ログによるシステム アクティビティのモニター
この章で説明する内容は、次のとおりです。
ロギングの概要
Secure Web Applianceでは、システムとトラフィックの管理アクティビティの記録がログファイル上に書き込まれます。管理者はこれらのログ ファイルを参照して、アプライアンスをモニターし、トラブルシューティングできます。
各種アクティビティはいくつかのロギング タイプごとに記録されるため、特定のアクティビティに関する情報の検索が容易です。多くのロギング タイプはデフォルトでイネーブルなりますが、いくつかは、必要に応じて手動でイネーブルにする必要があります。
ログ ファイルをイネーブルにして管理するには、ログ ファイル サブスクリプションを設定します。サブスクリプションにより、ログ ファイルの作成、カスタマイズ、および管理に関する設定を定義できます。
通常、管理者が主に使用するログ ファイルは、以下の 2 種類です。
-
アクセス ログ。すべての Web プロキシ フィルタリングとスキャン アクティビティが記録されます。
-
トラフィック モニター ログ。すべての L4 トラフィック モニター アクティビティが記録されます。
これらのログ タイプおよびその他のログ タイプを使用して、アプライアンスの現在と過去のアクティビティを確認できます。ログ ファイル エントリの内容を理解できるように、リファレンス テーブルが用意されています。
関連項目
ロギングの共通タスク
タスク |
関連項目および手順へのリンク |
---|---|
ログ サブスクリプションを追加および編集する |
|
ログ ファイルを表示する |
|
ログ ファイルを解釈する |
|
ログ ファイルをカスタマイズする |
|
別のサーバーにログ ファイルをプッシュする |
|
ログ ファイルをアーカイブする |
ロギングのベスト プラクティス
- ログ サブスクリプションの数を最小限にすると、システム パフォーマンスが向上します。
- 記録する詳細を少なくすると、システム パフォーマンスが向上します。
ログによる Web プロキシのトラブルシューティング
Secure Web Applianceでは、デフォルトで、Web プロキシ ロギング メッセージ用の 1 つのログ サブスクリプションが作成されます(「デフォルト プロキシ ログ」と呼ばれます)このログには、すべての Web プロキシ モジュールに関する基本的な情報が記録されます。アプライアンスには、各 Web プロキシ モジュールのログ ファイル タイプも含まれているので、デフォルト プロキシ ログを画面いっぱいに散乱させることなく、各モジュールのより詳細なデバッグ情報を読み取ることができます。
使用可能な各種のログを使用して Web プロキシの問題をトラブルシューティングするには、以下の手順に従います。
手順
ステップ 1 |
デフォルト プロキシ ログを読みます。 |
||
ステップ 2 |
問題を解決するためにより詳細な情報が必要な場合は、その問題に関連する特定の Web プロキシ モジュールのログ サブスクリプションを作成します。以下の Web プロキシ モジュール ログ タイプのサブスクリプションを作成できます。
|
||
ステップ 3 |
問題を再現して、その問題に関する新しい Web プロキシ モジュール ログを確認します。 |
||
ステップ 4 |
必要に応じて、他の Web プロキシ モジュール ログを使用して繰り返します。 |
||
ステップ 5 |
不要になったサブスクリプションを削除します。 |
次のタスク
関連項目
ログ ファイルのタイプ
Web プロキシ コンポーネントに関するいくつかのログ タイプはイネーブルになっていません。「デフォルト プロキシ ログ」と呼ばれるメインの Web プロキシ ログ タイプはデフォルトでイネーブルになっており、すべての Web プロキシ モジュールの基本的な情報が記録されます。各 Web プロキシ モジュールには、必要に応じてイネーブルにできる独自のログ タイプがあります。
以下の表は、 Secure Web Applianceのログ ファイル タイプを示しています。
ログ ファイル タイプ |
説明 |
syslog プッシュのサポート |
デフォルトのイネーブル設定 |
---|---|---|---|
アクセス コントロール エンジン ログ |
Web プロキシ ACL(アクセス コントロール リスト)の評価エンジンに関連するメッセージを記録します。 |
× |
× |
AMP エンジンログ |
ファイル レピュテーション スキャンとファイル分析に関する情報(Advanced Malware Protection)を記録します。 ログ ファイルも参照してください。 |
対応 |
対応 |
監査ログ |
認証、許可、アカウンティングのイベント(AAA:Authentication、Authorization、および Accounting)を記録します。アプリケーションおよびコマンドライン インターフェイスにおけるすべてのユーザ操作を記録し、変更内容を保存します。 監査ログの詳細の一部を次に示します。
|
対応 |
対応 |
アクセス ログ |
Web プロキシのクライアント履歴を記録します。 |
対応 |
対応 |
ADC エンジンフレームワークログ |
Web プロキシと ADC エンジン間の通信に関連するメッセージを記録します。 |
× |
× |
ADC エンジンログ |
AVC エンジンからのデバッグメッセージを記録します。 |
対応 |
対応 |
認証フレームワーク ログ |
認証履歴とメッセージを記録します。 |
× |
対応 |
AVC エンジン フレームワーク ログ |
Web プロキシと AVC エンジン間の通信に関連するメッセージを記録します。 |
× |
× |
AVC エンジン ログ |
AVC エンジンからのデバッグ メッセージを記録します。 |
対応 |
対応 |
CLI 監査ログ |
コマンドライン インターフェイス アクティビティの監査履歴を記録します。 |
対応 |
対応 |
設定ログ |
Web プロキシ コンフィギュレーション管理システムに関連するメッセージを記録します。 |
× |
× |
接続管理ログ |
Web プロキシ接続管理システムに関連するメッセージを記録します。 |
× |
× |
データ セキュリティ ログ |
Cisco データ セキュリティ フィルタで評価されたアップロード要求のクライアント履歴を記録します。 |
対応 |
対応 |
データ セキュリティ モジュール ログ |
Cisco データ セキュリティ フィルタに関するメッセージを記録します。 |
× |
× |
DCA エンジン フレームワーク ログ (動的コンテンツ分析) |
Web プロキシと Cisco Web 利用の制御動的コンテンツ分析エンジン間の通信に関連するメッセージを記録します。 |
× |
× |
DCA エンジン ログ (動的コンテンツ分析) |
Cisco Web 利用の制御動的コンテンツ分析エンジンに関連するメッセージを記録します。 |
対応 |
対応 |
デフォルト プロキシ ログ |
Web プロキシに関連するエラーを記録します。 これは、Web プロキシに関連するすべてのログの最も基本的なものです。Web プロキシに関連するより具体的な分野のトラブルシューティングを行うには、該当する Web プロキシ モジュールのログ サブスクリプションを作成します。 |
対応 |
対応 |
ディスク マネージャ ログ |
ディスク上のキャッシュの書き込みに関連する Web プロキシ メッセージを記録します。 |
× |
× |
外部認証ログ |
外部認証サーバによる通信の成功または失敗など、外部認証機能の使用に関連するメッセージを記録します。 外部認証がディセーブルされている場合でも、このログにはローカル ユーザのログインの成功または失敗に関するメッセージが記録されています。 |
× |
対応 |
フィードバック ログ |
誤って分類されたページをレポートする Web ユーザを記録します。 |
対応 |
対応 |
FTP プロキシ ログ |
FTP プロキシに関連するエラーおよび警告メッセージを記録します。 |
× |
× |
FTP サーバ ログ |
FTP を使用して、 Secure Web Appliance にアップロードされ、ダウンロードされるすべてのファイルを記録します。 |
対応 |
対応 |
GUI ログ (グラフィカル ユーザ インターフェイス) |
Web インターフェイスのページ更新履歴を記録します。GUI ログには、SMTP トランザクションに関する情報(たとえば、アプライアンスから電子メールで送信されるスケジュール済みレポートに関する情報)も記録されます。 |
対応 |
対応 |
Haystack ログ |
Haystack ログには、データ処理をトラッキングする Web トランザクションが記録されます。 |
対応 |
対応 |
HTTPS ログ |
HTTPS プロキシ固有の Web プロキシ メッセージを記録します(HTTPS プロキシがイネーブルの場合)。 |
× |
× |
ISE サーバ ログ |
ISE サーバの接続および動作情報を記録します。 |
対応 |
対応 |
ライセンス モジュール ログ |
Web プロキシのライセンスおよび機能キー処理システムに関するメッセージを記録します。 |
× |
× |
ロギング フレームワーク ログ |
Web プロキシのロギング システムに関するメッセージを記録します。 |
× |
× |
ロギング ログ |
ログ管理に関連するエラーを記録します。 |
対応 |
対応 |
McAfee 統合フレームワーク ログ |
Web プロキシと McAfee スキャン エンジン間の通信に関連するメッセージを記録します。 |
× |
× |
McAfee ログ |
McAfee スキャン エンジンからアンチマルウェア スキャン アクティビティのステータスを記録します。 |
対応 |
対応 |
メモリ マネージャ ログ |
Web プロキシ プロセスのメモリ内キャッシュを含むすべてのメモリの管理に関連する Web プロキシ メッセージを記録します。 |
× |
× |
その他のプロキシ モジュール ログ |
主に開発者やカスタマー サポートによって使用される Web プロキシ メッセージを記録します。 |
× |
× |
AnyConnect セキュア モビリティ デーモン ログ |
ステータスチェックなど、 Secure Web Appliance と AnyConnect クライアント間の相互作用を記録します。 |
対応 |
対応 |
NTP ログ (ネットワーク タイム プロトコル) |
ネットワーク タイム プロトコルによって作成されたシステム時刻に変更します。 |
対応 |
対応 |
PAC ファイル ホスティング デーモン ログ |
クライアントによるプロキシ自動設定(PAC)ファイルの使用状況を記録します。 |
対応 |
対応 |
プロキシ バイパス ログ |
Web プロキシをバイパスするトランザクションを記録します。 |
× |
対応 |
レポーティング ログ |
レポート生成履歴を記録します。 |
対応 |
対応 |
レポーティング クエリー ログ |
レポート生成に関連するエラーを記録します。 |
対応 |
対応 |
リクエスト デバッグ ログ |
すべての Web プロキシ モジュール ログ タイプから、特定の HTTP トランザクションに関する非常に詳細なデバッグ情報を記録します。他のすべてのプロキシ ログ サブスクリプションを作成することなく、特定のトランザクションによるプロキシ問題のトラブルシューティングを行うために、このログ サブスクリプションを作成する場合があります。 注:CLI でのみ、このログ サブスクリプションを作成できます。 |
× |
× |
認証ログ |
アクセス コントロール機能に関するメッセージを記録します。 |
対応 |
対応 |
SHD ログ (システム ヘルス デーモン) |
システム サービスの動作状態の履歴および予期しないデーモンの再起動の履歴を記録します。 |
対応 |
対応 |
SNMP ログ |
SNMP 管理エンジンに関連するデバッグ メッセージを記録します。 |
対応 |
対応 |
SNMP モジュール ログ |
SNMP モニタリング システムとの対話に関連する Web プロキシ メッセージを記録します。 |
× |
× |
Sophos 統合フレームワーク ログ |
Web プロキシと Sophos スキャン エンジン間の通信に関連するメッセージを記録します。 |
× |
× |
Sophos ログ |
Sophos スキャン エンジンからアンチマルウェア スキャン アクティビティのステータスを記録します。 |
対応 |
対応 |
ステータス ログ |
機能キーのダウンロードなど、システムに関連する情報を記録します。 |
対応 |
対応 |
システム ログ |
DNS、エラー、およびコミット アクティビティを記録します。 |
対応 |
対応 |
トラフィック モニタリング エラー ログ |
L4TM インターフェイスおよびキャプチャ エラーを記録します。 |
対応 |
対応 |
トラフィック モニタ ログ |
L4TM ブロックおよび許可リストに追加されたサイトを記録します。 |
× |
対応 |
UDS ログ (ユーザ検出サービス) |
Web プロキシが実際の認証を行わずにユーザ名を検出する方法に関するデータを記録します。セキュア モビリティ用の Cisco 適応型セキュリティ アプライアンスとの対話、および透過的ユーザ ID 用の Novell eDirectory サーバとの統合に関する情報が含まれます。 |
