|
|
|
1 |
この行の最初の 2 バイトは、標準ヘッダー値 1 を示しています。2 番目の 2 バイトは、メッセージがデータ メッセージ(つまり、メッセージ タイプ 4)であることを示しています。 |
2 |
この行は、後続のメッセージの長さが 716 バイトであることを示しています。 |
3 |
この先頭ビットは、ヘッダーがアーカイブのタイムスタンプを含む拡張ヘッダーであることを示すフラグです。後続の 15 ビットは、イベントが検出されたドメインの Netmap ID を含むオプション フィールドです。行の残りの部分は、レコード タイプの値 71 を示し、接続統計レコードを表します。 |
4 |
この行は、後続のイベント レコードの長さが 700 バイトであることを示しています。 |
5 |
この行は、イベントの保存時のタイムスタンプです。この場合、2016 年 10 月 10 日(月)の 午前 8 時 48 分 52 秒に保存されています。 |
6 |
この行は、将来使用するために予約されており、ゼロが入っています。 |
7 |
この行は、ディスカバリ イベントを生成したデバイスの ID 番号を指定しています。デバイス ID は 1 です。 |
8 |
この行は、レガシー IP(IPv4)アドレス用です。事前に設定されていないため、すべてゼロになっており、IPv4 アドレスは IPv6 フィールドに保存されます。 |
9 |
この行には、イベントに関連するホストの MAC アドレスが含まれます。MAC アドレスは 00:00:00:00:00:00 です。 |
10 |
この行の最初の 16 ビットには、MAC アドレスの残りの部分が含まれます。次の 8 ビットでは、ホストが IPv6 アドレスであるかどうかを示すフラグです。最後の 8 ビットは空白です。これは将来の使用に備えて予約されています。 |
11 |
この行には、イベントが発生した時刻の UNIX タイムスタンプが含まれます。 |
12 |
この行には、イベント マイクロ秒が含まれます。この場合は、 0 です。 |
13 |
この行には、イベント タイプが含まれます。この場合、タイプは 1003 です。 |
14 |
この行には、イベント サブタイプが含まれます。この場合、イベント サブタイプは 1 です。これは、イベント タイプ 1003 とともに、これが接続統計イベントであることを意味します。 |
15 |
この行はファイル番号に使用されます。これは内部専用です。 |
16 |
この行はファイルの位置に使用されます。これは内部専用です。 |
17 |
この行には、IPv6 アドレスが含まれます。このフィールドは、IPv6 フラグが設定されている場合に存在し、使用されます。この場合、IPv6 アドレス 0:3eb:0:1:d184:fb57:8ba:c00 が含まれています。 |
18 |
この行には、ブロック タイプが含まれます。値は 163 です。これは、接続統計データ ブロック タイプを示しています。 |
19 |
この行には、データ ブロックの長さが含まれ、 644 バイトのデータが含まれていることを示しています。 |
20 |
この行は、ディスカバリ イベントを生成したデバイスの ID 番号を指定しています。デバイス ID は 1 です。 |
21 |
入力セキュリティ ゾーンが含まれます。ゾーンは 59e4505c-4493-11e6-a62d-f1dff731a85 です。 |
22 |
出力セキュリティ ゾーンが含まれます。ゾーンは 60d50c80-4493-11e6-9843-84d8d6a3e008 です。 |
23 |
入力インターフェイスが含まれます。インターフェイスは 599126de-4493-11e6-a62d-f1dff731a85e です。 |
24 |
出力インターフェイスが含まれます。インターフェイスは 608d6cf4-4493-11e6-9843-84d8d6a3e008 です。 |
25 |
この行には、接続イベントで示されているセッションを開始したホストの IP アドレスが含まれます。IP アドレスは 172.16.3.5 です。 |
26 |
この行には、開始ホストに応答したホストの IP アドレスが含まれます。IP アドレスは 72.48.149.244 です。 |
27 |
要求の送信元であるプロキシの背後にあるホストの IP アドレス。この例では、これは空白です。 |
28 |
この行には、トリガーされた相関イベントに関連付けられたルールのリビジョン番号が含まれます。リビジョン番号は 00000000-0000-0000-0000-000057e9c39d です。 |
