| Oracle® Database Firewall管理ガイド リリース5.1 B66170-01 |
|
 前 |
 次 |
この付録の内容は、次のとおりです。
syslogメッセージ形式は、RFC 3164に記載されている一般に認知された業界の慣行と一致しています。
この付録では、Oracle Database FirewallおよびOracle Database Firewall Management Serverによって生成されるsyslogメッセージについて説明します。syslogメッセージには、アラート、定期的に更新される統計およびハートビート・メッセージが格納されています。Oracle Database Firewallは、syslogメッセージをリアルタイムで更新します。
監視対象の保護されたデータベースが1000を超えるアラートを1分以内に受け取った場合、後続のアラートはsyslogメッセージに表示されません。この場合、次のメッセージがsyslogに書き込まれます。
WARN - More than 1000 alerts in the last minute. Subsequent alerts will not be processed.
message = date time hostname source num: DBFW:id message_text
詳細は、次のとおりです。
messageはsyslogメッセージです。最初のコロンまでのデータがメッセージ・ヘッダーで、最初のコロンより後のデータがメッセージ本文です。メッセージ本文の「DBFW」というテキストは、そのsyslogメッセージがOracle Database Firewallからのメッセージであることを示します。messageの最大長は1024バイトです。
dateは、メッセージが生成された日付です。
timeは、メッセージが生成された日付です。
hostnameは、メッセージを生成したシステムのホスト名です。
sourceは、「dbaudit」となるDBFW:8を除く「DBFW」です。
numは、メッセージを生成した強制ポイントのインスタンス番号です。
idは1~12の範囲のメッセージ識別子で、message_textで記述されているメッセージのタイプを示します。各メッセージ識別子の意味は、後続の項で説明します。
message_textはメッセージ・テキストで、メッセージのタイプによって異なります。
次に例を示します。
Aug 15 11:02:57 DBFW DBFW1: DBFW:1 Configuration file reloaded
メッセージ識別子3は、ハートビート・メッセージ用の識別子で、動作していることを示すためにOracle Database Firewallによって送信され、通過した文の数やブロックされた文の数など、現在のカウンタが提供されます。メッセージ・テキストには、多数のフィールドが空白で区切られて格納されます。
message_text = timestamp known_blocked known_warned known_passed unseen_blocked unseen_warned unseen_passed reset_time resilience_mode
次に例を示します。
Aug 15 11:02:57 DBFW DBFW1: DBFW:3 1147344001.516 0 0 0 6067 0 0 1147367001.097 0
詳細は、次のとおりです。
timestampは、ハートビートが生成された1970年1月1日以降の秒数で、sec.msecの形式で表されます。secの値は秒数の整数部で、msecは小数部(ミリ秒)です。
known_blockedは、監視開始以降にブロックされた既知の文の数を示す整数です。
known_warnedは、監視開始以降に警告が生成された既知の文の数を示す整数です。
known_passedは、監視開始以降に通過した既知の文の数を示す整数です。
unseen_blockedは、監視開始以降にブロックされた認知されていない文の数を示す整数です。
unseen_warnedは、監視開始以降に警告が生成された認知されていない文の数を示す整数です。
unseen_passedは、監視開始以降に通過した認知されていない文の数を示す整数です。
reset_timeは、1970年1月1日からカウンタが最後にリセットされた時点までの秒数で、sec.msecの形式で表されます。secの値は秒数の整数部で、msecは小数部(ミリ秒)です。
resilience_modeは、デバイスが、レジリエント・セットで現在アクティブなデバイス(0)であるか、現在パッシブなデバイス(1)であるかを示す整数です。デバイスがレジリエント・セットにない場合、値は0です。Oracle Database Firewallの現在のバージョンでは、この設定は常に0になります。
メッセージ識別子4は、使用されるベースラインの変更やIPアドレスの変更など、デバイスのプロパティ値の変更を示すメッセージに使用されます。メッセージ・テキストには、空白で区切られた多数のフィールドが含まれています。
message_text = timestamp category name value comment
次に例を示します。
Aug 15 11:02:57 DBFW DBFW1: DBFW:4 1147344001.516 "category" "name" "value" "My comment is %22Hello World%22"
詳細は、次のとおりです。
timestampは、変更が発生した1970年1月1日以降の秒数で、sec.msecの形式で表されます。secの値は秒数の整数部で、msecは小数部(ミリ秒)です。
categoryは、適用された変更の一般的なタイプを示し、引用符で囲まれて表記されます。最大30文字の文字列を含めることができます。引用符(")、パーセント(%)、および32未満または126より大きいASCII値の任意の文字が、16進にエンコードされます(例: %22は引用符に使用されます)。
