セキュアなWebアプライアンスアクセスログの理解
内容
はじめに
このドキュメントでは、Secure Web Appliance(SWA)アクセスログの構造について説明します。
前提条件
要 件
次の項目に関する知識が推奨されます。
- SWAのコマンドラインインターフェイス(CLI)へのアクセス。
- SWAへの管理アクセス。
- SWAワークフローの基本知識
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
アクセスログ構造
この記事では、次の例でアクセスログ構造について説明します。
1726597763.348 68855 192.168.1.10 TCP_MISS/200 97645 TCP_CONNECT 10.37.145.84:443 "AMOJARRA\amirhossein@WCCPrealm" DIRECT/www.cisco.com - PASSTHRU_CUSTOMCAT_7-DP_site-IdP_Site-NONE-NONE-NONE-DefaultGroup-NONE <"C_Cisc",-,-,"-",-,-,-,-,"-",-,-,-,"-",-,-,"-","-",-,-,"-",-,"-","-","-","-","-","-","-",11.35,0,-,"-","-",-,"-",-,-,"-","-",-,-,"-",-,-> - -
イメージ – アクセスログ構造
注:アクセスログの構造は、SWAのバージョンによって異なります。各Accesslogファイルの先頭には、構造とフォーマット指定子の順序を示す行があります。
| セクション |
アクセスログからのサンプル |
形式指定子 |
詳細 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
エポック時間 |
1726597763.348 |
%t |
エポック時間(Epoch time) (Unix時間またはPOSIX時間とも呼ばれます)は、1970年1月1日から経過した合計秒数(ミリ秒/マイクロ秒)を00:00:00 UTC(GMT)でカウントして時間を追跡するシステムです トランザクションが完了したエポック時間。 この値は、オンラインのエポックタイムコンバータまたは任意のLinuxオペレーティングシステムで変換できます。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Elapsed Time |
68855 |
%e |
要求が完了または中止され、接続が閉じられるまでに要した時間(ミリ秒)。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ソース IP アドレス |
192.168.1.10 |
%a |
クライアント/送信元IPアドレス。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
トランザクション結果コード |
TCP_MISS |
%w |
Transaction Result Codeは、SWAがクライアント要求を解決する方法を示します。 トランザクション結果コードのリストを次に示します。
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
HTTP応答コード |
/200 |
%h |
HTTP応答コードは、クライアントのHTTP要求に応答してWebサーバが返すステータスコードを表します。 最も重要なHTTP応答コードのリストを次に示します(詳細については、この記事の「HTTP応答コード」のセクションを参照してください)。
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
転送された合計サイズ |
97645 |
%s |
要求に対して転送された合計バイト数です。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
HTTP メソッド |
TCP_接続 |
%1r |
HTTPメソッドは、GETを使用したデータの取得やPOSTを使用したデータの送信など、Webサーバによってリソースに対して実行される必要なアクションをクライアントが指定するための標準化された方法です。
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
宛先 |
10.37.145.84:443 |
%2r |
このセクションでは、宛先サーバのURLとTCPポート番号を示します。 トランスペアレントリダイレクションでは、トラフィックが復号化される前に、SWAは宛先IPアドレスとポート番号を示します。 URLがtunnel:// で始まる場合は、SWAがまだトラフィックを復号化していないことを意味します。 URLがhttps://で始まる場合、SWAでトラフィックが復号化されることを意味します。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ユーザー名と認証レルム |
「アモジャラ\amirhossein@WCCPrealm」 |
%A |
この接続に使用される資格情報。 要求が認証されると、SWAはユーザ名と認証レルムを次のようにログに記録します。 <ドメイン名> \ <ユーザー名> @ <認証レルム名> 要求がまだ認証されていないか、認証が免除されている場合は、ログにハイフン「-」が表示されます |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
