Firepower System バージョン 6.3 データベース アクセス ガイド

access_control_policy_name

接続をログに記録したアクセス コントロール ルール（またはデフォルト アクション）を含むアクセス コントロール ポリシー。

access_control_policy_UUID

接続をログに記録したアクセス コントロール ルール（またはデフォルト アクション）を含むアクセス コントロール ポリシーの UUID。

access_control_reason

アクセス コントロール ルールによって接続がログに記録された理由。次の 1 つまたは複数が表示されます。

• IP Block
• IP Monitor
• User Bypass
• File Monitor
• File Block
• Intrusion Monitor
• Intrusion Block
• File Resume Block
• File Resume Allow
• File Custom Detection
• SSL Block
• DNS Block
• DNS Monitor
• URL Block
• URL Monitor
• HTTP Injection
• Intelligent App Bypass
• ログに記録された接続がない場合は空白

access_control_rule_action

アクセス コントロール ルールに関連付けられているアクション（またはデフォルト アクション）： allow 、 block など。

access_control_rule_id

ルールの内部識別番号。

access_control_rule_name

接続をログに記録したアクセス コントロール ルール（またはデフォルト アクション）。

application_protocol_id

アプリケーション プロトコルの内部識別番号。

application_protocol_name

次のいずれかになります。

• アプリケーションの名前（確実な識別が可能な場合）
• unknown （システムが既知のサーバ フィンガープリントに基づいてサーバを識別できない場合）
• pending （システムがさらにデータを必要としている場合）
• 空白（接続にアプリケーション情報がない場合）

bytes_recv

セッション レスポンダが送信した合計バイト数。

bytes_sent

セッション イニシエータが送信した合計バイト数。

cert_valid_end_date

接続で使用された SSL 証明書が有効ではなくなった時点を示す UNIX タイムスタンプ。

cert_valid_start_date

接続で使用された SSL 証明書の発行時点を示す UNIX タイムスタンプ。

client_application_id

侵入イベントで使用されたクライアント アプリケーションの内部識別番号。

client_application_name

侵入イベントで使用されたクライアント アプリケーション（使用可能な場合）。次のいずれかになります。

• アプリケーションの名前（確実な識別が可能な場合）。
• 汎用クライアント名（システムがクライアント アプリケーションを検出したが、特定のアプリケーションであることを識別できない場合）。
• 空白（接続にクライアント アプリケーション情報がない場合）。

client_application_version

クライアント アプリケーションのバージョン。

connection_type

接続情報の検出ソース。次のいずれかを行います。

• rna ：シスコ デバイスで検出された場合
• netflow ：NetFlow 対応デバイスによりエクスポートされる場合

counter

接続イベントに関連する侵入イベントのカウンタ。

dns_ttl

DNS レスポンスの存続期間（秒単位）。

dns_response

DNS 応答。有効な値は次のとおりです。

• 0 ：NoError — エラーなし
• 1 ：FormErr — フォーマット エラー
• 2 ：ServFail — サーバ障害
• 3 ：NXDomain — 存在していないドメイン
• 4 ：NotImp — 未実装
• 5 ：Refused — クエリ拒否
• 6 ：YXDomain — 名前が存在してはならない状況で存在している
• 7 ：YXRRSet — RR セットが存在してはならない状況で存在している
• 8 ：NXRRSet — 存在しているべき RR セットが存在していない
• 9 ：NotAuth — 未承認
• 10 ：NotZone — 名前がゾーンに含まれていない
• 16 ：BADSIG — TSIG 署名失敗
• 17 ：BADKEY — キーが認識されない
• 18 ：BADTIME — 時間範囲外の署名
• 19 ：BADMODE — 不適切な TKEY モード
• 20 ：BADNAME — 重複するキー名
• 21 ：BADALG — サポートされていないアルゴリズム
• 22 ：BADTRUNC — 不適切な切り捨て
• 3841 （NXDOMAIN）：ファイアウォールからの NXDOMAIN 応答
• 3842 ：SINKHOLE — ファイアウォールからのシンクホール応答

domain_name

セッションのドメインの名前。

domain_uuid

セッションのドメインの UUID。これはバイナリで示されます。

endpoint_profile

接続エンドポイントで使用されるデバイスのタイプの名前。

file_count

セッションで Snort によって識別されたファイルの数。セッションで識別されるファイルごと 1 件のレコードが生成されます。

first_packet_sec

セッションの最初のパケットが検出された日時を示す UNIX タイムスタンプ。

flow_id

接続の内部識別番号。

http_response_code

接続での HTTP 要求に対する応答コード。

hostname_in_query

接続が DNS クエリの場合に使用されるホスト名。

icmp_code

イベントが ICMP トラフィックの場合は ICMP コード。イベントが ICMP トラフィックから生成されたものではない場合は null 。

icmp_type

イベントが ICMP トラフィックの場合は ICMP タイプ。イベントが ICMP トラフィックから生成されたものではない場合は null 。

initiator_continent_name

セッションを開始したホストが位置する地域の名前。

** ：不明

na ：北米

as ：アジア

af ：アフリカ

eu ：欧州

sa ：南米

au ：オーストラリア

an ：南極

initiator_country_id

セッションを開始したホストの国のコード。

initiator_country_name

セッションを開始したホストの国の名前。

initiator_ip

バージョン 5.2 で廃止されたフィールド。後方互換性を維持するため、このフィールドの値は null には設定されませんが、信頼できません。

initiator_ip_address

バージョン 5.0 で廃止されたフィールド。すべてのクエリに対して null を返します。

initiator_ipaddr

セッションを開始したホストの IP アドレスのバイナリ表現。

initiator_ipv4

バージョン 5.2 で廃止されたフィールド。すべてのクエリに対して null を返します。

initiator_port

セッション イニシエータが使用するポート。

initiator_user_dept

イニシエータ ホストの最終ログイン ユーザが所属する部門。

initiator_user_email

イニシエータ ホストの最終ログイン ユーザの電子メールアドレス。

initiator_user_first_name

イニシエータ ホストの最終ログイン ユーザの名前。

initiator_user_id

イニシエータ ホストの最終ログイン ユーザの内部識別番号。

initiator_user_last_name

イニシエータ ホストの最終ログイン ユーザの姓。

initiator_user_last_seen_sec

イニシエータ ホストの最終ログイン ユーザのユーザ アクティビティを Firepower システム が最後に検出した日時を示す UNIX タイムスタンプ。

initiator_user_last_updated_sec

イニシエータ ホストの最終ログイン ユーザのユーザ レコードを Firepower システム が最後に更新した日時を示す UNIX タイムスタンプ。

initiator_user_name

イニシエータ ホストの最終ログイン ユーザのユーザ名。

initiator_user_phone

イニシエータ ホストの最終ログイン ユーザの電話番号。

instance_id

イベントを生成した管理対象デバイスの Snort インスタンスの数値 ID。

interface_egress_name

接続に関連付けられた入力インターフェイス。

interface_ingress_name

接続に関連付けられた出力インターフェイス。

ioc_count

接続で検出された侵害の痕跡の数。

ips_event_count

侵入イベントのしきい値に達するまでに、接続で生成された侵入イベントの数。

last_packet_sec

セッションの最後のパケットが検出された日時を示す UNIX タイムスタンプ。

location_ip

ISE と通信するインターフェイスの IP アドレス。IPv4 または IPv6 のアドレスを使用できます。

monitor_rule_id_1

接続に関連付けられている 1 番目のモニタ ルールの ID。この ID は、 monitor_rule_name_1 に格納されている名前に関連付けられています。