対応 |
対応 |
アップデータ ログ |
WBRS およびその他の更新の履歴を記録します。 |
対応 |
対応 |
W3C ログ |
W3C 準拠の形式で Web プロキシ クライアント履歴を記録します。 詳細については、W3C 準拠のアクセス ログ ファイルを参照してください。 |
対応 |
× |
WBNP ログ (SensorBase ネットワーク参加) |
SensorBase ネットワークへの Cisco SensorBase ネットワーク参加のアップロード履歴を記録します。 |
× |
対応 |
WBRS フレームワーク ログ (Web レピュテーション スコア) |
Web プロキシと Web レピュテーション フィルタ間の通信に関連するメッセージを記録します。 |
× |
× |
WCCP モジュール ログ |
WCCP の実装に関連する Web プロキシ メッセージを記録します。 |
× |
× |
Webcat 統合フレームワーク ログ |
Web プロキシと Cisco Web 利用の制御に関連付けられた URL フィルタリング エンジン間の通信に関連するメッセージを記録します。 |
× |
× |
Webroot 統合フレームワーク ログ |
Web プロキシと Webroot スキャン エンジン間の通信に関連するメッセージを記録します。 |
× |
× |
Webroot ログ |
Webroot スキャン エンジンからアンチマルウェア スキャン アクティビティのステータスを記録します。 |
対応 |
対応 |
ウェルカム ページ確認ログ |
エンド ユーザの確認ページで [同意する(Accept)] ボタンをクリックする Web クライアントの履歴を記録します。 |
対応 |
対応 |
ログ サブスクリプションの追加および編集
ログ ファイルのタイプごとに複数のログ サブスクリプションを作成できます。サブスクリプションには、以下のようなアーカイブおよびストレージに関する設定の詳細が含まれています。
-
ロールオーバー設定。ログ ファイルをアーカイブするタイミングを決定します。
-
アーカイブ ログの圧縮設定。
-
アーカイブ ログの取得の設定。ログをリモート サーバに保存するか、アプライアンスに保存するかを指定します。
手順
ステップ 1 |
[システム管理(System Administration)] > [ログ サブスクリプション(Log Subscriptions)] を選択します。 |
||||||||||||||||||||||||||||||||||||||||||||||||
ステップ 2 |
ログ サブスクリプションを追加するには、[ログ設定を追加(Add Log Subscription)] をクリックします。あるいは、ログ サブスクリプションを編集するには、[ログ名(Log Name)] フィールドのログ ファイルの名前をクリックします。 |
||||||||||||||||||||||||||||||||||||||||||||||||
ステップ 3 |
サブスクリプションを設定します。
|
||||||||||||||||||||||||||||||||||||||||||||||||
ステップ 4 |
変更を送信し、保存します。 |
次のタスク
取得方法として SCP を選択した場合は、アプライアンスによって SSH キーが表示されます。このキーを SCP サーバ ホストに追加します。別のサーバへのログ ファイルのプッシュ を参照してください。
関連項目
W3C ログ フィールドの非匿名化
W3C ログのサブスクリプションを追加する際に匿名化されたログ フィールド値 c-a-ip、cs-a-username、および cs-a-auth-group は、非匿名化できます。
手順
ステップ 1 |
[システム管理(System Administration)] > [ログ サブスクリプション(Log Subscriptions)] を選択します。 |
||
ステップ 2 |
匿名化されたフィールドを非匿名化したいログの [非匿名化(Deanonymization)] 列で、[非匿名化(Deanonymization)] をクリックします。 |
||
ステップ 3 |
[方法(Method)] エリアで、暗号化されたテキストを非匿名化のために入力する方法として、次のいずれかを選択します。
|
||
ステップ 4 |
[非匿名化(Deanonymization)] をクリックすると、非匿名化されたログ フィールド値が [非匿名化結果(Deanonymization Result)] テーブルに表示されます。 |
別のサーバへのログ ファイルのプッシュ
始める前に
必要なログ サブスクリプションを作成または編集し、取得方法として SCP を選択します。 ログ サブスクリプションの追加および編集
手順
ステップ 1 |
リモート システムにキーを追加します。 |
||||||
ステップ 2 |
CLI で、リモート サーバの SSH 公開ホスト キーをアプライアンスに追加します。
|
||||||
ステップ 3 |
変更を保存します。 |
ログ ファイルのアーカイブ
AsyncOS は、最新のログ ファイルがユーザー指定の上限(最大ファイル サイズまたは最大時間)に達すると、ログ サブスクリプションをアーカイブ(ロール オーバー)します。
ログ サブスクリプションには以下のアーカイブ設定が含まれます。
- ファイル サイズ別ロールオーバー
- 時刻によりロールオーバー
- ログの圧縮
- 取得方法
また、ログ ファイルを手動でアーカイブ(ロールオーバー)することもできます。
手順
ステップ 1 |
[システム管理(System Administration)] > [ログ サブスクリプション(Log Subscriptions)] を選択します。 |
ステップ 2 |
アーカイブするログ サブスクリプションの [ロールオーバー(Rollover)] 列のチェックボックスをオンにするか、[すべて(All)] をオンにしてすべてのサブスクリプションを選択します。 |
ステップ 3 |
[今すぐロールオーバー(Rollover Now)] をクリックして、選択したログをアーカイブします。 |
次のタスク
関連項目
ログのファイル名とアプライアンスのディレクトリ構造
アプライアンスは、ログ サブスクリプション名に基づいてログ サブスクリプションごとにディレクトリを作成します。ディレクトリ内のログ ファイル名は、以下の情報で構成されます。
- ログ サブスクリプションで指定されたログ ファイル名
- ログ ファイルが開始された時点のタイムスタンプ
- .c(「current(現在)」を表す)、または .s(「saved(保存済み)」を表す)のいずれかを示す単一文字ステータス コード
ログのファイル名は、以下の形式で作成されます。
/LogSubscriptionName/LogFilename.@timestamp.statuscode
(注) |
保存済みのステータスのログ ファイルのみを転送する必要があります。 |
ログ ファイルの閲覧と解釈
Secure Web Applianceをモニタしてトラブルシューティングする手段として、現在のログ ファイルのアクティビティを確認できます。これを行うには、アプライアンスのインターフェイスを使用します。
また、過去のアクティビティの記録についてアーカイブ ファイルを閲覧することもできます。アーカイブ ファイルがアプライアンスに保存されている場合は、アプライアンスのインターフェイスから閲覧できます。それ以外の場合は、適切な方法で外部ストレージの場所から読み取る必要があります。
ログ ファイルの各情報項目は、フィールド変数によって示されます。どのフィールドがどの情報項目を表しているのかを判別することにより、フィールドの機能を調べて、ログ ファイルの内容を解釈できます。W3C 準拠のアクセス ログの場合は、ファイル ヘッダーに、ログに表示される順でフィールド名がリストされます。しかし、標準のアクセス ログの場合は、このログ タイプに関するドキュメントを参照して、フィールドの順序について調べる必要があります。
関連項目
ログ ファイルの表示
始める前に
ここでは、アプライアンス上に保存されているログ ファイルの表示方法について説明します。外部に格納されているファイルの表示方法については、このマニュアルでは説明しません。
手順
ステップ 1 |
[システム管理(System Administration)] > [ログ サブスクリプション(Log Subscriptions)] を選択します。 |
||
ステップ 2 |
ログ サブスクリプション リストの [ログ ファイル(Log Files)] 列にあるログ サブスクリプション名をクリックします。 |
||
ステップ 3 |
プロンプトが表示されたら、アプライアンスにアクセスするための管理者のユーザ名とパスフレーズを入力します。 |
||
ステップ 4 |
ログ インしたら、ログ ファイルのいずれかをクリックして、ブラウザで表示するか、またはディスクに保存します。 |
||
ステップ 5 |
最新の結果を表示するには、ブラウザの表示を更新します。
|
次のタスク
関連項目
アクセス ログ ファイル内の Web プロキシ情報
アクセス ログ ファイルには、すべての Web プロキシ フィルタリングとスキャン アクティビティに関する記述が含まれています。アクセス ログ ファイル エントリは、アプライアンスが各トランザクションを処理した方法を表示します。
アクセス ログには 2 つの形式(標準および W3C 準拠)があります。W3C 準拠のログ ファイルは、標準のアクセス ログよりも記録内容とレイアウトをさらにカスタマイズできます。
以下のテキストは、1 つのトランザクションに対するアクセス ログ ファイル エントリの例を示します。
1278096903.150 97 172.xx.xx.xx TCP_MISS/200 8187 GET http://my.site.com/ -
DIRECT/my.site.com text/plain DEFAULT_CASE_11-PolicyGroupName-Identity-
OutboundMalwareScanningPolicy-DataSecurityPolicy-ExternalDLPPolicy-RoutingPolicy-NONE
<IW_comp,6.9,-,"-",-,-,-,-,"-",-,-,-,"-",-,-,"-",""-",-,-,IW_comp,-,"-","-",
"Unknown","Unknown","-","-",198.34,0,-,[Local],"-",37,"W32.CiscoTestVector",33,0,
"WSA-INFECTED-FILE.pdf","fd5ef49d4213e05f448f11ed9c98253d85829614fba368a421d14e64c426da5e”> -
フォーマット指定子 |
フィールド値 |
フィールドの説明 |
||
---|---|---|---|---|
%t |
|
UNIX エポック以降のタイムスタンプ。 |
||
%e |
|
経過時間(遅延)(ミリ秒単位)。 |
||
%a |
|
クライアント IP アドレス。 注:advancedproxyconfig > authentication CLI コマンドを使用して、アクセス ログの IP アドレスをマスクするように選択できます。 |
||
%w |
|
トランザクション結果コード。 詳細については、W3C 準拠のアクセス ログ ファイルを参照してください。 |
||
%h |
|
HTTP 応答コード。 |
||
%s |
|
応答サイズ(ヘッダー + 本文)。 |
||
%1r %2r |
|
要求の先頭行。 注:要求の先頭行がネイティブ FTP トランザクション用の場合、ファイル名の一部の特殊文字はアクセス ログでは符号化された URL を表します。たとえば、「@」記号は、アクセス ログに「%40」として書き込まれます。 以下の文字が符号化された URL に使用されます。 & # % + , : ; = @ ^ { } [ ] |
||
%A |
– |
認証されたユーザ名。 注: |
||
%H |
|
要求コンテンツを取得するために接続されたサーバを説明するコード。 最も一般的な値は以下のとおりです。
|
||
%d |
|
データ ソースまたはサーバの IP アドレス。 |
||
%c |
|
応答本文の MIME タイプ。 |
||
%D |
|
ACL デシジョン タグ。 注:ACL デシジョン タグの末尾に、Web プロキシが内部的に使用する動的に生成された数値が含まれます。この数値は無視できます。 詳細については、ACL デシジョン タグを参照してください。 |
||
N/A(ACL デシジョン タグの一部) |
|
このトランザクションについて最終決定を行うポリシー グループの名前(アクセス ポリシー、復号化ポリシー、またはデータ セキュリティ ポリシー)。トランザクションがグローバル ポリシーに一致する場合、この値は「DefaultGroup」になります。 ポリシー グループ名のスペースは、アンダースコア(_)に置き換えられます。 |
||
N/A(ACL デシジョン タグの一部) |
|
ID ポリシー グループの名前。 ポリシー グループ名のスペースは、アンダースコア(_)に置き換えられます。 |
||
N/A(ACL デシジョン タグの一部) |
|
