イベントとログの概要

Events & Logs—Summary View

[ 概要ビュー ] をクリックすると、ネットワーク内のすべてのイベントの概要が表示されます。ページの中央には、イベントの総数、検出されたウイルス、ダウンしたインターフェイスの総数、攻撃の数、CPUスパイク、システムの再起動などの重要な情報が表示されます。このデータは、選択した時間範囲に基づいて自動的に更新されます。ページの下部には、特定の時間に発生しているさまざまなイベントのスイムレーンビューがあります。イベントには、ファイアウォール、Web フィルタリング、VPN、コンテンツ フィルタリング、アンチスパム、アンチウィルス、IPS、ATP Cloud、Screen、Apptrack が含まれます。各イベントは色分けされており、暗い色合いはより高いレベルのアクティビティを表します。各タブには、タイプや、その特定の時間に発生したイベントの数などの詳細な情報が表示されます。

このビューのウィジェットの説明については、 表 1 を参照してください。

表 1: イベントとログの概要ビューウィジェット

ウィジェット	形容
合計イベント数	ファイアウォール、Web フィルタリング、IPS、IPSec、コンテンツ フィルタリング、スパム対策、およびウイルス対策イベントを含むすべてのイベントの合計数。
ウイルスインスタンス	システムで実行されているウイルス インスタンスの総数。
攻撃	ファイアウォールに対する攻撃の総数。
インターフェイスのダウン	ダウンしているインターフェイスの総数。
CPU スパイク	CPU 使用率の急上昇が発生した合計回数。
再起動	システムの再起動回数の合計。
セッション	ファイアウォールを通過して確立されたセッションの総数。

イベント&ログ—詳細ビュー

[ 詳細ビュー ] をクリックすると、並べ替え可能な列を含む表形式でイベントの包括的な詳細が表示されます。[グループ化] オプションを使用してイベントを並べ替えることができます。たとえば、重大度に基づいてイベントを並べ替えることができます。このテーブルには、イベントの原因となったルール、イベントの重大度、イベント ID、トラフィック情報、イベントが検出された方法とタイミングなどの情報が含まれています。

グリッド設定ペインから [CSV にエクスポート ] オプションを選択して、ログ データを CSV ファイルにエクスポートおよびダウンロードします。

[レガシ ノード] オプションは、[ログ ノード] ページでレガシ ログ コレクター ノードが追加された後、イベント ビューアに表示されます。既存のログ コレクター データを表示するための読み取り専用の従来のログ コレクター サポートを追加しました。新しいログは、ログコレクターとしてSecurity Director InsightsVMを指している必要があります。[ レガシーノード] チェックボックスをオンにして、既存のログコレクタデータを表示します。レガシーノードチェックボックスをオフにすると、Security Director Insightsのログコレクタデータが表示されます。

フィールドの説明については、 表 2 を参照してください。

表 2: イベントとログの詳細列

畑	形容
ログ生成時刻	SRXシリーズ デバイスでログが生成された時刻。
ログ受信時刻	ログ コレクターでログを受信した時刻。
イベント名	ログのイベント名
原産国	送信元の国名。
送信元 IP	イベントが発生した送信元 IP アドレス。
仕向国	イベントが発生した宛先の国名。
宛先 IP	イベントの宛先 IP アドレス。
送信元ポート	イベントの送信元ポート。
宛先ポート	イベントの宛先ポート。
形容	ログの説明。
攻撃名	ログの攻撃名: トロイの木馬、ワーム、ウイルスなど。
脅威の重大度	脅威の重大度レベル。
ポリシー名	ログ内のポリシー名。
コンテンツセキュリティカテゴリまたはウイルス名	ログのコンテンツ セキュリティ カテゴリ。
URL	イベントをトリガーしたアクセス済み URL 名。
イベント カテゴリ	ログのイベント カテゴリ。
ユーザー名	ログのユーザー名。
アクション	イベントに対して実行されたアクション: 警告、許可、ブロック。
ログソース	ログ・ソースの IP アドレス。
アプリケーション	イベントまたはログの生成元のアプリケーション名
ホスト名	ログ内のホスト名。
サービス名	アプリケーション サービスの名前。たとえば、FTP、HTTP、SSH などです。
ネストされたアプリケーション	ログ内の入れ子になったアプリケーション。
ソースゾーン	ログのソース ゾーン。
宛先ゾーン	ログの宛先ゾーン。
プロトコル ID	ログ内のプロトコル ID。
役割	ログに関連付けられているロール名。
理由	ログ生成の理由。たとえば、接続の破棄には、認証の失敗などの理由が関連付けられている場合があります。
NAT 送信元ポート	変換された送信元ポート。
NAT 宛先ポート	変換された宛先ポート。
NAT 送信元ルール名	NAT 送信元ルール名。
NAT 宛先ルール名	NAT 宛先ルール名。
NAT 送信元 IP	変換された(またはnattedされた)送信元 IP アドレス。IPv4 または IPv6 アドレスを含めることができます。
NAT 宛先 IP	変換された(natted とも呼ばれる)宛先 IP アドレス。
トラフィック セッション ID	ログのトラフィック セッション ID。
パス名	ログのパス名。
論理システム名	論理システムの名前。
ルール名	ルールの名前。
プロファイル名	イベントをトリガーしたすべてのイベント プロファイルの名前。
クライアントのホスト名	クライアントのホスト名。
マルウェア情報	マルウェアの情報。
論理サブシステム名	JSA ログ内の論理システムの名前。