アクセス タイプ |
ダイレクト/ |
%H |
要求内容を取得するために接続されたサーバーを説明するコードです。 最も一般的な値は次のとおりです。
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Server address |
%d |
データソースまたはサーバのIPアドレス。 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
MIMEコンテンツタイプ/サブタイプ |
- |
%c |
MIMEドキュメント、ファイル、または一連のバイトの性質と形式を示します。MIMEタイプは、IETF RFC 6838で定義および標準化されています デフォルトタイプの役割を果たすためには、次の2つの主要なMIMEタイプが重要です。
MIMEタイプの完全なリストについては、次のサイトを参照してください。メディアタイプ(iana) |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ACLデシジョンタグ |
パススルー_CUSTOMCAT_7- |
%D |
ACLデシジョンタグは、Webプロキシがトランザクションをどのように処理したかを示す、アクセスログエントリ内のフィールドです。これには、Webレピュテーションフィルタ、URLカテゴリ、およびスキャンエンジンからの情報が含まれます。 次に、最も重要なACLデシジョンタグのリストを示します。(詳細については、この記事の「ACLデシジョンタグ」のセクションを参照してください)
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ポリシー名 |
DP_サイト – |
N/A |
トラフィックのタイプに応じて、次のように表示されます。
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
アイデンティティポリシー |
IdP_Site- |
N/A |
識別プロファイル名を表示します |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| アウトバウンドマルウェアスキャンポリシーグループ |
NONE- |
N/A |
アウトバウンドマルウェアスキャンポリシーのグループ名。 ポリシーグループ名に含まれるスペースはすべてアンダースコア( _ )に置き換えられます |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
データセキュリティポリシーグループ |
NONE- |
N/A |
Cisco Data Security Policyグループ名。トランザクションがグローバルCiscoデータセキュリティポリシーに一致する場合、この値はDefaultGroupになります。 このポリシーグループ名は、Ciscoデータセキュリティフィルタが有効な場合にのみ表示されます。データセキュリティポリシーが適用されていない場合は、「NONE」と表示されます。 ポリシーグループ名に含まれるスペースはすべてアンダースコア( _ )に置き換えられます |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
外部DLPポリシーグループ |
NONE- |
N/A |
トランザクションがグローバル外部DLPポリシーに一致する場合、この値はDefaultGroupです。 外部DLPポリシーが適用されていない場合は、「NONE」と表示されます。 ポリシーグループ名に含まれるスペースはすべてアンダースコア( _ )に置き換えられます。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ルーティングポリシーグループ |
デフォルトグループ – |
N/A |
ルーティングポリシーグループ名asProxyGroupName/ProxyServerName。 トランザクションがグローバルルーティングポリシーに一致する場合、この値はDefaultRoutingです。 アップストリームプロキシサーバが使用されていない場合、この値はDIRECT ポリシーグループ名にスペースがある場合は、アンダースコア( _ )に置き換えられます。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Webトラフィックタップ |
なし |
N/A |
Webトラフィックタップポリシー名。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
URLカテゴリの省略形 |
<"C_Cisc", |
%XC |
要求が一致するURLカテゴリ。
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Webレピュテーションスコア |
-, |
%XW |
このフィールドには、Webレピュテーション(WBRS)スコアが表示されます。 nsは、URLにスコアがないことを意味します。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Webrootスキャン |
-,"-",-,-,-, |
これらの5つのフィールドは、Webrootスキャンに関連しています
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
McAfeeスキャン |
-,"-",-,-,"-", |
