ネットワーク・ファイアウォール・ログの詳細
ネットワーク・ファイアウォール・ログのロギング詳細。脅威ログとトラフィック・ログの2つのタイプの顧客ログを使用できます。
リソース
- NGFW
ログ・カテゴリ
| API値(ID): | コンソール(表示名) | 説明 |
|---|---|---|
| 脅威ログ | 脅威ログ | 受信されたファイアウォールの脅威の詳細を提供します。 |
| 交通ログ | トラフィック・ログ | ファイアウォールを通過するトラフィックの詳細を提供します。 |
可用性
ネットワーク・ファイアウォール・ロギングは、商用レルムのすべてのリージョンで使用できます。
コメント
脅威ログとトラフィック・ログの両方を使用できます。データプレーンから5分間隔でログが顧客に発行されます。データプレーンは、受信時にログも登録します。
ネットワーク・ファイアウォールの脅威ログの内容
| プロパティ | 説明 |
|---|---|
| datetime | ログを受信したときのタイムスタンプ。 |
| action |
セッションに対して実行されるアクション。値は、allow、deny、dropです。
|
| device_name | セッションが記録されたファイアウォールのホスト名。 |
| 方向 |
クライアントからサーバーへ、またはサーバーからクライアントへ、攻撃の方向を示します。
|
| 何番目 | 元のセッションの宛先IPアドレス。 |
| dstloc | 個人住所の搬送先国または内部リージョン。最大長は32バイトです。 |
| ディストユーザー | セッションが宛先になったユーザーのユーザー名。 |
| ファイアウォールID | ファイアウォールのOCID。 |
| プロトコル | セッションに関連付けられたIPプロトコル。 |
| receive_time | ログが管理プレーンで受信された時間。 |
| ルール | セッションが一致したルール名。 |
| セッションID | 各セッションに適用される内部数値識別子。 |
| 重大度 | 脅威に関連付けられている重大度。値は、情報、低、中、高およびクリティカルです。 |
| ソース | 元のセッションソースIPアドレス。 |
| クラウド | 個人住所のソース国または内部リージョン。最大長は32バイトです。 |
| Srcuser | セッションを開始したユーザーのユーザー名。 |
| サブタイプ |
脅威ログのサブタイプ。次の値を使用できます。
|
| thr_category | 様々なタイプの脅威署名を分類するために使用される脅威カテゴリについて説明します。 |
| 脅す |
脅威のPalo Alto Networks識別子。説明文字列の後ろに64ビットの数値識別子が続くサブタイプがあります。
|
| id | ログ・メッセージのUUID。 |
| compartmentid | コンパートメントのOCID |
| 取込み時間 | ロギング・サービスによってログが受信されたときのタイムスタンプ。 |
| loggroupid | ログ・グループのOCID。 |
| logid | ログ・オブジェクトのOCID。 |
| tenantid | テナントのOCID。 |
| source | ファイアウォールのOCID。 |
| specversion | イベントで使用されるCloudEvents仕様のバージョン。コンテキストの解釈を有効にします。 |
| time | ログが書き込まれたタイムスタンプ。 |
| type | ログのタイプ。 |
| regionId | ファイアウォール・リージョンのOCID。 |
ネットワーク・ファイアウォールのトラフィック・ログの内容
| プロパティ | 説明 |
|---|---|
| datetime | ログを受信したときのタイムスタンプ。 |
| action |
セッションに対して実行されるアクション。使用可能な値は:
|
| バイト | セッションの合計バイト数(送信および受信)。 |
| bytes_received | セッションのサーバー対クライアント方向のバイト数。 |
| bytes_sent | セッションのクライアントからサーバーへの方向のバイト数。 |
| チャンク | アソシエーションに対して送受信されたSCTPチャンクの合計。 |
| chunks_received | アソシエーション用に送信されたSCTPチャンクの数。 |
| chunks_sent | アソシエーションに対して受信されたSCTPチャンクの数。 |
| config_ver | 構成バージョン。 |
| device_name | セッションが記録されたファイアウォールのホスト名。 |
| ダバ | セッションで使用される宛先ポート。 |
| 何番目 | 元のセッションの宛先IPアドレス。 |
| dstloc | 個人住所の搬送先国または内部リージョン。最大長は32バイトです。 |
| ファイアウォールID | ファイアウォールのOCID。 |
| パケット | セッションの合計パケット数(送信および受信)。 |
| pkts_received | セッションのサーバーとクライアント間のパケット数。 |
| pkts_sent | セッションのクライアントからサーバーへのパケット数。 |
| プロトコル | セッションに関連付けられたIPプロトコル。 |
| receive_time | ログが管理プレーンで受信された時間。 |
| ルール | セッションが一致したルール名。 |
| rule_uuid | ルールを永続的に識別するUUID。 |
| シリアル | ログを生成したファイアウォールのシリアル番号。 |
| セッションID | 各セッションに適用される内部数値識別子。 |
| Sport | セッションで使用されるソース・ポート。 |
| ソース | 元のセッションソースIPアドレス。 |
| クラウド | 個人住所のソース国または内部リージョン。最大長は32バイトです。 |
| time_received | ログが管理プレーンで受信された時間。 |
| id | ログ・メッセージのUUID。 |
| compartmentid | コンパートメントのOCID |
