ログによるシステム アクティビティのモニター

この章で説明する内容は、次のとおりです。

ロギングの概要

Secure Web Applianceでは、システムとトラフィックの管理アクティビティの記録がログファイル上に書き込まれます。管理者はこれらのログ ファイルを参照して、アプライアンスをモニターし、トラブルシューティングできます。

各種アクティビティはいくつかのロギング タイプごとに記録されるため、特定のアクティビティに関する情報の検索が容易です。多くのロギング タイプはデフォルトでイネーブルなりますが、いくつかは、必要に応じて手動でイネーブルにする必要があります。

ログ ファイルをイネーブルにして管理するには、ログ ファイル サブスクリプションを設定します。サブスクリプションにより、ログ ファイルの作成、カスタマイズ、および管理に関する設定を定義できます。

通常、管理者が主に使用するログ ファイルは、以下の 2 種類です。

  • アクセス ログ。すべての Web プロキシ フィルタリングとスキャン アクティビティが記録されます。

  • トラフィック モニター ログ。すべての L4 トラフィック モニター アクティビティが記録されます。

これらのログ タイプおよびその他のログ タイプを使用して、アプライアンスの現在と過去のアクティビティを確認できます。ログ ファイル エントリの内容を理解できるように、リファレンス テーブルが用意されています。

関連項目

Best Practices for Logging

  • Minimizing the number of log subscriptions will benefit system performance.
  • Logging fewer details will benefit system performance.

ログによる Web プロキシのトラブルシューティング

Secure Web Applianceでは、デフォルトで、Web プロキシ ロギング メッセージ用の 1 つのログ サブスクリプションが作成されます(「デフォルト プロキシ ログ」と呼ばれます)このログには、すべての Web プロキシ モジュールに関する基本的な情報が記録されます。アプライアンスには、各 Web プロキシ モジュールのログ ファイル タイプも含まれているので、デフォルト プロキシ ログを画面いっぱいに散乱させることなく、各モジュールのより詳細なデバッグ情報を読み取ることができます。

使用可能な各種のログを使用して Web プロキシの問題をトラブルシューティングするには、以下の手順に従います。

手順

ステップ 1

デフォルト プロキシ ログを読みます。

ステップ 2

問題を解決するためにより詳細な情報が必要な場合は、その問題に関連する特定の Web プロキシ モジュールのログ サブスクリプションを作成します。以下の Web プロキシ モジュール ログ タイプのサブスクリプションを作成できます。

アクセス コントロール エンジン ログ

ADC エンジンフレームワークログ

AVC エンジンフレームワークログ

設定ログ

接続管理ログ

データ セキュリティ モジュール ログ

DCA エンジン フレームワーク ログ

ディスク マネージャ ログ

FireAMP

FTP プロキシ ログ

HTTPS ログ

ライセンス モジュール ログ

ロギング フレームワーク ログ

McAfee 統合フレームワーク ログ

メモリ マネージャ ログ

その他のプロキシ モジュール ログ

リクエスト デバッグ ログ

SNMP モジュール ログ

Sophos 統合フレームワーク ログ

WBRS フレームワーク ログ

WCCP モジュール ログ

Webcat 統合フレームワーク ログ

Webroot 統合フレームワーク ログ

ステップ 3

問題を再現して、その問題に関する新しい Web プロキシ モジュール ログを確認します。

ステップ 4

必要に応じて、他の Web プロキシ モジュール ログを使用して繰り返します。

ステップ 5

不要になったサブスクリプションを削除します。

次のタスク

関連項目

ログ ファイルのタイプ

Web プロキシ コンポーネントに関するいくつかのログ タイプはイネーブルになっていません。「デフォルト プロキシ ログ」と呼ばれるメインの Web プロキシ ログ タイプはデフォルトでイネーブルになっており、すべての Web プロキシ モジュールの基本的な情報が記録されます。各 Web プロキシ モジュールには、必要に応じてイネーブルにできる独自のログ タイプがあります。