発信マルウェア スキャンポリシー グループの名前。 ポリシー グループ名のスペースは、アンダースコア(_)に置き換えられます。 |
||
N/A(ACL デシジョン タグの一部) |
|
Cisco データ セキュリティ ポリシー グループの名前。トランザクションがグローバルな Cisco データ セキュリティ ポリシーに一致する場合、この値は「DefaultGroup」になります。このポリシー グループ名は、Cisco データ セキュリティ フィルタが有効な場合にのみ表示されます。データ セキュリティ ポリシーに一致しなかった場合は、「NONE」と表示されます。 ポリシー グループ名のスペースは、アンダースコア(_)に置き換えられます。 |
||
N/A(ACL デシジョン タグの一部) |
|
外部 DLP ポリシー グループの名前。トランザクションがグローバル外部 DLP ポリシーに一致する場合、この値は「DefaultGroup」になります。外部 DLP ポリシーに一致しなかった場合は、「NONE」と表示されます。 ポリシー グループ名のスペースは、アンダースコア(_)に置き換えられます。 |
||
N/A(ACL デシジョン タグの一部) |
|
ルーティング ポリシー グループ名は ProxyGroupName/ProxyServerName。 トランザクションがグローバル ルーティング ポリシーに一致する場合、この値は「DefaultRouting」になります。アップストリーム プロキシ サーバを使用しない場合、この値は「DIRECT」になります。 ポリシー グループ名のスペースは、アンダースコア(_)に置き換えられます。 |
||
%Xr |
|
スキャン判定情報。アクセス ログでは、山カッコ内にさまざまなスキャン エンジンの判定情報が含まれています。
山カッコ内の値の詳細については、アクセス ログのスキャン判定エントリの解釈およびマルウェア スキャンの判定値を参照してください。 |
||
%?BLOCK_SUSPECT_ USER_AGENT, MONITOR_SUSPECT_ USER_AGENT?% < User-Agent:%!%-% |
– |
不審なユーザ エージェント。 |
トランザクション結果コード
アクセス ログ ファイルのトランザクション結果コードは、アプライアンスがクライアント要求を解決する方法を示します。たとえば、オブジェクトの要求がキャッシュから解決可能な場合、結果コードは TCP_HIT
です。ただし、オブジェクトがキャッシュに存在せず、アプライアンスが元のサーバからオブジェクトをプルする場合、結果コードは TCP_MISS
です。以下の表に、トランザクション結果コードを示します。
結果コード |
説明 |
---|---|
|
要求されたオブジェクトがディスク キャッシュから取得されました。 |
|
クライアントがオブジェクトの IMS(If-Modified-Since)要求を送信し、オブジェクトがキャッシュ内で見つかりました。プロキシは 304 応答を返します。 |
|
要求されたオブジェクトがメモリ キャッシュから取得されました。 |
|
オブジェクトがキャッシュ内で見つからなかったため、元のサーバから取得されました。 |
|
オブジェクトはキャッシュ内にありましたが、期限切れでした。プロキシが元のサーバに IMS(If-Modified-Since)要求を送信し、サーバはオブジェクトが変更されていないことを確認しました。そのため、アプライアンスはディスクまたはメモリ キャッシュのいずれかからオブジェクトを取得しました。 |
|
クライアントが「Pragma: no-cache」ヘッダーを発行して、「don't fetch response from cache」要求を送信しました。クライアントから送信されたこのヘッダーにより、アプライアンスは元のサーバからオブジェクトを取得しました。 |
|
クライアント要求がアクセス ポリシーによって拒否されました。 |
|
オブジェクトは発信サーバから取得されました。 |
|
トランザクションでエラーが発生しました。DNS 障害やゲートウェイのタイムアウトなど。 |
ACL デシジョン タグ
ACL デシジョン タグは、Web プロキシがトランザクションを処理した方法を示すアクセス ログ エントリのフィールドです。Web レピュテーション フィルタ、URL カテゴリ、およびスキャン エンジンの情報が含まれます。
(注) |
ACL デシジョン タグの末尾に、Web プロキシがパフォーマンスを高めるために内部的に使用する動的に生成された数値が含まれます。この数値は無視できます。 |
以下の表は、ACL デシジョン タグの値を示しています。
ACL デシジョン タグ |
説明 |
---|---|
|
Web プロキシが、通知ページとそのページで使用される任意のロゴへのトランザクションを許可しました。 |
|
Web プロキシが、アクセス ポリシー グループのカスタム URL カテゴリ フィルタリング設定に基づいてトランザクションを許可しました。 |
|
Web プロキシが、埋め込み/参照コンテンツの免除に基づいてトランザクションを許可しました。 |
|
Web プロキシが、アクセス ポリシー グループの Web レピュテーション フィルタ設定に基づいてトランザクションを許可しました。 |
|
ファイルに対する AMP レピュテーションサーバーからの判定を表す値です。
|
ARCHIVESCAN_ALLCLEAR
|
アーカイブ スキャンの判定
アーカイブ スキャン判定の詳細 ログ エントリの [Verdict] フィールドの次のフィールドには、ブロックされたファイルのタイプやブロックされたファイルの名前、ブロックされたファイル タイプがアーカイブに含まれていないことを示す「UnScanable Archive-Blocked」や「-」など、判定に関する追加情報が示されています。 たとえば、検査可能なアーカイブ ファイルが「アクセス ポリシー:カスタム オブジェクト ブロック」の設定に基づいてブロックされている場合( アーカイブ検査の詳細については、アクセス ポリシー:オブジェクトのブロッキングおよびアーカイブ検査の設定を参照してください。 |
BLOCK_ADC |
アクセス ポリシー グループの設定されたアプリケーション設定に基づいてトランザクションがブロックされました。 |
|
アクセス ポリシー グループのデフォルト設定に基づいてトランザクションがブロックされました。 |
|
アクセス ポリシー グループの HTTP CONNECT ポート設定で定義された宛先の TCP ポートに基づいてトランザクションがブロックされました。 |
|
アクセス ポリシー グループの [ブロックするユーザエージェント(Block Custom User Agents)] 設定で定義されたユーザ エージェントに基づいてトランザクションがブロックされました。 |
BLOCK_ADMIN_TUNNELING |
Web プロキシは、アクセス ポリシー グループの HTTP ポート上の非 HTTP トラフィックのトンネリングに基づいてトランザクションをブロックしました。 |
|
トランザクションがブロックされました。クライアントは、SSL ポートを明示的なプロキシとして使用して認証をバイパスしようとしました。これを防ぐために、SSL 接続が Secure Web Appliance 自体に向けられている場合、実際の Secure Web Appliance リダイレクトホスト名への要求だけが許可されます。 |
|
データ セキュリティ ポリシー グループで定義された要求本文のコンテンツの MIME タイプに基づいてトランザクションがブロックされました。 |
|
アクセス ポリシー グループで定義されたファイル タイプに基づいてトランザクションがブロックされました。 |
|
アクセス ポリシー グループの [ブロックするプロトコル(Block Protocols)] 設定で定義されたプロトコルに基づいてトランザクションがブロックされました。 |
|
アクセス ポリシー グループの [オブジェクト サイズ(Object Size)] 設定で定義された応答のサイズに基づいてトランザクションがブロックされました。 |
|
データ セキュリティ ポリシー グループで定義された要求本文のコンテンツのサイズに基づいてトランザクションがブロックされました。 |
|
Web プロキシが、アクセスポリシーグループの Advanced Malware Protection 設定に基づいて応答をブロックしました。 |
|
Web プロキシが、発信マルウェア スキャン ポリシー グループの Anti-Malware 設定に基づいて要求をブロックしました。要求の本文はポジティブなマルウェアの判定を生成しました。 |
|
Web プロキシが、アクセス ポリシー グループの Anti-Malware 設定に基づいて応答をブロックしました。 |
|
Web プロキシが HTTP 要求の URL が安全ではないと疑い、アクセス ポリシー グループの Anti-Malware 設定に基づいて要求時にトランザクションをブロックしました。 |
|
アクセス ポリシー グループの設定されたアプリケーション設定に基づいてトランザクションがブロックされました。 |
|
アクセス ポリシー グループのサイト コンテンツ レーティング設定に基づいてトランザクションがブロックされました。クライアント要求はアダルト コンテンツに対するものであり、ポリシーはアダルト コンテンツをブロックするように設定されています。 |
|
アクセス ポリシー グループのサイト コンテンツ レーティング設定に基づいてトランザクションがブロックされ、[警告して継続(Warn and Continue)] ページが表示されました。クライアント要求はアダルト コンテンツに対するものであり、ポリシーはアダルト コンテンツにアクセスするユーザに警告を表示するように設定されています。 |
|
[警告(Warn)] に設定されているアクセス ポリシー グループのカスタム URL カテゴリに基づいてトランザクションがブロックされ、[警告して継続(Warn and Continue)] ページが表示されました。 |
|
[警告(Warn)] に設定されているアクセス ポリシー グループの定義済み URL カテゴリに基づいてトランザクションがブロックされ、[警告して継続(Warn and Continue)] ページが表示されました。 |
|
アクセス ポリシー グループのカスタム URL カテゴリ フィルタリング設定に基づいてトランザクションがブロックされました。 |
|
Web プロキシが、外部 DLP ポリシー グループで定義された外部 DLP システムの判定に基づいて要求をブロックしました。 |
|
クライアント要求には危険な検索クエリーが含まれており、アクセス ポリシーは安全検索を実行するように設定されているので、元のクライアント要求がブロックされました。 |
|
アクセス ポリシー グループの [疑わしいユーザエージェント(Suspect User Agent)] 設定に基づいてトランザクションがブロックされました。 |
|
アクセス ポリシー グループの安全検索設定に基づいてトランザクションがブロックされました。トランザクションはサポートされない検索エンジンに対するものであり、ポリシーはサポートされない検索エンジンをブロックするように設定されています。 |
|
アクセス ポリシー グループの Web レピュテーション フィルタ設定に基づいてトランザクションがブロックされました。 |
|
Web プロキシが、Data Security ポリシー グループの Web レピュテーション フィルタ設定に基づいてアップロード要求をブロックしました。 |
|
アクセス ポリシー グループの URL カテゴリ フィルタリング設定に基づいてトランザクションがブロックされました。 |
|
Web プロキシが、Data Security ポリシー グループの URL カテゴリ フィルタリング設定に基づいてアップロード要求をブロックしました。 |
|
Web プロキシが、アクセスポリシーグループに事前設定された YouTube カテゴリのフィルタ処理設定に基づいてトランザクションをブロックしました。 |
|
Web プロキシが、[警告(Warn)] に設定されているアクセスポリシーグループの定義済み YouTube カテゴリに基づいてトランザクションをブロックし、[警告して継続(Warn and Continue)] ページを表示しました。 |
|
Web プロキシが、復号ポリシー グループのデフォルト設定に基づいてトランザクションを復号しました。 |
|
サーバ証明書が失効していますが、Web プロキシがトランザクションを復号しました。 |
|
EUN が有効な場合の復号ポリシーグループのドロップ接続として、デフォルト設定に基づき、Web プロキシがトランザクションを復号しました。 |
|
HTTPS プロキシ設定が、EUN が有効になっている期限切れの証明書をドロップすると、Web プロキシがトランザクションを復号しました。 |
|
HTTPS プロキシ設定が、EUN が有効になっている無効の証明書をドロップすると、Web プロキシがトランザクションを復号しました。 |
DECRYPT_EUN_ADMIN_MISMATCHED_HOSTNAME |
HTTPS プロキシ設定が、EUN が有効になっている不一致のホスト名をドロップすると、Web プロキシがトランザクションを復号しました。 |
|
HTTPS プロキシ設定が、EUN が有効になっているその他のエラーをもつ OSCP をドロップすると、Web プロキシがトランザクションを復号しました。 |