nameはプロパティの名前で、引用符で囲まれて表記されます(最大30文字)。16進エンコードはcategoryの場合と同じです。
valueはプロパティの新しい値で、引用符で囲まれて表記されます(最大30文字)。16進エンコードは、categoryの場合と同じです。
commentは変更担当者が追加したコメントで、引用符で囲まれて表記されます(最大30文字)。16進エンコードは、categoryの場合と同じです。
このメッセージは、ストアド・プロシージャの監査またはユーザー・ロールの監査が完了したときに送信されます(それぞれ第5章「ストアド・プロシージャ監査の構成」および第6章「ロール監査の構成および使用」を参照)。
message_text = object_type type_of_scan audit_completion_flag target_database database_type protected_database audit_start_time object_collected_time audit_end_time database_counter database_object_counter new_counter modified_counter deleted counter unchanged_counter
次に例を示します。
Aug 15 11:02:57 multi000c2937e324 dbaudit1: DBFW:8 1 1 1 "192.168.0.57:5000/" 5 "test_pdb" 2009-03-24T11:59:59.123 2009-03-24T11:59:59.777 2009-03-24T11:59:59.801 15 2234 1000 0 0 1234
詳細は、次のとおりです。
object_typeは、ストアド・プロシージャの場合は1、ユーザー・ロールの場合は2です。
type_of_scanは、手動スキャンの場合は0、スケジュールされたスキャンの場合は2です。
audit_completion_flagは、失敗の場合は0、成功の場合は1です。
target_databaseは、監査対象データベースの接続文字列です。
database_typeは、Microsoft SQL Serverの場合は1、Oracleの場合は2、Sybase ASEの場合は5、Sybase SQL Anywhereの場合は6です。
protected_databaseは、保護対象データベースの名前です(管理コンソールに表示されます)。
audit_start_timeは、監査の開始時刻です。
object_collected_timeは、データベースからすべての情報が収集された時刻です。
audit_end_timeは、監査の終了時刻です。
database_counterは、検出されて、問合せが実行されたデータベースの数です。
database_object_counterは、このスキャンで(データベースの完全なセットで)検出されたオブジェクトの数です。
new_counterは、前回のスキャン以降に作成されたオブジェクトの数です。
modified_counterは、前回のスキャン以降に変更されたオブジェクトの数です。
deleted_counterは、前回のスキャン以降に削除されたオブジェクトの数です。
unchanged_counterは、前回のスキャンから変更されていないオブジェクトの数です。
メッセージ識別子9は、SQL文を受信した後にOracle Database Firewallが実行した特定のアクションからの結果のメッセージを示します。メッセージ・テキストには、空白で区切られた多数のフィールドが含まれています。
message_text = action timestamp cluster_id threat_severity logging_level db_client_ip db_client_port db_server_ip db_server_port user_name database_name statement_id event_status database_status_code database_status_detail database_response_text statement
次に例を示します。
Nov 9 15:02:56 multi000c29198b62 DBFW1: DBFW:9 2 1257778976.429 4 4 3 "192.168.100.99" 1138 "192.168.100.100" 5000 "sa" "" 4af82f20df900003 2 14216 "Severity: 16" "Function 'db_property' not found." "SELECT db_property('name')"
詳細は、次のとおりです。
actionは、1 = 既知のブロック、2 = 既知のアラート、3 = 未知のブロック、4 = 未知のアラートのいずれかです。
timestampは、アラートが発生した1970年1月1日以降の秒数で、sec.msecの形式で表されます。secの値は秒数の整数部で、msecは小数部(ミリ秒)です。
cluster_idは、文が属するクラスタのIDを示す整数です。
threat_severityは、メッセージの脅威の重大度を示す0~5の範囲の整数です。5の値が最も重大です。
logging_levelは、メッセージのロギングを示す1~5の範囲の整数で、1 = ロギングなし、2 = サンプル・ロギング、3 = 常にロギング、5 = 一意のロギングです。
db_client_ipはメッセージを送信したクライアントのIPアドレスで、引用符で囲まれて表記されます。
db_client_portは、文の作成元データベース・クライアントのポート番号を示す整数です。