monitor_rule_id_2

接続に関連付けられている 2 番目のモニタ ルールの ID。この ID は、 monitor_rule_name_2 に格納されている名前に関連付けられています。

monitor_rule_id_3

接続に関連付けられている 3 番目のモニタ ルールの ID。この ID は、 monitor_rule_name_3 に格納されている名前に関連付けられています。

monitor_rule_id_4

接続に関連付けられている 4 番目のモニタ ルールの ID。この ID は、 monitor_rule_name_4 に格納されている名前に関連付けられています。

monitor_rule_id_5

接続に関連付けられている 5 番目のモニタ ルールの ID。この ID は、 monitor_rule_name_5 に格納されている名前に関連付けられています。

monitor_rule_id_6

接続に関連付けられている 6 番目のモニタ ルールの ID。この ID は、 monitor_rule_name_6 に格納されている名前に関連付けられています。

monitor_rule_id_7

接続に関連付けられている 7 番目のモニタ ルールの ID。この ID は、 monitor_rule_name_7 に格納されている名前に関連付けられています。

monitor_rule_id_8

接続に関連付けられている 8 番目のモニタ ルールの ID。この ID は、 monitor_rule_name_8 に格納されている名前に関連付けられています。

monitor_rule_name_1

接続に関連付けられている 1 番目のモニタ ルールの名前。この名前は、 monitor_rule_id_1 に格納されている ID に関連付けられています。

monitor_rule_name_2

接続に関連付けられている 2 番目のモニタ ルールの名前。この名前は、 monitor_rule_id_2 に格納されている ID に関連付けられています。

monitor_rule_name_3

接続に関連付けられている 3 番目のモニタ ルールの名前。この名前は、 monitor_rule_id_3 に格納されている ID に関連付けられています。

monitor_rule_name_4

接続に関連付けられている 4 番目のモニタ ルールの名前。この名前は、 monitor_rule_id_4 に格納されている ID に関連付けられています。

monitor_rule_name_5

接続に関連付けられている 5 番目のモニタ ルールの名前。この名前は、 monitor_rule_id_5 に格納されている ID に関連付けられています。

monitor_rule_name_6

接続に関連付けられている 6 番目のモニタ ルールの名前。この名前は、 monitor_rule_id_6 に格納されている ID に関連付けられています。

monitor_rule_name_7

接続に関連付けられている 7 番目のモニタ ルールの名前。この名前は、 monitor_rule_id_7 に格納されている ID に関連付けられています。

monitor_rule_name_8

接続に関連付けられている 8 番目のモニタ ルールの名前。この名前は、 monitor_rule_id_8 に格納されている ID に関連付けられています。

netbios_domain

接続で使用された NetBIOS ドメイン。

netflow_dst_as

宛先の NetFlow 自律システム番号、起点またはピア

netflow_dst_mask

Netflow 宛先アドレス プレフィックス マスク。

netflow_dst_tos

パケットが宛先から送信元に流れる場合の IP ヘッダーのタイプ オブ サービス（ToS）。

netflow_snmp_in

送信元から宛先へ流れるパケットが使用するインターフェイスの ID。

netflow_snmp_out

宛先から送信元へ流れるパケットが使用するインターフェイスの ID。

netflow_src_as

送信元の NetFlow 自律システム番号、起点またはピア

netflow_src_mask

Netflow 送信元アドレス プレフィックス マスク。

netflow_src_tos

パケットが送信元から宛先に流れる場合の IP ヘッダーのタイプ オブ サービス（ToS）。

network_analysis_policy_name

侵入イベントを生成した侵入ポリシーに関連付けられているネットワーク分析ポリシー。

network_analysis_policy_UUID

侵入イベントを生成した侵入ポリシーに関連付けられているネットワーク分析ポリシーの UUID。

original_client_continent_name

セッションを最初に開始したホストが位置する地域の名前。

** ：不明

na ：北米

as ：アジア

af ：アフリカ

eu ：欧州

sa ：南米

au ：オーストラリア

an ：南極

このフィールドは接続にプロキシが存在する場合に使用されます。

original_client_country_id

セッションを最初に開始したホストの国コード。このフィールドは接続にプロキシが存在する場合に使用されます。

original_client_country_name

セッションを最初に開始したホストの国名。このフィールドは接続にプロキシが存在する場合に使用されます。

original_client_ipaddr

セッションを最初に開始したホストの IP アドレスのバイナリ表現。このフィールドは接続にプロキシが存在する場合に使用されます。

packets_recv

セッションを開始したホストが受信したパケットの総数。

packets_sent

セッションを開始したホストが送信したパケットの総数。

prefilter_policy_name

侵入イベントを生成したプレフィルタ ポリシーの名前。

prefilter_policy_UUID

侵入イベントを生成したプレフィルタ ポリシーの UUID。

prefilter_rule_id

プレフィルタ/トンネル ルールの整数の ID。

prefilter_rule_name

プレフィルタ/トンネル ルールの名前。

protocol_name

接続で使用されたプロトコルの名前。

protocol_num

プロトコルの IANA 番号。IANA 番号のリストは
http://www.iana.org/assignments/protocol-numbers にあります。

