳細については、「ログ イベント メッセージ」セクションを参照してください。
• 種別 - トラフィックの種類 (ネットワーク アクセス、認証されたアクセスなど)。
• メッセージ - イベントの説明が表示されます。
• 送信元 - 送信元ネットワークと IP アドレスが表示されます。
• 送信先 - 送信先ネットワークと IP アドレスが表示されます。
• 備考 - イベントに関する追加情報が表示されます。
• ルール - イベントに影響されるネットワーク アクセス ルールが表示されます。
ログ テーブルのエントリのナビゲートおよび並べ替え
「ログ」テーブルでは、多数のログ イベントを簡単に閲覧できるようにページ付けがされています。「ログ」テーブルの右上にあるナビゲーション コントロール バーを使用して、これらのログ イベントをナビゲートできます。ナビゲーション コントロール バーには 4 つのボタンがあります。左端のボタンは、テーブルの最初のページを表示します。右端のボタンは、最後のページを表示します。内側の左矢印ボタンと右矢印で、それぞれ前または次のページに移動します。
テーブルのエントリを並べ替えるには、列見出しを選択します。エントリは昇順または降順で並べ替えられます。列エントリの右側にある矢印が、並べ替え状況を示します。下向きの矢印は昇順を意味します。上向きの矢印は降順を示します。
ログ メッセージを更新するには、ページの右上隅近くにある「更新」ボタンを選択します。
ログの内容を削除するには、ページの右上隅近くにある「ログの消去」ボタンを選択します。
ログの内容を定義済みの送信先にエクスポートするには、フィルタ テーブルの下の「ログのエクスポート」ボタンを選択します。ログの内容は 2 つの形式でエクスポートできます。
• プレーン テキスト形式 - ログと警告の電子メールで使用します。
• カンマ区切り値 (CSV) 形式 - Excel またはその他のプレゼンテーション開発アプリケーションへのインポートに使用します。
ログ ファイルをメールで送信するようにファイアウォールが設定してある場合は、ページの右上隅近くにある「ログの送信」を選択すると、「ログ > 自動化 > 電子メール」セクションで指定した電子メール アドレスに現在のログ ファイルが送信されます。
Note ファイアウォールは、ファイアウォールへの攻撃などの重要なイベントについて警告を出すことができます。警告は、電子メール アドレスか電子メール ページャーにメールで直ちに送信されます。警告を送信するには、「ログ > 自動化」ページに電子メール アドレスとサーバ情報を入力する必要があります。
結果を絞り込んで、特定の条件に一致するイベント ログだけを表示することができます。絞り込みに使用できる条件は、「優先順位」、「種別」、「送信元 (IP、インターフェース)」、および「送信先 (IP、インターフェース)」です。
1. 使用するフィルタ条件を「ログ表示設定」テーブルに入力します。
値を入力したフィールドは、論理 AND で検索文字列に結合されます。例えば、「送信元」と「送信先」のインターフェースを選択した場合、検索文字列は以下に一致する接続を検索します。
送信元インターフェース AND 送信先インターフェース
3. 2 つ以上の条件の横にある「グループ」ボックスを選択すると、論理 OR で条件が結合されます。
例えば、「送信元 IP」、「送信先 IP」、および「プロトコル」に値を入力し、「送信元 IP」および「送信先 IP」の隣の「グループ」を選択すると、検索文字列は次の条件に一致する接続を探します。
(送信元 IP OR 送信先 IP) AND プロトコル
4. 「絞り込み」を選択すると、「ログ表示設定」テーブルに直ちにフィルタが適用されます。「フィルタのリセット」を選択すると、フィルタがクリアされ、絞り込む前の結果が再度表示されます。
ログ イベント メッセージの詳細については、『SonicWALL ログ イベント リファレンス ガイド』(http://www.sonicwall.com/support.html ) を参照してください。
Solera 装置でデータ リポジトリを検索しても良いですが、管理者が SonicWALL に「要注意コンテンツ」イベントを定義することもできます。ログの詳細レベルおよび記録頻度が設定可能です。ほぼすべてのイベントで、送信元 IP、送信元ポート、送信先 IP、送信先ポートおよび時間が記録されます。SonicOS では、次のような多数のログ イベントが定義可能です。
• デバッグ/情報提供イベント - 接続のセットアップ/切断
• ユーザ イベント - 管理者によるアクセス、シングル サインオン アクティビティ、ユーザ ログイン、コンテンツ フィルタの詳細
• ファイアウォール ルール/ポリシー イベント - 特定の IP:ポートの組み合わせへのアクセスおよびその組み合わせからのアクセス (時間による特定も可能)
• ネットワーク層またはアプリケーション層での要注意コンテンツ - ポート スキャン、SYNフラッド、DPI または AF のシグネチャ/ポリシーのヒット
以下に、分散型イベント検出およびリプレイの過程の一例を示します。
1. 管理者がイベント トリガーを定義します。例えば、ある公式文書の送受信を検出しログに記録するように、アプリケーション ルール ポリシーを定義します。
2. ネットワーク上のあるユーザ (IP アドレスが 192.168.19.1) がこのファイルを取得します。
3. このイベントが SonicWALL によってログに記録されます。
4. 管理者がログ エントリの左側の列から「レコーダー」アイコンを選択します。SonicWALL でNPCS が定義されている場合に限り、アイコン/リンクがログ内に表示されます (IP: [192.168.169.100], Port: [443] など)。 このリンクは定義された NPCS 装置につながっています。このリンクには、NPCS 装置への接続を定義する問い合わせ文字列がパラメータとして設定されています。
5. NPCS がユーザ セッションを認証します (省略可)。
ログの内容
SonicOS では現時点で、回転ログ バッファに 32K を割り当てています。ログが一杯になったときには、設定した受信者にログをメールで送信し消去するか、あるいは送信せずに消去することができます。ログの記録を続けるにはメールで送信するのが簡単です。ログをプレーン テキストで送信するか、それとも HTML 形式で送信するかを選択できるので、管理者は記録されたイベントを簡単に調べたりリプレイしたりすることができます。