Log Search (WatchGuard Cloud)

適用される製品：クラウド管理の Fireboxes このトピックは、WatchGuard Cloud で構成する Firebox に適用されます。ローカル管理の Fireboxes このトピックは Policy Manager または Fireware Web UI で構成する Fireboxes に適用されます。

デバイスまたはフォルダの WatchGuard Cloud Log Search ページでは、単純または複雑な検索クエリを作成して、ログ メッセージの特定の詳細を見つけることができます。Log Search では、WatchGuard Query Language を使用して、WatchGuard Cloud に保存されているログ メッセージが検索されます。検索を実行した後、検索結果をファイルにエクスポートすることができます。このファイルは保存して、後で WatchGuard Cloud 以外で使用することが可能です。

Log Search ページから検索を実行する

Fireboxes で発生するイベントのいくつかの種類のログ メッセージを Fireboxes から送信することができます。ログ メッセージには、トラフィック、アラーム、イベント、統計の種類があります。ログ メッセージの種類については、Firebox ドキュメント ページに記載されている WatchGuard Log Catalog を参照してください。

WatchGuard Cloud は Firebox によって送信された診断ログ メッセージを保存しますが、これは Log Manager や Log Search には表示されません。問題のトラブルシューティングが必要な場合は、WatchGuard テクニカル サポートからそれらの診断ログ メッセージをリクエストすることができます。

Fireware v12.5.4 以降では、Firebox は、サポート アクセスが有効になっている場合にのみ診断ログ メッセージを WatchGuard Cloud に送信します。詳細については、サポート アクセスを有効化 を参照してください 。

WatchGuard Cloud のログ メッセージを検索するには、以下の手順を実行します。

1. WatchGuard Cloud にログインします。
2. 監視 > デバイス の順に選択します。
   
3. フォルダまたはデバイスを選択します。
4. ログ メッセージの日付範囲を選択するには、 をクリックします。

5. レポート リストで、ログ > Log Search の順に選択します。
   選択されているデバイスの Log Search ページが開きます。

   

6. 検索に含めるログ メッセージの種類を指定するには、ページの右側にあるドロップダウン リストから、ログ メッセージの種類を選択します。すべての種類のログ メッセージを検索するには、すべてのログ を選択します。
7. 検索 テキスト ボックスに、検索クエリを入力します。リストからログ メッセージ フィールド名を選択するには、スペースを入力するか、 をクリックします。単語の一部を検索するには、その単語の一部の最後にワイルドカード * を含める必要があります。クエリの作成方法の詳細については、WatchGuard Query Language を参照してください。

フィールドのドロップダウン リストには、ログ メッセージに表示される可能性のあるすべてのフィールドが含まれているわけではありません。クエリには、Firebox ログ メッセージ に表示される任意のフィールド名を含めることができます。

WatchGuard Cloud では、ワイルドカードを使用してすべてのフィールドとすべてのログを検索することはできません。ワイルドカードを使用したい場合は、ログ メッセージの種類とフィールドを選択する必要があります。

8. 検索を実行するには、エンター を押すか、 をクリックします。
   ページが更新され、検索クエリに一致するログ メッセージが表示されます。検索クエリに一致する用語は太文字で表示されます。検索条件が広すぎる場合、30 秒後に部分的な検索結果が表示されます。時間範囲を縮小するか、または特定の検索条件を入力する必要があります。

   
   

Firebox ログ メッセージ

Firebox ログ メッセージは、カンマで区切られたいくつかのフィールドで構成されています。各フィールドには、イベントに関する特定の情報が含まれており、フィールドにはフィールド名と値を含めることができます。Firebox ログ メッセージの詳細については、ログ メッセージを読み取る を参照してください。

たとえば、WatchGuard Cloud Log Search では、ログ メッセージは以下のように表示されます。

FWDeny, Denied, disp=Deny, pri=4, policy=Unhandled External Packet-00, protocol=25536/udp, src_ip=192.168.41.58, src_port=25536, dst_ip=255.255.255.255, dst_port=25536, src_intf=0-External, dst_intf=Firebox, rc=101, pckt_len=208, ttl=128, 3000-0148

ログ メッセージでは、フィールド名と値が等号 (=) で区切られます。Log Search クエリでは、コロン (:) を使用してフィールド名と値を区切ります。

WatchGuard Query Language

WatchGuard Query Language を使用して、Firebox ログ メッセージの単純または複雑な検索を構築することができます。クエリには以下を含めることができます。

• 検索用語 — 検索するフィールドと検索する値を指定します。
• ワイルドカード — 任意の数の文字に一致します。ログ メッセージ内の単語の一部を検索するには、* ワイルドカードを使用する必要があります。
• 演算子 — 各検索用語で検索を展開または制限する方法を指定します。
• 括弧 — 複数の操作が含まれるクエリにおける操作の順序を指定します。

