Oracle Cloud Infrastructureドキュメント

ネットワーク・ファイアウォール・ログの詳細

ネットワーク・ファイアウォール・ログのロギング詳細。脅威、トラフィック、トンネル検査ログの3種類の顧客ログを使用できます。

リソース

  • NGFW

ログ・カテゴリ

API値(ID): コンソール(表示名) 説明
脅威ログ 脅威ログ 受信されたファイアウォールの脅威の詳細を提供します。
交通ログ トラフィック・ログ ファイアウォールを通過するトラフィックの詳細を提供します。
美術館 トンネル検査ログ 受信したファイアウォール・トンネル検査ログの詳細を提供します。

可用性

ネットワーク・ファイアウォールのロギングは、商用レルムのすべてのリージョンで使用できます。

コメント

脅威、トラフィック、およびトンネル検査のログを使用できます。ログは、データプレーンから5分間隔で顧客に発行されます。データプレーンは、受信時にログも登録します。

ネットワーク・ファイアウォール脅威ログの内容

プロパティ 説明
datetime ログを受信したときのタイムスタンプ。
action
セッションに対して実行されるアクション。値は、allow、deny、dropです。
  • allow: 洪水検出アラート。
  • deny: フラッド検出メカニズムがアクティブ化され、構成に基づいてトラフィックが拒否されます。
  • drop: 脅威が検出され、関連するセッションが削除されました。
device_name セッションが記録されたファイアウォールのホスト名。
方向
クライアントからサーバーへ、またはサーバーからクライアントへ、攻撃の方向を示します。
  • 0: 脅威の方向はクライアントからサーバーです。
  • 1: 脅威の方向はサーバーとクライアントです。
何番目 元のセッションの宛先IPアドレス。
dstloc 個人住所の搬送先国または内部リージョン。最大長は32バイトです。
ディストユーザー セッションが宛先になったユーザーのユーザー名。
ファイアウォールID ファイアウォールのOCID。
プロトコル セッションに関連付けられたIPプロトコル。
receive_time ログが管理プレーンで受信された時間。
ルール セッションが一致したルール名。
セッションID 各セッションに適用される内部数値識別子。
重大度 脅威に関連付けられている重大度。値は、情報、低、中、高およびクリティカルです。
ソース 元のセッションソースIPアドレス。
クラウド 個人住所のソース国または内部リージョン。最大長は32バイトです。
Srcuser セッションを開始したユーザーのユーザー名。
サブタイプ
脅威ログのサブタイプ。次の値を使用できます。
  • data: データ・フィルタ・プロファイルに一致するデータ・パターン。
  • file: ファイル・ブロッキング・プロファイルに一致するファイル・タイプ。
  • 洪水: ゾーン保護プロファイルによって洪水が検出されました。
  • packet: ゾーン保護プロファイルによってトリガーされるパケットベースの攻撃保護。
  • scan: ゾーン保護プロファイルでスキャンが検出されました。
  • スパイウェア: スパイウェア対策プロファイルによって検出されたスパイウェア。
  • URL: URLフィルタリング・ログ。
  • ウイルス: ウイルス対策プロファイルによってウイルスが検出されました。
  • 脆弱性: 脆弱性保護プロファイルによって検出された脆弱性攻撃。
thr_category 様々なタイプの脅威署名を分類するために使用される脅威カテゴリについて説明します。
脅す
脅威のPalo Alto Networks識別子。説明文字列の後ろに64ビットの数値識別子が続くサブタイプがあります。
  • 8000-8099: スキャンの検出。
  • 8500-8599: 洪水検出。
  • 9999: URLフィルタリング・ログ。
  • 10000-19999: スパイウェアフォンホームの検出。
  • 20000-29999: スパイウェアのダウンロード検出。
  • 30000-44999: 脆弱性エクスプロイト検出。
  • 52000-52999: ファイル・タイプの検出。
  • 60000-69999: データフィルタリングの検出。
id ログ・メッセージのUUID。
compartmentid コンパートメントのOCID
取込み時間 ログがロギング・サービスによって受信されたときのタイムスタンプ。
loggroupid ログ・グループのOCID。
logid ログ・オブジェクトのOCID。
tenantid テナントのOCID。
source ファイアウォールのOCID。
specversion イベントで使用されるCloudEvents仕様のバージョン。コンテキストの解釈を有効にします。
time ログが書き込まれたタイムスタンプ。
type ログのタイプ。
regionId ファイアウォール・リージョンのOCID。