以下の表は、 Secure Web Applianceのログ ファイル タイプを示しています。

ログ ファイル タイプ

説明

syslog プッシュのサポート

デフォルトのイネーブル設定

アクセス コントロール エンジン ログ

Web プロキシ ACL(アクセス コントロール リスト)の評価エンジンに関連するメッセージを記録します。

非対応

非対応

Cisco Secure Endpoint エンジンログ

ファイル レピュテーション スキャンとファイル分析に関する情報(Secure Endpoint)を記録します。

ログ ファイルも参照してください。

対応

対応

監査ログ

認証、許可、アカウンティングのイベント(AAA:Authentication、Authorization、および Accounting)を記録します。アプリケーションおよびコマンドライン インターフェイスにおけるすべてのユーザ操作を記録し、変更内容を保存します。

監査ログの詳細の一部を次に示します。

  • ユーザ - ログオン

  • ユーザ - ログオンに失敗しました、パスワードが正しくありません

  • ユーザ - ログオンに失敗しました、ユーザ名が不明です

  • ユーザ - ログオンに失敗しました、アカウントの有効期限が切れています

  • ユーザ - ログオフ

  • ユーザ - ロックアウト

  • ユーザ - アクティブ化済み

  • ユーザ - パスワードの変更

  • ユーザ - パスワードのリセット

  • ユーザ -セキュリティ設定/プロファイルの変更

  • ユーザ - 作成済み

  • ユーザ -削除済み/変更済み

  • グループ/ロール - 削除/変更済み

  • グループ/ロール - アクセス許可の変更

対応

対応

アクセス ログ

Web プロキシのクライアント履歴を記録します。

対応

対応

ADC エンジンフレームワークログ

Web プロキシと ADC エンジン間の通信に関連するメッセージを記録します。

非対応

非対応

ADC エンジンログ

AVC エンジンからのデバッグメッセージを記録します。

対応

対応

認証フレームワーク ログ

認証履歴とメッセージを記録します。

非対応

対応

AVC エンジン フレームワーク ログ

Web プロキシと AVC エンジン間の通信に関連するメッセージを記録します。

非対応

非対応

AVC エンジン ログ

AVC エンジンからのデバッグ メッセージを記録します。

対応

対応

CLI 監査ログ

コマンドライン インターフェイス アクティビティの監査履歴を記録します。

対応

対応

設定ログ

Web プロキシ コンフィギュレーション管理システムに関連するメッセージを記録します。

非対応

非対応

接続管理ログ

Web プロキシ接続管理システムに関連するメッセージを記録します。

非対応

非対応

データ セキュリティ ログ

Cisco データ セキュリティ フィルタで評価されたアップロード要求のクライアント履歴を記録します。

対応

対応

データ セキュリティ モジュール ログ

Cisco データ セキュリティ フィルタに関するメッセージを記録します。

非対応

非対応

DCA エンジン フレームワーク ログ

(動的コンテンツ分析)

Web プロキシと Cisco Web 利用の制御動的コンテンツ分析エンジン間の通信に関連するメッセージを記録します。

非対応

非対応

DCA エンジン ログ

(動的コンテンツ分析)

Cisco Web 利用の制御動的コンテンツ分析エンジンに関連するメッセージを記録します。

対応

対応

デフォルト プロキシ ログ

Web プロキシに関連するエラーを記録します。

これは、Web プロキシに関連するすべてのログの最も基本的なものです。Web プロキシに関連するより具体的な分野のトラブルシューティングを行うには、該当する Web プロキシ モジュールのログ サブスクリプションを作成します。

