ファイアウォールNanologストリーミング サービス(NSS)フィードでは、NSSによってセキュリティ情報およびイベント管理(SIEM)システムに送信される、ファイアウォール ログのデータを指定します。NSSフィードを構成するには、1つ以上のフィールドを含めます。フィールドとその値は、NSSフィード出力に表示されます。
- サンプルのファイアウォール ログを表示します。
"Mon Jun 20 15:35:48 2022","new-gre","Default Department","new-gre","80","36084","80","0","172.17.3.49","216.113.179.53","0.0.0.0","216.113.179.53","10.66.89.115","0","GRE","Drop","No","Yes","No","HTTP","ebay","TCP","OnlineShopping","United States","21","Firewall_1","14693","548","0","21","1","None","None","None","NA","NA"
閉じる
標準ファイアウォール サブスクリプションの場合、許可されたセッションは集計形式でログに記録されるため、許可されたトランザクションのログが少なくなります。ブロックされたトランザクションには詳細なログがあり、ブロックされたセッションごとにログが生成されます。
ブロックされたトランザクションと許可されたトランザクションを含むすべてのセッションの詳細なログ記録が必要な場合は、高度ファイアウォールのサブスクリプションが必要です。ただし、DNSトランザクションの詳細なログ記録は、標準ファイアウォールと高度なファイアウォールの両方のサブスクリプションで利用できます。詳細は、ファイアウォールの詳細説明を参照してください。
ログは、15分間のタイム ウィンドウ内の各フィールド(ユーザー、ルール スロット、ネットワークサービス、ネットワーク アプリケーションおよびIPカテゴリー)について集計されます。これらのフィールド間で同じ値を持つ連続したセッションの場合、Zscalerは1つのログのみを記録し、残りのフィールドは15分の時間枠の最後のセッションから取得されます。
次の表は、ファイアウォールフィールドとそのフィールドに取り得る値に関する情報を表示したものです。
難読化をサポートするフィールドは、次のテーブルにプレフィックスoを付けて文書化されています(例:%d{ocsip})。フィールドを難読化するには、ZIA管理ポータルのフィード出力形式で、フィールド名の前にプレフィックスoを手動で追加します。
日付/時間
| フィールド | 説明 | 例 |
|---|
| %s{time} | トランザクションの日付と時間。これにはタイムゾーンは含まれません。 | 2023年10月16日(月)22:55:48 |
| %s{tz} | タイムゾーンを指定します。これは、NSSフィードを設定したときに指定したタイムゾーンと同じです。 | GMT |
| %02d{ss} | 秒(0〜59) | 48 |
| %02d{mm} | 分(0~59) | 55 |
| %02d{hh} | 時間(0〜23) | 22 |
| %02d{dd} | 日付(1〜31) | 16 |
| %02d{mth} | 月 | 10 |
| %04d{yyyy}とする。 | 年 | 2023年 |
| %s{mon} | 月の名 | 10月 |
| %s{day} | 曜日 | 月 |
| %d{epochtime} | トランザクションのエポック時間 | 1578128400 |
クライアント情報
| フィールド | 説明 | 例 |
|---|
| %s{csip} | クライアント送信元IPアドレス。集約セッションでは、これは集約内の最後のセッションのクライアント送信元IPアドレスです。 | 192.0.2.10, 2A02:2E0:40C:102:1:2B:10:80, 2001:db8::2:1 |
| %d{OCSIP} | 難読化されたバージョンのクライアント送信元IPアドレス | 9960223283 |
| %d{csport} | クライアントの送信元ポート。 集約セッションの場合、これは集約内の最後のセッションのクライアントソースポートです。 | 22 |
| %s{cdip} | クライアント宛先IPアドレス。集約セッションでは、これは集約内の最後のセッションのクライアント宛先IPアドレスです。 | 198.51.100.54,2A02:2E0:40C:102:1:2B:10:80, 2001:db8::2:1 |
| %d{cdport} | クライアント宛先ポート。集約セッションでは、これは集約内の最後のセッションのクライアント宛先ポートです。 | 22 |
| %s{cdfqdn} | クライアント宛先FDQN(HTTPホスト ヘッダーなど) | www.example.com |
| %s{tsip} | クライアント(送信元)のトンネルIPアドレス。集約セッションでは、これは集約内の最後のセッションに対応するクライアントのトンネルIPアドレスです。 | 192.0.2.15 |
| %s{location} | セッションが開始されたロケーションの名前 | 本社 |
| %s{ttype} | ファイアウォールへのトラフィックの送信に使用されるトラフィック転送メソッド | L2トンネル |
| %s{aggregate} | ファイアウォール セッションが集約されているかどうかを示します | はい |
| %s{srcip_country} | クライアントのIPアドレスの場所によって決定されるトラフィックの送信元国。許可されている集約セッションのログには、ソース国の値はありません。 | アメリカ合衆国 |
IPS