|
HTTPS プロキシ設定が、EUN が有効になっている OSCP が失効した証明書をドロップすると、Web プロキシがトランザクションを復号しました。 |
|
HTTPS プロキシ設定が、認識できないルート権限または EUN が有効になっている発行者の証明書をドロップすると、Web プロキシがトランザクションを復号しました。 |
|
Web プロキシが、復号ポリシーグループの URL カテゴリフィルタリング設定に基づいてトランザクションを復号しました。EUN が有効になっている場合、トラフィックはドロップされます。 |
|
Web プロキシが、復号ポリシーグループの Web レピュテーションフィルタ設定に基づいてトランザクションを復号しました。EUN が有効になっている場合、トラフィックはドロップされます。 |
|
Web プロキシが、復号ポリシーグループのスコアなし URL の Web レピュテーションフィルタ設定に基づいてトランザクションを復号しました。EUN が有効になっている場合、トラフィックはドロップされます。 |
|
Web プロキシが、復号ポリシーグループの URL カテゴリフィルタリング設定に基づいてトランザクションを復号しました。EUN が有効になっている場合、トラフィックはドロップされます。 |
|
Web プロキシが、復号ポリシー グループの URL カテゴリ フィルタリング設定に基づいてトランザクションを復号しました。 |
|
Web プロキシが、復号ポリシーグループの Web レピュテーションフィルタ設定に基づいてトランザクションを復号しました。 |
|
AsyncOS サービスが Web レピュテーションやアンチマルウェア スキャンなど、トランザクションで処理を行わなかったため、Web プロキシがクライアントにサーバへのアクセスを許可しました。 |
|
Web プロキシがトランザクションを拒否しました。これは、HTTPS 要求に関して、認証が必要が場合に、HTTPS プロキシ設定で [認証のための復号化(Decrypt for Authentication)] が無効になっていると発生します。 |
|
Web プロキシが、復号ポリシー グループのデフォルト設定に基づいてトランザクションをドロップました。 |
|
サーバ証明書が失効しているため、Web プロキシがトランザクションをドロップしました。 |
|
Web プロキシが、復号ポリシー グループの URL カテゴリ フィルタリング設定に基づいてトランザクションをドロップしました。 |
|
Web プロキシが、復号ポリシー グループの Web レピュテーション フィルタ設定に基づいてトランザクションをドロップしました。 |
|
Web プロキシが、アクセス ポリシー グループのアプリケーション設定に基づいてトランザクションをモニタしました。 |
|
サーバ証明書が失効しているため、Web プロキシがサーバ応答をモニタしました。 |
|
Web プロキシが、アクセスポリシーグループの Advanced Malware Protection 設定に基づいてサーバー応答をモニタしました。 |
|
Web プロキシが、アクセス ポリシー グループの Anti-Malware 設定に基づいてサーバ応答をモニタしました。 |
|
Webプロキシが HTTP 要求の URL が安全ではないと疑っていますが、アクセス ポリシー グループの Anti-Malware 設定に基づいてトランザクションをモニタしました。 |
|
Web プロキシが、アクセス ポリシー グループのアプリケーション設定に基づいてトランザクションをモニタしました。 |
|
任意で、Web プロキシが、アクセス ポリシー グループのサイト コンテンツ レーティング設定に基づいてトランザクションをブロックし、[警告して継続(Warn and Continue)] ページを表示しました。クライアント要求はアダルト コンテンツに対するものであり、ポリシーはアダルト コンテンツにアクセスするユーザに警告を表示するように設定されています。ユーザが警告を受け入れ、続けて最初に要求したサイトにアクセスし、その後他のスキャン エンジンは要求をブロックしませんでした。 |
|
当初、Web プロキシは、[警告(Warn)] に設定されているアクセス ポリシー グループのカスタム URL カテゴリに基づいて、トランザクションをブロックし、[警告して継続(Warn and Continue)] ページを表示しました。ユーザが警告を受け入れ、続けて最初に要求したサイトにアクセスし、その後他のスキャン エンジンは要求をブロックしませんでした。 |
|
当初、Web プロキシは、[警告(Warn)] に設定されているアクセス ポリシー グループの定義済み URL カテゴリに基づいて、トランザクションをブロックし、[警告して継続(Warn and Continue)] ページを表示しました。ユーザが警告を受け入れ、続けて最初に要求したサイトにアクセスし、その後他のスキャン エンジンは要求をブロックしませんでした。 |
|
当初、Web プロキシが、[警告(Warn)] に設定されたアクセスポリシーグループの定義済み YouTube カテゴリに基づいてトランザクションをブロックし、[警告して継続(Warn and Continue)] ページを表示しました。ユーザが警告を受け入れ、続けて最初に要求したサイトにアクセスし、その後他のスキャンエンジンは要求をブロックしませんでした。 |
|
Web プロキシが、データ セキュリティ ポリシーまたは外部 DLP ポリシーのいずれかを使用してアップロード要求をスキャンしましたが、要求をブロックしませんでした。Web プロキシは、アクセス ポリシーに対して要求を評価しました。 |
|
Web プロキシが、アクセス ポリシー グループの Suspect User Agent 設定に基づいてトランザクションをモニタしました。 |
|
Web プロキシが、アクセス ポリシー グループの Web レピュテーション フィルタ設定に基づいてトランザクションをモニタしました。 |
|
ユーザが、ある認証レルムに対して認証済みであったが、アプリケーション認証ポリシーに設定されている認証レルムに対して未認証であったため、Web プロキシはアプリケーションへのユーザ アクセスを許可しませんでした。 |
|
ユーザが認証に失敗しました。 |
|
Web プロキシが、復号ポリシー グループのデフォルト設定に基づいてトランザクションをパススルーました。 |
|
サーバ証明書が失効していますが、Web プロキシがトランザクションをパススルーしました。 |
|
Web プロキシが、復号ポリシー グループの URL カテゴリ フィルタリング設定に基づいてトランザクションをパススルーしました。 |
|
Web プロキシが、復号ポリシー グループの Web レピュテーション フィルタ設定に基づいてトランザクションをパススルーしました。 |
|
Web プロキシが、[リダイレクト(Redirect)] に設定されているアクセス ポリシー グループのカスタム URL カテゴリに基づいて、トランザクションを別の URL にリダイレクトしました。 |
|
ユーザが、アプリケーション認証ポリシーに設定されている認証レルムに対して透過的に認証されていたため、Web プロキシはそのユーザがアプリケーションにアクセスすることを許可しました。 |
|
認可の失敗、サーバの切断、クライアントによる中止などのエラーにより、Web プロキシが要求を完了できませんでした。 |
アクセス ログのスキャン判定エントリの解釈
アクセス ログ ファイル エントリは、URL フィルタリング、Web レピュテーション フィルタリング、アンチマルウェア スキャンなど、さまざまなスキャン エンジンの結果を集約して表示します。アプライアンスは、各アクセス ログ エントリの末尾の山カッコ内にこの情報を表示します。
以下のテキストは、アクセス ログ ファイル エントリからのスキャン判定情報です。この例では、Webroot スキャン エンジンがマルウェアを検出しました。
<IW_infr,ns,24,"Trojan-Phisher-Gamec",0,354385,12559,-,"-",-,-,-,"-",-,-,"-","-",
-,-,
IW_infr,-,"Trojan Phisher","-","-","Unknown","Unknown","-","-",489.73,0,
[Local],“-“,"-",37,"W32.CiscoTestVector",33,0,"WSA-INFECTED-FILE.pdf",
"fd5ef49d4213e05f448f11ed9c98253d85829614fba368a421d14e64c426da5e”,
ARCHIVESCAN_BLOCKEDFILETYPE,
EXT_ARCHIVESCAN_VERDICT,
EXT_ARCHIVESCAN_THREATDETAIL,
EXT_WTT_BEHAVIOR,
EXT_YTCAT,
"BlockedFileType: application/x-rpm,
BlockedFile: allfiles/linuxpackage.rp">
(注) |
すべてのアクセス ログ ファイル エントリの例については、アクセス ログ ファイル内の Web プロキシ情報を参照してください。 |
この例の各要素は、以下の表に示すログ ファイル フォーマット指定子に対応しています。
位置 |
フィールド値 |
フォーマット指定子 |
説明 |
||
---|---|---|---|---|---|
1 |
|
%XC |
トランザクションに割り当てられたカスタム URL カテゴリ(省略形)。カテゴリが割り当てられない場合、このフィールドには「nc」が表示されます。 |
||
2 |
|
%XW |
Web レピュテーション フィルタ スコア。このフィールドには、スコアの数値、「ns」(スコアがない場合)、または「dns」(DNS ルックアップ エラーがある場合)が表示されます。 |
||
3 |
|
%Xv |
Webroot が DVS エンジンに渡したマルウェア スキャンの判定。Webroot でのみ検出された応答に適用します。 詳細については、マルウェア スキャンの判定値を参照してください。 |
||
4 |
|
“%Xn” |
オブジェクトに関連付けられているスパイウェアの名前。Webroot でのみ検出された応答に適用します。 |
||
5 |
|
%Xt |
マルウェアが存在する可能性を判断する脅威リスク比(TRR)に関連付けられた Webroot 固有の値。Webroot でのみ検出された応答に適用します。 |
||
6 |
|
%Xs |
Webroot が脅威識別子として使用する値。シスコ カスタマー サポートでは、問題のトラブルシューティングを行うときにこの値を使用することがあります。Webroot でのみ検出された応答に適用します。 |
||
7 |
|
%Xi |
Webroot がトレース識別子として使用する値。シスコ カスタマー サポートでは、問題のトラブルシューティングを行うときにこの値を使用することがあります。Webroot でのみ検出された応答に適用します。 |
||
8 |
|
%Xd |
McAfee が DVS エンジンに渡したマルウェア スキャンの判定。McAfee でのみ検出された応答に適用します。 詳細については、マルウェア スキャンの判定値を参照してください。 |
||
9 |
|
“%Xe” |
McAfee がスキャンしたファイルの名前。McAfee でのみ検出された応答に適用します。 |
||
10 |
|
%Xf |
McAfee がスキャン エラーとして使用する値。シスコ カスタマー サポートでは、問題のトラブルシューティングを行うときにこの値を使用することがあります。McAfee でのみ検出された応答に適用します。 |
||
11 |
|
%Xg |
McAfee が検出タイプとして使用する値。シスコ カスタマー サポートでは、問題のトラブルシューティングを行うときにこの値を使用することがあります。McAfee でのみ検出された応答に適用します。 |
||
12 |
|
%Xh |
McAfee がウイルス タイプとして使用する値。シスコ カスタマー サポートでは、問題のトラブルシューティングを行うときにこの値を使用することがあります。McAfee でのみ検出された応答に適用します。 |
||
13 |
|
“%Xj” |
McAfee がスキャンしたウイルスの名前。McAfee でのみ検出された応答に適用します。 |
||
18 |
|
%XY |
Sophos が DVS エンジンに渡したマルウェア スキャンの判定。Sophos でのみ検出された応答に適用します。 詳細については、マルウェア スキャンの判定値を参照してください。 |
||
15 |
|
%Xx |
Sophos がスキャン戻りコードとして使用する値。シスコ カスタマー サポートでは、問題のトラブルシューティングを行うときにこの値を使用することがあります。Sophos でのみ検出された応答に適用します。 |
||
16 |
|
“%Xy” |
Sophos が好ましくないコンテンツを検出したファイルの名前。Sophos でのみ検出された応答に適用します。 |
||
17 |
|
“%Xz” |
Sophos が脅威名として使用する値。シスコ カスタマー サポートでは、問題のトラブルシューティングを行うときにこの値を使用することがあります。Sophos でのみ検出された応答に適用します。 |