対応

対応

ディスク マネージャ ログ

ディスク上のキャッシュの書き込みに関連する Web プロキシ メッセージを記録します。

非対応

非対応

外部認証ログ

外部認証サーバによる通信の成功または失敗など、外部認証機能の使用に関連するメッセージを記録します。

外部認証がディセーブルされている場合でも、このログにはローカル ユーザのログインの成功または失敗に関するメッセージが記録されています。

非対応

対応

フィードバック ログ

誤って分類されたページをレポートする Web ユーザを記録します。

対応

対応

FTP プロキシ ログ

FTP プロキシに関連するエラーおよび警告メッセージを記録します。

非対応

非対応

FTP サーバ ログ

FTP を使用して、 Secure Web Appliance にアップロードされ、ダウンロードされるすべてのファイルを記録します。

対応

対応

GUI ログ

(グラフィカル ユーザ インターフェイス)

Web インターフェイスのページ更新履歴を記録します。GUI ログには、SMTP トランザクションに関する情報(たとえば、アプライアンスから電子メールで送信されるスケジュール済みレポートに関する情報)も記録されます。

対応

対応

Haystack ログ

Haystack ログには、データ処理をトラッキングする Web トランザクションが記録されます。

対応

対応

HTTPS ログ

HTTPS プロキシ固有の Web プロキシ メッセージを記録します(HTTPS プロキシがイネーブルの場合)。

非対応

非対応

ISE サーバ ログ

ISE サーバの接続および動作情報を記録します。

対応

対応

ライセンス モジュール ログ

Web プロキシのライセンスおよび機能キー処理システムに関するメッセージを記録します。

非対応

非対応

ロギング フレームワーク ログ

Web プロキシのロギング システムに関するメッセージを記録します。

非対応

非対応

ロギング ログ

ログ管理に関連するエラーを記録します。

対応

対応

McAfee 統合フレームワーク ログ

Web プロキシと McAfee スキャン エンジン間の通信に関連するメッセージを記録します。

非対応

非対応

McAfee ログ

McAfee スキャン エンジンからアンチマルウェア スキャン アクティビティのステータスを記録します。

対応

対応

メモリ マネージャ ログ

Web プロキシ プロセスのメモリ内キャッシュを含むすべてのメモリの管理に関連する Web プロキシ メッセージを記録します。

非対応

非対応

その他のプロキシ モジュール ログ

主に開発者やカスタマー サポートによって使用される Web プロキシ メッセージを記録します。

非対応

非対応

AnyConnect セキュア モビリティ デーモン ログ

ステータスチェックなど、 Secure Web Appliance と AnyConnect クライアント間の相互作用を記録します。

対応

対応

NTP ログ

(ネットワーク タイム プロトコル)

ネットワーク タイム プロトコルによって作成されたシステム時刻に変更します。

対応

対応

PAC ファイル ホスティング デーモン ログ

クライアントによるプロキシ自動設定(PAC)ファイルの使用状況を記録します。

対応

対応

プロキシ バイパス ログ

Web プロキシをバイパスするトランザクションを記録します。

非対応

対応

レポーティング ログ

レポート生成履歴を記録します。

対応

対応

レポーティング クエリー ログ

レポート生成に関連するエラーを記録します。

対応

対応

リクエスト デバッグ ログ

すべての Web プロキシ モジュール ログ タイプから、特定の HTTP トランザクションに関する非常に詳細なデバッグ情報を記録します。他のすべてのプロキシ ログ サブスクリプションを作成することなく、特定のトランザクションによるプロキシ問題のトラブルシューティングを行うために、このログ サブスクリプションを作成する場合があります。

注:CLI でのみ、このログ サブスクリプションを作成できます。

非対応

非対応

認証ログ

アクセス コントロール機能に関するメッセージを記録します。

対応

対応

SHD ログ

(システム ヘルス デーモン)