db_server_ipはデータベース・サーバーのIPアドレスで、引用符で囲まれて表記されます。
db_server_portは、データベース管理システムのポート番号を示す整数です。
user_nameは、アラートが発行された文が存在するセッションに関連付けられているデータベース・ユーザーです。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
database_nameは、アラートが発行された文が存在するセッションに関連付けられているデータベースの名前です。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
statement_idは、監視対象のSQL文の一意の16進数です。
event_statusは、文に対するデータベース・レスポンスを示す整数で(第10章「データベース・レスポンス・モニタリングの構成および使用」を参照)、1 = 成功、2 = 失敗、3 = データベース・レスポンス・モニタリングはオフ、4 = レスポンス未検出のいずれかです。
database_status_codeは、データベースが返したステータス・コードを示す整数です。これは、データベース・レスポンス・モニタリングがオンになっている場合にのみ適用されます。
database_status_detailは、データベースから返された詳細なレスポンス文字列(データベース・ステータス・コードやエラーの重大度など)です。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
database_response_textは、データベースから返されたレスポンス文字列(データベース・クライアントに対するテキスト)です。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
statementはアラートの原因となった文で、引用符で囲まれて表記されます(UTF-8エンコード)。文字列は、最大1024文字になるように切り捨てられる可能性があります(必要な場合は最後に引用符(")が挿入されます)。バックスラッシュ(\)文字には、前に追加のバックスラッシュが付きます(\\)。引用符(")には、前にバックスラッシュが付きます(\")。00~1fの16進文字コードは、\x00~\x1fの文字列に置換されます。7fの16進文字の値は\x7fに置換されます。
メッセージ識別子10は、F5 BIG-IP ASM Webアプリケーション・ファイアウォールからのアラートに起因するメッセージおよびデータベース・レスポンス情報を示します。メッセージ・テキストには、空白で区切られた多数のフィールドが含まれています。
message_text = action timestamp cluster_id threat_severity logging_level db_client_ip db_client_port db_server_ip db_server_port user_name database_name statement_id event_status database_status_code database_status_detail database_response_text web_user_name request response_code method protocol URL query_string web_application_name unit_host_name management_IP_address policy_name policy_apply_date support_id request_blocked session_cookies referrer http_host http_user_agent primary_violation cardinal_ip_address match_result statement
次に例を示します。
Nov 9 16:02:32 multi000c29198b62 DBFW1: DBFW:10 2 1257782551.757 9 4 3 "192.168.100.99" 1138 "192.168.100.100" 5000 "sa" "" 4af83d17f9200006 1 0 "" "" "Unknown_2" "GET /SearcStr.asp?txtSrc=CLASS+%27+or+1%3D1--+ HTTP/1.1\x0d\x0aAccept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*\x0d\x0aReferer: http://10.190.0.203/SearcStr.asp?txtSrc=GEEZER+%27+or+1%3D1--+\x0d\x0aAccept-Language: en-gb\x0d\x0aUA-CPU: x86\x0d\x0aAccept-Encoding: gzip, deflate\x0d\x0aUser-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)\x0d\x0aHost: 10.190.0.203\x0d\x0aConnection: Keep-Alive\x0d\x0aCookie: A-P$X123=123abc4561\x0d\x0a\x0d\x0a" "200" "GET" "HTTP" "/SearcStr.asp" "TaskIndex=3&TaskHTML=CACancelNoFields&TaskSectionReference=&TaskStreamType=Rule-Obj-FlowAction&TaskStatus=CAEndInteraction&TaskInstructions=&TaskHelpPresent=false&TaskHelpType=&TaskInstructionsCaption=Instructions&%24PpyWorkPage%24pCancelNotes=%27+or+1%3D1%0D%0A%3Ch1%3E+Hello+%3C%2Fh1%3E&fred=sp_jdbc_getcatalogs" "toolshed_class" "BIGIPASM01.SomeDomain.COM" "192.168.0.178" "toolshed_policy" "2008-10-10 