||
18 |
|
%Xl |
Cisco データ セキュリティ ポリシーの [コンテンツ(Content)] 列のアクションに基づく、Cisco データ セキュリティのスキャン判定。以下のリストは、このフィールドで使用できる値を示します。
|
||
19 |
|
%Xp |
ICAP 応答で指定された結果に基づく外部 DLP スキャンの評価。以下のリストは、このフィールドで使用できる値を示します。
|
||
20 |
|
%XQ |
要求側のスキャン時に決定された定義済み URL カテゴリの判定(省略形)。URL フィルタリングがディセーブルの場合、このフィールドにはハイフン(-)が表示されます。
URL カテゴリの省略形の一覧については、URL カテゴリについてを参照してください。 |
||
21 |
|
%XA |
応答側のスキャン中に動的コンテンツ分析エンジンによって判定された URL カテゴリの評価(省略形)。Cisco Web 利用の制御の URL フィルタリング エンジンにのみ適用されます。動的コンテンツ分析エンジンがイネーブルになっており、要求時にカテゴリが割り当てられなかった場合にのみ適用されます(値「nc」が要求側のスキャン判定に表示されます)。 URL カテゴリの省略形の一覧については、URL カテゴリについてを参照してください。 |
||
22 |
|
“%XZ” |
どのスキャン エンジンがイネーブルになっているかに関係なく、マルウェア カテゴリを提供する統合された応答側アンチマルウェア スキャンの判定。サーバ応答のスキャンによってブロックまたはモニタされるトランザクションに適用されます。 |
||
23 |
|
“%Xk” |
カテゴリ名または脅威タイプは、Web レピュテーションフィルタによって返されます。Web レピュテーションが高い場合はカテゴリ名が返され、レピュテーションが低い場合は脅威タイプが返されます。 |
||
24 |
|
%X#10# |
Google 翻訳エンジンの中にカプセル化された URL。カプセル化された URL がない場合、フィールド値は「-」になります。 |
||
25 |
|
"%XO" |
AVC または ADC エンジンによって返されたアプリケーションの名前(該当する場合)。AVC または ADC エンジンが有効な場合にのみ適用されます。 |
||
26 |
|
“%Xu” |
AVC または ADC エンジンによって返されたアプリケーションのタイプ(該当する場合)。AVC または ADC エンジンが有効な場合にのみ適用されます。 |
||
27 |
|
“%Xb” |
AVC または ADC エンジンによって返されたアプリケーションの動作(該当する場合)。AVC または ADC エンジンが有効な場合にのみ適用されます。 AVC の場合は「_」、ADC の場合は「Unknown」です。 |
||
28 |
|
“%XS” |
安全なブラウジング スキャンの判定。この値は、セーフ サーチ機能またはサイト コンテンツ レーティング機能がトランザクションに適用されたかどうかを示します。 可能な値のリストについては、アダルト コンテンツ アクセスのロギングを参照してください。 |
||
29 |
|
%XB |
要求に対応するために使用された平均帯域幅(KB/秒)。 |
||
30 |
|
%XT |
帯域幅制限の制御設定によって要求が絞り込まれたかどうかを示す値。「1」は要求が絞り込まれたことを示し、「0」は絞り込まれなかったことを示します。 |
||
31 |
|
%l |
要求を行なっているユーザのタイプ([ローカル(Local)] または [リモート(Remote)])。AnyConnect Secure Mobility がイネーブルの場合にのみ適用されます。イネーブルでない場合、値はハイフン(-)です。 |
||
32 |
|
“%X3” |
どのスキャン エンジンがイネーブルになっているかに依存しない、統合された要求側アンチマルウェア スキャンの判定。発信マルウェア スキャン ポリシーが適用されるときに、クライアント要求のスキャンによってブロックまたはモニタされるトランザクションに適用されます。 |
||
33 |
|
“%X4” |
該当する発信マルウェア スキャン ポリシーによってブロックまたはモニタされるクライアント要求に割り当てられた脅威の名前。 この脅威の名前は、どのアンチマルウェア スキャン エンジンがイネーブルになっているかには依存しません。 |
||
34 |
|
%X#1# |
Advanced Malware Protection ファイルスキャンからの判定:
|
||
35 |
|
%X#2# |
Advanced Malware Protection ファイルスキャンで判定された脅威の名前。「-」は脅威がないことを示します。 |
||
36 |
|
%X#3# |
Advanced Malware Protection ファイルスキャンのレピュテーションスコア。このスコアは、クラウド レピュテーション サービスがファイルを正常と判定できない場合にのみ使用されます。 詳細については、ファイル レピュテーション フィルタリングとファイル分析の「脅威スコアとレピュテーションしきい値」に関する情報を参照してください。 。 |
||
37 |
|
%X#4# |
アップロードおよび分析要求のインジケータ: 「0」は、Advanced Malware Protection で分析用にファイルのアップロードが要求されなかったことを示します。 「1」は、Advanced Malware Protection で分析用にファイルのアップロードが要求されたことを示します。 |
||
38 |
|
%X#5# |
ダウンロードして分析するファイルの名前。 |
||
39 |
|
%X#6# |
このファイルの SHA-256 ID。 |
||
40 |
|
%X#8# |
アーカイブ スキャン判定。 |
||
41 |
|
%Xo |
アーカイブ スキャン判定の詳細。検査可能なアーカイブファイルがアクセスポリシーのカスタム オブジェクト ブロック設定に基づいてブロックされている場合( |
||
54 |
|
%Xm |
アーカイブスキャナによるファイル判定。 |
||
43 |
|
%XU |
Web タップ動作。 |
||
44 |
|
%X#29# |
トランザクションに割り当てられた YouTube URL カテゴリ(省略形)。カテゴリが割り当てられない場合、このフィールドには「nc」が表示されます。 |
各フォーマット指定子の機能については、ログ ファイルのフィールドとタグを参照してください。
関連項目
W3C 準拠のアクセス ログ ファイル
Secure Web Applianceには、Web プロキシ トランザクション情報を記録する 2 つの異なるログ タイプ(アクセス ログと W3C 形式のアクセス ログ)が用意されています。W3C アクセス ログは World Wide Web コンソーシアム(W3C)準拠であり、W3C 拡張ログ ファイル(ELF)形式でトランザクション履歴を記録します。
W3C フィールド タイプ
W3C アクセス ログ サブスクリプションを定義する場合は、ACL デシジョン タグまたはクライアント IP アドレスなど、含めるログ フィールドを選択します。以下のいずれかのログ フィールドのタイプを含めることができます。
- 定義済み。Web インターフェイスには、選択できるフィールドのリストが含まれています。
- ユーザ定義。定義済みリストに含まれていないログ フィールドを入力できます。
W3C アクセス ログの解釈
W3C アクセス ログを解釈するときは、以下のルールとガイドラインを考慮してください。
-
各 W3C アクセス ログ サブスクリプションに記録されるデータは、管理者が指定します。したがって、W3C アクセス ログには設定済みのフィールド形式がありません。
-
W3C ログは自己記述型です。ファイル形式(フィールドのリスト)は、各ログ ファイルの先頭のヘッダーで定義されます。
-
W3C アクセス ログのフィールドは空白で区切ります。
-
フィールドに特定のエントリのデータが含まれていない場合、ログ ファイルには代わりにハイフン(-)が表示されます。
-
W3C アクセス ログ ファイルの各行は、1 つのトランザクションに対応し、各行は改行シーケンスで終了します。
W3C ログ ファイルのヘッダー
各 W3C ログ ファイルには、ファイルの先頭にヘッダー テキストが含まれています。各行は、# 文字で始まり、ログ ファイルを作成した Secure Web Applianceに関する情報を提供します。W3C ログ ファイルのヘッダーには、ログ ファイルを自己記述型にするファイル形式(フィールドのリスト)が含まれています。
以下の表は、各 W3C ログ ファイルの先頭に配置されているヘッダー フィールドの説明です。
ヘッダー フィールド |
説明 |
---|---|
バージョン |
使用される W3C の ELF 形式バージョン |
日付(Date) |
ヘッダー(およびログ ファイル)が作成された日時。 |
システム(System) |
ログ ファイルを生成した Secure Web Appliance(「Management_IP - Management_hostname」形式)。 |
ソフトウェア(Software) |
これらのログを生成したソフトウェア |
フィールド(Fields) |
ログに記録されたフィールド |
W3C ログ ファイルの例:
#Version: 1.0
#Date: 2009-06-15 13:55:20
#System: 10.1.1.1 - wsa.qa
#Software: AsyncOS for Web 6.3.0
#Fields: timestamp x-elapsed-time c-ip
x-resultcode-httpstatus sc-bytes cs-method cs-url cs-username
x-hierarchy-origin cs-mime-type x-acltag x-result-code x-suspect-user-agent
W3C フィールドのプレフィックス
ほとんどの W3C ログ フィールドの名前には、クライアントやサーバなど、値を取得したヘッダーを識別するプレフィックスが含まれています。プレフィックスのないログ フィールドは、トランザクションに関与するコンピュータに関係ない値を参照します。以下の表は、W3C ログ フィールドのプレフィックスの説明です。
プレフィックスのヘッダー |
説明 |
---|---|
c |
クライアント |
s |
サーバ |
cs |
クライアントからサーバへ |
sc |
サーバからクライアントへ |
x |
アプリケーション固有の識別子。 |
たとえば、W3C ログ フィールド「cs-method」は、クライアントからサーバに送信された要求のメソッドを示し、「c-ip」はクライアントの IP アドレスを示しています。
関連項目
アクセス ログのカスタマイズ
標準アクセス ログや W3C アクセス ログをカスタマイズしてさまざまな定義済みフィールドやユーザ定義フィールドを追加して、ネットワーク内の Web トラフィックに関する包括的な情報を取得できます。
関連項目
- 定義済みフィールドの一覧については、ログ ファイルのフィールドとタグを参照してください。
- ユーザ定義フィールドの詳細については、アクセス ログのユーザ定義フィールドを参照してください。
アクセス ログのユーザ定義フィールド
定義済みのフィールドだけではアクセス ログや W3C ログに記録できない HTTP/HTTPS トランザクションのヘッダー情報がある場合は、カスタム ログ フィールドを追加できます。これを行うには、アクセス ログや W3C ログのサブスクリプションを設定するときに、[カスタム フィールド(Custom Fields)] テキスト ボックスにユーザ定義のログ フィールドを入力します。
カスタム ログ フィールドは、クライアントまたはサーバから送信される任意のヘッダーから任意のデータをとることができます。ログ サブスクリプションに追加されるヘッダーが要求または応答に含まれていない場合、ログ ファイルはログ フィールド値としてハイフンを使用します。
以下の表は、アクセス ログおよび W3C ログにカスタム フィールドを追加するときの構文を示しています。
ヘッダー タイプ |
アクセス ログ フォーマット指定子の構文 |
W3C ログ カスタム フィールドの構文 |
---|---|---|
クライアント アプリケーションからヘッダー |
%<ClientHeaderName : |
cs(ClientHeaderName ) |
サーバからヘッダー |
%<ServerHeaderName : |
sc(ServerHeaderName ) |
たとえば、クライアント要求の If-Modified-Since ヘッダー値のログを記録する場合、W3C ログ サブスクリプションの [カスタム フィールド(Custom Field)] ボックスに以下のテキストを入力します。
cs(If-Modified-Since)
関連項目
標準アクセス ログのカスタマイズ
手順
ステップ 1 |
[システム管理(System Administration)] > [ログ サブスクリプション(Log Subscriptions)] を選択します。 |
||
ステップ 2 |
アクセス ログ サブスクリプションを編集するには、アクセス ログ ファイル名をクリックします。 |
||