システム サービスの動作状態の履歴および予期しないデーモンの再起動の履歴を記録します。

対応

対応

SNMP ログ

SNMP 管理エンジンに関連するデバッグ メッセージを記録します。

対応

対応

SNMP モジュール ログ

SNMP モニタリング システムとの対話に関連する Web プロキシ メッセージを記録します。

非対応

非対応

Sophos 統合フレームワーク ログ

Web プロキシと Sophos スキャン エンジン間の通信に関連するメッセージを記録します。

非対応

非対応

Sophos ログ

Sophos スキャン エンジンからアンチマルウェア スキャン アクティビティのステータスを記録します。

対応

対応

ステータス ログ

機能キーのダウンロードなど、システムに関連する情報を記録します。

対応

対応

システム ログ

DNS、エラー、およびコミット アクティビティを記録します。

対応

対応

トラフィック モニタリング エラー ログ

L4TM インターフェイスおよびキャプチャ エラーを記録します。

対応

対応

トラフィック モニタ ログ

L4TM ブロックおよび許可リストに追加されたサイトを記録します。

非対応

対応

UDS ログ

(ユーザ検出サービス)

Web プロキシが実際の認証を行わずにユーザ名を検出する方法に関するデータを記録します。セキュア モビリティ用の Cisco 適応型セキュリティ アプライアンスとの対話、および透過的ユーザ ID 用の Novell eDirectory サーバとの統合に関する情報が含まれます。

対応

対応

アップデータ ログ

WBRS およびその他の更新の履歴を記録します。

対応

対応

W3C ログ

W3C 準拠の形式で Web プロキシ クライアント履歴を記録します。

詳細については、W3C 準拠のアクセス ログ ファイルを参照してください。

対応

非対応

WBNP ログ

(SensorBase ネットワーク参加)

SensorBase ネットワークへの Cisco SensorBase ネットワーク参加のアップロード履歴を記録します。

非対応

対応

WBRS フレームワーク ログ

(Web レピュテーション スコア)

Web プロキシと Web レピュテーション フィルタ間の通信に関連するメッセージを記録します。

非対応

非対応

WCCP モジュール ログ

WCCP の実装に関連する Web プロキシ メッセージを記録します。

非対応

非対応

Webcat 統合フレームワーク ログ

Web プロキシと Cisco Web 利用の制御に関連付けられた URL フィルタリング エンジン間の通信に関連するメッセージを記録します。

非対応

非対応

Webroot 統合フレームワーク ログ

Web プロキシと Webroot スキャン エンジン間の通信に関連するメッセージを記録します。

非対応

非対応

Webroot ログ

Webroot スキャン エンジンからアンチマルウェア スキャン アクティビティのステータスを記録します。

対応

対応

ウェルカム ページ確認ログ

エンド ユーザの確認ページで [同意する(Accept)] ボタンをクリックする Web クライアントの履歴を記録します。

対応

対応

ログ サブスクリプションの追加および編集

ログ ファイルのタイプごとに複数のログ サブスクリプションを作成できます。サブスクリプションには、以下のようなアーカイブおよびストレージに関する設定の詳細が含まれています。

  • ロールオーバー設定。ログ ファイルをアーカイブするタイミングを決定します。

  • アーカイブ ログの圧縮設定。

  • アーカイブ ログの取得の設定。ログをリモート サーバに保存するか、アプライアンスに保存するかを指定します。

手順

ステップ 1

[システム管理(System Administration)] > [ログ サブスクリプション(Log Subscriptions)] を選択します。

ステップ 2

ログ サブスクリプションを追加するには、[ログ設定を追加(Add Log Subscription)] をクリックします。あるいは、ログ サブスクリプションを編集するには、[ログ名(Log Name)] フィールドのログ ファイルの名前をクリックします。

ステップ 3

サブスクリプションを設定します。

オプション

説明

ログ タイプ(Log Type)

ユーザが登録できる使用可能なログ ファイル タイプのリスト。このページの他のオプションは、選択したログ ファイル タイプによって異なります。

(注)  

 
[リクエスト デバッグ ログ(Request Debug Logs)] タイプは CLI を使用してのみ登録でき、このリストには表示されません。

ログ名(Log Name)

Secure Web Applianceでサブスクリプションの参照に使用される名前。この名前は、サブスクリプションのログ ファイルを保存するログ ディレクトリにも使用されます。ASCII 文字([0-9]、[A-Z]、[a-z]、および _)のみを入力します。