29 |
イベントをトリガーしたルールの内部識別子が含まれます。このルールは、 268439603 です。 |
30 |
この行には、イベントをトリガーしたトンネル ルールの内部識別子が含まれます。このイベントはトンネル ルールでトリガーされなかったため、値は 0 です。 |
31 |
この行の最初の 2 バイトには、ルールで指定されたアクションが含まれます。この場合、値は 4 で、アクションが ブロック であったことを示しています。最後の 2 バイトにはルールの理由が含まれます。この場合、 64 で、 侵入ブロック を意味します。 |
32 |
最初の 2 バイトには、ルールの理由の残りが含まれます。次の 2 バイトには、イニシエータ ホストで使用されたポートが含まれます( 43786 )。 |
33 |
この行の最初の 2 バイトには、レスポンダ ポートが含まれます( 443 )。残りの 2 バイトには、TCP フラグが含まれます。 |
34 |
この行の最初のバイトには、プロトコルが含まれます( 6 )。これは、このイベントが TCP を介して発生したことを示します。残りの 24 バイトには、Netflow ソースの IP アドレスの最初の部分が含まれます( 00000000-0000-0000-0000-000000000000)。 |
35 |
この行の最初のバイトには、Netflow ソースの最後の 8 ビットが含まれます。次の 2 バイトには、イベントを生成した Snort のインスタンスの識別子が含まれます( 7 )。残りのバイトには、接続数カウンタが含まれます。 |
36 |
この行の最初のバイトには、接続数カウンタの残りの部分が含まれます。最後の 24 ビットには、セッションで交換された最初のパケットの UNIX タイムスタンプの先頭が含まれます。このタイムスタンプは 1476103731 です。これは、2016 年 10 月 10 日(月)午前 8 時 48 分 51 秒を示しています。 |
37 |
最初のバイトには、最初のパケットのタイムスタンプの残りの部分が含まれます。残りの 3 バイトは、セッションで交換される最後のパケットのタイムスタンプが含まれています。このタイムスタンプも 2016 年 10 月 10 日(月)午前 8 時 48 分 51 秒を示し、セッションが 1 秒未満で終了したことを示しています。 |
38 |
この行の最初のバイトには、最終パケット タイムスタンプの最後の 8 ビットが含まれます。残りの 24 ビットには、開始ホストから送信されたパケット数が含まれます。この場合は 13 です。 |
39 |
この行の最初のバイトは、イニシエータ送信パケット数の残りの部分です。次の 24 ビットには、レスポンダから送信されたパケット数が含まれます( 0 )。 |
40 |
この行の最初のバイトは、レスポンダ送信パケット数の残りの部分です。次の 24 ビットには、イニシエータから送信されたバイト数が含まれます( 1743 )。 |
41 |
最初のバイトはイニシエータ送信バイトの最終バイトで、残りの 24 ビットでレスポンダ送信バイトが開始します( 0 )。 |
42 |
最初のバイトはレスポンダ送信バイトの最終バイトで、残りの 24 ビットでイニシエータ パケット ドロップが開始します( 0 )。 |
43 |
最初のバイトはイニシエータ パケット ドロップの最後で、残りの 24 ビットでレスポンダ パケット ドロップが開始します( 0 )。 |
44 |
最初のバイトはレスポンダ パケット ドロップの最後で、残りの 24 ビットでイニシエータ バイト ドロップが開始します( 0 )。 |
45 |
最初のバイトはイニシエータ バイト ドロップの最後で、残りの 24 ビットでレスポンダ バイト ドロップが開始します( 0 )。 |
46 |
最初のバイトはレスポンダ バイト ドロップの最後で、残りの 24 ビットでレート制限が適用されたインターフェイスの名前が開始します( 00000000-0000-0000-0000-000000000000 )。 |
47 |
この行の最初のバイトは、QOS 適用インターフェイスの残りの部分です。残りの部分は、接続に適用された QOS ルールです。このインターフェイスには QOS ルールが適用されていないため、ID は 0 です。 |
48 |
この行の最初のバイトは、QOS ルール ID の残りの部分です。残りの部分は、トラフィックを生成したホストに最後にログインしたユーザの ID 番号です( 16466 )。 |
49 |