これらの6つのフィールドは、McAfeeスキャンに関連しています。
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Sophosスキャン |
-,-,"-","-", |
これらの4つのフィールドは、Sophosスキャンに関連しています
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Cisco Data Security Scanの判定 |
-, |
%Xl |
Cisco Data Securityスキャンの判定は、Cisco Data Security PolicyのContent列のアクションに基づいて行われます。 次のリストは、このフィールドに指定可能な値を示しています。 0.許可 1.ブロック - (ハイフン)。Cisco Data Security Filtersによってスキャンが開始されませんでした。この値は、Cisco Data Security Filtersが無効の場合、またはURLカテゴリアクションがAllowに設定されている場合に表示されます。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
外部DLPスキャン判定 |
-, |
%Xp |
外部DLPスキャンの判定は、ICAP応答で指定された結果に基づいて行われます。 次のリストは、このフィールドに指定可能な値を示しています。 0.許可 1.ブロック - (ハイフン)。外部DLPサーバーによってスキャンが開始されませんでした。この値は、外部DLPスキャンが無効になっている場合、またはExternal DLP Policies > Destinationsページで除外URLカテゴリが原因でコンテンツがスキャンされなかった場合に表示されます。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
定義済みのURLカテゴリ判定 |
"-", |
%XQ |
事前定義されたURLカテゴリ判定は、要求側のスキャン中に決定され、短縮されます。 URLフィルタリングが無効な場合、このフィールドにはハイフン( - )が表示されます。 リクエストがカスタムURLカテゴリにヒットした場合でも、アクセスログに定義済みのURLカテゴリ名が表示されますが、決定はカスタムURLカテゴリによって行われます。 URLカテゴリの省略形のリストについては、「URLカテゴリの説明」を参照してください。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
URLカテゴリ判定 |
-, |
%XA |
応答側のスキャン中に動的コンテンツ分析(DCA)エンジンによって決定されるURLカテゴリ判定の省略形。 Cisco Web Usage Controls URLフィルタリングエンジンにのみ適用されます。 nc:この値は、動的コンテンツ分析エンジンが有効で、要求時にURLカテゴリが割り当てられていない場合に、要求側のスキャン判定に表示されます。これは、応答側のスキャンでURLがカテゴリ化される前の初期要求フェーズで、URLがカテゴリ化されていないことを示します |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
統合インバウンドDVS判定 |
"-", |
%XZ |
統合された応答側のアンチマルウェアスキャン判定により、有効になっているスキャンエンジンに関係なくマルウェアカテゴリが提供されます。サーバー応答スキャンによりブロックまたは監視されたトランザクションに適用されます。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Webレピュテーションフィルタ脅威タイプ |
"-", |
%Xk |
カテゴリ名または脅威タイプは、Webレピュテーションフィルタによって返されます。カテゴリ名はWebレピュテーションが高いときに返され、脅威タイプはレピュテーションが低いときに返されます。 通常、このフィールドは、レピュテーションが–4以下のサイトに対して入力されます。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Googleがカプセル化されたURLを翻訳 |
"-", |
%X#10# |
Google翻訳エンジン内にカプセル化されたURL。カプセル化されたURLがない場合、フィールド値は「-」になります。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
アプリケーション制御(AVC/ADC) |
"-","-","-", |
この3つのフィールドには、Application Visibility and Control(AVC)とApplication Discovery and Control(ADC)の統計情報が記録されます。
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
セーフブラウジング判定 |
"-", |
%X |
この値は、安全な検索またはサイトコンテンツの評価機能がトランザクションに適用されたかどうかを示します。
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
平均帯域幅 |
11.35, |
%XB |
要求の処理で消費された平均帯域幅(Kb/秒)。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
帯域幅制限制御 |