| フィールド | 説明 | 例 |
|---|
| %s{threatcat} | IPSエンジンによるファイアウォール セッションの脅威のカテゴリー | |
| %s{threatname} | ファイアウォール セッションでIPSエンジンによって検出された脅威の名前 | - Linux.Backdoor.Tsunami
- Win32.Trojan.DNSpionage
|
| %d{threat_score} | ファイアウォール セッションでIPSエンジンによって検出された脅威のスコア。スコアはZscaler ThreatLabzによって脅威に割り当てられ、Zscaler脅威ライブラリーに反映されます。スコアの範囲は0 (最も小さい脅威)から100 (最も大きい脅威)です。 | 10 |
| %s{threat_severity} | IPSエンジンによってファイアウォール セッションで検出された脅威の重大度。重大度は、脅威スコアに直接関連します。たとえば、%d{threat_score}の値が90と100の間にある場合、%s{threatseverity}の値は重大になります。 | - 重大(90–100)
- 高(75–89)
- 中(46–74)
- 低(1–45)
なし(0)
|
| %s{ipsrulelabel} | ファイアウォール セッションに適用されたIPSポリシーの名前 | デフォルトのIPSルール |
| %s{oipsrulelabel} | ファイアウォール セッションに適用されたIPSポリシーの名前の難読化されたバージョン | 6200694987 |
| %d{ips_custom_signature} | カスタムIPS署名ルールが適用されたかどうかを示します。これは数値(1または0)です。 | - 1はカスタムIPSルールを示します。
- 0は非カスタムIPSルールを示します。
|
サーバ情報
| フィールド | 説明 | 例 |
|---|
| %d{sdport} | サーバーの宛先ポート。集約セッションでは、これは集約内の最後のセッションのサーバー宛先ポートです。 | 443 |
| %s{sdip} | サーバー宛先IPアドレス。集約セッションでは、これは集約内の最後のセッションのサーバー宛先IPアドレスです。 | 198.51.100.100,2A02:2E0:40C:102:1:2B:10:80, 2001:db8::2:1 |
| %s{ssip} | サーバー送信元IPアドレス。集約セッションについては、これは集約内の最後のセッションのサーバー送信元IPアドレスです。 | 198.51.100.100,2A02:2E0:40C:102:1:2B:10:80, 2001:db8::2:1 |
| %d{ssport} | サーバー送信元ポート。集約セッションについては、これは集約内の最後のセッションのサーバー送信元ポートです。 | 22 |
| %s{ipcat} | サーバーIPアドレスに照応するURLカテゴリー | ファイナンス |
| %s{oipcat} | サーバーIPアドレスに照応するURLカテゴリーの難読化されたバージョン。 | 5300295980 |
セッション情報
| フィールド | 説明 | 例 |
|---|
| %d{avgduration} | セッションが集約された場合、ミリ秒単位の平均セッション期間 | 600,000 |
| %d{duration} | 秒単位のセッションまたはリクエスト期間 | 600 |
| %d{durationms} | ミリ秒単位のセッションまたはリクエスト期間 | 600,000 |
| %d{numsessions} | 集約されたセッションの数 | 5 |
| %s{stateful} | ファイアウォールセッションがステートフルかどうかを示します。 | はい |
トランザクションアクション
| フィールド | 説明 | 例 |
|---|
| %s{rulelabel} | トランザクションに適用されたルールの名前 | ファイアウォールのデフォルトフィルタリングルール |
| %s{orulelabel} | トランザクションに適用されたルールの名前の難読化されたバージョン | 0624054738 |
| %s{action} | サービスがトランザクションに対して実行したアクション:許可済みまたはブロック済み | ブロック |
| %s{dnat} | 宛先NATポリシーが適用されたかどうかを示します。 | はい |
| %s{dnatrulelabel} | 適用された宛先NATポリシーの名前 | - DNAT_Rule_1
- ファイアウォール制御ページ(ポリシー>ファイアウォール制御>NAT制御ポリシー)のルール名列の下にある名前
|
| %s{odnatrulelabel} | 適用された宛先NATポリシーの名前の難読化されたバージョン | 7956407282 |
取引情報
| フィールド | 説明 | 例 |
|---|
| %d{記録ID}とする。 | レコードID | |
| %s{pcapid} | トランザクションをキャプチャーしたパケット キャプチャー(PCAP)ファイルのパス。PCAP IDは次の形式です:<Company ID>/<Directory>/<PCAP File Name>。会社IDは組織の内部IDであり、会社プロファイルページで確認できます。ディレクトリーはログ タイプです。PCAPファイルをダウンロードするには、ファイアウォール インサイト ログのページのキャプチャーの列にアクセスします。 | 43139974/fw/663ba8fd30b50001.pcap |
| %ld{inbytes} | サーバーからクライアントに送信されたバイト数 | 10000 |
| %ld{outbytes} | クライアントからサーバーに送信されたバイト数 | 10000 |