この行の最初のバイトは、ユーザ ID の残りの部分です。残りの部分は、接続で使用されたアプリケーション プロトコルです。1122 は HTTPS 接続であることを示しています。 |
50 |
この行の最初のバイトは、アプリケーション プロトコル ID の残りの部分です。残りは、URL カテゴリです。 |
51 |
この行の最初のバイトは、URL カテゴリの残りの部分です。残りは、URL レピュテーションです。 0 は、「 リスク不明 」を意味します。 |
52 |
この行の最初のバイトは、URL レピュテーションの残りの部分です。残りは、クライアント アプリケーション ID です。 1296 は、「 SSL クライアント 」を意味します。 |
53 |
この行の最初のバイトは、クライアント アプリケーション ID の残りの部分です。残りは、Web アプリケーション ID です。 0 は、「 不明 」を意味します。 |
54 |
この行の最初のバイトは、Web アプリケーション ID の残りの部分です。この行の残りの部分では、ブロック タイプが開始します。 0 は、文字列ブロック タイプの先頭を示します。 |
55 |
この行の最初のバイトは、文字列ブロック タイプの残りの部分です。残りはブロック長です。これは、クライアント アプリケーション URL に、ヘッダーと長さを含む 8 バイトが含まれていることを示しており、クライアント アプリケーション URL にデータが存在しないことを意味します。 |
56 |
この行の最初のバイトは、文字列ブロック長の残りの部分です。クライアント アプリケーション URL にはデータが存在しないため、この行の残りはブロック タイプ 0 で開始しています。これは、NetBIOS 名の文字列ブロック タイプの先頭を示しています。 |
57 |
この行の最初のバイトは、文字列ブロック タイプの残りの部分です。残りはブロック長です。これは、NetBIOS 名に、ヘッダーと長さを含む 8 バイトが含まれていることを示しており、NetBIOS 名にデータが存在しないことを意味します。 |
58 |
この行の最初のバイトは、文字列ブロック長の残りの部分です。NetBIOS 名にはデータが存在しないため、この行の残はブロック タイプ 0 で開始しています。これは、クライアント アプリケーション バージョンの文字列ブロック タイプの先頭を示しています。 |
59 |
この行の最初のバイトは、文字列ブロック タイプの残りの部分です。残りはブロック長です。これは、クライアント アプリケーション バージョンに、ヘッダーと長さを含む 8 バイトが含まれていることを示しており、クライアント アプリケーション バージョンにデータが存在しないことを意味します。 |
60 |
この行には、クライアント アプリケーション バージョン ブロック長の残りのバイトが含まれます。最後の 3 バイトは、接続イベントに関連付けられている 1 番目のモニタ ルールの ID です( 268439553 )。 |
61 |
この行には、1 番目のモニタ ルールの ID の最終バイトが含まれています。残りの 3 バイトは、2 番目のモニタ ルールの ID です( 0 )。 |
62 |
この行には、2 番目のモニタ ルールの ID の最終バイトが含まれています。残りの 3 バイトは、3 番目のモニタ ルールの ID です( 0 )。 |
63 |
この行には、3 番目のモニタ ルールの ID の最終バイトが含まれています。残りの 3 バイトは、4 番目のモニタ ルールの ID です( 0 )。 |
64 |
この行には、4 番目のモニタ ルールの ID の最終バイトが含まれています。残りの 3 バイトは、5 番目のモニタ ルールの ID です( 0 )。 |
65 |
この行には、6 番目のモニタ ルールの ID の最終バイトが含まれています。残りの 3 バイトは、7 番目のモニタ ルールの ID です( 0 )。 |
66 |
この行には、7 番目のモニタ ルールの ID の最終バイトが含まれています。残りの 3 バイトは、8 番目のモニタ ルールの ID です( 0 )。 |
67 |
この行には、8 番目のモニタ ルールの ID の最終バイトが含まれています。この行の 2 番目のバイトは、送信元または宛先の IP アドレスを IP ブラックリストに突き合わせるかどうかを示しています。この行の 3 番目のバイトは、IP ブラックリストの一致した IP 層です。最後のバイトで、ファイル イベントカウントが開始します( 0)。 |
68 |