qos_applied_interface_name

QoS が適用されたインターフェイスの名前。

qos_dropped_bytes_recv

QoS によりドロップされたレスポンダ バイト数。

qos_dropped_bytes_sent

QoS によりドロップされたイニシエータ バイト数。

qos_dropped_packets_recv

QoS によりドロップされたレスポンダ パケット数。

qos_dropped_packets_sent

QoS によりドロップされたイニシエータ パケット数。

qos_policy_name

QoS ポリシーの名前。

qos_policy_uuid

QoS ポリシーの UUID。

qos_rule_id

QoS ルールの整数の ID。

qos_rule_name

QoS ルールの名前。

responder_continent_name

セッション イニシエータに対して応答したホストの所在地の地域の名前。

** ：不明

na ：北米

as ：アジア

af ：アフリカ

eu ：欧州

sa ：南米

au ：オーストラリア

an ：南極

responder_country_id

セッション イニシエータに対して応答したホストの国のコード。

responder_country_name

セッション イニシエータに対して応答したホストの国の名前。

responder_ip

バージョン 5.2 で廃止されたフィールド。後方互換性を維持するため、このフィールドの値は null には設定されませんが、信頼できません。

responder_ip_address

バージョン 5.2 で廃止されたフィールド。すべてのクエリに対して null を返します。

responder_ipaddr

セッション イニシエータに対して応答したホストの IPv4 または IPｖ6 アドレスのバイナリ表現。

responder_ipv4

バージョン 5.2 で廃止されたフィールド。すべてのクエリに対して null を返します。

responder_port

セッション レスポンダが使用するポート。

responder_user_dept

セッション イニシエータに対して応答したホストの最終ログイン ユーザの所属部門。

responder_user_email

セッション イニシエータに対して応答したホストの最終ログイン ユーザの電子メールアドレス。

responder_user_first_name

セッション イニシエータに対して応答したホストの最終ログイン ユーザの名前。

responder_user_id

セッション イニシエータに対して応答したホストの最終ログイン ユーザの内部識別番号。

responder_user_last_name

セッション イニシエータに対して応答したホストの最終ログイン ユーザの姓。

responder_user_last_seen_sec

セッション イニシエータに対して応答したホストの最終ログイン ユーザのユーザ アクティビティを Firepower システム が最後に検出した日時を示す UNIX タイムスタンプ。

responder_user_last_updated_sec

セッション イニシエータに対して応答したホストの最終ログイン ユーザのユーザ レコードを Firepower システム が最後に更新した日時を示す UNIX タイムスタンプ。

responder_user_name

セッション イニシエータに対して応答したホストの最終ログイン ユーザのユーザ名。

responder_user_phone

セッション イニシエータに対して応答したホストの最終ログイン ユーザの電話番号。

security_context

トラフィックが通過したセキュリティ コンテキスト（仮想ファイアウォール）の説明。マルチコンテキスト モードの ASA FirePOWER デバイスでは、システムはこのフィールドにのみ入力することに注意してください。

security_group

ネットワーク トラフィック グループの ID 番号。

security_intelligence_category

接続に関連付けられているセキュリティ インテリジェンス カテゴリ。

security_intelligence_ip

セキュリティ インテリジェンスによりモニタされる、接続に関連付けられている IP アドレスが、送信元 IP（ src ）と宛先 IP（ dst ）のいずれであるか。

security_zone_egress_name

接続イベントの出力セキュリティ ゾーン。

security_zone_ingress_name

接続イベントの入力セキュリティ ゾーン。

sensor_address

イベントを生成した管理対象デバイスの IP アドレス。形式は ipv4 address,ipv6 address です。

sensor_name

セッションをモニタした管理対象デバイスの名前。

sensor_uuid

管理対象デバイスの固有識別子（ sensor_name が null の場合は 0 ）。

sinkhole

シンクホール オブジェクトに関連付けられているリビジョン UUID。

source_device

バージョン 5.0 で廃止されたフィールド。すべてのクエリに対して null を返します。

src_device_ip

バージョン 5.2 で廃止されたフィールド。後方互換性を維持するため、このフィールドの値は null には設定されませんが、信頼できません。

src_device_ipaddr

次のいずれかを行います。

• 接続データをエクスポートした NetFlow 対応デバイスの IP アドレスのバイナリ表現。
• 0 （シスコ 管理対象デバイスにより検出される接続の場合）。

src_device_ipv4

• バージョン 5.2 で廃止されたフィールド。すべてのクエリに対して null を返します。

ssl_actual_action

SSL ルールに基づいて接続に対して実行されたアクション。ルールに指定されているアクションが不可能なことがあるため、これは予期していたアクションとは異なることがあります。有効な値は次のとおりです。

• 不明
• Do Not Decrypt
• ブロック（Block）
• Block With Reset
• Decrypt (Known Key)
• Decrypt (Replace Key)
• Decrypt (Resign)

ssl_cipher_suite

SSL 接続で使用される暗号スイート。値は

10 進形式で格納されます。値によって示される暗号スイートについては、

www.iana.org/assignments/tls-parameters/tls-parameters.

xhtml を参照してください。

ssl_expected_action

SSL ルールに基づいて接続に対して実行する必要があるアクション。有効な値は次のとおりです。

• 不明
• Do Not Decrypt
• ブロック（Block）
• Block With Reset
• Decrypt (Known Key)
• Decrypt (Replace Key)
• Decrypt (Resign)

ssl_flow_flags

暗号化接続のデバッグ レベル フラグ。有効な値は次のとおりです。

• 0x00000001 ：NSE_FLOW__VALID — 他のフィールドを有効にするために設定する必要があります
• 0x00000002 ：NSE_FLOW__INITIALIZED — 内部構造が処理可能です
• 0x00000004 ：NSE_FLOW__INTERCEPT — SSL セッションが代行受信されました
• 0x40000000 ：CH_CIPHERS_MODIFIED — client hello で暗号が変更されています。
• 0x80000000 ：CH_CURVES_MODIFIED — client hello で暗号曲線が変更されています。
• 0x100000000 ：CH_TLS_DOWNGRADED — クライアント側の接続の TLS バージョンがダウングレードされました。
• 0x200000000 ：CH_SESSION_ID_ZEROED — client hello でセッション ID が削除されました。
• 0x400000000 ：CH_SESSION_TICKET_ZEROED — client hello のセッション チケットが削除されました。
• 0x800000000 ：CH_EXTENSION_REMOVED — TLS 拡張子が client hello から削除されました。
• 0x1000000000 ：CH_ALPN_MODIFIED — client hello の ALPN 拡張子が変更されました。
• 0x2000000000 ：CH_PADDING_MODIFIED — client hello の padding 拡張子が変更されました。
• 0x4000000000 ：CH_MISMATCH — client hello の時間で使用されるキャッシュ済みのサーバ証明書が変更されました。
• 0x8000000000 ：CH_ALPN_HAS_H2 — client hello の ALPN 拡張子に HTTP/2 が追加されました。
• 0x10000000000 ：SH_ALPN_HAS_H2 — server hello の ALPN 拡張子に HTTP/2 が追加されました。

ssl_flow_messages

SSL ハンドシェイク時にクライアントとサーバ間で交換されたメッセージ。詳細については、 http://tools.ietf.org/html/rfc5246 を参照してください。