16:02:59" "3776479346538055214" "" "" "http://10.190.0.203/SearcStr.asp?txtSrc=GEEZER+%27+or+1%3D1--+" "10.190.0.203" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)" "Illegal meta character in parameter value" "10.190.0.3" "2" "rpc sp_jdbc_getcatalogs"
詳細は、次のとおりです。
actionは、1 = 既知のブロック、2 = 既知のアラート、3 = 未知のブロック、4 = 未知のアラート、5 = 既知の通過、6 = 未知の通過のいずれかです。
timestampはアラートが発生した1970年1月1日以降の秒数で、sec.msecの形式で表されます。secの値は秒数の整数部で、msecは小数部(ミリ秒)です。
cluster_idは、文が属するクラスタのIDを示す整数です。
threat_severityは、メッセージの脅威の重大度を示す0~5の範囲の整数です。5の値が最も重大です。
logging_levelは、メッセージのロギングを示す1~5の範囲の整数で、1 = ロギングなし、2 = サンプル・ロギング、3 = 常にロギング、5 = 一意のロギングです。
db_client_ipはメッセージを送信したクライアントのIPアドレスで、引用符で囲まれて表記されます。
db_client_portは、文の作成元データベース・クライアントのポート番号を示す整数です。
db_server_ipはデータベース・サーバーのIPアドレスで、引用符で囲まれて表記されます。
db_server_portは、データベース管理システムのポート番号を示す整数です。
user_nameは、アラートが発行された文が存在するセッションに関連付けられているデータベース・ユーザーです。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
database_nameは、アラートが発行された文が存在するセッションに関連付けられているデータベースの名前です。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
statement_idは、文の一意の16進数です。
event_statusは、文に対するデータベース・レスポンスを示す整数で(第10章「データベース・レスポンス・モニタリングの構成および使用」を参照)、1 = 成功、2 = 失敗、3 = データベース・レスポンス・モニタリングはオフ、4 = レスポンス未検出のいずれかです。
database_status_codeは、データベースが返したステータス・コードを示す整数です。これは、データベース・レスポンス・モニタリングがオンになっている場合にのみ適用されます。
database_status_detailは、データベースから返された詳細なレスポンス文字列(データベース・ステータス・コードやエラーの重大度など)です。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
database_response_textは、データベースから返されたレスポンス文字列(データベース・クライアントに対するテキスト)です。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
web_user_nameはメッセージを作成元Webアプリケーション・ユーザーの名前で、引用符で囲まれて表記されます。16進エンコードはstatementの場合と同じです。XREFの詳細は、付録11にある「属性の理解」を参照してください。
requestは、BIG-IP ASMのrequest属性です。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
response_codeは、BIG-IP ASMのresponse_code属性です。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
methodは、BIG-IP ASMのmethod属性です。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
protocolは、BIG-IP ASMのprotocol属性です。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
URLは、BIG-IP ASMのuri属性です。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
query_stringは、BIG-IP ASMのquery_string属性です。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
web_application_nameは、BIG-IP ASMのweb_application_name属性から取得したWebアプリケーションの名前です。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
unit_host_nameは、BIG-IP ASMのunit_hostname属性です。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