この行の最初のバイトは、ファイル イベントカウントの残りの部分です。次の 2 バイトには、侵入イベントカウントが含まれています。最後のバイトには、イニシエータの国が含まれます。この場合は 0 で、「 不明 」を意味します。 |
69 |
この行の最初のバイトは、イニシエータの国の第 2 バイトです。次の 2 バイトは、レスポンダの国です( 840 )。最後のバイトで、クライアントのオリジナル国が開始します。この場合は 0 で、「 不明 」を意味します。 |
70 |
この行の最初のバイトは、クライアントのオリジナル国の最後です。次の 2 バイトは、IOC 番号です( 0 )。最後のバイトは、送信元自律システムの先頭バイトです( 0 )。 |
71 |
この行の最初の 3 バイトは、送信元自律システムです。最後のバイトは、宛先自律システムの先頭バイトです( 0)。 |
72 |
この行の最初の 3 バイトは、宛先自律システムです。最後のバイトは、入力インターフェイスの SNMP インデックスです( 0)。 |
73 |
この行の最初のバイトは、入力インターフェイスの SNMP インデックスです。次の 2 バイトは、出力インターフェイスの SNMP インデックスです( 0 )。この行の最後のバイトは、着信インターフェイス用のタイプ オブ サービス設定です( 0)。 |
74 |
この行の最初のバイトは、発信インターフェイス用のタイプ オブ サービス設定です( 0 )。2 番目のバイトは、送信元マスクです( 0 )。3 番目のバイトは、宛先マスクです( 0 )。最後のバイトは、トラフィックが通過したセキュリティ コンテキストの ID 番号の先頭です。この場合、セキュリティ コンテキストは 00000000: 0000: 0000: 0000-000000000000 です。 |
75 |
この行の最初の 3 バイトは、セキュリティ コンテキストの残りの部分です。最後のバイトは VLAN ID です( 0 )。 |
76 |
最初のバイトは VLAN ID です。最後の 3 つのバイトでは、値 0 で文字列ブロックが開始しています。この文字列ブロックには、参照ホストの名前が含まれています。 |
77 |
最初のバイトは、文字列ブロック タイプの残りの部分です。最後の 3 バイトで、ブロック タイプと長さを含む文字列ブロックの合計長を示しています。この場合の 8 バイトは、参照ホストがないため文字列ブロックにはデータが存在しないことを意味します。 |
78 |
最初のバイトは、文字列ブロック長の残りの部分です。最後の 3 つのバイトでは、値 0 で文字列ブロックが開始しています。この文字列ブロックには、ユーザ エージェントが含まれます。 |
79 |
最初のバイトは、文字列ブロック タイプの残りの部分です。最後の 3 バイトで、ブロック タイプと長さを含む文字列ブロックの合計長を示しています。この場合の 8 バイトは、ユーザ エージェントがないため文字列ブロックにはデータが存在しないことを意味します。 |
80 |
最初のバイトは、文字列ブロック長の残りの部分です。最後の 3 つのバイトでは、値 0 で文字列ブロックが開始しています。この文字列ブロックには、HTTP リファラが含まれます。 |
81 |
最初のバイトは、文字列ブロック タイプの残りの部分です。最後の 3 バイトで、ブロック タイプと長さを含む文字列ブロックの合計長を示しています。この場合の 8 バイトは、HTTP リファラがないため文字列ブロックにはデータが存在しないことを意味します。 |
82 |
この行の最初のバイトには、文字列ブロック長の最後が含まれます。最後の 3 バイトには、SSL 証明書のフィンガー プリントが含まれます( 00000000000000000000 )。 |
83 |
この行の最初のバイトには、SSL 証明書のフィンガー プリント ID の最後が含まれます。この行の残りの部分には、SSL ポリシー ID が含まれます( 00000000-0000-0000-0000-000000000000) 。 |
84 |
この行の最初のバイトは、SSL ポリシー ID の最後です。最後の 3 バイトは、SSL ルール ID です( 0 )。 |
85 |
この行の最初のバイトは、SSL ルール ID の残りの部分です。次の 2 バイトは、SSL 暗号スイートです。 0 は、 TLS_NULL_WITH_NUL_NULL を意味します。最後のバイトは、SSL バージョンです( 0 )。 |
86 |
この行には SSL サーバ証明書ステータスが含まれます。 0 は、 未チェック を意味します。 |
87 |