0, |
%XT |
帯域幅制限制御設定によって要求が調整されたかどうかを示す値。 「1」は要求が調整されたことを示します。 「0」は、要求が調整されなかったことを示します。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
User Type |
-, |
%l |
要求を行うユーザのタイプ(「[Local]」または「[Remote]」)。 AnyConnectセキュアモビリティが有効になっている場合にのみ適用されます。 有効になっていない場合、値はハイフン(-)です |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
アウトバウンドマルウェアスキャン |
"-","-", |
これらの2つのフィールドは、アウトバウンドマルウェアスキャンポリシーが適用される際に、クライアント要求スキャンが原因でブロックまたはモニタされるトランザクションに適用されます。
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
高度なマルウェア防御 |
-,"-",-,"-,"-","-", |
次の6つのフィールドは、セキュアエンドポイント(高度なマルウェア防御とも呼ばれる)に関連しています。
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
アーカイブスキャン |
-,-,"-", |
次の3つのフィールドは、アーカイブファイルのスキャンのステータスを示します。
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Webタップ |
-, |
%XU |
Webタップの動作 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
YouTube URLカテゴリ |
-> |
%X#29# |
トランザクションに割り当てられたYouTube URLカテゴリ(省略形)。カテゴリが割り当てられていない場合、このフィールドには「nc」と表示されます。 |
HTTP応答コード
HTTP応答コードの完全なリストは次のとおりです
| Status Code | 意味 |
| 1xx情報 | |
| 100 | [Continue] |
| 101 | スイッチングプロトコル |
| 102 | 処理中 |
| 103 | 初期ヒント |
| 2xx成功 | |
| 200 | OK |
| 201 | Created |
| 202 | 承諾 |
| 203 | 権限のない情報 |
| 204 | コンテンツなし |
| 205 | コンテンツのリセット |
| 206 | 部分的なコンテンツ |
| 207 | マルチステータス |
| 208 | 報告済み |
| 226 | 使用するIM |
| 3xxリダイレクト | |
| 300 | 複数選択 |
| 301 | 完全に移動 |
| 302 | 見つかりました(以前は「一時的に移動」) |
| 303 | その他を参照 |
| 304 | 変更なし |
| 305 | プロキシを使用 |
| 306 | スイッチプロキシ |
| 307 | 認証のための一時的なリダイレクト (通常、SWAがユーザを認証している間の透過的な導入で見られます) |
| 308 | 永続的なリダイレクト |
| 4xxクライアントエラー | |
| 400 | 不正な要求 |
| 401 | Webサーバ認証が必要(通常は、SWAがユーザを認証している間に透過的な導入で見られる) |
| 402 | 支払いが必要 |
| 403 | 禁止 |
| 404 | 見つかりません |
| 405 | メソッドは許可されていません |
| 406 | 許容されない |
| 407 | 明示的なプロキシ認証が必要 |
| 408 | 要求のタイムアウト |
| 409 | 競合 |
| 410 | なくなっている |
| 411 | 必要な期間 |
| 412 | 前提条件が失敗しました |
| 413 | ペイロードが大きすぎます |
| 414 | URIが長すぎます |
| 415 | サポートされていないメディアタイプ |
| 416 | 満足できない範囲 |
| 417 | 期待値の失敗 |
| 418 | 私はティーポット |
| 421 | 誤った要求 |
| 422 | 処理不可能なエンティティ |
| 423 | ロック |
| 424 | 失敗した依存関係 |
| 425 | 早すぎる |
| 426 | アップグレードが必要 |
| 428 | 前提条件が必要 |
| 429 | 要求が多すぎます |
| 431 | 要求ヘッダーフィールドが大きすぎます |
| 451 | 法的理由により利用不可 |
| 5xxサーバエラー | |
| 500 | 内部サーバエラー |
| 501 | 未実装 |
| 502 | 不正なゲートウェイ |
| 503 | 利用不能なサービス |
| 504 | ゲートウェイタイムアウト |
| 505 | サポートされていないHTTPバージョン |
| 506 | バリエーションもネゴシエート |
| 507 | 不十分な記憶域 |
| 508 | ループの検出 |
| 510 | 拡張なし |
| 511 | ネットワーク認証が必要 |
ACLデシジョンタグ
ACLデシジョンタグの完全なリストを次に示します。
| ACLデシジョンタグ | 説明 |
| ALLOW_ADMIN_ERROR_ページ | Webプロキシは、通知ページおよびそのページで使用されるロゴに対してトランザクションを許可しました。 |