ステップ 3 |
[カスタム フィールド(Custom Fields)] に、必要なフォーマット指定子を入力します。 [カスタム フィールド(Custom Fields)] にフォーマット指定子を入力する構文は以下のとおりです。
例: フォーマット指定子の前にトークンを追加して、アクセス ログ ファイルの説明テキストを表示できます。次に例を示します。
この場合、
|
||
ステップ 4 |
変更を送信し、保存します。 |
次のタスク
関連項目
W3C アクセス ログのカスタマイズ
手順
ステップ 1 |
[システム管理(System Administration)] > [ログ サブスクリプション(Log Subscriptions)] を選択します。 |
||
ステップ 2 |
W3C ログ サブスクリプションを編集するには、W3C ログ ファイル名をクリックします。 |
||
ステップ 3 |
[カスタム フィールド(Custom Fields)] ボックスにフィールドを入力し、[追加(Add)] をクリックします。 [選択されたログ フィールド(Selected Log Fields)] リストに表示されるフィールドの順序によって、W3C アクセス ログ ファイルのフィールドの順序が決まります。[上へ移動(Move Up)] または [下へ移動(Move Down)] ボタンを使用してフィールドの順序を変更できます。[選択されたログ フィールド(Selected Log Fields)] リストでフィールドを選択し、[削除(Remove)] をクリックして、それを削除できます [カスタム フィールド(Custom Field)] ボックスに複数のユーザ定義フィールドを入力し、それらを同時に入力できます。ただし、[追加(Add)] をクリックする前に、各エントリが改行(Enter キーを押します)で区切られている必要があります。 W3C ログ サブスクリプションに含まれるログ フィールドを変更すると、ログ サブスクリプションは自動的にロール オーバーします。これにより、ログ ファイルの最新バージョンに適切な新しいフィールド ヘッダーを含めることができます。
|
||
ステップ 4 |
変更を送信し、保存します。 |
次のタスク
関連項目
Cisco CTA 固有のカスタム W3C ログの設定
アプライアンスを、Cognitive Threat Analytics(CTA)(分析とレポートのための Cisco Cloud Web Security サービス固有のカスタム W3C アクセス ログ)を「プッシュ」するよう設定することができます。Cisco ScanCenter は Cloud Web Security(CWS)の管理ポータルです。https://www.cisco.com/c/en/us/support/security/cloud-web-security/products-installation-and-configuration-guides-list.htmlを参照してください
始める前に
自動アップロード プロトコルとして SCP(Secure Copy Protocol)を選択して、アプライアンス用の Cisco ScanCenter にデバイスのアカウントを作成します。『Cisco ScanCenter Administrator』の「Proxy Device Uploads」のセクションを参照してください(https://www.cisco.com/c/en/us/td/docs/security/web_security/scancenter/administrator/guide/b_ScanCenter_Administrator_Guide.html)。
SCP のホスト名とアプライアンス用の生成されたユーザ名に注意してください。ユーザ名は大文字と小文字が区別され、デバイスごとに異なります。
手順
ステップ 1 |
[セキュリティサービス(Security Services)] > [Cisco Cognitive Threat Analytics] を選択します。 |
||
ステップ 2 |
[設定の編集(Edit Settings)] をクリックします。 |
||
ステップ 3 |
[ログフィールド(Log Fields)] エリアに、必要に応じて追加のログ フィールドを追加します。ログ サブスクリプションの追加および編集を参照してください。 |
||
ステップ 4 |
[選択されたログフィールド(Selected Log Fields)] で、c-ip、cs-username または cs-auth-group の横のチェック ボックスを、個別にこれらのフィールドを匿名化する場合は、オンにします。 また、[匿名化(Anonymization)] チェック ボックスをオンにして、これらのフィールドを同時に匿名化することもできます。ログ サブスクリプションの追加および編集を参照してください。 |
||
ステップ 5 |
[検索方法(Retrieval Method)] 領域に、Cisco ScanCenter のデバイス用に生成されたユーザ名を入力します。デバイス ユーザ名は大文字と小文字が区別され、プロキシ デバイスごとに異なります。 |
||
ステップ 6 |
必要に応じて、[詳細オプション(Advanced Options)] の値を変更します。 |
||
ステップ 7 |
[送信(Submit)] をクリックします。 アプライアンスは公開 SSH キーを生成し、[Cisco Cognitive Threat Analytics] ページにそれらが表示されます。 |
||
ステップ 8 |
公開 SSH キーのいずれかをクリップボードにコピーします。 |
||
ステップ 9 |
[Cisco Cognitive Threat Analyticsの表示(View Cisco Cognitive Threat Analytics)] ポータル リンクをクリックして、Cisco ScanCenter ポータルに切り替えて、適切なデバイス アカウントを選択してから、公開 SSH キーを [CTAデバイスプロビジョニング(CTA Device Provisioning)] ページに貼り付けます。(『Cisco ScanCenter Administrator Guide』の「Proxy Device Uploads」のセクションを参照してください)。 プロキシ デバイスからのログ ファイルは、プロキシ デバイスと CTA システム間の正常な認証での分析のため CTA システムにアップロードされます。 |
||
ステップ 10 |
アプライアンスに戻って、変更を確定します。 [システム管理(System Administration)] > [ログサブスクリプション(Log Subscription)] を使用して、CTA W3C ログを追加することもできます。W3C アクセス ログのカスタマイズの手順に従って、新しい W3C アクセス ログ サブスクリプションを次のオプションを指定して追加します。
カスタム フィールドの詳細については、ログ サブスクリプションの追加および編集を参照してください。
ログを作成した後、CTA ログを削除する場合は、[Cisco Cognitive Threat Analytics] ページで [無効化(Disable)] をクリックします。CTA ログは [ログサブスクリプション(Log Subscriptions)] ページからも削除できます([システム管理(System Administration)] > [ログサブスクリプション(Log Subscriptions)])。 匿名の CTA 固有 W3C ログ フィールドを非匿名化するには、[Cisco Cognitive Threat Analytics] ページで [非匿名化(Cisco Cognitive Threat Analytics)] をクリックします。W3C ログ フィールドの非匿名化を参照してください また、[システム管理(System Administration)] > [ログサブスクリプション(Log Subscriptions)] を使用して、匿名の CTA 固有 W3C ログ フィールドを非匿名化することもできます。W3C ログ フィールドの非匿名化を参照してください |
Cisco Cloudlock に固有のカスタム W3C ログの設定
Cisco Cloudlock は、クラウド ネイティブ CASB およびサイバー セキュリティ プラットフォームであり、Software-as-a-Service、Platform-as-a-Service、および Infrastructure-as-a-Service の全体にわたってユーザ、データ、およびアプリケーションを保護します。シスコの Cloudlock ポータルに W3C アクセス ログをプッシュするようお使いのアプライアンスを設定し、分析とレポーティングに役立てることができます。これらのカスタム W3C ログを使用すると、顧客の SaaS 利用状況がさらに把握しやすくなります。
始める前に
お使いのアプライアンスの Cloudlock ポータルにデバイス アカウントを作成し、自動アップロード プロトコルとして SCP を選択します。
Cloudlock ポータルにログオンしてオンライン ヘルプにアクセスし、Cloudlock ポータルにデバイス アカウントを作成するための手順に従ってください。
手順
ステップ 1 |
[セキュリティ サービス(Security Services)] > [Cisco Cloudlock] を選択します。 |
||
ステップ 2 |
[設定の編集(Edit Settings)] をクリックします。
|
||
ステップ 3 |
[取得方法(Retrieval Method)] エリアで、次の情報を入力します。
|
||
ステップ 4 |
必要に応じ、[詳細オプション(Advanced Options)] の値を変更します。 |
||
ステップ 5 |
[送信(Submit)] をクリックします。 アプライアンスによって公開 SSH キーが生成され、Cisco Cloudlock ページに表示されます。 |
||
ステップ 6 |
公開 SSH キーのいずれかをクリップボードにコピーします。 |
||
ステップ 7 |
[Cloudlockポータルの表示(View Cloudlock Portal)] リンクをクリックして、Cisco Cloudlock ポータルに切り替えます。適切なデバイス アカウントを選択し、公開 SSH キーを [Cloudlock設定(Cloudlock Setting)] ページに貼り付けます。 お使いのプロキシ デバイスと Cloudlock システムの間で認証が成功すると、プロキシ デバイスからのログ ファイルが、分析のため、Cloudlock システムにアップロードされます。 |
||
ステップ 8 |
アプライアンスに戻って、変更を確定します。 Cloudlock W3C ログの追加は、[システム管理(System Administration)] > [ログサブスクリプション(Log Subscription)] を使用して行うこともできますW3C アクセス ログのカスタマイズの手順に従って、新しい W3C アクセス ログ サブスクリプションを次のオプションを指定して追加します。
ログの作成後に Coudlock ログを削除する場合は、Cisco Cloudlock ページで [無効(Disable)] をクリックします。Cloudlock ログの削除は、[ログサブスクリプション(Log Subscription)] ページ([システム管理(System Administration)] > [ログサブスクリプション(Log subscriptions)])から行うこともできます。 |
トラフィック モニタのログ ファイル
レイヤ 4 トラフィック モニター ログ ファイルには、レイヤ 4 モニタリング アクティビティの詳細が記録されます。レイヤ 4 トラフィック モニタ ログ ファイルのエントリを表示して、ファイアウォール ブロック リストやファイアウォール許可リストのアップデートを追跡できます。
トラフィック モニタ ログの解釈
下記の例では、トラフィック モニタ ログに記録されるさまざまなタイプのエントリの意味について説明します。
例 1
172.xx.xx.xx discovered for blocksite.net (blocksite.net) added to firewall block list.
この例では、一致する場所がブロック リストのファイアウォール エントリとなります。レイヤ 4 トラフィック モニタにより、アプライアンスを通過した DNS 要求に基づいて、ブロック リストのドメイン名への IP アドレスが検出されました。その後で、その IP アドレスがファイアウォールのブロック リストに追加されました。
例 2
172.xx.xx.xx discovered for www.allowsite.com (www.allowsite.com) added to firewall allow list.
この例では、一致が許可リストのファイアウォール エントリとなります。レイヤ 4 トラフィック モニタによりドメイン名エントリが照合され、一致がアプライアンスの許可リストに追加されました。その後で、その IP アドレスがファイアウォールの許可リストに追加されました。
例 3
Firewall noted data from 172.xx.xx.xx to 209.xx.xx.xx (allowsite.net):80.