ネットワーク・ファイアウォールの脅威ログの例

{
  "datetime": 1684255949000,
  "logContent": {
    "data": {
      "action": "reset-both",
      "device_name": "<device_name>",
      "direction": "server-to-client",
      "dst": "192.0.1.168",
      "dstloc": "192.0.0.10-192.0.0.11",
      "dstuser": "no-value",
      "firewall-id": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
      "proto": "tcp",
      "receive_time": "2023/05/16 16:52:29",
      "rule": "<rule_name>",
      "sessionid": "11804",
      "severity": "medium",
      "src": "192.0.2.168",
      "srcloc": "192.0.0.1-192.0.0.2",
      "srcuser": "no-value",
      "subtype": "vulnerability",
      "thr_category": "code-execution",
      "threatid": "Eicar File Detected"
    },
    "id": "<unique_ID>",
    "oracle": {
      "compartmentid": "ocid1.compartment.oc1..<unique_ID>",
      "ingestedtime": "2023-05-16T16:56:27.373Z",
      "loggroupid": "ocid1.loggroup.oc1.me-jeddah-1.<unique_ID>",
      "logid": "ocid1.log.oc1.me-jeddah-1.<unique_ID>",
      "tenantid": "ocid1.tenancy.oc1..<unique_ID>"
    },
    "source": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
    "specversion": "1.0",
    "time": "2023-05-16T16:52:29.000Z",
    "type": "com.oraclecloud.networkfirewall.threat"
  },
  "regionId": "me-jeddah-1"
}

ネットワーク・ファイアウォール・トラフィック・ログの内容

プロパティ 説明
datetime ログを受信したときのタイムスタンプ。
action
セッションに対して実行されるアクション。使用可能な値は:
  • allow: ポリシーによって許可されるセッション。
  • deny: セッションがポリシーによって拒否されました。
  • drop: セッションがサイレントに削除されました。
  • drop ICMP: セッションがサイレントに削除され、ホストまたはアプリケーションへのICMPアクセス不能メッセージが表示されます。
  • reset both: セッションが終了し、TCPリセットが接続の両側に送信されます。
バイト セッションの合計バイト数(送信および受信)。
bytes_received セッションのサーバー対クライアント方向のバイト数。
bytes_sent セッションのクライアントからサーバーへの方向のバイト数。
チャンク アソシエーションに対して送受信されたSCTPチャンクの合計。
chunks_received アソシエーション用に送信されたSCTPチャンクの数。
chunks_sent アソシエーションに対して受信されたSCTPチャンクの数。
config_ver 構成バージョン。
device_name セッションが記録されたファイアウォールのホスト名。
ダバ セッションで使用される宛先ポート。
何番目 元のセッションの宛先IPアドレス。
dstloc 個人住所の搬送先国または内部リージョン。最大長は32バイトです。
ファイアウォールID ファイアウォールのOCID。
パケット セッションの合計パケット数(送信および受信)。
pkts_received セッションのサーバーとクライアント間のパケット数。
pkts_sent セッションのクライアントからサーバーへのパケット数。
プロトコル セッションに関連付けられたIPプロトコル。
receive_time ログが管理プレーンで受信された時間。
ルール セッションが一致したルール名。
rule_uuid ルールを永続的に識別するUUID。
シリアル ログを生成したファイアウォールのシリアル番号。
セッションID 各セッションに適用される内部数値識別子。
Sport セッションで使用されるソース・ポート。
ソース 元のセッションソースIPアドレス。
クラウド 個人住所のソース国または内部リージョン。最大長は32バイトです。
time_received ログが管理プレーンで受信された時間。
id ログ・メッセージのUUID。
compartmentid コンパートメントのOCID
取込み時間 ログがロギング・サービスによって受信されたときのタイムスタンプ。
loggroupid ログ・グループのOCID。
logid ログ・オブジェクトのOCID。
tenantid テナントのOCID。
source ファイアウォールのOCID。
specversion イベントで使用されるCloudEvents仕様のバージョン。コンテキストの解釈を有効にします。
time ログが書き込まれたタイムスタンプ。
type ログのタイプ。
regionId ファイアウォール・リージョンのOCID。