| %s{nwapp} | アクセスされたネットワーク アプリケーション | Skype |
| %s{ipproto} | IPプロトコルのタイプ | TCP |
| %s{destcountry} | 宛先IPアドレスの国の短縮コード | アメリカ合衆国 |
| %s{nwsvc} | 使用されたネットワーク サービス | HTTP |
| %s{eedone} | NSSフィード構成ページの[エスケープ文字のフィード]のフィールドで指定された文字が16進エンコードされているかどうかを示します。 | はい |
ユーザー情報
| フィールド | 説明 | 例 |
|---|
| %s{login} | メール アドレス形式のユーザーのログイン名 | jdoe@safemarch.com |
| %s{dept} | ユーザーの部署 | 売上高 |
Zscaler Client Connectorデバイス情報
| フィールド | 説明 | 例 |
|---|
| %s{devicehostname} | デバイスのホスト名 | THINKPADSMITH |
| %s{odevicehostname} | デバイスのホスト名の難読化されたバージョン。このフィールドは手動で変更する必要があります。 | 2168890624 |
| %s{devicemodel} | デバイスのモデル | 20L8S7WC08 |
| %s{devicename} | デバイス名 | admin |
| %s{odevicename} | デバイス名の難読化されたバージョン。このフィールドは手動で変更する必要があります。 | 2175092224 |
| %s{deviceostype} | デバイスのOSの種類 | - iOS
- アンドロイドOS
- Windows OS
- MacOS
- その他のOS
|
| %s{deviceosversion} | デバイスが使用するOSのバージョン | バージョン10.14.2 (Build 18C54) |
| %s{deviceowner} | デバイスの所有者 | jsmith |
| %s{odeviceowner} | デバイスの所有者の難読化されたバージョン。このフィールドは手動で変更する必要があります。 | 10831489 |
| %s{deviceappversion} | デバイス アプリが使用するアプリのバージョン | 2.0.0.120 |
| %s{external_deviceid} | ユーザーのデバイスをモバイル デバイスの管理(MDM)ソリューションに関連付ける外部デバイスID。 | 1234 |
| %s{ztunnelversion} | Z-Tunnelのバージョン | ZTUNNEL_1_0 |
| %d{bypassed_session} | トラフィックがZscaler Client Connectorをバイパスしたかどうかを示します。 これは数値(1または0)です。 | - 1は、トラフィックがZscaler Client Connectorをバイパスしたことを示します
- 0は、トラフィックがZscaler Client Connectorをバイパスしなかったことを示します
|
| %s{bypass_etime} | トラフィックがZscaler Client Connectorをバイパスしたときの日付と時間 | 2023年10月16日(月)22:55:48 |
| %s{flow_type} | トランザクションのフロー タイプ | - DIRECT
- ループバック
- VPN
- VPNトンネル
- ZIA
- ZPA
|
データセンター
| フィールド | 説明 | 例 |
|---|
| %s{データセンター} | データセンター名 | CAクライアントノードDC |
| %s{datacentercity} | データセンターが所在する都市 | サ |
| %s{datacentercountry} | データセンターが所在する国 | 米国 |
未分類
| フィールド | 説明 | 例 |
|---|
| %s{rdr_rulename} | リダイレクト/転送ポリシーの名前。 | - FWD_Rule_1
- 転送制御ページ(ポリシー>転送制御)のルール名列の下にある名前
|
| %s{ordr_rulename} | リダイレクト/転送ポリシーの名前の難読化されたバージョン。 | 3399565100 |
| %s{fwd_gw_name} | 転送ルールで定義されているゲートウェイの名前。 | FWD_1 |
| %s{ofwd_gw_name} | 転送ルールで定義されたゲートウェイの難読化されたバージョン | 8794487099 |
| %s{zpa_app_seg_name} | Zscaler Private Access (ZPA) Application Segmentの名前 | ZPA_test_app_segment |
| %s{ozpa_app_seg_name} | ZPA Application Segmentの難読化バージョン | 7648246731 |
16進エンコードされたフィールド
Zscalerサービスの16進数は、ログをNSSに送信するときにURLに含まれる、すべての印刷不能なASCII文字をエンコードします。0x20以下のURL文字、または0x7F以上のURL文字は、%HHとしてエンコードされます。これにより、SIEMで、制御文字を含むURLが確実にパースされます。たとえば、URLの\n文字は%0Aとしてエンコードされ、スペースは%20としてエンコードされます。
次のフィールドが16進エンコードされたフィールドとして追加されました。
- ethreatname
- elocation
- edepartment
- erulelabel
- elogin
- edevicehostname