この例では、レイヤ 4 トラフィック モニタにより内部 IP アドレスとブロック リストに記載されている外部 IP アドレス間で渡されたデータ レコードが記録されています。この場合、レイヤ 4 トラフィック モニタは、「ブロック」ではなく「モニタ」に設定されています。
関連項目
ログ ファイルのフィールドとタグ
アクセス ログのフォーマット指定子と W3C ログ ファイルのフィールド
ログ ファイルでは、各ログ ファイル エントリを構成している情報項目を表すために変数が使用されます。これらの変数は、アクセス ログではフォーマット指定子、W3C ログではログ フィールドと呼ばれ、各フォーマット指定子には対応するログ フィールドがあります。
アクセス ログにこれらの値を表示するよう設定する方法については、アクセス ログのカスタマイズ、および ログ サブスクリプションの追加および編集 のカスタム フィールドに関する情報を参照してください。
以下の表は、これらの変数に関する説明です。
アクセス ログのフォーマット指定子 |
W3C ログのログ フィールド |
説明 |
---|---|---|
%:<A |
AclTime |
アクセス制御リストトランザクションにかかった合計時間を出力します。 |
%{ |
x-id-shared |
Umbrella と共有する ID のステータスを出力します。 ID がトランザクションで共有されている場合、対応するフォーマッタの値は「ID_SHARED」です。それ以外の場合は、アクセスログに「-」が表示されます。 |
%[ |
x-spoofed-ip |
プロキシ IP スプーフィングで使用される送信元 IP アドレス。 |
%) |
x-proxy-instance-id |
ハイパフォーマンスモードが有効になっている場合のプロキシのインスタンス ID。それ以外の場合は、ハイフンをログに記録します。 |
%( |
cs-domain-map |
ドメインマップを使用して解決された解決済みのドメイン名。 |
%X#11# |
ext_auth_sgt |
ISE 統合で使用されるセキュリティ グループ タグのカスタム フィールド パラメーター。 |
%$ |
cipher information |
トランザクションの両方のレッグの暗号情報(クライアントプロキシ暗号情報 ## プロキシサーバ暗号情報)。この情報は「<ciphername>, <protocol version>, Kx=<key exchange>, Au=<authentication>, Enc=<symmetric encryption method>, Mac=<message authentication code>」のようなシーケンスで示されます。 |
%:<1 |
x-p2s-first-byte-time |
Web プロキシがサーバへの接続を開始した時点から最初にサーバに書き込みが行えるようになるまでの時間。Web プロキシが複数のサーバに接続してトランザクションを完了する必要がある場合、これらの時間の合計になります。 |
%:<a |
x-p2p-auth-wait-time |
Web プロキシが要求を送信後、Web プロキシの認証プロセスからの応答を受信する待機時間。 |
%:<b |
x-p2s-body-time |
ヘッダーの後、要求本文をサーバに書き込むまでの待機時間。 |
%:<d |
x-p2p-dns-wait-time |
Web プロキシが Web プロキシ DNS プロセスに DNS 要求を送信するのにかかった時間。 |
%:<h |
x-p2s-header-time |
最初のバイトの後、要求ヘッダーをサーバに書き込むまでの待機時間。 |
%:<r |
x-p2p-reputation- wait-time |
Web プロキシが要求を送信後、Web レピュテーション フィルタからの応答を受信する待機時間。 |
%:<s |
x-p2p-asw-req- wait-time |
Web プロキシが要求を送信後、Web プロキシのアンチス パイウェア プロセスからの判定を受信する待機時間。 |
%:>1 |
x-s2p-first-byte-time |
サーバからの最初の応答バイトの待機時間 |
%:>a |
x-p2p-auth-svc-time |
Web プロキシの認証プロセスからの応答を受信する待機時間(Web プロキシが要求を送信するのに必要な時間を含む)。 |
%:>b |
x-s2p-body-time |
受信したヘッダーの後の完全な応答本文の待機時間 |
%:>c |
x-p2p-fetch-time |
Web プロキシがディスク キャッシュからの応答を読み取るのに必要な時間。 |
%:>d |
x-p2p-dns-svc-time |
Web プロキシ DNS プロセスが Web プロキシに DNS 結果を返送するのにかかった時間。 |
%:>h |
x-s2p-header-time |
最初の応答バイト後のサーバ ヘッダーの待機時間 |
%:>g |
SSL サーバ ハンドシェイク遅延の情報。 |
|
%o |
- |
消費された時間クォータ。 |
% O |
- |
消費されたボリュームクォータ。 |
%X#41# |
x-bw-info |
適用される帯域幅クォータ制御レベル、リクエストにマッピングされた帯域幅パイプ番号、設定された帯域幅クォータ制限、および使用される帯域幅クォータプロファイル(level-pipe_no-quota_limit-quota_profile)。 |
%:>r |
x-p2p-reputation-svc- time |
Web レピュテーション フィルタからの判定を受信する待機時間(Web プロキシが要求を送信するのに必要な時間を含む)。 |
%:>s |
x-p2p-asw-req-svc- time |
Web プロキシのアンチス パイウェア プロセスからの判定を受信する待機時間(Web プロキシが要求を送信するのに必要な時間を含む)。 |
%:1< |
x-c2p-first-byte-time |
新しいクライアント接続からの最初の要求バイトを待機する時間。 |
%:1> |
x-p2c-first-byte-time |
最初のバイトがクライアントに書き込まれるまでの待機時間。 |
%:A< |
x-p2p-avc-svc-time |
AVC プロセスからの応答を受信する待機時間(Web プロキシが要求を送信するのに必要な時間を含む)。 |
%:A> |
x-p2p-avc-wait-time |
Web プロキシが要求を送信後、AVC プロセスからの応答を受信する待機時間。 |
%:b< |
x-c2p-body-time |
クライアント本文全体を待機する時間。 |
%:b> |
x-p2c-body-time |
本文全体がクライアントに書き込まれるまでの待機時間。 |
%:C< |
x-p2p-dca-resp- svc-time |
動的コンテンツ分析からの判定を受信する待機時間(Web プロキシが要求を送信するのに必要な時間を含む)。 |
%:C> |
x-p2p-dca-resp- wait-time |
Web プロキシが要求を送信後、動的コンテンツ分析からの応答を受信する待機時間。 |
%:h< |
x-c2p-header-time |
最初のバイトの後の完全なクライアント ヘッダーの待機時間 |
%:h> |
x-p2c-header-time |
クライアントに書き込まれる完全なヘッダーの待機時間 |
%:m< |
x-p2p-mcafee-resp- svc-time |
McAfee スキャン エンジンからの判定を受信する待機時間(Web プロキシが要求を送信するのに必要な時間を含む)。 |
%:m> |
x-p2p-mcafee-resp- wait-time |
Web プロキシが要求を送信後、McAfee スキャン エンジンからの応答を受信する待機時間。 |
%:p< |
x-p2p-sophos-resp- svc-time |
Sophos スキャン エンジンからの判定を受信する待機時間(Web プロキシが要求を送信するのに必要な時間を含む)。 |
%:p> |
x-p2p-sophos-resp- wait-time |
Web プロキシが要求を送信後、Sophos スキャン エンジンからの応答を受信する待機時間。 |
%:w< |
x-p2p-webroot-resp -svc-time |
Webroot スキャン エンジンからの判定を受信する待機時間(Web プロキシが要求を送信するのに必要な時間を含む)。 |
%:w> |
x-p2p-webroot-resp-wait- time |
Web プロキシが要求を送信後、Webroot スキャン エンジンからの応答を受信する待機時間。 |
%?BLOCK_SUSPECT_ USER_AGENT, MONITOR_SUSPECT_ USER_AGENT?% < User-Agent:%!%-% |
x-suspect-user-agent |
不審なユーザ エージェント(該当する場合)。ユーザ エージェントが疑わしい Web プロキシが判定した場合、このフィールドにそのユーザ エージェントを記録します。それ以外の場合、ハイフンが表示されます。このフィールドは、二重引用符付きでアクセス ログに書き込まれます。 |
%<Referer: |
cs(Referer) |
Referer ヘッダー |
%>Server: |
sc(Server) |
応答の Server ヘッダー |
%a |
c-ip |
クライアント IP アドレス。 |
%A |
cs-username |
認証されたユーザ名。このフィールドは、二重引用符付きでアクセス ログに書き込まれます。 |
%b |
sc-body-size |
本文のコンテンツ用に Web プロキシからクライアントに送信されたバイト数。 |
%B |
bytes |
使用された合計バイト数(要求サイズ + 応答サイズ、つまり %q + %s)。 |
%c |
cs-mime-type |
応答本文の MIME タイプ。このフィールドは、二重引用符付きでアクセス ログに書き込まれます。 |
%C |
cs(Cookie) |
Cookie ヘッダー。このフィールドは、二重引用符付きでアクセス ログに書き込まれます。 |
%d |
s-hostname |
データ ソースまたはサーバの IP アドレス。 |
%] |
Header_profile |
HTTP ヘッダー書き換えプロファイル名。 |
%D |
x-acltag |
ACL デシジョン タグ。 |
%e |
x-elapsed-time |
ミリ秒単位の経過時間。 TCP トラフィックの場合、HTTP 接続の開始から完了までの経過時間です。 UDP トラフィックの場合、最初のデータグラムを送信してから、最後のデータグラムが許可される時間までの経過時間です。UDP トラフィックの経過時間が大きいと、タイムアウト値が大きくなる可能性があり、存続時間の長い UDP アソシエーションの許容データグラムが必要以上に長く許可される可能性があります。 |
%E |
x-error-code |
カスタマー サポートが失敗したトランザクションの原因をトラブルシューティングするのに役立つエラー コード番号。 |
%f |
cs(X-Forwarded-For) |
X-Forwarded-For ヘッダー |
%F |
c-port |
クライアントの送信元ポート |
%g |
cs-auth-group |
承認されたグループ名。このフィールドは、二重引用符付きでアクセス ログに書き込まれます。 このフィールドは、ユーザが適切なグループまたはポリシーに一致しているかどうかを判断する、認証問題のトラブルシューティングに使用されます。 |
%G |
人間が読み取れる形式のタイムスタンプ。 |
|
%h |
sc-http-status |
HTTP 応答コード。 |
%H |
s-hierarchy |
階層の取得。 |
%i |
x-icap-server |
要求の処理中に接続した最後の ICAP サーバの IP アドレス。 |
%I |
x-transaction-id |
トランザクション ID。 |
%j |
DCF |
応答コードをキャッシュしません(DCF フラグ)。 応答コードの説明:
|
%k |
s-ip |
データ ソースの IP アドレス(サーバの IP アドレス) この値は、ネットワーク上の侵入検知デバイスによって IP アドレスがフラグ付けされたときに、要求元を決定するのに使用されます。これにより、フラグ付けされた IP アドレスを参照したクライアントの検索が可能になります。 |
%l |
user-type |
ユーザのタイプ(ローカルまたはリモート)。 |
%L |
x-local_time |
人間が読み取れる形式の要求のローカル時刻:DD/MMM/YYYY : hh:mm:ss +nnnn。このフィールドは、二重引用符付きでアクセス ログに書き込まれます。 このフィールドを有効にすると、各ログ エントリのエポック タイムからローカルタイムを計算せずにログを問題に関連付けることができます。 |
%m |
cs-auth-mechanism |
認証問題をトラブルシューティングするのに使用されます。 トランザクションで使用する認証メカニズム。値は以下のとおりです。
|
%M |
CMF |
キャッシュ ミス フラグ(CMF フラグ)。 |
%N |
s-computerName |
サーバ名または宛先ホスト名。このフィールドは、二重引用符付きでアクセス ログに書き込まれます。 |
%p |
s-port |
宛先ポート番号。 |
%P |
cs-version |
プロトコル。 |
%q |
cs-bytes |
要求サイズ(ヘッダー + 本文)。 |
%r |
x-req-first-line |
要求の先頭行:要求方法(URI)。 |
%s |
sc-bytes |
応答サイズ(ヘッダー + 本文)。 |
%t |
timestamp |
UNIX エポックのタイムスタンプ 注:サードパーティ製のログ アナライザ ツールを使用して W3C アクセス ログを解析する場合は、timestamp フィールドを含める必要があります。ほとんどのログ アナライザは、このフィールドで提供される形式の時間のみ認識します。 |
