log_monitor

ログ > ログ監視

Dell SonicWALL ネットワーク セキュリティ装置は、潜在的なセキュリティの脅威を追跡するためのイベント ログを保持します。このログは、「ログ > ログ監視」ページまたは「ダッシュボード > ログ監視」ページで確認できます。どちらのページも機能は同じです。

log_log_monitor.png

 

イベント ログは、利便性やアーカイブのために電子メール アドレスに自動送信できます。ログ監視からの警告も電子メールで送信でき、ファイアウォールへの攻撃などに関する警告を受けることができます。警告は、電子メール アドレスか電子メール ページャーに直ちに送信されます。各ログ登録には、イベントの日時、およびイベントを説明する簡単なメッセージが含まれます。

表示する情報は、ログ テーブルに表示する種別をオプションで設定することによって制御できます。「種別」列を使用すると、監視するベースライン イベントを指定して、イベントごとの情報を設定できます。

「ログ監視」パネルの左上にある「フィルタ」入力ボックスに検索文字列を入力すると、ログ イベントが絞り込まれて「ログ監視」パネルに表示されます。

log_monitor_filter_box.png

 

任意のサブ文字列を入力してエンター キーを押すと、「ログ監視」パネルの表示項目が絞り込まれます。「ログ監視」には、そのサブ文字列と一致する文字列を含むログ イベントのみ表示されます。

ログの設定 / ログの表示

ログ監視」ページの右上隅にある「ログの設定」ボタンを選択すると「ログ設定」ページに切り替わり、そこでログ イベントを設定できます。「ログ設定」ページで「ログの表示」ボタンを選択すると、「ログ監視」ページに切り替わります。

ログ監視」ページの右下隅には、「ログ監視」ページを最後に更新した日時が表示されます。

イベント ログの管理

イベント ログを管理するためによく行う作業には次のものがあります。

ログ イベントのオンライン表示 - イベント ログは保持されません。実行時イベント ログ データベース バッファに含まれる古いイベントは、新しいイベントで上書きされます。

SonicOS ログ監視 UI を使用したオンライン表示 - この UI ではイベント ログ データベースのスナップショットが表示され、ユーザはブラウザを使用してイベント ログを前後にスクロールできます。

CLI を使用したテキスト表示形式 - イベント ログ データベースの現在の内容のみを表示します。

ログ監視表示のフィルタ処理 - ログ イベント表示をカスタマイズできます。

ログ設定キャプチャのフィルタ処理 - ログ イベント キャプチャをカスタマイズできます。

ログ イベントのオフライン表示 - ユーザのコンピュータなどの外部ソースにログ イベントが保存されるので、オフライン表示は保持されます。

電子メールによるログ イベント確認 - 電子メール クライアントを使用して、イベントが発生するたびに送信する個別の電子メール警告、またはログ イベントを定期的にまとめて送信する電子メール ダイジェストをセットアップできます。

log_monitor_tool_bar_email.png

 

Syslog ビューアを使用したログ イベント表示 - Syslog ビューアを使用して、ログ イベントを表示および設定したり、設定をキャプチャしたりできます。

GMS Syslog を使用したログ イベント表示 - GMS を使用してログ イベントを表示および設定できます。

イベント ログ データベースのエクスポート - 「エクスポート」ボタンを選択すると、イベント ログ データベースをプレーン テキスト ファイルとしてエクスポートできます。

log_monitor_tool_bar_text.png

 

実行時イベント ログ データベースの登録の削除 - 「すべて消去」ボタンを使用すると、登録は完全に削除されます。したがって、これを行うときは注意が必要です。自動化を有効にしていない場合は、「すべて消去」を使用する前にデータベースをエクスポートしてください。

log_monitor_tool_bar_clear.png

 

Solera などのデータ レコーダーを使用した精密パケット検査 - Solera などのデータ レコーダーを使用して、精密パケット イベントを記録できます。この機能は「ログ > 自動化」で有効にし、また、記録するイベントは、「ログ > 設定」で設定します。

log_monitor_enable_Solera.png

 

 

「ログ監視」テーブルの機能

「ログ監視」テーブルには、結果内の移動、結果の表示、結果のエクスポートを行うためのさまざまな設定があります。テーブルの列をカスタマイズして、イベントのデータをすべて表示したり、必要なデータのみを表示したりできます。テーブルの登録は昇順または降順で並べ替えて表示できます。