| 許可_CUSTOMCAT | Webプロキシは、アクセスポリシーグループのカスタムURLカテゴリフィルタリング設定に基づいてトランザクションを許可しました。 |
| ALLOW_REFERER(参照許可) | Webプロキシは、埋め込み/参照されたコンテンツ除外に基づいてトランザクションを許可しました。 |
| WBRSを許可(_W) | Webプロキシは、アクセスポリシーグループのWebレピュテーションフィルタ設定に基づいてトランザクションを許可しました。 |
| AMP_FILE_判定 | ファイルに対するAMPレピュテーションサーバからの判定を表す値: |
| 1 – 不明 | |
| 2 – クリーン | |
| 3 – 悪意のある | |
| 4 – スキャン不能 | |
| ARCHIVESCAN_ALLCLEAR | アーカイブスキャン判定 |
| ARCHIVESCAN_BLOCKEDFILETYPE | ARCHIVESCAN_ALLCLEAR:検査されたアーカイブにブロックされたファイルタイプがありません。 |
| ARCHIVESCAN_NESTEDTOODEEP | ARCHIVESCAN_BLOCKEDFILETYPE:検査されたアーカイブに、ブロックされたファイルタイプがある。ログエントリの次のフィールド(判定の詳細)には、詳細、具体的にはブロックされたファイルのタイプ、ブロックされたファイルの名前が表示されます。 |
| ARCHIVESCAN_UNKNOWNFMT | ARCHIVESCAN_NESTEDTOODEEP:アーカイブは、設定された最大値よりも「カプセル化」されたアーカイブまたはネストされたアーカイブが多いため、ブロックされます。判定の詳細フィールドには、「スキャン不能なアーカイブブロック」と表示されます。 |
| ARCHIVESCAN_UNSCANABLE | ARCHIVESCAN_UNKNOWNFMT:不明な形式のファイルタイプが含まれているため、アーカイブはブロックされます。判定の詳細は「スキャン不能なアーカイブのブロック」です。 |
| ARCHIVESCAN_FILETOOBIG | ARCHIVESCAN_UNSCANABLE:スキャンできないファイルが含まれているため、アーカイブはブロックされています。判定の詳細は「スキャン不能なアーカイブのブロック」です。 |
| ARCHIVESCAN_FILETOOBIG:アーカイブのサイズが設定された最大値を超えているため、アーカイブはブロックされます。判定の詳細は「スキャン不能なアーカイブのブロック」です。 | |
| アーカイブスキャン判定の詳細 | |
| ログエントリのフィールドと判定フィールドは、ブロックされたファイルのタイプ、ブロックされたファイルの名前、「スキャン不能なアーカイブ – ブロック」、または「 – 」など、ブロックされたファイルタイプがアーカイブに含まれていないことを示す、判定に関する追加情報を提供します。 | |
| たとえば、Inspectable Archiveファイル(ARCHIVESCAN_BLOCKEDFILETYPE)が「アクセスポリシー:カスタムオブジェクトブロック」設定に基づいてブロックされた場合は、「判定の詳細」エントリに、ブロックされたファイルのタイプとブロックされたファイルの名前が表示されます。 | |
| アーカイブインスペクションについての詳細は、『アクセスポリシー:オブジェクトのブロックおよびアーカイブインスペクションの設定』を参照してください。 | |
| ブロック管理 | アクセスポリシーグループのデフォルト設定に基づいてブロックされたトランザクション。 |
| BLOCK_ADMIN_接続 | アクセスポリシーグループのHTTP CONNECT Ports設定で定義された宛先のTCPポートに基づいてブロックされたトランザクション。 |
| ブロック管理者カスタムユーザエージェント | アクセスポリシーグループの[カスタムユーザーエージェントのブロック]設定で定義されているユーザーエージェントに基づいてブロックされたトランザクション。 |
| BLOCK_ADMIN_トンネリング | Webプロキシは、アクセスポリシーグループのHTTPポートでの非HTTPトラフィックのトンネリングに基づいて、トランザクションをブロックしました。 |
| BLOCK_ADMIN_HTTPS_非ローカル宛先 | トランザクションがブロックされました。クライアントは明示的なプロキシとしてSSLポートを使用して認証をバイパスしようとしました。これを防ぐために、WSA自体へのSSL接続では、実際のWSAリダイレクトホスト名への要求だけが許可されます。 |
| ブロック管理者ID | データセキュリティポリシーグループで定義されている要求本文コンテンツのMIMEの種類に基づいてブロックされたトランザクション。 |
| BLOCK_ADMIN_FILE_タイプ | アクセスポリシーグループで定義されているファイルタイプに基づいてブロックされたトランザクション。 |
| ブロック管理プロトコル | アクセスポリシーグループの[プロトコルのブロック]設定で定義されたプロトコルに基づいてブロックされたトランザクション。 |
| BLOCK_ADMIN_SIZEです。 | アクセスポリシーグループのオブジェクトサイズ設定で定義された応答のサイズに基づいてブロックされたトランザクション。 |
| BLOCK_ADMIN_SIZE_IDS(ブロック管理サイズID) | データセキュリティポリシーグループで定義されている要求本文コンテンツのサイズに基づいてブロックされたトランザクション。 |