• 0x00000001 ：NSE_MT__HELLO_REQUEST
• 0x00000002 ：NSE_MT__CLIENT_ALERT
• 0x00000004 ：NSE_MT__SERVER_ALERT
• 0x00000008 ：NSE_MT__CLIENT_HELLO
• 0x00000010 ：NSE_MT__SERVER_HELLO
• 0x00000020 ：NSE_MT__SERVER_CERTIFICATE
• 0x00000040 ：NSE_MT__SERVER_KEY_EXCHANGE
• 0x00000080 ：NSE_MT__CERTIFICATE_REQUEST
• 0x00000100 ：NSE_MT__SERVER_HELLO_DONE
• 0x00000200 ：NSE_MT__CLIENT_CERTIFICATE
• 0x00000400 ：NSE_MT__CLIENT_KEY_EXCHANGE
• 0x00000800 ：NSE_MT__CERTIFICATE_VERIFY
• 0x00001000 ：NSE_MT__CLIENT_CHANGE_CIPHER_SPEC
• 0x00002000 ：NSE_MT__CLIENT_FINISHED
• 0x00004000 ：NSE_MT__SERVER_CHANGE_CIPHER_SPEC
• 0x00008000 ：NSE_MT__SERVER_FINISHED
• 0x00010000 ：NSE_MT__NEW_SESSION_TICKET
• 0x00020000 ：NSE_MT__HANDSHAKE_OTHER
• 0x00040000 ：NSE_MT__APP_DATA_FROM_CLIENT
• 0x00080000 ：NSE_MT__APP_DATA_FROM_SERVER

ssl_flow_status

SSL フローのステータス。アクションが実行された理由、またはエラー メッセージが出された理由を示す値です。有効な値は次のとおりです。

• 'Unknown'
• 'No Match'
• 'Success'
• 'Uncached Session'
• 'Unknown Cipher Suite'
• 'Unsupported Cipher Suite'
• 'Unsupported SSL Version'
• 'SSL Compression Used'
• 'Session Undecryptable in Passive Mode'
• 'Handshake Error'
• 'Decryption Error'
• 'Pending Server Name Category Lookup'
• 'Pending Common Name Category Lookup'
• 'Internal Error'
• 'Network Parameters Unavailable'
• 'Invalid Server Certificate Handle'
• 'Server Certificate Fingerprint Unavailable'
• 'Cannot Cache Subject DN'
• 'Cannot Cache Issuer DN'
• 'Unknown SSL Version'
• 'External Certificate List Unavailable'
• 'External Certificate Fingerprint Unavailable'
• 'Internal Certificate List Invalid'
• 'Internal Certificate List Unavailable'
• 'Internal Certificate Unavailable'
• 'Internal Certificate Fingerprint Unavailable'
• 'Server Certificate Validation Unavailable'
• 'Server Certificate Validation Failure'
• 'Invalid Action'

ssl_issuer_common_name

SSL 証明書の発行元の共通名。これは一般に証明書発行元のホストとドメイン名ですが、その他の情報が含まれていることもあります。

ssl_issuer_country

SSL 証明書の発行元の国。

ssl_issuer_organization

SSL 証明書の発行元の組織。

ssl_issuer_organization_unit

SSL 証明書の発行元の組織単位。

ssl_policy_action

ルールが一致しない場合のためにポリシーで設定されているデフォルト アクション。

ssl_policy_name

接続を処理した SSL ポリシーの ID 番号。

ssl_policy_reason

SSL ポリシーが SSL セッションをログに記録した理由。

ssl_rule_action

SSL ルールに対しユーザ インターフェイスで選択されたアクション（ allow 、 block など）。

ssl_rule_name

接続を処理した SSL ルールまたはデフォルト アクションの ID 番号。

ssl_serial_number

発行元 CA によって割り当てられた SSL 証明書のシリアル番号。

ssl_server_name

SSL Client Hello でサーバ名に指定された名前。

ssl_subject_common_name

SSL 証明書の件名共通名。これは一般に証明書の件名のホストとドメイン名ですが、その他の情報が含まれていることもあります。

ssl_subject_country

SSL 証明書の件名の国。

ssl_subject_organization

SSL 証明書の件名の組織。

ssl_subject_organization_unit

SSL 証明書の件名の組織単位。

ssl_url_category

サーバ名と証明書の共通名から識別されるフローのカテゴリ。

ssl_version

接続の暗号化に使用された SSL または TLS プロトコル バージョン。

tcp_flags

セッションで検出された TCP フラグ。

url

セッション中にモニタ対象ホストによって要求された URL（使用可能な場合）。

url_category

モニタ対象ホストによって要求された URL のカテゴリ。

url_reputation

モニタ対象ホストによって要求された URL のレピュテーション。次のいずれかが必要です。

• 1 ：高リスク
• 2 ：疑わしいサイト
• 3 ：セキュリティ リスクのある無害なサイト
• 4 ：無害なサイト
• 5 ：既知

web_application_id

Web アプリケーションの内部識別番号。

web_application_name

次のいずれかになります。

• アプリケーションの名前（確実な識別が可能な場合）。
• web browsing （システムがアプリケーション プロトコル HTTP を検出したが、特定の Web アプリケーションを検出できない場合）。
• 空白（接続に HTTP トラフィックがない場合）。

application_protocol_id

または

client_application_id

または

web_application_id

application_info.application_id
application_host_map.application_id
application_tag_map.application_id
rna_host_service_info.application_protocol_id
rna_host_client_app_payload.web_application_id
rna_host_client_app_payload.client_application_id
rna_host_client_app.client_application_id
rna_host_client_app.application_protocol_id
rna_host_service_payload.web_application_id

initiator_ipaddr

または

responder_ipaddr

rna_host_ip_map.ipaddr
user_ipaddr_history.ipaddr

application_protocol_id

アプリケーション プロトコルの内部識別番号。

application_protocol_name

次のいずれかになります。

• アプリケーションの名前（確実な識別が可能な場合）
• unknown （システムが既知のサーバ フィンガープリントに基づいてサーバを識別できない場合）
• pending （システムがさらにデータを必要としている場合）
• 空白（接続にアプリケーション情報がない場合）