ログ監視」テーブルの登録を並べ替えるには、列見出しを選択します。登録は昇順または降順で並べ替えられます。列登録の右側にある矢印が、並べ替え状況を示します。下向きの矢印は昇順を意味します。上向きの矢印は降順を示します。

ログ監視」テーブルの最上行には次の各種機能項目があります。

log_monitor_top_row.png

 

• 「ログ イベント開始時間」メニュー

• 機能ボタン

• 「再表示」ボックス

「ログ イベント開始時間」メニュー

ログ イベント開始時間」メニューでは、ログ イベントを表示する時間間隔を選択できます。時間間隔として最新 30 分間から最新 30 日間の範囲内から選択するか、データベースの全ログ イベントを選択します。

機能ボタン

機能ボタンは、ログ監視のさまざまな機能を実行します。ボタンの上にカーソルを置くと、そのボタンの説明が表示されます。

log_monitor_seven_buttons.png

 

次の表に、機能ボタンの説明を示します。

ボタン

機能

説明

log_monitor_csv_button.png

 

CSV ファイルとしてログをエクスポートする

このボタンを選択すると、ログをカンマ区切り値 (CSV) 形式で表示または保存するダイアログが表示されます。この形式は、Excel またはその他のプレゼンテーション開発アプリケーションへのインポートに使用します。

log_monitor_txt_button.png

 

プレーン テキスト ファイルとしてログをエクスポートする

このボタンを選択すると、ログをプレーン テキスト形式で保存するダイアログが表示されます。「ログ > 自動化」ページで、電子メール用にプレーン テキストと HTML の 2 つの形式のどちらかを設定できます。

log_monitor_select_columns_button.png

 

表示列の選択

このボタンを選択すると、「ログ監視」テーブルに表示する列を選択するダイアログが表示されます。

log_monitor_refresh_button.png

 

再表示の強制

このボタンを選択すると、「ログ監視」テーブルの情報が更新されます。

log_monitor_send_email_button.png

 

電子メール アドレスへログを送信

このボタンを選択すると、設定した電子メール アドレスにすべてのログが送信されます。

log_monitor_clear_log_button.png

 

すべてのログのクリア

このボタンを選択すると、保存されているすべてのログが削除されます。

log_monitor_status_button.png

 

状況

このボタンを選択すると、データベース内のログの総数と、状況種別ごとの最新報告時刻が表示されます。

再表示」ボックス

テーブルの右端にある「再表示」ボックスには、イベント ログ データベースのイベントで「ログ監視」テーブルを更新する頻度を指定できます。既定では 60 秒おきに再表示されますが、それ以外の時間間隔も指定できます。すべての出力を即座に再表示するには、「再表示」ボックスの右にある停止/再生トグル ボタンを選択します。

LogMonitor_View_Refresh.jpg

停止/再生トグル ボタンは、「ログ監視」テーブルの内容の再表示を開始または停止します。これは、「ログ監視」テーブルが非常にビジーで絶え間なく再表示される場合に役立ちます。ユーザは画面の再表示を停止することによって、メッセージを確認するのに必要な時間を確保できます。

ログ監視はテーブルに表示され、列を基準にして並べ替えることができます。

テーブルに表示する列を選択するには、次の操作を行います。

1. 「ツール」ボタンを選択します。

log_monitor_tool_bar.png

 

表示列の選択」ダイアログ ボックスが表示されます。

log_monitor_columns_to_display.png

 

2. [表示列の選択」ダイアログ ボックスで、表示する列を選択します。

3. 適用」を選択します。

 

ログ テーブルには次の既定の列があります。

• 時間 - イベントの日時。

ID - イベントの識別番号。「ID」は、GMS または Syslog を使用する場合に特に役立ちます。「ID」は Syslog パケットに表示され、生成されるレポート内でデータを識別するために使用します。

• 種別 - イベントの設定を見つけやすく、また設定しやすくするために、イベントを種別ごと、グループごと、イベントごとのいずれで表示するかを「表示列の選択」ダイアログで選択できます。

• 優先順位 - ログ イベントに関連付けられた優先順位。Syslog では、次の 8 種類の優先順位でメッセージが分類されます。緊急、警告、重大、エラー、注意、通告、情報、デバッグ。

