Cloud Firewallは、すべてのトラフィックを自動的にログに記録し、イベントログ、トラフィックログ、および操作ログを表示するログ監査ページを提供します。 これにより、攻撃の原因を追跡し、トラフィックを便利な方法で監査できます。 デフォルトでは、過去7日間の監査ログを照会できます。 これにより、アセットをリアルタイムで監視し、セキュリティイベントを効率的に処理できます。
デフォルトでは、Cloud Firewallは過去7日間のログを保持します。 ログを7日以上保存したり、特定の機密保護要件を満たしたり、生のログデータをエクスポートしたりする場合は、ログ分析機能を有効にできます。 詳細については、「概要」をご参照ください。
監査ログタイプ
ログ監査機能は、イベントログ、トラフィックログ、および操作ログをサポートします。
イベントログ: Cloud Firewallによって潜在的な脅威または異常な動作として識別されたトラフィックのログ。 イベントログには、イベントが検出された時刻、脅威の種類、送信元IPアドレス、送信先IPアドレス、アプリケーションの種類、重大度、ポリシーアクションなど、セキュリティイベントに関する重要な情報が表示されます。 これにより、イベントのトレースと分析が容易になります。
イベントログリストの 攻撃サンプル取得 をクリックすると、仮想パッチ適用機能と基本保護機能によってブロックされたイベントのログの過去7日間の攻撃サンプルを生成できます。 次に、攻撃サンプルに基づいて攻撃イベントの詳細を表示できます。 生成された攻撃サンプルは1か月間保持できます。
トラフィックログ: Cloud Firewallを通過する通常のネットワークトラフィックのログ。 送信元IPアドレス、宛先IPアドレス、ポート、プロトコル、トラフィック量などの情報を表示できます。 トラフィックログは、ネットワーク動作分析とネットワーク使用パターンの理解に役立ちます。
操作ログ: Cloud Firewallコンソールで実行されたすべての操作のログ (ルールの設定やシステム設定の変更、管理者による介入など) 。 操作ログは、ユーザーの行動の監査とシステム変更の管理に役立ちます。
監査ログの照会
このセクションでは、ログ監査機能を使用してトラフィックログを照会する方法について説明します。 クエリ条件は、ログのタイプによって異なります。 ログ監査ページに表示されるクエリ条件が優先されます。
Cloud Firewall コンソール にログインします。
左側のナビゲーションウィンドウで、を選択します。
トラフィックログ タブをクリックし、ファイアウォールの種類に基づいてタブをクリックします。
クエリ条件と時間範囲を指定し、[検索] をクリックします。
トラフィックログのキーフィールド
次の表に、トラフィックの特性と動作の詳細をよりよく理解するのに役立つ、トラフィックログの主要なフィールドを示します。
トラフィックログをクエリするときに、クエリ条件の右側にある 設定一覧 をクリックし、トラフィックログのリストに表示するフィールドを選択します。 必須フィールドに加えて、最大8つのオプションフィールドを選択できます。
項目 | 説明 |
ルール名 /ルールID | トラフィックがヒットするアクセス制御ポリシーまたは保護ポリシーの名前。 ポリシー名が表示されていない場合、トラフィックはアクセス制御ポリシーまたは保護ポリシーにヒットしません。 |
ACL 事前一致ステータス | トラフィックがCloud Firewallを通過すると、Cloud Firewallはポリシーの優先順位に基づいて順番にトラフィックをアクセス制御ポリシーと照合します。 Cloud Firewallがトラフィックをアクセス制御ポリシーと一致させたときに、Cloud Firewallがトラフィックのアプリケーション名またはドメイン名を特定できない場合、ACL 事前一致ステータス パラメーターの値は [application Unidentified] または [domain name Unidentified] になり、ACL プレマッチングポリシー パラメーターの値はアクセス制御ポリシーの名前になります。 ACL 事前一致ステータス の有効な値:
|
ACL プレマッチングポリシー | |
アプリケーションの識別ステータス | Cloud Firewallがアクセス制御ポリシーに対してトラフィックと一致した場合のトラフィックのアプリケーションの識別ステータス。 有効な値:
|
次に何をすべきか
デフォルトでは、Cloud Firewallは過去7日間のログを保持します。 ログを7日以上保存する場合、または特定の機密保護要件を満たす場合は、ログ分析機能を有効にできます。 詳細については、「概要」をご参照ください。
Cloud Firewallは、パケットキャプチャ機能を提供します。 この機能を使用して、特定のIPアドレスとポートのネットワークデータパケットをキャプチャし、パケットを分析できます。 これにより、ネットワークで発生した例外を特定し、攻撃の動作を分析し、ネットワーク通信のセキュリティリスクを特定するのに役立ちます。 詳細については、「パケットキャプチャ機能の使用」をご参照ください。