| ファイアウォール機能 管理者ガイド |
|
目次
索引
|
| 第2章 機能 | > 2.7 運用支援機能 | > 2.7.4 FWモニタ・コンソール | > 2.7.4.8 ログ情報 |
「表示」プルダウンメニューから「コネクションログ」を選択すると、「コネクションログの検索」画面が表示されます。
ログ番号が表示されます。
日付・時刻が表示されます。
IPプロトコルが表示されます。
送信元インタフェース、IPアドレス、ポート番号が表示されます。
送信先インタフェース、IPアドレス、ポート番号が表示されます。
当該コネクションに適用されたフィルタ条件のID(フィルタ番号)が表示されます。フィルタ番号の詳細は、ポリシー情報で確認することができます。
処理結果が表示されます。
PASS
当該コネクション上のデータは通過処理されたことを示します。
BLOCK
当該コネクション上のデータは破棄処理されたことを示します。
REJECT
当該コネクション上のデータは拒否応答処理されたことを示します。
SNAT
当該コネクション上のデータは送信元アドレス変換処理されたことを示します。
DNAT
当該コネクション上のデータは送信先アドレス変換処理されたことを示します。
SNAPT
当該コネクション上のデータは送信元アドレス変換(IPマスカレード)処理されたことを示します。
WEB_AUTH
当該コネクション上のデータはWeb 認証処理されたことを示します。
IPSEC
当該コネクション上のデータはIPsec暗号処理されたことを示します。
IKE
当該コネクション上のデータはIKE暗号処理されたことを示します。
当該ログレコードの種別が表示されます。
C:コネクション作成
F:コネクション解放
送信パケット数、送信データサイズが、‘/’(スラッシュ)で区切られて表示されます。
受信パケット数、受信データサイズが、‘/’(スラッシュ)で区切られて表示されます。
当該コネクションの補足情報が表示されます。
複数ある場合は、カンマ区切りで表示されます。
通常、管理者は意識する必要はありません。
当該コネクションが二次コネクションの場合、当該コネクションを代表する代表コネクション情報として、代表コネクションのアプリケーション名が表示されます。
TCPコネクションの場合、TCP 状態情報が表示されます。
|
TCP状態 |
出力情報 |
|
CLOSED |
空白 |
|
LISTEN |
LST |
|
SYN_SENT |
SNS |
|
SYN_RECEIVED |
SNR |
|
ESTABLISHED |
EBL |
|
CLOSE_WAIT |
CWT |
|
FIN_WAIT1 |
FW1 |
|
CLOSING |
CLG |
|
LAST_ACK |
FAK |
|
FIN_WAIT2 |
FW2 |
|
TIME_WAIT |
TWT |
TCPコネクションの場合、当該コネクションの解放情報が以下の2つの情報で表示されます。
解放理由
コネクション解放の理由が表示されます。
|
解放理由 |
説明 |
|---|---|
|
空白 |
FIN 交換による終了(通常解放) |
|
KPA |
FIN交換による終了(KeepAliveタイマによる無通信監視発生) |
|
RST |
RSTパケットによる強制終了 |
|
KPO |
KeepAliveタイムアウトによる無通信監視強制終了 |
|
HFO |
Half-Openコネクション確立による前コネクション強制終了 |
解放シーケンス
|
解放シーケンス |
説明 |
|---|---|
|
F/- |
クライアント主導による解放(FIN) |
|
-/F |
サーバ主導による解放(FIN) |
|
F/f |
同時解放(クライアント解放(FIN)先行) |
|
f/F |
同時解放(サーバ解放(FIN)先行) |
|
R/- |
クライアント主導による解放(RST) |
|
-/R |
サーバ主導による解放(RST) |
|
R/r |
同時解放(クライアント解放(RST)先行) |
|
r/R |
同時解放(サーバ解放(RST)先行) |
(ex) クライアント主導による解放(FIN)の場合、「F/-」が表示されます。
当該コネクションが認証後通信のコネクションの場合、認証情報が表示されます。