management_IP_addressはBIG-IP ASMのmanagement_ip_address属性で、引用符で囲まれて表記されます。
policy_nameは、BIG-IP ASMのpolicy_name属性です。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
policy_apply_dateは、BIG-IP ASMのpolicy_apply_date属性です。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
support_idは、BIG-IP ASMのsupport_id属性です。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
request_blockedは、BIG-IP ASMのrequest_blocked属性です。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
session_cookiesは、HTTPリクエストのヘッダーから抽出されたユーザー識別のCookieを示します。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
referrerは、HTTPリクエストのヘッダーから抽出されたリファラの名前です。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
http_hostは、HTTPリクエストのヘッダーから抽出されたホスト名です。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
http_user_agentは、HTTPリクエストのヘッダーから抽出されたユーザー・エージェントの名前です。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
primary_violationはこの文に関連付けられているBIG-IP ASM違反で、Database Firewallソフトウェアでは最も重要な違反として処理されます。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
cardinal_ip_addressはIPアドレスで、Database Firewallソフトウェアではクライアントの識別にとって最も重要なアドレスと見なされています。クライアントHTTPリクエストは、プロキシを介して複数回転送されている可能性があります。
match_resultは、BIG-IP ASM syslogメッセージがSQL文に正常に一致したかどうかを示す整数です。1 = ポリシー競合、2 = ポリシー確認済、3 = WAFブロックされたリクエスト、4 = WAFでマスクされたデータと不一致、5 = 一致なし。XREFの詳細は、付録11にある「属性の理解」を参照してください。
statementはアラートの原因となった文で、引用符で囲まれ、UTF-8の16進エンコードで表記されます。文字列は、最大1024文字になるように切り捨てられる可能性があります(必要な場合は最後に引用符(")が挿入されます)。バックスラッシュ(\)文字には、前に追加のバックスラッシュが付きます(\\)。引用符(")には、前にバックスラッシュが付きます(\")。00~1fの16進文字コードは、\x00~\x1fに置換されます。
メッセージ識別子11は、Oracle Database Firewallがユーザー・ログイン・リクエストを識別したことを示します。データベース・レスポンス・モニタリングがオンに切り替わると(第10章「データベース・レスポンス・モニタリングの構成および使用」を参照)、アラートにデータベース・レスポンス情報が含まれるようになります。メッセージ・テキストには、空白で区切られた多数のフィールドが含まれています。
message_text = action timestamp threat_severity logging_level db_client_ip db_client_port db_server_ip db_server_port user_name database_name event_id connect_seen failure_threshold threshold_count event_status database_status_code database_status_detail database_response_text
次に例を示します。
Nov 9 16:21:18 multi000c29198b62 DBFW1: DBFW:11 2 1257783678.266 3 1 "192.168.100.99" 1137 "192.168.100.100" 5000 "sa" "" 4af8417e6e300001 1 0 0 2 4002 "Severity: 14" "Login failed.\x0a"
詳細は、次のとおりです。
actionは、1 = アラートなし、2 = 常にアラート、3 = リクエスト成功時にアラート、4 = リクエスト失敗時にアラート、5 = ブロック・リクエストのいずれかです。
timestampはアラートが発生した1970年1月1日以降の秒数で、sec.msecの形式で表されます。secの値は秒数の整数部で、msecは小数部(ミリ秒)です。
threat_severityは、メッセージの脅威の重大度を示す0~5の範囲の整数です。5の値が最も重大です。
logging_levelは、メッセージのロギングを示す整数(0 = トラフィック・ログに記録しない、1 = トラフィック・ログに記録する)です。
db_client_ipはメッセージを送信したクライアントのIPアドレスで、引用符で囲まれて表記されます。
db_client_portは、文の作成元データベース・クライアントのポート番号を示す整数です。