詳細検索

グリッドの上にある検索テキストボックスを使用して、すべてのイベントの高度な検索を実行できます。これには、フィルター文字列の一部として論理演算子が含まれます。テキスト ボックスに検索文字列を入力すると、入力に基づいて、フィルター コンテキスト メニューの項目の一覧が表示されます。リストから値を選択し、高度な検索操作を実行する有効な演算子を選択できます。スペースキーを押して、AND 演算子と OR 演算子を指定します。検索文字列を入力したら、Enter キーを押して検索結果をグリッドに表示します。

検索テキスト ボックスでアイコンにカーソルを合わせると、フィルター条件の例が表示されます。検索文字列の入力を開始すると、アイコンにフィルター文字列が有効かどうかが示されます。検索条件の入力中にバックスペースキーを押すと、1 文字しか削除されません。

Junos Space Security Director リリース 19.2R1 以降では、キーワードを使用した手動検索に加えて、グリッド内の空でないセルからイベント ビューアの検索バーに値をドラッグ アンド ドロップできるようになりました。値が検索条件として追加され、検索結果が表示されます。ドラッグアンドドロップできるのは、検索可能なセルのみです。イベント ビューアーで行にカーソルを合わせると、検索可能なセルが青い背景で表示されます。セルが検索可能でない場合、背景色に変更はありません。値なしで検索可能なセルをドラッグした場合、または value = '–' の場合は、そのようなセルの内容をドロップすることはできません。検索バーにすでに検索条件がある場合は、後続のすべてのドラッグアンドドロップ検索条件の前に「AND」が付きます。検索バーに値をドロップすると、グリッド内の検索条件が更新されます。これは、単純な検索フィルターと複雑な検索フィルターの両方に適用されます。

AND 論理演算子と OR 論理演算子、および角かっこを使用して複雑なフィルター処理を実行し、検索トークンをグループ化できます。

例: (名前 = 1 および id = 11) または (名前 = 2 および id = 12)

AND 論理演算子の優先順位レベルが OR よりも高くなっています。次のフィルター クエリでは、条件 2 と条件 3 が OR 演算子の前に評価されます。

例: 条件 1 または 条件 2 および 条件 3

これをオーバーライドするには、括弧を明示的に使用します。次のフィルター クエリでは、かっこ内の式が最初に評価されます。

たとえば、(条件 1 または条件 2 ) および条件 3 のようになります

表 3: フィルター ルール

フィルター ルール	例
OR フィルターのコンマを入力します。	名前=テスト、サイトは名前=テストまたは名前=サイトと同じです
括弧を入力して、AND および OR 機能を組み合わせてください。	送信元の国 = フランス AND (イベント名 = RT_Flowsession_Close OR イベント カテゴリ = ファイアウォール)
スペースを含む用語には二重引用符を入力します。	「サンノゼ」

次に、イベント ログ フィルターの例を示します。

• 米国を起点または米国内に上陸する特定のイベント

  送信元の国 = 米国 OR 送信先の国 = 米国 AND イベント名 = IDP_ATTACK_LOG_EVENT、IDP_ATTACK_LOG_EVENT_LS、IDP_APPDDOS_APP_ATTACK_EVENT_LS、IDP_APPDDOS_APP_STATE_EVENT、IDP_APPDDOS_APP_STATE_EVENT_LS、AV_VIRUS_DETECTED_MT、AV_VIRUS_DETECTED、ANTISPAM_SPAM_DETECTED_MT、ANTISPAM_SPAM_DETECTED_MT_LS、FWAUTH_FTP_USER_AUTH_FAIL、 FWAUTH_FTP_USER_AUTH_FAIL_LS、FWAUTH_HTTP_USER_AUTH_FAIL、FWAUTH_HTTP_USER_AUTH_FAIL_LS、FWAUTH_TELNET_USER_AUTH_FAIL、FWAUTH_TELNET_USER_AUTH_FAIL_LS、FWAUTH_WEBAUTH_FAIL,FWAUTH_WEBAUTH_FAIL_LS

• ポリシーのゾーンペア間のトラフィック – IDP2

  送信元ゾーン = 信頼 AND 宛先ゾーン = 信頼できない、内部 AND ポリシー名 = IDP2

• 特定の送信元IPを持つイベント、またはホストDC-SRX1400-1またはvSRX仮想ファイアウォール-75からの未知のアプリケーションや未知のアプリケーションにヒットするイベント。

  アプリケーション = tftp、ftp、http、不明 OR 送信元IP = 192.168.34.10,192.168.1.26 AND ホスト名 = dc-srx1400-1,vSRX 仮想ファイアウォール-75

イベントビューアのロールベースのアクセス制御

ロールベースのアクセス制御 (RBAC) は、イベント ビューアーに次のような影響を与えます。

• イベント・ビューアーにアクセスするには、Security Analyst または Security Architect を持っているか、そのロールと同等の権限を持っている必要があります。

• 他のドメインで作成されたイベント ログは表示できません。ただし、スーパーユーザーまたはグローバルドメインにアクセスできる適切なロールを持つユーザーは、サブドメインが親ドメインを表示して作成されている場合、サブドメインのログを表示できます。

• ログを表示できるのは、アクセス可能でドメインに属するデバイスからのログのみです。

• ポリシーを表示できるのは、編集権限がない場合のみです。

• ログを表示または読み取るには 、[管理] > [ユーザーおよびロール] の下のユーザー ロールで、[イベント ビューアー] > [デバイス ログの表示] オプションが有効になっている必要があります 。