ネットワーク・ファイアウォールのトラフィック・ログの例

{
  "datetime": 1684257454000,
  "logContent": {
    "data": {
      "action": "allow",
      "bytes": "6264",
      "bytes_received": "4411",
      "bytes_sent": "1853",
      "chunks": "0",
      "chunks_received": "0",
      "chunks_sent": "0",
      "config_ver": "2561",
      "device_name": "<device_name>",
      "dport": "<port_number>",
      "dst": "192.0.1.168",
      "dstloc": "192.0.0.1-192.0.0.2",
      "firewall-id": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
      "packets": "28",
      "pkts_received": "12",
      "pkts_sent": "16",
      "proto": "tcp",
      "receive_time": "2023/05/16 17:17:34",
      "rule": "<rule_name>",
      "rule_uuid": "<rule_unique_ID>",
      "serial": "<serial_number>",
      "sessionid": "<session_ID>",
      "sport": "<port_number>",
      "src": "192.0.2.168",
      "srcloc": "192.0.0.10-192.0.0.11",
      "time_received": "2023/05/16 17:17:34"
    },
    "id": "<unique_ID>",
    "oracle": {
      "compartmentid": "ocid1.compartment.oc1..<unique_ID>",
      "ingestedtime": "2023-05-16T17:17:58.493Z",
      "loggroupid": "ocid1.loggroup.oc1.me-jeddah-1.<unique_ID>",
      "logid": "ocid1.log.oc1.me-jeddah-1.<unique_ID>",
      "tenantid": "ocid1.tenancy.oc1..<unique_ID>"
    },
    "source": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
    "specversion": "1.0",
    "time": "2023-05-16T17:17:34.000Z",
    "type": "com.oraclecloud.networkfirewall.traffic"
  },
  "regionId": "me-jeddah-1"
}

