Firebox によって生成される各ログ メッセージには、Firebox でのトラフィックに関するデータ列が含まれます。Traffic Monitor でログ メッセージを確認する場合は、データ内の詳細には異なる色が適用されているので、それぞれの詳細を視覚的に区別しやすくなっています。
以下は、Traffic Monitor からのトラフィック ログ メッセージの一例です:
2014-07-02 17:38:43 Member2 Allow 192.168.228.202 10.0.1.1 webcache/tcp 42973 8080 3-Trusted 1-WCI Allowed 60 63 (Outgoing-proxy-00) proc_id="firewall" rc="100" src_ip_nat="69.164.168.163" tcp_info="offset 10 S 2982213793 win 2105" msg_id="3000-0148"
ログ メッセージを読むと、トラフィックの接続がいつ発生したか、トラフィックの送信元と送信先のほか、接続の処置やその他の詳細を確認することができます。
各ログ メッセージには次の情報が含まれます:
タイム スタンプ
ログ メッセージの行は、ログ メッセージが作成された日時を含むタイム スタンプで始まります。タイム スタンプは、Firebox からのタイム ゾーンと現在時刻を使用します。
これは上記のログ メッセージ例のタイム スタンプです:
2014-07-02 17:38:43
FireCluster メンバー情報
ログ メッセージが FireCluster のメンバーである Firebox からのものである場合は、そのログ メッセージには、その Firebox のクラスタ メンバー番号が含まれます。
これは上記のログ メッセージ例の FireCluster メンバー情報です:
メンバー 2
処置
各ログ メッセージは、トラフィックの処置 (許可または拒否) を示しています。ログ メッセージが、パケット フィルタ ポリシーではなくプロキシ ポリシーによって管理されていたトラフィックのものである場合は、プロキシ アクションによりパケット ボディが削除されていたり変更されていても、トラフィックが「許可」とマークされている可能性があります。
これは上記のログ メッセージ例の処置です:
許可
送信元および送信先のアドレス
ログ メッセージの処置の後には、トラフィックの実際の送信元と宛先 IP アドレスが表示されます。NAT がトラフィックに適用された場合は、NAT アドレスがログ メッセージのより後の部分に表示されます。
これらは上記のログ メッセージ例の送信元および送信先アドレスです:
192.168.228.202 および 10.0.1.1
サービスとプロトコル
ログ メッセージの次のエントリーは、トラフィックを管理するサービスとプロトコルです。サービスは、トラフィックを管理したポリシー名ではなく、トラフィックが使用したプロトコルとポートに基づいて指定されます。サービスを確定できない場合は、ポート番号が代わりに表示されます。
これらは上記のログ メッセージ例のサービスとプロトコルです:
webcache/tcp
送信元と送信先ポート
ログ メッセージの次の詳細は、送信元と送信先ポートです。ソース ポートはリターン トラフィックを特定します。送信先ポートはトラフィックに使用されるサービスを確定します。
これらは上記のログ メッセージ例の送信元および送信先ポートです:
42973 および 8080
送信元および送信先インターフェイス
送信元および送信先インターフェイスは送信先ポートの後に表示されます。これらはこのトラフィックの接続に対応する物理または仮想インターフェイスです。
これらは上記のログ メッセージ例の送信元および送信先インターフェイスです:
3-Trusted および 1-WCI
接続アクション
これはトラフィックの接続に適用されるアクションです。プロキシ アクションの場合、これはパッケージのコンテンツが許可されるか、廃棄されるか、除外されるかを示します。
これは上記のログ メッセージ例の接続アクションです:
許可
パケット長
2 つのパケット長の数字は、パケット長を (バイト数で) と TTL (有効期間) 値で示します。TTL は、パケットが廃棄される前に特定の数のルーティング デバイスを通過することを許可することにより、ネットワークの混雑を防止するために使用されるメトリックです。
これらは上記のログ メッセージ例のパケット長の数です:
60 (パケット長) および 63 (TTL)
ポリシー名
これは、トラフィックを扱う Firebox におけるポリシーの名称です。数字 (-00) は自動的にポリシー名に付加され、Firebox での内部参照システムの一部となります。
これは上記のログ メッセージ例のポリシー名です:
(Outgoing-proxy-00)
プロセス
ログ メッセージのこの部分には、トラフィックに対応するプロセスが表示されます。
これは上記のログ メッセージ例のプロセスです:
proc_id="firewall"
リターン コード
これはパケットのリターン コードで、レポートに使用されます。
これは上記のログ メッセージ例のリターン コードです:
rc="100"
NAT アドレス
これはトラフィックが Firebox インターフェイスを離れ、NAT 規則が適用された後に、実際の発信元 IP アドレスの代わりに表示される IP アドレスです。送信先 NAT IP アドレスも含めることができます。
これは上記のログ メッセージ例の NAT アドレスです:
src_ip_nat="69.164.168.163"
パケット サイズ
tcp_info の詳細には、接続を開始するパケットのオフセット、シーケンス、およびウィンドウ サイズの値が含まれます。含まれるパケット サイズの詳細は、プロトコルの種類によって異なります。
これは上記のログ メッセージ例のパケット サイズです:
tcp_info="offset 10 S 2982213793 win 2105"
メッセージ識別番号
各種のログ メッセージには一意のメッセージ識別番号が含まれます。Traffic Monitor でログ メッセージをレビューする際には、メッセージ ID 番号が msg_id= の詳細または id= の詳細として表示される場合があります。Log Manager では、メッセージ ID 番号は id= 詳細の値として表示されます。
ログ メッセージによってはメッセージ ID 番号が含まれない場合があります。メッセージ ID 番号が割り当てられているログ メッセージのみが ログ カタログ に含まれます。
これは上記のログ メッセージ例のメッセージ ID 番号です:
msg_id="3000-0148"
Firebox により生成される一部のログ メッセージの詳細については、WatchGuard Firebox および Dimension のドキュメント ページにある Fireware ログ カタログ を参照してください。
Fireware ログ カタログ に含まれるメッセージ ID 番号には、Traffic Monitor および Log Manager のメッセージ ID 番号に表示されるハイフンは含まれません。ログ カタログ でメッセージ ID 番号を検索するには、メッセージ ID 番号からハイフンを削除します。