ファイルサイズ別ロールオーバー(Rollover by File Size)

ログ ファイルの最大ファイル サイズ。このサイズを超えるとそのファイルがアーカイブされ、新しいログ ファイルが作成されます。100 キロバイトから 10 ギガバイトまでの数値を入力してください。

時刻によりロールオーバー(Rollover by Time)

ログ ファイルの最大記録時間。この時間を超えるとそのファイルがアーカイブされ、新しいファイルが作成されます。設定可能なオプションは、以下のとおりです。

  • [なし(None)]。AsyncOS は、ログ ファイルが最大ファイル サイズに達した場合にのみロールオーバーを実行します。

  • [カスタム時間間隔(Custom Time Interval)]。AsyncOS は、以前のロールオーバーから指定された時間が経過した後にロールオーバーを実行します。末尾に d、h、m、s を追加して、ロールオーバー間の日数、時間、分、秒を指定します。

  • [日次ロールオーバー(Daily Rollover)]。AsyncOS は、毎日指定された時刻にロールオーバーを実行します。1 日に複数の時刻を設定するには、カンマを使用して区切ります。1 時間ごとにロールオーバーを実行するように指定するには、時間にアスタリスク(*)を使用します。また、1 分ごとにロールオーバーするためにアスタリスクを使用することもできます。

  • [週次ロールオーバー(Weekly Rollover)]。AsyncOS は、1 つ以上の曜日の指定された時刻にロールオーバーを実行します。

ログ スタイル(Log Style)

(アクセス ログ)

使用するログ形式([Squid]、[Apache]、または [Squid の詳細(Squid Details)] のいずれか)を選択します。

カスタム フィールド(Custom Fields)

(アクセス ログ)

各アクセス ログ エントリにカスタム情報を含めることができます。

[カスタム フィールド(Custom Fields)] にフォーマット指定子を入力する構文は以下のとおりです。

<format_specifier_1> <format_specifier_2> ...

例:%a %b %E

フォーマット指定子の前にトークンを追加して、アクセス ログ ファイルの説明テキストを表示できます。次に例を示します。

client_IP %a body_bytes %b error_type %E

この場合、client_IP はログ フォーマット指定子 %aの説明トークンです(以下同様)。

ファイル名(File Name)

ログ ファイルの名前。最新のログ ファイルには拡張子 .c が付き、ロール オーバー済みのログには、ファイル作成時のタイムスタンプと拡張子 .s が付きます。

ログ フィールド(Log Fields)

(W3C アクセス ログ)

W3C アクセス ログに含めるフィールドを選択できます。

[使用可能フィールド(Available Fields)] リストでフィールドを選択するか、[カスタム フィールド(Custom Field)] ボックスにフィールドを入力し、[追加(Add)] をクリックします。

[選択されたログ フィールド(Selected Log Fields)] リストに表示されるフィールドの順序によって、W3C アクセス ログ ファイルのフィールドの順序が決まります。[上へ移動(Move Up)] または [下へ移動(Move Down)] ボタンを使用してフィールドの順序を変更できます。[選択されたログ フィールド(Selected Log Fields)] リストでフィールドを選択し、[削除(Remove)] をクリックして、それを削除できます

[カスタム フィールド(Custom Field)] ボックスに複数のユーザ定義フィールドを入力し、それらを同時に入力できます。ただし、[追加(Add)] をクリックする前に、各エントリが改行(Enter キーを押します)で区切られている必要があります。

W3C ログ サブスクリプションに含まれるログ フィールドを変更すると、ログ サブスクリプションは自動的にロール オーバーします。これにより、ログ ファイルの最新バージョンに適切な新しいフィールド ヘッダーを含めることができます。

W3C ログでは、ログ フィールド c-ipcs-username、または cs-auth-group を必要に応じて匿名化できます。c-ipcs-username、および cs-auth-group フィールドを匿名化するには、[匿名化(Anonymization)] チェックボックスをオンにします。チェックボックスをオンにすると、フィールド名は、それぞれ c-a-ipcs-a-username、および cs-a-auth-group に変更されます。