この行の最初の 2 バイトは、実際の SSL アクションです。 0 は、 不明 を意味します。次の 2 バイトは、予想された SSL アクションです。 0 は、 不明 を意味します。 |
88 |
この行の最初の 2 バイトは、SSL フロー ステータスです。 0 は、 不明 を意味します。次の 2 バイトは、SSL フロー エラーです。 0 は、 不明 を意味します。 |
89 |
この行の最初の 2 バイトは、SSL フロー エラーの残りの部分です。次の 2 バイトは、SSL フロー メッセージです( 0 )。 |
90 |
この行の最初の 2 バイトは、SSL フロー メッセージです。次の 2 バイトは、SSL フロー フラグです( 0 )。 |
91 |
この行の最初の 2 バイトは、SSL フロー フラグの残りの部分です。次の 2 バイトで、SSL サーバ名の文字列ブロックが開始します(タイプ 0 )。 |
92 |
この行の最初の 2 バイトで、文字列ブロック タイプが終了します。次の 2 バイトには、文字列ブロック長が含まれます。ブロック長は 8 です。これには、ブロックのタイプと長さが含まれ、文字列ブロックにデータが含まれていないことを意味します。 |
93 |
最初の 2 バイトには、文字列ブロック長の残りが含まれます。次の 2 バイトには、SSL URL カテゴリが含まれます。 0 は、 不明 を意味します。 |
94 |
この行の最初の 2 バイトには、SSL URL カテゴリの残りの部分が含まれます。次の 2 バイトで、SSL セッション ID が開始します( 00000000000000000000000000000000 )。 |
95 |
この行の最初のバイトには、SSL セッション ID の最後が含まれます。次のバイトには、SSL セッション ID の長さが含まれます( 0 )。次の 2 バイトで、SSL チケット ID が開始します( 00000000000000000000 )。 |
96 |
この行の最初の 2 バイトには、SSL チケット ID の最後が含まれます。3 番目のバイトには、SSL チケット ID の長さが含まれます( 0 )。最後のバイトで、ネットワーク分析ポリシー リビジョンが開始します( 4e78cb70-7842-11e6-a99b-cdb19cb553fd )。 |
97 |
この行の最初の 3 バイトには、ネットワーク分析ポリシー リビジョンの最後が含まれます。最後のバイトで、エンドポイント プロファイル ID が開始します( 0 )。 |
98 |
この行の最初の 3 バイトは、エンドポイント プロファイル ID です。残りのバイトで、セキュリティ グループ ID が開始します( 0 )。 |
99 |
この行の最初の 3 バイトは、セキュリティ グループ ID です。残りのバイトで、ロケーション IPv6 が開始します。これは、ISE と通信するインターフェイスの IP アドレスで、空白です。 |
100 |
この回線の最初の 3 バイトは、ロケーション IPv6 の最後です。残りのバイトで、HTTP レスポンスが開始します。 0 は HTTP レスポンスがないことを意味します。 |
101 |
この回線の最初の 3 バイトは、HTTP レスポンスの最後です。残りのバイトで、文字列ブロックが開始します。タイプ 0 は DNS クエリです。 |
102 |
最初の 3 バイトで、文字列ブロック タイプが完了します。残りのバイトには、ブロックのタイプと長さを含む文字列ブロック長が含まれます。 8 バイトは、DNS クエリにデータが存在しないことを意味します。 |
103 |
最初の 3 バイトで、文字列ブロック長が終了します。この行の残りのバイトで、DNS レコード タイプが開始します( 71 )。 |
104 |
この行の最初のバイトで、DNS レコード タイプが終了します。次の 2 バイトは、DNS レスポンス タイプです( 0 )。最後のバイトで、DNS TTL が開始します。 |
105 |
この行の最初の 3 バイトは、DNS TTL です。最後のバイトで、シンクホール UUID が開始します( 00000000-0000-0000-0000-000000000000 )。 |
106 |
この行の最初の 3 バイトで、シンクホール UUID が終了します。最後のバイトで、最初のセキュリティ インテリジェンス リストが開始します( 0 )。 |
107 |
この行の最初の 3 バイトで、最初のセキュリティ インテリジェンス リストが終了します。最後のバイトで、2 番目のセキュリティ インテリジェンス リストが開始します( 0 )。 |
フィードバック