ネットワーク・ファイアウォール・トンネルの検査ログの内容

プロパティ 説明
src セッション内のパケットのソースIPアドレス。
dst セッション内のパケットの宛先IPアドレス。
receive_time ログが管理プレーンで受信された月、日および時間。
ルール セッションで有効なセキュリティ・ポリシー・ルールの名前。
srcloc プライベート住所のソース国または内部リージョン。最大長は32バイトです。
dstloc プライベート住所の宛先国または内部リージョン。最大長は32バイトです。
sessionid 記録されるセッションのセッションID。
プロトコル セッションに関連付けられたIPプロトコル。
action セッションに対して実行されるアクション。可能な値は次のとおりです:
  • 許可
  • 拒否
  • 削除
  • 即時ダウンロード
  • 両方をリセット
  • リセット・クライアント
  • サーバーをリセット
直列 ログを生成したファイアウォールのシリアル番号。
スポーツ セッションで使用されるソース・ポート。
dport セッションで使用される宛先ポート。
device_name セッションがログに記録されたファイアウォール・ホスト名。
bytes セッション内のバイト数。
bytes_sent セッションのクライアントからサーバーへの方向でのバイト数。
bytes_received セッションのサーバーとクライアント方向のバイト数。
パケット セッションの合計パケット数(送信および受信)。
pkts_sent セッションのクライアントからサーバーへのパケット数。
pkts_received セッションのサーバーとクライアントのパケット数。
アプリケーション セッションで識別されるアプリケーション。
トンネリ 検査中のトンネルIDまたはモバイル・ユーザーの国際モバイル・サブスクライバID (IMSI) ID。
モニタータグ トンネル検査ポリシー・ルールまたはモバイル・デバイスの国際モバイル機器ID (IMEI) IDに対して構成されたモニター名。
parent_session_id 特定のセッションがトンネリングされるセッションID。内部トンネル(2レベルのトンネリングの場合)または内部コンテンツ(1レベルのトンネリングの場合)にのみ適用されます。
parent_start_time 親トンネル・セッションが開始した年/月/日時間: 分: 秒。
tunnel VXLANなどのトンネルタイプ。
max_encap パケットがトンネル検査ポリシー・ルールで構成されているカプセル化レベルの最大数を超えたため、ファイアウォールがドロップしたパケット数(最大トンネル検査レベルを超えた場合はパケットを削除します)。
unknown_proto トンネル検査ポリシー・ルールで有効になっているように、パケットに不明なプロトコルが含まれているためにファイアウォールがドロップしたパケットの数(不明なプロトコルがトンネルの内部にある場合はパケットを削除します)。
strict_check パケット内のトンネル・プロトコル・ヘッダーがトンネル検査ポリシー・ルールで有効になっているとおりに、トンネル・プロトコルのRFCに準拠できなかったためにファイアウォールがドロップしたパケットの数(トンネル・プロトコルが厳密なヘッダー・チェックに失敗した場合はパケットを削除します)。
tunnel_fragment 断片化エラーのためにファイアウォールがドロップしたパケットの数。
tunnel_insp_rule クリア・テキスト・トンネル・トラフィックに一致するトンネル検査ルールの名前。

ネットワーク・ファイアウォール・トンネルの検査ログの例

{
  "datetime": 1729056482000,
  "logContent": {
    "data": {
      "action": "allow",
      "app": "vxlan",
      "bytes": "58385",
      "bytes_received": "0",
      "bytes_sent": "58385",
      "device_name": "PA-VM",
      "dport": "<destination_port>",
      "dst": "<destination_IP>",
      "dstloc": "10.0.0.0-10.255.255.255",
      "firewall-id": "ocid1.networkfirewall.oc1.us-sanjose-1.<unique_ID>",
      "max_encap": "0",
      "monitortag": "<unique_ID>",
      "packets": "31",
      "parent_session_id": "0",
      "parent_start_time": "no-value",
      "pkts_received": "0",
      "pkts_sent": "31",
      "proto": "udp",
      "receive_time": "2024/10/16 05:28:02",
      "rule": "<rule_name>",
      "serial": "<unique_ID>",
      "sessionid": "10",
      "sport": "0",
      "src": "<source_IP>",
      "srcloc": "10.0.0.0-10.255.255.255",
      "strict_check": "0",
      "tunnel": "tunnel",
      "tunnel_fragment": "0",
      "tunnel_insp_rule": "allow-tunnel-inspect-rule",
      "tunnelid": "<unique_ID>",
      "unknown_proto": "0"
    },
    "id": "<unique_ID>",
    "oracle": {
      "compartmentid": "ocid1.compartment.oc1..<unique_ID>",
      "ingestedtime": "2024-10-16T05:29:28.543Z",
      "loggroupid": "ocid1.loggroup.oc1.us-sanjose-1.<unique_ID>",
      "logid": "ocid1.log.oc1.us-sanjose-1.<unique_ID>",
      "tenantid": "ocid1.tenancy.oc1..<unique_ID>"
    },
    "source": "ocid1.networkfirewall.oc1.us-sanjose-1.<unique_ID>",
    "specversion": "1.0",
    "time": "2024-10-16T05:28:02.000Z",
    "type": "com.oraclecloud.networkfirewall.tunnel"
  },
  "regionId": "us-sanjose-1"
}