| ブロック_アンプ_応答 | アクセスポリシーグループの高度なマルウェア防御(AMP)の設定に基づいて、Webプロキシが応答をブロックしました。 |
| ブロック_AMW_要求 | Webプロキシは、アウトバウンドマルウェアスキャンポリシーグループのマルウェア対策設定に基づいて要求をブロックしました。リクエスト本文は、肯定的なマルウェア判定を行いました。 |
| ブロック_AMW_応答 | アクセスポリシーグループのマルウェア対策設定に基づいて、Webプロキシが応答をブロックしました。 |
| ブロックAMW_REQ_URL | Webプロキシは、HTTP要求内のURLが安全でないと疑うため、アクセスポリシーグループのマルウェア対策設定に基づいて、要求時にトランザクションをブロックしました。 |
| ブロック_AVC | アクセスポリシーグループに対して構成されたアプリケーション設定に基づいてトランザクションがブロックされました。 |
| BLOCK_CONTENT_UNSAFE安全でない | アクセスポリシーグループのサイトコンテンツの規制の設定に基づいてトランザクションがブロックされました。クライアントの要求はアダルトコンテンツに対するものでしたが、ポリシーはアダルトコンテンツをブロックするように設定されています。 |
| BLOCK_CONTINUE_CONTENT_安全でない | トランザクションがブロックされ、[アクセスポリシー]グループのサイトコンテンツの規制の設定に基づいて[警告と続行]ページが表示されました。クライアントの要求はアダルトコンテンツに対するものでしたが、ポリシーはアダルトコンテンツにアクセスするユーザに警告を与えるように設定されています。 |
| BLOCK_CONTINUE_CUSTOMCAT | トランザクションがブロックされ、「Warn」に設定されたアクセスポリシーグループのカスタムURLカテゴリに基づいて「Warn and Continue」ページが表示されました。 |
| BLOCK_CONTINUE_WEBCAT(ブロック継続WEBCAT) | トランザクションがブロックされ、「Warn」に設定されたアクセスポリシーグループ内の事前定義されたURLカテゴリに基づいて「Warn and Continue」ページが表示されました。 |
| BLOCK_CUSTOMCAT | アクセスポリシーグループのカスタムURLカテゴリフィルタリング設定に基づいてトランザクションがブロックされました。 |
| ブロックICAP | Webプロキシは、外部DLPポリシーグループで定義されている外部DLPシステムの判定に基づいて、要求をブロックしました。 |
| BLOCK_SEARCH_UNSAFE安全でない | クライアント要求に安全でない検索クエリが含まれていて、安全な検索を強制するようにアクセスポリシーが構成されているため、元のクライアント要求はブロックされました。 |
| ブロック_疑わしい_ユーザ_エージェント | アクセスポリシーグループのSuspect User Agent(疑わしいユーザエージェント)の設定に基づいてブロックされたトランザクション。 |
| BLOCK_UNSUPPORTED_SEARCH_アプリケーション | アクセスポリシーグループの安全な検索設定に基づいてトランザクションがブロックされました。トランザクションはサポートされていない検索エンジン用でした。ポリシーは、サポートされていない検索エンジンをブロックするように構成されています。 |
| ブロックWBRS(_W) | アクセスポリシーグループのWebレピュテーションフィルタ設定に基づいてブロックされたトランザクション。 |
| ブロック_WBRS_IDS | Webプロキシは、データセキュリティポリシーグループのWebレピュテーションフィルタ設定に基づいて、アップロード要求をブロックしました。 |
| ブロック_WEBCAT | アクセスポリシーグループのURLカテゴリフィルタリング設定に基づいてトランザクションがブロックされました。 |
| ブロック_WEBCAT_IDS | Webプロキシは、データセキュリティポリシーグループのURLカテゴリフィルタリング設定に基づいてアップロード要求をブロックしました。 |
| ブロック_YTCAT | Webプロキシは、アクセスポリシーグループの定義済みのYouTubeカテゴリフィルタリング設定に基づいてトランザクションをブロックしました。 |
| BLOCK_CONTINUE_YTCAT | Webプロキシがトランザクションをブロックし、「Warn」に設定されたアクセスポリシーグループ内の事前定義されたYouTubeカテゴリに基づいて「Warn and Continue」ページを表示しました。 |
| 復号化_管理者 | Webプロキシは、復号化ポリシーグループのデフォルト設定に基づいてトランザクションを復号化しました。 |
| DECRYPT_ADMIN_EXPIRED_証明書 | サーバー証明書の有効期限が切れていますが、Webプロキシはトランザクションを暗号化解除しました。 |
| DECRYPT_EUN_ADMIN_DEFAULT_アクション | EUNが有効な場合、Webプロキシは復号化ポリシーグループのドロップ接続としてデフォルト設定に基づいてトランザクションを復号化しました。 |
| DECRYPT_EUN_ADMIN_EXPIRED_証明書 | EUNが有効な期限切れの証明書がHTTPSプロキシ設定によってドロップされると、Webプロキシはトランザクションを復号化しました。 |