• 送信元インターフェース - 送信元ネットワークと IP アドレスが表示されます。

• 送信先インターフェース - 送信先ネットワークと IP アドレスが表示されます。

送信元IP - 送信元 IP アドレスが表示されます。

送信元ポート - 送信元ポートが表示されます。

送信先IP - 送信先 IP アドレスが表示されます。

送信先ポート - 送信先ポートが表示されます。

IP プロトコル - 使用されている IP プロトコル (TCP または IP)

ユーザ名 - 発信元のユーザ名が表示されます。

アプリケーション - ネットワークにアクセスするアプリケーションが表示されます。

• 補足 - イベントに関する動的な詳細情報が表示されます。

• メッセージ - イベントに関する全般的な説明が表示されます。

補足 「時間」列、「ID」列、および「メッセージ」列は必ず表示され、カスタマイズによって非表示にすることはできません。

補足 特定のログ イベントの詳細については、『SonicOS ログ イベント リファレンス ガイド』を参照してください。

 

「ログ監視」テーブルのフィルタ処理

フィルタ バーを使用すると、選択した条件に基づいてログ テーブルをフィルタ処理できます。

1. 目的の列のセルを選択してフィルタ項目を選択します。選択したセルは青色に変わります。複数のセルを選択できます。

選択が完了したら、フィルタ バーの「+」を選択します。
フィルタ条件が表示に適用され、フィルタの種類がフィルタ バーに表示されます。

3. 列名 (この例では「種別」) の横の矢印 arrow_icon.png を選択すると、フィルタの値が表示されます。

4. フィルタを解除するには、フィルタの種類の横の「x」を選択します。

表示フィルタ

表示フィルタでは、「ログ監視」テーブルに一致する項目が存在しないようなフィルタも設定できます。
通常の表示では、「ログ監視」テーブルで選択できる既存のイベントに基づくフィルタのみ設定できます。表示フィルタでは、同時に選択できる「種別」/「優先順位」の組み合わせは 1 組のみです。通常の表示では、複数の種別を同時に選択できます。

フィルタ バーを使用して、各種種別に基づく複数の表示フィルタを設定できます。

表示フィルタを設定するには、次の操作を行います。

1. 「ログ > ログ監視」ページに移動します。

2. 表示フィルタ」バーの横にある「+」記号を選択します。
表示フィルタ」ダイアログが表示されます。

log_monitor_view_filter.png

 

3. 優先順位」メニューで、目的の優先順位を選択します。

4. 種別」メニューで、目的の種別を選択します。

5. 送信元インターフェース」メニューからインターフェースを選択します。

6. 送信先インターフェース」メニューからインターフェースを選択します。

7. 送信元 IP」ボックスに、送信元インターフェースの IP アドレスを入力します。

8. 送信先 IP」ボックスに、送信先インターフェースの IP アドレスを入力します。

9. 適用」を選択します。
ログ監視」テーブルに、フィルタ処理の結果が表示されます。

ログ イベント メッセージ

ログ イベント メッセージの詳細については、『SonicOS ログ イベント リファレンス ガイド』(http://www.sonicwall.com/support.html) を参照してください。

ログの保存期間

ローエンドの TZ モデルでは、ログ バッファに保存できるイベント登録は最大 800 件です。それ以外の Dell/Dell SonicWALL Release 6.2 の全モデルでは、ログ バッファに 1000 ~ 10,000 件のイベント登録を保存できます。

ログがいっぱいになると、最も古いログ登録が 1 件または 2 件削除されます。「すべてのログのクリア」ボタンを選択して、すべてのログ登録を消去することもできます。

GMS を使用すると、より信頼性の高いスケーラブルな方法で保存できますが、電子メールを使用して、簡素化されたログの内容を保存することもできます。

ログをプレーン テキストで送信するか、それとも HTML 形式で送信するかを選択できるので、管理者は記録されたイベントを簡単に調べたりリプレイしたりすることができます。

GMS

エンタープライズ全体でイベントを識別および確認する機能を提供するには、GMS 更新が必要になります。装置固有の興味深い内容のイベントは GMS コンソールで「レポート > ログ ビューア検索」ページに表示されますが、「上位脅威の経過」などの各種レポートにも表示されます。

gms_data.jpg