バージョン8:アラート条件定義
作成日:2012年2月7日 | 更新日:2023年12月4日
対象
バージョン8
概要
Firewall Analyzerは、指定した条件に一致したログを受信するとアラートとして発報する機能「アラートプロファイル」が実装されています。
本ナレッジでは、アラートプロファイルを作成する際の条件と、指定可能なフィルターの項目について記載します。
アラート設定で定義可能な項目とその項目に対応するログ内のフィールドを関連付けた一覧を記載しています。 アラート設定を行う際の参考として、ご参照ください。
※ナレッジでは例として、FortiGate(ログがWELF形式)とBlueCoat Proxy SGのみの情報提供となります。
バージョン8は既にEOLを迎えております。
こちらのページを参照の上、最新ビルドの新規インストールをご検討ください。
最新ビルドにおけるアラートプロファイル機能については、こちらのページをご参照ください。
こちらのページを参照の上、最新ビルドの新規インストールをご検討ください。
最新ビルドにおけるアラートプロファイル機能については、こちらのページをご参照ください。
条件とフィルター選択可能項目
指定可能なフィルター項目を記載します。
この項目を変更することで、部分一致や完全一致、前方一致や後方一致といった条件を定義することが可能です。
条件 | フィルター項目 | |||||
---|---|---|---|---|---|---|
Severity | is | isn't | contains | start with | end with | |
Protocol | is | isn't | contains | start with | end with | |
Date | is | isn't | is before | is after | is on or before | is on or after |
Received(in Bytes) | < | <= | = | > | >= | |
Sent(in Bytes) | < | <= | = | > | >= | |
Source | is | isn't | contains | start with | end with | |
User | is | isn't | contains | start with | end with | |
Destination | is | isn't | contains | start with | end with | |
URL | is | isn't | contains | start with | end with | |
Status | is | isn't | contains | start with | end with | |
FileName | is | isn't | contains | start with | end with | |
Rule | is | isn't | contains | start with | end with | |
VPN | is | isn't | contains | start with | end with | |
Virus | is | isn't | contains | start with | end with | |
Attack | is | isn't | contains | start with | end with | |
Protocol Identifier | is | isn't | contains | start with | end with | |
Message | is | isn't | contains | start with | end with | |
Duration(in secs) | < | <= | = | > | >= | |
Record Type | is | isn't | contains | start with | end with | |
Log ID | is | isn't | contains | start with | end with | |
Category | is | isn't | contains | start with | end with |
フィルター項目
フィルター選択項目の各意味を記載します。
条件 | 説明 |
---|---|
is | ~である |
isn't | ~でない |
contains | ~を含む |
start with | ~で始まる |
end with | ~で終わる |
is before | ~より以前 |
is after | ~より以後 |
is on or before | ~と同じ または それより以前 |
is on or after | ~と同じ または それより以後 |
FortiGate ログとアラートの紐付け
FortiGateのログとアラートで定義可能な項目との対応表です。
条件 | ログ内のフィールド |
---|---|
Severity | pri |
Protocol | service or proto |
Date | date and time |
Received(inBytes) | rcvd |
Sent(inBytes) | sent |
Source | src |
User | user |
Destination | dst |
URL | url |
Status | status (FortiOS5.2以後 action) |
FileName | -- |
Rule | policyid |
VPN | vpn |
Virus | virus |
Attack | attack |
Protocol Identifier | service or proto |
Message | msg |
Duration(insecs) | duration |
RecordType | type |
LogID | log_id |
Category | cat |
BlueCoat Proxy SG ログとアラートの紐付
BlueCoat Proxy SGのログとアラートで定義可能な項目との対応表です。
条件 | ログ内フィールド |
---|---|
Protocol | cs-uri-scheme |
Source | c-ip |
Destination | cs-host |
URL | cs-uri |
Duration | time-taken |
Sent | cs-bytes |
Received | sc-bytes |
User | cs-username |