bytes_recv

セッション レスポンダが送信した合計バイト数。

bytes_sent

セッション イニシエータが送信した合計バイト数。

connection_type

接続情報の検出ソース。次のいずれかを行います。

• rna ：シスコ デバイスで検出された場合
• netflow ：NetFlow 対応デバイスによりエクスポートされる場合

domain_name

セッションのドメインの名前。

domain_uuid

セッションのドメインの UUID。これはバイナリで示されます。

flow_type

バージョン 5.0 で廃止されたフィールド。すべてのクエリに対して null を返します。

id

接続サマリの内部識別番号。

initiator_ip_address

バージョン 5.2 で廃止されたフィールド。すべてのクエリに対して null を返します。

initiator_ipaddr

セッションを開始したホストの IP アドレスのバイナリ表現。

initiator_user_dept

イニシエータ ホストの最終ログイン ユーザが所属する部門。

initiator_user_email

イニシエータ ホストの最終ログイン ユーザの電子メールアドレス。

initiator_user_first_name

イニシエータ ホストの最終ログイン ユーザの名前。

initiator_user_id

イニシエータ ホストの最終ログイン ユーザの内部識別番号。

initiator_user_last_name

イニシエータ ホストの最終ログイン ユーザの姓。

initiator_user_last_seen_sec

イニシエータ ホストの最終ログイン ユーザのユーザ アクティビティを Firepower システム が最後に検出した日時を示す UNIX タイムスタンプ。

initiator_user_last_updated_sec

イニシエータ ホストの最終ログイン ユーザのユーザ レコードを Firepower システム が最後に更新した日時を示す UNIX タイムスタンプ。

initiator_user_name

イニシエータ ホストの最終ログイン ユーザのユーザ名。

initiator_user_phone

イニシエータ ホストの最終ログイン ユーザの電話番号。

interface_egress_name

接続に関連付けられた入力インターフェイス。

interface_ingress_name

接続に関連付けられた出力インターフェイス。

netmap_num

接続が検出されたドメインの Netmap ID。

num_connections

サマリに含まれる接続の数。長時間接続（複数の接続サマリー間隔にわたる接続）の場合、最初の接続サマリー間隔の分だけ増加します。

original_client_ipaddr

セッションを最初に開始したホストの IP アドレスのバイナリ表現。このフィールドは接続にプロキシが存在する場合に使用されます。

packets_recv

セッション レスポンダが送信した合計パケット数。

packets_sent

セッション イニシエータが送信した合計パケット数。

protocol_name

集約セッションで使用されたプロトコルの名前。

protocol_num

プロトコルの IANA 番号。IANA 番号のリストは
http://www.iana.org/assignments/protocol-numbers にあります。

responder_ip_address

バージョン 5.2 で廃止されたフィールド。すべてのクエリに対して null を返します。

responder_ipaddr

集約されたセッションのイニシエータに応答したホストの IP アドレスのバイナリ表現。

responder_port

集約セッションでレスポンダが使用したポート。

responder_user_dept

集約セッションのイニシエータに対して応答したホストの最終ログイン ユーザの所属部門。

responder_user_email

集約セッションのイニシエータに対して応答したホストの最終ログイン ユーザの電子メールアドレス。

responder_user_first_name

集約セッションのイニシエータに対して応答したホストの最終ログイン ユーザの名前。

responder_user_id

集約セッションのイニシエータに対して応答したホストの最終ログイン ユーザの内部識別番号

responder_user_last_name

集約セッションのイニシエータに対して応答したホストの最終ログイン ユーザの姓。

responder_user_last_seen_sec

集約セッションのイニシエータに対して応答したホストの最終ログイン ユーザのユーザ アクティビティを Firepower システム が最後に検出した日時を示す UNIX タイムスタンプ。

responder_user_last_updated_sec

セッション イニシエータに対して応答したホストの最終ログイン ユーザのユーザ レコードを Firepower システム が最後に更新した日時を示す UNIX タイムスタンプ。

responder_user_name

集約セッションのイニシエータに対して応答したホストの最終ログイン ユーザのユーザ名。

responder_user_phone

集約セッションのイニシエータに対して応答したホストの最終ログイン ユーザの電話番号。

security_zone_egress_name

接続イベントの出力セキュリティ ゾーン。

security_zone_ingress_name

接続イベントの入力セキュリティ ゾーン。

sensor_address

イベントを生成した管理対象デバイスの IP アドレス。形式は ipv4_address,ipv6_address です。

sensor_name

集約セッションをモニタした管理対象デバイスの名前。

sensor_uuid

管理対象デバイスの固有識別子（ sensor_name が null の場合は 0 ）。

source_device

送信元デバイスの ID。これは次のいずれかです。

• 接続のデータをエクスポートした NetFlow 対応デバイスの IP アドレス
• Firepower ：接続が シスコ管理対象デバイスにより検出された場合

start_time_sec

サマリーのセッション集約に使用される 5 分間の間隔の開始時点の日時を示す UNIX タイムスタンプ。

application_protocol_id

application_info.application_id
application_host_map.application_id
application_tag_map.application_id
rna_host_service_info.application_protocol_id
rna_host_client_app_payload.web_application_id
rna_host_client_app_payload.client_application_id
rna_host_client_app.client_application_id
rna_host_client_app.application_protocol_id
rna_host_service_payload.web_application_id

initiator_ipaddr

または

responder_ipaddr

rna_host_ip_map.ipaddr
user_ipaddr_history.ipaddr

access_control_policy_name

接続をログに記録したアクセス コントロール ルール（またはデフォルト アクション）を含むアクセス コントロール ポリシー。

access_control_policy_UUID

接続をログに記録したアクセス コントロール ルール（またはデフォルト アクション）を含むアクセス コントロール ポリシーの UUID。

access_control_reason

アクセス コントロール ルールによって接続がログに記録された理由。次の 1 つまたは複数が表示されます。

• IP Block
• IP Monitor
• User Bypass
• File Monitor
• File Block
• Intrusion Monitor
• Intrusion Block
• File Resume Block
• File Resume Allow
• File Custom Detection
• SSL Block
• DNS Block
• DNS Monitor
• URL Block
• URL Monitor
• HTTP Injection
• Intelligent App Bypass
• ログに記録された接続がない場合は空白

access_control_rule_action

アクセス コントロール ルールに関連付けられているアクション（またはデフォルト アクション）： allow 、 block など。

access_control_rule_id

ルールの内部識別番号。

access_control_rule_name

接続をログに記録したアクセス コントロール ルール（またはデフォルト アクション）。

application_protocol_id

アプリケーション プロトコルの内部識別番号。

application_protocol_name

次のいずれかになります。

• アプリケーションの名前（確実な識別が可能な場合）
• unknown （システムが既知のサーバ フィンガープリントに基づいてサーバを識別できない場合）
• pending （システムがさらにデータを必要としている場合）
• 空白（接続にアプリケーション情報がない場合）

bytes_recv

セッション レスポンダが送信した合計バイト数。

bytes_sent

セッション イニシエータが送信した合計バイト数。

cert_valid_end_date

接続で使用された SSL 証明書が有効ではなくなった時点を示す UNIX タイムスタンプ。

cert_valid_start_date

接続で使用された SSL 証明書の発行時点を示す UNIX タイムスタンプ。

client_application_id

侵入イベントで使用されたクライアント アプリケーションの内部識別番号。

client_application_name

侵入イベントで使用されたクライアント アプリケーション（使用可能な場合）。次のいずれかになります。

• アプリケーションの名前（確実な識別が可能な場合）
• 汎用クライアント名（システムがクライアント アプリケーションを検出したが、特定のアプリケーションであることを識別できない場合）。
• 空白（接続にクライアント アプリケーション情報がない場合）。