| 取込み時間 | ロギング・サービスによってログが受信されたときのタイムスタンプ。 |
| loggroupid | ログ・グループのOCID。 |
| logid | ログ・オブジェクトのOCID。 |
| tenantid | テナントのOCID。 |
| source | ファイアウォールのOCID。 |
| specversion | イベントで使用されるCloudEvents仕様のバージョン。コンテキストの解釈を有効にします。 |
| time | ログが書き込まれたタイムスタンプ。 |
| type | ログのタイプ。 |
| regionId | ファイアウォール・リージョンのOCID。 |
ネットワーク・ファイアウォールの脅威ログの例
{
"datetime": 1684255949000,
"logContent": {
"data": {
"action": "reset-both",
"device_name": "<device_name>",
"direction": "server-to-client",
"dst": "192.0.1.168",
"dstloc": "192.0.0.10-192.0.0.11",
"dstuser": "no-value",
"firewall-id": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
"proto": "tcp",
"receive_time": "2023/05/16 16:52:29",
"rule": "<rule_name>",
"sessionid": "11804",
"severity": "medium",
"src": "192.0.2.168",
"srcloc": "192.0.0.1-192.0.0.2",
"srcuser": "no-value",
"subtype": "vulnerability",
"thr_category": "code-execution",
"threatid": "Eicar File Detected"
},
"id": "<unique_ID>",
"oracle": {
"compartmentid": "ocid1.compartment.oc1..<unique_ID>",
"ingestedtime": "2023-05-16T16:56:27.373Z",
"loggroupid": "ocid1.loggroup.oc1.me-jeddah-1.<unique_ID>",
"logid": "ocid1.log.oc1.me-jeddah-1.<unique_ID>",
"tenantid": "ocid1.tenancy.oc1..<unique_ID>"
},
"source": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
"specversion": "1.0",
"time": "2023-05-16T16:52:29.000Z",
"type": "com.oraclecloud.networkfirewall.threat"
},
"regionId": "me-jeddah-1"
}ネットワーク・ファイアウォールのトラフィック・ログの例
{
"datetime": 1684257454000,
"logContent": {
"data": {
"action": "allow",
"bytes": "6264",
"bytes_received": "4411",
"bytes_sent": "1853",
"chunks": "0",
"chunks_received": "0",
"chunks_sent": "0",
"config_ver": "2561",
"device_name": "<device_name>",
"dport": "<port_number>",
"dst": "192.0.1.168",
"dstloc": "192.0.0.1-192.0.0.2",
"firewall-id": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
"packets": "28",
"pkts_received": "12",
"pkts_sent": "16",
"proto": "tcp",
"receive_time": "2023/05/16 17:17:34",
"rule": "<rule_name>",
"rule_uuid": "<rule_unique_ID>",
"serial": "<serial_number>",
"sessionid": "<session_ID>",
"sport": "<port_number>",
"src": "192.0.2.168",
"srcloc": "192.0.0.10-192.0.0.11",
"time_received": "2023/05/16 17:17:34"
},
"id": "<unique_ID>",
"oracle": {
"compartmentid": "ocid1.compartment.oc1..<unique_ID>",
"ingestedtime": "2023-05-16T17:17:58.493Z",
"loggroupid": "ocid1.loggroup.oc1.me-jeddah-1.<unique_ID>",
"logid": "ocid1.log.oc1.me-jeddah-1.<unique_ID>",
"tenantid": "ocid1.tenancy.oc1..<unique_ID>"
},
"source": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
"specversion": "1.0",
"time": "2023-05-16T17:17:34.000Z",
"type": "com.oraclecloud.networkfirewall.traffic"
},
"regionId": "me-jeddah-1"
}