以下のセクションには、それぞれに関する詳細説明が含まれています。

検索用語

クエリには、1 つ以上の検索用語を含めることができます。

• 検索用語では、大文字と小文字は区別されません。たとえば、クエリで User1 と指定されている場合は、検索結果には User1 と user1 という両方のテキストが含まれるログ メッセージが表示される可能性があります。
• 検索用語にスペースが含まれている場合は、そのスペースは検索対象のテキストの一部と見なされます。
• ログ メッセージで単語の一部を検索する場合は、* ワイルドカードを使用する必要があります。たとえば、「eicar」が冒頭に付いているウイルス名に関するログ メッセージを検索する場合は、「virus:eicar*」と入力します。
• すべての検索用語では、ネットワークの IP アドレスに一致する CIDR 表記がサポートされています。たとえば、10.0.1.0/24 と指定すると、そのネットワークの IP アドレスが含まれるログ メッセージを検索することができます。
• 各検索語用語は、単一の値にすることも、フィールド名と値を含めることもできます。
• ログ メッセージ フィールドの値を検索するには、フィールド名を入力せずに値を指定します。例：http*。
• 特定のログ メッセージ フィールドの値を検索するには、検索するフィールド名と値を指定します。フィールド名は常に小文字で指定します。例：src_ip:10.0.10.1。

ワイルドカード

検索用語では、ログ メッセージ フィールドの任意の数の文字との一致を探す * ワイルドカードがサポートされています。

• フィールド名のない検索用語では、中央および末尾のワイルドカードのみがサポートされます。冒頭のワイルドカードはサポートされていません。
• フィールド名が含まれている検索用語では、冒頭、中央、末尾のワイルドカードがサポートされます。
• 検索クエリ全体には、最大 4 つのワイルドカードを含めることができます。

演算子

クエリでは、次の演算子のいずれかで区切って、検索する 1 つまたは複数の項目を指定することができます。

• OR — 検索を拡張します。検索結果には、一方または両方の項目が含まれるログ メッセージが表示されます。
• AND — 検索を絞り込みます。検索結果には、両方の項目が含まれるログ メッセージのみが表示されます。
• NOT — 検索を絞り込みます。検索結果から、この用語を含むログ メッセージが除外されます。これが検索の最初の用語でない場合は、その前に AND または OR を付ける必要があります。

検索の演算子は大文字でなければなりません。

括弧

複数の演算子が含まれているクエリでは、括弧を使用して、最初に評価する項目をグループ化することができます。1 レベルの括弧を使用して、クエリ内の項目をグループ化することができます。たとえば、disp:allow AND (dst_ip:10.0.10.2 OR dst_ip:10.0.10.3) のようになります。

特殊文字をエスケープする

WatchGuard Query Language 構文では、コロン (:) を使用してフィールド名と値を区切ります。MAC アドレスなど、コロンを含む値を指定するには、各コロンの前にバックスラッシュ (\) を付けます。例：mac:ac\:00\:bb\:cc\:dd\:ee。

クエリの例

ログ メッセージの種類のフィルタは、既定で トラフィック ログ に設定されています。すべてのログ メッセージを検索するには、すべてのログ を選択します。

msg：フィールド値の冒頭が DHCP というテキストのイベント ログ メッセージを検索する場合：

msg:DHCP*

フィールド値の冒頭が DHCP というテキストで、MAC アドレス ac\:00\:bb\:cc\:dd\:ee が含まれているイベント ログ メッセージを検索する場合：

DHCP*ac\:00\:bb\:cc\:dd\:ee*

任意のフィールドでフィールド値の冒頭が DNS のログ メッセージを検索する場合：

DNS*

ポリシー名の冒頭が outgoing のログ メッセージを検索する場合：

policy:outgoing*

mac：フィールド値の冒頭が ac:00:bb:cc のログ メッセージを検索する場合：

mac:ac\:00\:bb\:cc*

ポリシー名が Unhandled External Packet-00 であるログ メッセージを検索する場合：

policy:unhandled external packet-00

FQDN 名の冒頭が watch で、末尾が .com のログ メッセージを検索する場合：

fqdn_dst_match:watch*.com

ポリシー名の冒頭が unhandled で、宛先 IP アドレスが 255.255.255.255 でないログ メッセージを検索する場合：

policy:unhandled* AND NOT dst_ip:255.255.255.255

任意のフィールドで正確に http/tcp または https/tcp が含まれるログ メッセージを検索する場合：

http/tcp OR https/tcp

送信元 IP アドレスが 10.0.2.1 で、アプリケーション名に google という値が含まれるログ メッセージを検索する場合：

src_ip:10.0.2.1 AND app_name:*google*

任意のフィールド値の冒頭が microsoft というテキストで、送信元 IP アドレスが 10.0.2.0/24 または 10.0.1.0/24 ネットワークにあるログ メッセージを検索する場合：

microsoft* AND (src_ip:10.0.2.0/24 OR src_ip:10.0.1.0/24)

検索結果のエクスポート

検索が完了したら、検索結果を CSV ファイルにエクスポートして、ZIP ファイル形式でダウンロードすることができます。ZIP ファイルには、検索結果を含む CSV ファイル、および検索パラメータを含むテキスト ファイルが含まれています。

Log Search ページで検索結果をエクスポートするには、以下の手順を実行します。

1. 検索パラメータ セクションの上で、CSV アイコン をクリックします。
2. ファイルが自動的にダウンロードされない場合は、ファイルを開く か ファイルを保存する を選択します。

関連情報：

Log Manager (WatchGuard Cloud)

WatchGuard Cloud デバイス レポート リスト