client_application_version

クライアント アプリケーションのバージョン。

connection_type

接続情報の検出ソース。次のいずれかを行います。

• rna ：シスコ デバイスで検出された場合
• netflow ：NetFlow 対応デバイスによりエクスポートされる場合

counter

接続イベントに関連する侵入イベントのカウンタ。

dns_ttl

DNS レスポンスの存続期間（秒単位）。

dns_response

DNS 応答。有効な値は次のとおりです。

• 0 ：NoError — エラーなし
• 1 ：FormErr — フォーマット エラー
• 2 ：ServFail — サーバ障害
• 3 ：NXDomain — 存在していないドメイン
• 4 ：NotImp — 未実装
• 5 ：Refused — クエリ拒否
• 6 ：YXDomain — 名前が存在してはならない状況で存在している
• 7 ：YXRRSet — RR セットが存在してはならない状況で存在している
• 8 ：NXRRSet — 存在しているべき RR セットが存在していない
• 9 ：NotAuth — 未承認
• 10 ：NotZone — 名前がゾーンに含まれていない
• 16 ：BADSIG — TSIG 署名失敗
• 17 ：BADKEY — キーが認識されない
• 18 ：BADTIME — 時間範囲外の署名
• 19 ：BADMODE — 不適切な TKEY モード
• 20 ：BADNAME — 重複するキー名
• 21 ：BADALG — サポートされていないアルゴリズム
• 22 ：BADTRUNC — 不適切な切り捨て
• 3841 （NXDOMAIN）：ファイアウォールからの NXDOMAIN 応答
• 3842 ：SINKHOLE — ファイアウォールからのシンクホール応答

domain_name

セッションのドメインの名前。

domain_uuid

セッションのドメインの UUID。これはバイナリで示されます。

endpoint_profile

接続エンドポイントで使用されるデバイスのタイプの名前。

file_count

セッションで Snort によって識別されたファイルの数。セッションで識別されるファイルごと 1 件のレコードが生成されます。

first_packet_sec

セッションの最初のパケットが検出された日時を示す UNIX タイムスタンプ。

http_response_code

接続での HTTP 要求に対する応答コード。

hostname_in_query

接続が DNS クエリの場合に使用されるホスト名。

icmp_code

イベントが ICMP トラフィックの場合は ICMP コード。イベントが ICMP トラフィックから生成されたものではない場合は null 。

icmp_type

イベントが ICMP トラフィックの場合は ICMP タイプ。イベントが ICMP トラフィックから生成されたものではない場合は null 。

initiator_continent_name

セッションを開始したホストの所在地の地域の名前。

** ：不明

na ：北米

as ：アジア

af ：アフリカ

eu ：欧州

sa ：南米

au ：オーストラリア

an ：南極

initiator_country_id

セッションを開始したホストの国のコード。

initiator_country_name

セッションを開始したホストの国の名前。

initiator_ipaddr

セッションを開始したホストの IP アドレスのバイナリ表現。

initiator_port

セッション イニシエータが使用するポート。

initiator_user_dept

イニシエータ ホストの最終ログイン ユーザが所属する部門。

initiator_user_email

イニシエータ ホストの最終ログイン ユーザの電子メールアドレス。

initiator_user_first_name

イニシエータ ホストの最終ログイン ユーザの名前。

initiator_user_id

イニシエータ ホストの最終ログイン ユーザの内部識別番号。

initiator_user_last_name

イニシエータ ホストの最終ログイン ユーザの姓。

initiator_user_last_seen_sec

イニシエータ ホストの最終ログイン ユーザのユーザ アクティビティを Firepower システム が最後に検出した日時を示す UNIX タイムスタンプ。

initiator_user_last_updated_sec

イニシエータ ホストの最終ログイン ユーザのユーザ レコードを Firepower システム が最後に更新した日時を示す UNIX タイムスタンプ。

initiator_user_name

イニシエータ ホストの最終ログイン ユーザのユーザ名。

initiator_user_phone

イニシエータ ホストの最終ログイン ユーザの電話番号。

instance_id

イベントを生成した管理対象デバイスの Snort インスタンスの数値 ID。

interface_egress_name

接続に関連付けられた入力インターフェイス。

interface_ingress_name

接続に関連付けられた出力インターフェイス。

ioc_count

接続で検出された侵害の痕跡の数。

ips_event_count

侵入イベントのしきい値に達するまでに、接続で生成された侵入イベントの数。

last_packet_sec

セッションの最後のパケットが検出された日時を示す UNIX タイムスタンプ。

location_ip

ISE と通信するインターフェイスの IP アドレス。IPv4 または IPv6 のアドレスを使用できます。

monitor_rule_id_1

接続に関連付けられている 1 番目のモニタ ルールの ID。この ID は、 monitor_rule_name_1 に格納されている名前に関連付けられています。

monitor_rule_id_2

接続に関連付けられている 2 番目のモニタ ルールの ID。この ID は、 monitor_rule_name_2 に格納されている名前に関連付けられています。

monitor_rule_id_3

接続に関連付けられている 3 番目のモニタ ルールの ID。この ID は、 monitor_rule_name_3 に格納されている名前に関連付けられています。

monitor_rule_id_4

接続に関連付けられている 4 番目のモニタ ルールの ID。この ID は、 monitor_rule_name_4 に格納されている名前に関連付けられています。

monitor_rule_id_5

接続に関連付けられている 5 番目のモニタ ルールの ID。この ID は、 monitor_rule_name_5 に格納されている名前に関連付けられています。

monitor_rule_id_6

接続に関連付けられている 6 番目のモニタ ルールの ID。この ID は、 monitor_rule_name_6 に格納されている名前に関連付けられています。

monitor_rule_id_7

接続に関連付けられている 7 番目のモニタ ルールの ID。この ID は、 monitor_rule_name_7 に格納されている名前に関連付けられています。

monitor_rule_id_8

接続に関連付けられている 8 番目のモニタ ルールの ID。この ID は、 monitor_rule_name_8 に格納されている名前に関連付けられています。