%u |
cs(User-Agent) |
ユーザ エージェント。このフィールドは、二重引用符付きでアクセス ログに書き込まれます。 このフィールドは、アプリケーションが認証に失敗しているかどうか、および/または別のアクセス権限が必要かどうかを判断するのに役立ちます。 |
%U |
cs-uri |
要求 URI。 |
%v |
date |
YYYY-MM-DD 形式の日付。 |
%V |
時刻 |
HH:MM:SS 形式の時刻。 |
%w |
sc-result-code |
結果コード。例:TCP_MISS、TCP_HIT。 |
%W |
sc-result-code-denial |
結果コードの拒否。 |
%x |
x-latency |
待ち時間。 |
%X0 |
x-resp-dvs-scanverdict |
どのスキャン エンジンがイネーブルになっているかに関係なく、マルウェア カテゴリ番号を提供する統合された応答側アンチマルウェア スキャンの判定。サーバ応答のスキャンによってブロックまたはモニタされるトランザクションに適用されます。 このフィールドは、二重引用符付きでアクセス ログに書き込まれます。 |
%X1 |
x-resp-dvs-threat-name |
どのスキャン エンジンがイネーブルになっているかに関係なく、マルウェア脅威の名前を提供する統合された応答側アンチマルウェア スキャンの判定。サーバ応答のスキャンによってブロックまたはモニタされるトランザクションに適用されます。 このフィールドは、二重引用符付きでアクセス ログに書き込まれます。 |
%X2 |
x-req-dvs-scanverdict |
要求側 DVS スキャンの判定 |
%X3 |
x-req-dvs-verdictname |
要求側 DVS 判定の名前 |
%X4 |
x-req-dvs-threat-name |
要求側 DVS 脅威の名前 |
%X6 |
x-as-malware-threat-name |
マルウェア対策スキャン エンジンを起動することなく、適応型スキャンによってトランザクションがブロックされたかどうかを示します。設定可能な値は次のとおりです。
この変数は、スキャン判定情報(各アクセス ログ エントリの末尾の山カッコ内)に含まれています。 |
%XA |
x-webcat-resp-code- abbr |
応答側のスキャン中に判定された URL カテゴリの評価(省略形)。Cisco Web 利用の制御の URL フィルタリング エンジンにのみ適用されます。 |
%Xb |
x-behavior |
AVC または ADC エンジンによって識別される Web アプリケーションの動作。 |
%XB |
x-avg-bw |
帯域幅制限が AVC エンジンで定義されている場合、ユーザの平均帯域幅。 |
%XC |
x-webcat-code-abbr |
トランザクションに割り当てられたカスタム URL カテゴリの URL カテゴリの省略形。 |
%Xd |
x-mcafee-scanverdict |
McAfee 固有の ID:(スキャン判定)。 |
%Xe |
x-mcafee-filename |
McAfee 固有の ID:(判定を生成するファイル名)このフィールドは二重引用符付きでアクセス ログに書き込まれます。 |
%Xf |
x-mcafee-av-scanerror |
McAfee 固有の ID:(スキャン エラー)。 |
%XF |
x-webcat-code-full |
トランザクションに割り当てられた URL カテゴリの完全名。このフィールドは、二重引用符付きでアクセス ログに書き込まれます。 |
%Xg |
x-mcafee-av-detecttype |
McAfee 固有の ID:(検出タイプ)。 |
%XG |
x-avc-reqhead-scanverdict |
AVC 要求ヘッダーの判定。 |
%Xh |
x-mcafee-av-virustype |
McAfee 固有の ID:(ウイルス タイプ)。 |
%XH |
x-avc-reqbody- scanverdict |
AVC 要求本文の判定。 |
%Xi |
x-webroot-trace-id |
Webroot 固有のスキャン識別子:(トレース ID) |
%Xj |
x-mcafee-virus-name |
McAfee 固有の ID:(ウイルス名)このフィールドは、二重引用符付きでアクセス ログに書き込まれます。 |
%Xk |
x-wbrs-threat-type |
Web レピュテーションの脅威タイプ。 |
%XK |
x-wbrs-threat-reason |
Web レピュテーションの脅威の理由。 |
%Xl |
x-ids-verdict |
Cisco データ セキュリティ ポリシーのスキャン判定。このフィールドが含まれている場合は IDS 判定が表示されます。IDS がアクティブでドキュメントが「正常」とスキャン判定された場合は「0」、要求に対する IDS ポリシーがアクティブでない場合は「-」が表示されます。 |
%XL |
x-webcat-resp-code- full |
応答側のスキャン中に判定された URL カテゴリの評価(完全名)。Cisco Web 利用の制御の URL フィルタリング エンジンにのみ適用されます。 |
%XM |
x-avc-resphead- scanverdict |
AVC 応答ヘッダーの判定。 |
%Xn |
x-webroot-threat-name |
Webroot 固有の ID:(脅威の名前)このフィールドは二重引用符付きでアクセス ログに書き込まれます。 |
%XN |
x-avc-reqbody-scanverdict |
AVC 応答本文の判定。 |
%XO |
xAPP |
AVC または ADC エンジンによって識別される Web アプリケーションタイプ。 |
%Xp |
x-icap-verdict |
外部 DLP サーバのスキャン判定。 |
%XP |
x-acl-added-headers |
認識されないヘッダー。クライアント要求の追加ヘッダーのログを記録するには、このフィールドを使用します。クライアント要求を認証してリダイレクトする方法として要求にヘッダーを追加する、特殊なシステム(YouTube for Schools など)のトラブルシューティングをサポートします。 |
%XQ |
x-webcat-req-code- abbr |
要求側のスキャン時に決定された定義済み URL カテゴリの判定(省略形)。 |
%Xr |
x-result-code |
スキャン判定情報。 |
%XR |
x-webcat-req-code-full |
要求側のスキャン中に判定された URL カテゴリの評価(完全名)。 |
%Xs |
x-webroot-spyid |
Webroot 固有の ID:(スパイ ID)。 |
%XS |
x-request-rewrite |
安全なブラウジング スキャンの判定。 セーフ サーチ機能またはサイト コンテンツ レーティング機能がトランザクションに適用されたかどうかを示します。 |
%Xt |
x-webroot-trr |
Webroot 固有の ID:(脅威リスク比率(TRR))。 |
%XT |
x-bw-throttled |
帯域幅制限がトランザクションに適用されたかどうかを示すフラグ。 |
%Xu |
xAPP タイプ |
AVC または ADC エンジンによって識別される Web アプリケーション。 |
%Xv |
x-webroot-scanverdict |
Webroot からのマルウェア スキャンの判定。 |
%XV |
x-request-source-ip |
Web プロキシ設定で、[X-Forwarded-For を使用したクライアント IP アドレスの識別を有効にする(Enable Identification of Client IP Addresses using X-Forwarded-For)] チェックボックスをオンにした場合のダウンストリーム IP アドレス。 |
%XW |
x-wbrs-score |
復号化された WBRS スコア <-10.0-10.0>。 |
%Xx |
x-sophos-scanerror |
Sophos 固有の ID:(スキャンの戻りコード)。 |
%Xy |
x-sophos-file-name |
Sophos が好ましくないコンテンツを検出したファイルの名前。Sophos でのみ検出された応答に適用します。 |
%XY |
x-sophos-scanverdict |
Sophos 固有の ID:(スキャン判定)。 |
%Xz |
x-sophos-virus-name |
Sophos 固有の ID:(脅威の名前)。 |
%XZ |
x-resp-dvs-verdictname |
どのスキャン エンジンがイネーブルになっているかに関係なく、マルウェア カテゴリを提供する統合された応答側アンチマルウェア スキャンの判定。サーバ応答のスキャンによってブロックまたはモニタされるトランザクションに適用されます。 このフィールドは、二重引用符付きでアクセス ログに書き込まれます。 |
%X#1# |
x-amp-verdict |
Advanced Malware Protection ファイルスキャンからの判定:
|
%X#2# |
x-amp-malware-name |
Advanced Malware Protection ファイルスキャンで判定された脅威の名前。「-」は脅威がないことを示します。 |
%X#3# |
x-amp-score |
Advanced Malware Protection ファイルスキャンのレピュテーションスコア。 このスコアは、クラウド レピュテーション サービスがファイルを正常と判定できない場合にのみ使用されます。 詳細については、ファイル レピュテーション フィルタリングとファイル分析の「脅威スコアとレピュテーションしきい値」に関する情報を参照してください。 |
%X#4# |
x-amp-upload |
アップロードおよび分析要求のインジケータ: 「0」は、Advanced Malware Protection で分析用にファイルのアップロードが要求されなかったことを示します。 「1」は、Advanced Malware Protection で分析用にファイルのアップロードが要求されたことを示します。 |
%X#5# |
x-amp-filename |
ダウンロードして分析するファイルの名前。 |
%X#6# |
x-amp-sha |
このファイルの SHA-256 ID。 |
%y |
cs-method |
方式。 |
%Y |
cs-url |
URL 全体。 |
%:>A |
x-p2p-adc-svc-time |
ADC プロセスからの応答を受信する待機時間(Web プロキシが要求を送信するのに必要な時間を含む)。 |
%:a> |
x-p2p-adc-wait-time |
Web プロキシが要求を送信後、ADC プロセスからの応答を受信する待機時間。 |
%:e< |
x-p2p-amp-svc-time |
AMP スキャンエンジンからの判定を受信する待機時間(Web プロキシが要求を送信するのに必要な時間を含む)。 |
%:e> |
x-p2p-amp-wait-time |
Web プロキシが要求を送信後、 AMP スキャンエンジンからの応答を受信する待機時間。 |
該当なし |
x-hierarchy-origin |
要求コンテンツを取得するために接続したサーバを示すコード(DIRECT/www.example.com など)。 |
該当なし |
x-resultcode-httpstatus |
結果コードおよび HTTP 応答コード(間をスラッシュ(/)で区切ります)。 |
該当なし |
x-archivescan-verdict |
アーカイブ検査の判定を表示します。 |
該当なし |
x-archivescan-verdict- reason |
アーカイブ スキャンでブロックされるファイルの詳細。 |
%XU |
該当なし |
将来のために予約済み。 |
関連項目
マルウェア スキャンの判定値
マルウェア スキャンの判定は、マルウェアを含む可能性を判別する、URL 要求またはサーバ応答に割り当てられた値です。Webroot、McAfee、および Sophos のスキャン エンジンは、マルウェア スキャンの判定を DVS エンジンに返し、DVS エンジンが要求をモニタするかブロックするかを決定できるようにします。特定のアクセス ポリシーに対するアンチマルウェア設定を編集した場合、各マルウェア スキャンの判定は、[アクセス ポリシー(Access Policies)] > [レピュテーションおよびマルウェア対策設定(Reputation and Anti-Malware Settings)] ページにリストされているマルウェア カテゴリに対応します。
以下のリストは、さまざまなマルウェア スキャンの判定値および対応するマルウェア カテゴリを示しています。
マルウェア スキャンの判定値 |
マルウェア カテゴリ |
---|---|
- |
設定しない |
0 |
不明 |
1 |
スキャンしない |
2 |
タイムアウト |
3 |
エラー |
4 |
スキャン不可 |
10 |
一般的なスパイウェア |
12 |
ブラウザ ヘルパー オブジェクト |
13 |
アドウェア |
14 |
システム モニタ |
18 |
商用システム モニタ |
19 |
ダイヤラ |
20 |
ハイジャッカー |
21 |
フィッシング URL |
22 |
トロイのダウンローダ |
23 |
トロイの木馬 |
24 |
トロイのフィッシャ |
25 |
ワーム |
26 |
暗号化ファイル |
27 |
ウィルス |
33 |
その他のマルウェア |
34 |
PUA |
35 |
中断 |
36 |
アウトブレイク ヒューリスティック |
37 |
既知の悪意のある高リスク ファイル |