db_server_ipはデータベース管理システムのIPアドレスで、引用符で囲まれて表記されます。
db_server_portは、データベース管理システムのポート番号を示す整数です。
user_nameは、アラートが発行された文が存在するセッションに関連付けられているデータベース・ユーザーです。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
database_nameは、アラートが発行された文が存在するセッションに関連付けられているデータベースの名前です。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
event_idは、イベントの一意の16進数です。
connect_seenは、セッションの間、Oracle Database Firewallがセッション接続を検出したかどうかを示す整数です。0 = 接続の検出なし、1 = 接続の検出あり。
failure_thresholdは、ポリシーの変更(おそらくログインのブロック)をトリガーする連続したログイン失敗の回数を示す整数です。
threshold_countは、連続してログインに失敗した現在の回数を示す整数です。
event_statusは、文に対するデータベース・レスポンスを示す整数(1 = 成功、2 = 失敗、3 = データベース・レスポンス・モニタリングはオフ、4 = レスポンス未検出、5 = リクエストはブロック)です。
database_status_codeは、データベースが返したステータス・コードを示す整数です。
database_status_detailは、データベースから返された詳細なレスポンス文字列(データベース・ステータス・コードやエラーの重大度など)です。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
database_response_textは、データベースから返されたレスポンス文字列(データベース・クライアントに対するテキスト)です。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
メッセージ識別子12は、Oracle Database Firewallが識別したユーザー・ログアウト・リクエストを示します。データベース・レスポンス・モニタリングがオンに切り替わると(第10章「データベース・レスポンス・モニタリングの構成および使用」を参照)、アラートにデータベース・レスポンス情報が含まれるようになります。メッセージ・テキストには、空白で区切られた多数のフィールドが含まれています。
message_text = action timestamp threat_severity logging_level db_client_ip db_client_port db_server_ip db_server_port user_name database_name event_id logout_seen end_of_session_seen session_dropped_seen
次に例を示します。
Nov 10 09:34:46 multi000c29198b62 DBFW1: DBFW:12 2 1257845676.891 2 1 "192.168.100.99" 1138 "192.168.100.100" 5000 "sa" "" 4af933acb7700006 4af933abfce00003 1 1 0
詳細は、次のとおりです。
actionは、1 = アラートなし、2 = 常にアラートのいずれかです。
timestampはアラートが発生した1970年1月1日以降の秒数で、sec.msecの形式で表されます。secの値は秒数の整数部で、msecは小数部(ミリ秒)です。
threat_severityは、メッセージの脅威の重大度を示す0~5の範囲の整数です。5の値が最も重大です。
logging_levelは、メッセージのロギングを示す整数(0 = トラフィック・ログに記録しない、1 = トラフィック・ログに記録する)です。
db_client_ipはメッセージを送信したクライアントのIPアドレスで、引用符で囲まれて表記されます。
db_client_portは、文の作成元データベース・クライアントのポート番号を示す整数です。
db_server_ipはデータベース管理システムのIPアドレスで、引用符で囲まれて表記されます。
db_server_portは、データベース管理システムのポート番号を示す整数です。
user_nameは、アラートが発行された文が存在するセッションに関連付けられているデータベース・ユーザーです。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
database_nameは、アラートが発行された文が存在するセッションに関連付けられているデータベースの名前です。引用符で囲まれて表記され、statementの場合と同じ16進エンコードが使用されます。
event_idは、イベントの一意の16進数です。
first_event_idは、このセッションについて記録された最初のイベントの一意のイベント識別子です(16進数)。
logout_seenは、セッションの間、Oracle Database Firewallがログアウトを検出したかどうかを示す整数です。0 = ログアウトの検出なし、1 = ログアウトの検出あり。
end_of_session_seenは、セッションの間、Oracle Database Firewallがセッションの終了イベントを検出したかどうかを示す整数です。0 = イベントの検出なし、1 = イベントの検出あり。
session_dropped_seenは、セッションの間、Oracle Database Firewallがセッション・ドロップ・イベントを検出したかどうかを示す整数です。0 = イベントの検出なし、1 = イベントの検出あり。