monitor_rule_name_1

接続に関連付けられている 1 番目のモニタ ルールの名前。この名前は、 monitor_rule_id_1 に格納されている ID に関連付けられています。

monitor_rule_name_2

接続に関連付けられている 2 番目のモニタ ルールの名前。この名前は、 monitor_rule_id_2 に格納されている ID に関連付けられています。

monitor_rule_name_3

接続に関連付けられている 3 番目のモニタ ルールの名前。この名前は、 monitor_rule_id_3 に格納されている ID に関連付けられています。

monitor_rule_name_4

接続に関連付けられている 4 番目のモニタ ルールの名前。この名前は、 monitor_rule_id_4 に格納されている ID に関連付けられています。

monitor_rule_name_5

接続に関連付けられている 5 番目のモニタ ルールの名前。この名前は、 monitor_rule_id_5 に格納されている ID に関連付けられています。

monitor_rule_name_6

接続に関連付けられている 6 番目のモニタ ルールの名前。この名前は、 monitor_rule_id_6 に格納されている ID に関連付けられています。

monitor_rule_name_7

接続に関連付けられている 7 番目のモニタ ルールの名前。この名前は、 monitor_rule_id_7 に格納されている ID に関連付けられています。

monitor_rule_name_8

接続に関連付けられている 8 番目のモニタ ルールの名前。この名前は、 monitor_rule_id_8 に格納されている ID に関連付けられています。

netbios_domain

接続で使用された NetBIOS ドメイン。

netflow_dst_as

宛先の NetFlow 自律システム番号、起点またはピア

netflow_dst_mask

Netflow 宛先アドレス プレフィックス マスク。

netflow_dst_tos

パケットが宛先から送信元に流れる場合の IP ヘッダーのタイプ オブ サービス（ToS）。

netflow_snmp_in

送信元から宛先へ流れるパケットが使用するインターフェイスの ID。

netflow_snmp_out

宛先から送信元へ流れるパケットが使用するインターフェイスの ID。

netflow_src_as

送信元の NetFlow 自律システム番号、起点またはピア

netflow_src_mask

Netflow 送信元アドレス プレフィックス マスク。

netflow_src_tos

パケットが送信元から宛先に流れる場合の IP ヘッダーのタイプ オブ サービス（ToS）。

network_analysis_policy_name

侵入イベントを生成した侵入ポリシーに関連付けられているネットワーク分析ポリシー。

network_analysis_policy_UUID

侵入イベントを生成した侵入ポリシーに関連付けられているネットワーク分析ポリシーの UUID。

original_client_continent_name

セッションを最初に開始したホストが位置する地域の名前。

** ：不明

na ：北米

as ：アジア

af ：アフリカ

eu ：欧州

sa ：南米

au ：オーストラリア

an ：南極

このフィールドは接続にプロキシが存在する場合に使用されます。

original_client_country_id

セッションを最初に開始したホストの国コード。このフィールドは接続にプロキシが存在する場合に使用されます。

original_client_country_name

セッションを最初に開始したホストの国名。このフィールドは接続にプロキシが存在する場合に使用されます。

original_client_ipaddr

セッションを最初に開始したホストの IP アドレスのバイナリ表現。このフィールドは接続にプロキシが存在する場合に使用されます。

packets_recv

セッションを開始したホストが受信したパケットの総数。

packets_sent

セッションを開始したホストが送信したパケットの総数。

prefilter_policy_name

侵入イベントを生成したプレフィルタ ポリシーの名前。

prefilter_policy_UUID

侵入イベントを生成したプレフィルタ ポリシーの UUID。

prefilter_rule_id

プレフィルタ/トンネル ルールの整数の ID。

prefilter_rule_name

プレフィルタ/トンネル ルールの名前。

protocol_name

接続で使用されたプロトコルの名前。

protocol_num

プロトコルの IANA 番号。IANA 番号のリストは
http://www.iana.org/assignments/protocol-numbers にあります。

qos_applied_interface_name

QoS が適用されたインターフェイスの名前。

qos_dropped_bytes_recv

QoS によりドロップされたレスポンダ バイト数。

qos_dropped_bytes_sent

QoS によりドロップされたイニシエータ バイト数。

qos_dropped_packets_recv

QoS によりドロップされたレスポンダ パケット数。

qos_dropped_packets_sent

QoS によりドロップされたイニシエータ パケット数。

qos_policy_name

QoS ポリシーの名前。

qos_policy_uuid

QoS ポリシーの UUID。

qos_rule_id

QoS ルールの整数の ID。

qos_rule_name

QoS ルールの名前。

responder_continent_name

セッション イニシエータに対して応答したホストの所在地の地域の名前。

** ：不明

na ：北米

as ：アジア

af ：アフリカ

eu ：欧州

sa ：南米

au ：オーストラリア

an ：南極

responder_country_id

セッション イニシエータに対して応答したホストの国のコード。

responder_country_name

セッション イニシエータに対して応答したホストの国の名前。

responder_ipaddr

セッション イニシエータに対して応答したホストの IPv4 または IPｖ6 アドレスのバイナリ表現。

responder_port

セッション レスポンダが使用するポート。

responder_user_dept

セッション イニシエータに対して応答したホストの最終ログイン ユーザの所属部門。

responder_user_email

セッション イニシエータに対して応答したホストの最終ログイン ユーザの電子メールアドレス。

responder_user_first_name

セッション イニシエータに対して応答したホストの最終ログイン ユーザの名前。

responder_user_id

セッション イニシエータに対して応答したホストの最終ログイン ユーザの内部識別番号。

responder_user_last_name

セッション イニシエータに対して応答したホストの最終ログイン ユーザの姓。

responder_user_last_seen_sec

セッション イニシエータに対して応答したホストの最終ログイン ユーザのユーザ アクティビティを Firepower システム が最後に検出した日時を示す UNIX タイムスタンプ。

responder_user_last_updated_sec

セッション イニシエータに対して応答したホストの最終ログイン ユーザのユーザ レコードを Firepower システム が最後に更新した日時を示す UNIX タイムスタンプ。

responder_user_name

セッション イニシエータに対して応答したホストの最終ログイン ユーザのユーザ名。

responder_user_phone

セッション イニシエータに対して応答したホストの最終ログイン ユーザの電話番号。

security_context

トラフィックが通過したセキュリティ コンテキスト（仮想ファイアウォール）の説明。マルチコンテキスト モードの ASA FirePOWER デバイスでは、システムはこのフィールドにのみ入力することに注意してください。

security_group

ネットワーク トラフィック グループの ID 番号。

security_intelligence_category

接続に関連付けられているセキュリティ インテリジェンス カテゴリ。

security_intelligence_ip

セキュリティ インテリジェンスによりモニタされる、接続に関連付けられている IP アドレスが、送信元 IP（ src ）と宛先 IP（ dst ）のいずれであるか。

security_zone_egress_name

接続イベントの出力セキュリティ ゾーン。

security_zone_ingress_name

接続イベントの入力セキュリティ ゾーン。

sensor_address

イベントを生成した管理対象デバイスの IP アドレス。形式は ipv4 address,ipv6 address です。

sensor_name

セッションをモニタした管理対象デバイスの名前。

sensor_uuid

管理対象デバイスの固有識別子（ sensor_name が null の場合は 0 ）。

sinkhole

シンクホール オブジェクトに関連付けられているリビジョン UUID。

src_device_ipaddr

次のいずれかを行います。

• 接続データをエクスポートした NetFlow 対応デバイスの IP アドレスのバイナリ表現。
• 0 （シスコ 管理対象デバイスにより検出される接続の場合）。

ssl_actual_action

SSL ルールに基づいて接続に対して実行されたアクション。

ルールに指定されているアクションが不可能なことがあるため、これは予期していたアクションとは

異なることがあります。有効な値は次のとおりです。

• 'Unknown'
• 'Do Not Decrypt'
• 'Block'
• 'Block With Reset'
• 'Decrypt (Known Key)'
• 'Decrypt (Replace Key)'
• 'Decrypt (Resign)'