| DECRYPT_EUN_ADMIN_無効_リーフ証明書 | EUNが有効な無効なリーフ証明書がHTTPSプロキシ設定によってドロップされると、Webプロキシはトランザクションを復号化しました。 |
| DECRYPT_EUN_ADMIN_MISMATCHED_HOSTNAMEです。 | EUNが有効な不一致のホスト名をHTTPSプロキシ設定がドロップしたときに、Webプロキシがトランザクションを復号化しました。 |
| DECRYPT_EUN_ADMIN_OCSP_その他_エラー |
EUNが有効な他のエラーがあるOCSPをHTTPSプロキシ設定がドロップすると、Webプロキシはトランザクションを復号化しました。 |
| 復号化_EUN_ADMIN_OCSP_REVOKED_CERT | EUNが有効なOCSP失効証明書をHTTPSプロキシ設定がドロップすると、Webプロキシはトランザクションを復号化しました。 |
| DECRYPT_EUN_ADMIN_UNRECOGNIZED_ROOT_CERT(復号化) | EUNが有効な認識されないルート認証局または発行者証明書がHTTPSプロキシ設定によってドロップされると、Webプロキシはトランザクションを復号化しました。 |
| 復号化_EUN_CUSTOMCAT | Webプロキシは、復号化ポリシーグループのカスタムURLカテゴリフィルタリング設定に基づいてトランザクションを復号化しました。EUNが有効な場合、トラフィックはドロップされます。 |
| 復号化_EUN_WBRS | Webプロキシは、復号化ポリシーグループのWebレピュテーションフィルタ設定に基づいて、トランザクションを復号化しました。EUNが有効な場合、トラフィックはドロップされます。 |
| DECRYPT_EUN_WBRS_スコアなし | Webプロキシは、復号化ポリシーグループにスコアURLがないというWebレピュテーションフィルタの設定に基づいて、トランザクションを復号化しました。EUNが有効な場合、トラフィックはドロップされます。 |
| 復号化_EUN_WEBCAT | Webプロキシは、復号化ポリシーグループのURLカテゴリフィルタリング設定に基づいてトランザクションを復号化しました。EUNが有効な場合、トラフィックはドロップされます。 |
| 復号化_WEBCAT | Webプロキシは、復号化ポリシーグループのURLカテゴリフィルタリング設定に基づいてトランザクションを復号化しました。 |
| WBRSの復号化 | Webプロキシは、復号化ポリシーグループのWebレピュテーションフィルタ設定に基づいて、トランザクションを復号化しました。 |
| デフォルト_ケース | Webレピュテーションやマルウェア対策スキャンなどのAsyncOSサービスがトランザクションに対して何も実行しなかったため、Webプロキシはクライアントがサーバにアクセスすることを許可しました。 |
| 拒否_管理者 | Webプロキシがトランザクションを拒否しました。これは、認証が必要で、HTTPSプロキシ設定でDecrypt for Authenticationが無効になっている場合に、HTTPS要求に対して発生します。 |
| DROP_ADMIN(削除) | Webプロキシは、Decryption Policyグループのデフォルト設定に基づいてトランザクションをドロップしました。 |
| 削除する証明書 | サーバー証明書の有効期限が切れているため、Webプロキシはトランザクションを削除しました。 |
| DROP_WEBCAT | Webプロキシは、復号化ポリシーグループのURLカテゴリフィルタリング設定に基づいてトランザクションをドロップしました。 |
| ドロップ_WBRS | Webプロキシは、Decryption PolicyグループのWeb Reputationフィルタ設定に基づいてトランザクションをドロップしました。 |
| MONITOR_ADMIN_EXPIRED_証明書 | サーバー証明書の有効期限が切れているため、Webプロキシはサーバーの応答を監視しました。 |
| モニタ_アンプ_応答 | Webプロキシは、アクセスポリシーグループの高度なマルウェア防御(AMP)設定に基づいてサーバの応答を監視しました。 |
| モニタ_AMW_応答 | Webプロキシは、アクセスポリシーグループのマルウェア対策設定に基づいてサーバの応答を監視しました。 |
| MONITOR_AMW_RESP_URL(モニタAMW応答URL) | Webプロキシは、HTTP要求のURLが安全ではないと疑っていますが、アクセスポリシーグループのマルウェア対策設定に基づいてトランザクションを監視しています。 |
| モニタ_AVC | Webプロキシは、アクセスポリシーグループのアプリケーション設定に基づいてトランザクションを監視しました。 |
| MONITOR_CONTINUE_CONTENT_UNSAFE(安全ではない) | 当初、Webプロキシはトランザクションをブロックし、[アクセスポリシー]グループのサイトコンテンツの規制の設定に基づいて[警告と続行]ページを表示していました。クライアントの要求はアダルトコンテンツに対するものでしたが、ポリシーはアダルトコンテンツにアクセスするユーザに警告を与えるように設定されています。ユーザは警告を受け入れ、最初に要求されたサイトに進み、その後に他のスキャンエンジンによって要求がブロックされることはありませんでした。 |