|
認証情報 |
説明 |
|---|---|
|
+Ao |
TELNET認証、Web認証コネクション |
|
+Co |
Safegate client認証コネクション |
当該コネクション上で検出されたアラート情報が表示されます。
複数ある場合は、カンマ区切りで表示されます。
|
アラート情報 |
説明 |
|---|---|
|
OVERSIZE |
Ping of deathなどのIPパケットサイズ異常検出 |
|
IPOFFERR |
Tiny Fragment、Overlapped Fragment等Fragmentパケットのoffset異常パケット検出 |
|
IPOPTIONS |
IPオプションヘッダ付加パケット検出 |
|
TCP-FLAG |
TCP flag異常パケット検出 |
|
PORTZERO |
ポート0パケット検出 |
|
SPOOFING |
IP Spoofingパケット検出 |
|
CHECKSUM |
チェックサム異常パケット検出 |
|
UNFAIR |
TCPパケットシーケンス異常パケット検出 |
|
SYNATTACK |
SYN Attackパケット検出 |
|
SYNRECV |
SYN_RCVD状態のコネクション数の上限に到達 |
|
DOS_HARD |
DOS Attack検出(最大リミッタ超過) |
|
DOS_SOFT |
DOS Attack検出(警告リミッタ超過) |
|
DOS_TIME |
単位時間DOS Attack検出 |
|
DOS_FRAG |
IP Fragment Attack検出 |
|
PORTSCAN |
ポートスキャン検出 |
|
BLACKLIST |
ブラックリストに登録 |
|
ROUTING |
経路異常コネクション検出 |
|
SETBLACK |
ブラックリスト制御適用 |
|
CON_HARD |
コネクション数超過検出(最大コネクション数) |
|
CON_SOFT |
コネクション数超過検出(警告コネクション数) |
|
BLACKOVER |
ブラックリストエントリ数不足検出 |
|
GRAYOVER |
グレーリストエントリ数不足検出 |
|
TCP_PORT |
IPマスカレード用TCPリザーブポート不足検出 |
|
UDP_PORT |
IPマスカレード用UDPリザーブポート不足検出 |
|
FRAGOVER |
IPフラグメントパケット保留数不足検出 |
|
ALLOCMEM |
メモリ不足検出 |
|
ALLOCPAC |
IPパケット退避領域獲得失敗検出 |
|
SPECIAL |
二次コネクション管理領域獲得失敗検出 |
「動作」の種別により、以下の付加情報が次行に表示されます。
送信元インタフェース
アドレス変換後のパケットが送信されるインタフェース
送信元IPアドレス
アドレス変換後のIPアドレス(仮想アドレス)
送信元インタフェース
アドレス変換後のパケットが送信されるインタフェース
送信元IPアドレス
アドレス変換後のIPアドレス(仮想IPアドレス)
送信元ポート
アドレス変換後の送信元ポート番号
送信先インタフェース
アドレス変換後のパケットが送信されるインタフェース
送信先IPアドレス
アドレス変換後のIPアドレス(実IPアドレス)
送信先ポート
アドレス変換後の送信先ポート番号
送信先インタフェース
暗号パケットが送信されるインタフェース
送信先IPアドレス
相手SDFW暗号ゲートウェイのIPアドレス
Safegate clientとのSDFW暗号通信の場合は自システムのIPアドレス
送信元ポート
送信元ポート番号
Safegate clientとのSDFW暗号通信の場合は自システムの送信元ポート番号
送信先ポート
相手SDFW暗号ゲートウェイの待受けポート番号
Safegate clientとのSDFW暗号通信の場合はSafegate client側ポート番号
プロトコル
IPsec/IKEプロトコル(AH 又は ESP)
送信先インタフェース
暗号パケットが送信されるインタフェース
送信先IPアドレス
相手IPsec/IKE暗号ゲートウェイのIPアドレス
Safegate clientとのSDFW暗号通信の場合は自システムのIPアドレス
|
目次
索引
|