ssl_cipher_suite

SSL 接続で使用される暗号スイート。値は 10 進形式で格納されます。値によって示される暗号スイートについては、 www.iana.org/assignments/tls-parameters/tls-parameters.xhtml を参照してください。

ssl_expected_action

SSL ルールに基づいて接続に対して実行される必要があるアクション。有効な値は次のとおりです。

• 'Unknown'
• 'Do Not Decrypt'
• 'Block'
• 'Block With Reset'
• 'Decrypt (Known Key)'
• 'Decrypt (Replace Key)'
• 'Decrypt (Resign)'

ssl_flow_flags

暗号化接続のデバッグ レベル フラグ。可能性あり値は次のとおりです。

• 0x00000001 ：NSE_FLOW__VALID — 他のフィールドを有効にするために設定する必要があります
• 0x00000002 ：NSE_FLOW__INITIALIZED — 内部構造が処理可能です
• 0x00000004 ：NSE_FLOW__INTERCEPT — SSL セッションが代行受信されました

ssl_flow_messages

SSL ハンドシェイク時にクライアントとサーバ間で交換されたメッセージ。詳細については、 http://tools.ietf.org/html/rfc5246 を参照してください。

• 0x00000001 ：NSE_MT__HELLO_REQUEST
• 0x00000002 ：NSE_MT__CLIENT_ALERT
• 0x00000004 ：NSE_MT__SERVER_ALERT
• 0x00000008 ：NSE_MT__CLIENT_HELLO
• 0x00000010 ：NSE_MT__SERVER_HELLO
• 0x00000020 ：NSE_MT__SERVER_CERTIFICATE
• 0x00000040 ：NSE_MT__SERVER_KEY_EXCHANGE
• 0x00000080 ：NSE_MT__CERTIFICATE_REQUEST
• 0x00000100 ：NSE_MT__SERVER_HELLO_DONE
• 0x00000200 ：NSE_MT__CLIENT_CERTIFICATE
• 0x00000400 ：NSE_MT__CLIENT_KEY_EXCHANGE
• 0x00000800 ：NSE_MT__CERTIFICATE_VERIFY
• 0x00001000 ：NSE_MT__CLIENT_CHANGE_CIPHER_SPEC
• 0x00002000 ：NSE_MT__CLIENT_FINISHED
• 0x00004000 ：NSE_MT__SERVER_CHANGE_CIPHER_SPEC
• 0x00008000 ：NSE_MT__SERVER_FINISHED
• 0x00010000 ：NSE_MT__NEW_SESSION_TICKET
• 0x00020000 ：NSE_MT__HANDSHAKE_OTHER
• 0x00040000 ：NSE_MT__APP_DATA_FROM_CLIENT
• 0x00080000 ：NSE_MT__APP_DATA_FROM_SERVER

ssl_flow_status

SSL フローのステータス。アクションが実行された理由、またはエラー メッセージが出された理由を示す値です。有効な値は次のとおりです。

• 'Unknown'
• 'No Match'
• 'Success'
• 'Uncached Session'
• 'Unknown Cipher Suite'
• 'Unsupported Cipher Suite'
• 'Unsupported SSL Version'
• 'SSL Compression Used'
• 'Session Undecryptable in Passive Mode'
• 'Handshake Error'
• 'Decryption Error'
• 'Pending Server Name Category Lookup'
• 'Pending Common Name Category Lookup'
• 'Internal Error'
• 'Network Parameters Unavailable'
• 'Invalid Server Certificate Handle'
• 'Server Certificate Fingerprint Unavailable'
• 'Cannot Cache Subject DN'
• 'Cannot Cache Issuer DN'
• 'Unknown SSL Version'
• 'External Certificate List Unavailable'
• 'External Certificate Fingerprint Unavailable'
• 'Internal Certificate List Invalid'
• 'Internal Certificate List Unavailable'
• 'Internal Certificate Unavailable'
• 'Internal Certificate Fingerprint Unavailable'
• 'Server Certificate Validation Unavailable'
• 'Server Certificate Validation Failure'
• 'Invalid Action'

ssl_issuer_common_name

SSL 証明書の発行元の共通名。これは一般に証明書発行元のホストとドメイン名ですが、その他の情報が含まれていることもあります。

ssl_issuer_country

SSL 証明書の発行元の国。

ssl_issuer_organization

SSL 証明書の発行元の組織。

ssl_issuer_organization_unit

SSL 証明書の発行元の組織単位。

ssl_policy_action

ルールが一致しない場合のためにポリシーで設定されているデフォルト アクション。

ssl_policy_name

接続を処理した SSL ポリシーの ID 番号。

ssl_policy_reason

SSL ポリシーが SSL セッションをログに記録した理由。

ssl_rule_action

SSL ルールに対しユーザ インターフェイスで選択されたアクション（ allow 、 block など）。

ssl_rule_name

接続を処理した SSL ルールまたはデフォルト アクションの ID 番号。

ssl_serial_number

発行元 CA によって割り当てられた SSL 証明書のシリアル番号。

ssl_server_name

SSL Client Hello でサーバ名に指定された名前。

ssl_subject_common_name

SSL 証明書の件名共通名。これは一般に証明書の件名のホストとドメイン名ですが、その他の情報が含まれていることもあります。

ssl_subject_country

SSL 証明書の件名の国。

ssl_subject_organization

SSL 証明書の件名の組織。

ssl_subject_organization_unit

SSL 証明書の件名の組織単位。

ssl_url_category

サーバ名と証明書の共通名から識別されるフローのカテゴリ。

ssl_version

接続の暗号化に使用された SSL または TLS プロトコル バージョン。

tcp_flags

セッションで検出された TCP フラグ。

url

セッション中にモニタ対象ホストによって要求された URL（使用可能な場合）。

url_category

モニタ対象ホストによって要求された URL のカテゴリ。

url_reputation

モニタ対象ホストによって要求された URL のレピュテーション。次のいずれかが必要です。

• 1 ：高リスク
• 2 ：疑わしいサイト
• 3 ：セキュリティ リスクのある無害なサイト
• 4 ：無害なサイト
• 5 ：既知

web_application_id

Web アプリケーションの内部識別番号。

web_application_name

次のいずれかになります。

• アプリケーションの名前（確実な識別が可能な場合）。
• web browsing （システムがアプリケーション プロトコル HTTP を検出したが、特定の Web アプリケーションを検出できない場合）。
• 空白（接続に HTTP トラフィックがない場合）。

application_protocol_name

または

application_id

または

client_application_id

または

web_application_id

application_info.application_id
application_host_map.application_id
application_tag_map.application_id
rna_host_service_info.application_protocol_id
rna_host_client_app_payload.web_application_id
rna_host_client_app_payload.client_application_id
rna_host_client_app.client_application_id
rna_host_client_app.application_protocol_id
rna_host_service_payload.web_application_id

initiator_ipaddr

または

responder_ipaddr

rna_host_ip_map.ipaddr
user_ipaddr_history.ipaddr