| MONITOR_CONTINUE_CUSTOMCAT(続行します) | 当初、Webプロキシはトランザクションをブロックし、「Warn」に設定されたアクセスポリシーグループのカスタムURLカテゴリに基づいて「Warn and Continue」ページを表示していました。 ユーザは警告を受け入れ、最初に要求されたサイトに進み、その後に他のスキャンエンジンによって要求がブロックされることはありませんでした。 |
| MONITOR_CONTINUE_WEBCAT(続行します) | 当初、Webプロキシはトランザクションをブロックし、「Warn」に設定されたアクセスポリシーグループ内の事前定義されたURLカテゴリに基づいて「Warn and Continue」ページを表示していました。 ユーザは警告を受け入れ、最初に要求されたサイトに進み、その後に他のスキャンエンジンによって要求がブロックされることはありませんでした。 |
| MONITOR_CONTINUE_YTCAT(継続モニタ) | 当初、Webプロキシはトランザクションをブロックし、「Warn」に設定されたアクセスポリシーグループ内の事前定義されたYouTubeカテゴリに基づいて「Warn and Continue」ページを表示していました。 ユーザは警告を受け入れ、最初に要求されたサイトに進み、その後に他のスキャンエンジンによって要求がブロックされることはありませんでした。 |
| モニタID | Webプロキシはデータセキュリティポリシーまたは外部DLPポリシーを使用してアップロード要求をスキャンしましたが、要求をブロックしませんでした。アクセスポリシーに対して要求を評価しました。 |
| 監視_疑わしい_ユーザ_エージェント | Webプロキシは、アクセスポリシーグループのSuspect User Agent設定に基づいてトランザクションを監視しました。 |
| モニタ_WBRS | Webプロキシは、アクセスポリシーグループのWebレピュテーションフィルタ設定に基づいてトランザクションを監視しました。 |
| 許可なし | Webプロキシはアプリケーションへのアクセスをユーザーに許可しませんでした。ユーザーは認証領域に対して既に認証されていますが、アプリケーション認証ポリシーで構成されたどの認証領域に対しても認証されていないためです。 |
| パスワードなし | ユーザが認証に失敗しました。 |
| パススルー_管理者 | Webプロキシは、復号化ポリシーグループのデフォルト設定に基づいてトランザクションを通過しました。 |
| PASSTHRU_ADMIN_EXPIRED_証明書 | サーバー証明書の有効期限が切れていますが、Webプロキシはトランザクションを通過しました。 |
| パススルー_WEBCAT | Webプロキシは、復号化ポリシーグループのURLカテゴリフィルタリング設定に基づいてトランザクションを通過しました。 |
| パススルー_WBRS | Webプロキシは、復号化ポリシーグループのWebレピュテーションフィルタ設定に基づいてトランザクションを通過しました。 |
| リダイレクト_CUSTOMCAT | Webプロキシは、「リダイレクト」に設定されたアクセスポリシーグループ内のカスタムURLカテゴリに基づいて、別のURLにトランザクションをリダイレクトしました。 |
| SAAS認証 | アプリケーション認証ポリシーで設定された認証レルムに対してユーザが透過的に認証されたため、Webプロキシはユーザにアプリケーションへのアクセスを許可しました。 |
| その他 | 認証の失敗、サーバーの切断、クライアントからの中止などのエラーが発生したため、Webプロキシは要求を完了しませんでした。 |
マルウェアスキャン判定の値
マルウェアスキャン判定は、URL要求またはサーバ応答に割り当てられた値で、マルウェアが含まれる可能性を決定します。Webroot、McAfee、およびSophosスキャンエンジンは、マルウェアスキャン判定をDVSエンジンに返します。これにより、DVSエンジンは、スキャンされたオブジェクトをモニタするか、ブロックするかを判断できます。各マルウェアスキャン判定は、特定のアクセスポリシーのマルウェア対策設定を編集した場合に、アクセスポリシー>レピュテーションおよびマルウェア対策設定ページに表示されるマルウェアのカテゴリに対応します。
次のリストは、さまざまなマルウェアスキャン判定の値と、対応する各マルウェアカテゴリを示しています。
| マルウェアスキャン判定の値 |
マルウェアカテゴリ |
|---|---|
| - |
設定しない |
| 0 |
Unknown |
| 1 |
スキャンされていません |
| 2 |
[タイムアウト(Timeout)] |
| 3 |
エラー |
| 4 |
スキャン不能 |
| 10 |
汎用スパイウェア |
| 12 |
ブラウザヘルパーオブジェクト |
| 13 |
アドウェア |
| 14 |
システムモニタ |
| 18 |
商用システムモニタ |
| 19 |
ダイヤラ |
| 20 |
ハイジャッカー |
| 21 |
フィッシングURL |
| 22 |
トロイの木馬ダウンローダ |
| 23 |
トロイの木馬 |
| 24 |
トロイの木馬フィッシャー |
| 25 |
ワーム |
| 26 |
暗号化されたファイル |
| 27 |
ウイルス |
| 33 |
その他のマルウェア |
| 34 |
PUA |
| 35 |
中断されました |
| 36 |
アウトブレイクヒューリスティック |
| 37 |
既知の悪意のあるファイルと高リスクのファイル |
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
29-Apr-2026
|
初版 |
フィードバック