(注)  

 
ログ ファイルのプッシュ先である外部サーバが匿名化機能の処理に対応していない場合、匿名化を有効にしないでください。

ログの作成後、必要に応じて匿名化したフィールドを非匿名化することができます。W3C ログ フィールドの非匿名化を参照してください

匿名化のためのパスフレーズ(Passphrase for Anonymization)

(W3C アクセス ログ)

フィールドの値を暗号化するためのパスフレーズを作成することができます。このエリアは、ログ フィールド c-ipcs-username、または cs-auth-group を匿名化することを選択している場合のみ有効化されます。

(注)  

 
システムは、匿名化のためのパスフレーズの設定中に、パスフレーズのルールを適用します。

パスフレーズを自動的に生成するには、[パスフレーズの自動生成(Auto Generate Passphrase)] の横のチェックボックスをオンにし、[生成する(Generate)] をクリックします。

(注)  

 
複数のアプライアンスがある場合は、すべてのアプライアンスに同じパスフレーズを設定する必要があります。

ログの圧縮(Log Compression)

ロール オーバー ファイルを圧縮するかどうかを指定します。AsyncOS は gzip 圧縮形式を使用してログ ファイルを圧縮します。

ログ除外(Log Exclusions)(任意)

(アクセス ログ)

HTTP ステータス コード(4xx または 5xx のみ)を指定して、関連するトランザクションをアクセス ログまたは W3C アクセス ログから除外します。

たとえば、401 を入力すると、そのトランザクション番号を持つ、認証に失敗した要求が除外されます。

ログ レベル(Log Level)

ログ エントリの詳細のレベルを設定します。次から選択します。

  • [クリティカル(Critical)]。エラーだけが記録されます。これは、最小限の設定であり、syslog レベルの [アラート(Alert)] と同等です。

  • [警告(Warning)]。エラーと警告が記録されます。このログ レベルは、syslog レベルの [警告(Warning)] と同等です。

  • [情報(Information)]。エラー、警告、および他のシステム操作が記録されます。これはデフォルトの詳細レベルであり、syslog レベルの [情報(Information)] と同等です。

  • [デバッグ(Debug)]。システム問題のデバッグに役立つデータが記録されます。エラーの原因を調べるときは、Debug ログ レベルを使用します。この設定は一時的に使用し、後でデフォルト レベルに戻します。このログ レベルは、syslog レベルの [デバッグ(Debug)] と同等です。

  • [トレース(Trace)]。これは、詳細レベルの最も高い設定です。このレベルには、システム操作とアクティビティの完全な記録が含まれます。Trace ログ レベルは、開発者にのみ推奨されます。このレベルを使用すると、システムのパフォーマンスが大きく低下するので、推奨されません。このログ レベルは、syslog レベルの [デバッグ(Debug)] と同等です。

(注)  

 
詳細レベルの設定を高くするほど、作成されるログ ファイルが大きくなり、システム パフォーマンスに大きな影響を及ぼします。

取得方法(Retrieval Method)

ロール オーバー ログ ファイルを保存する場所と、閲覧用に取得する方法を指定します。 利用可能な方法の説明については、下記を参照してください。

取得方法:

アプライアンス上の FTP(FTP on Appliance)

[アプライアンス上の FTP(FTP on Appliance)] 方式(FTP ポーリングと同等)では、ログ ファイルを取得するために、管理者ユーザまたはオペレータ ユーザのユーザ名とパスフレーズを使用して、リモート FTP クライアントからアプライアンスにアクセスする必要があります。

この方法を選択した場合、アプライアンスに保存するログ ファイルの最大数を入力する必要があります。最大数に達すると、最も古いファイルが削除されます。

これは、デフォルトの取得方法です。

取得方法:

リモート サーバでの FTP(FTP on Remote Server)

[リモート サーバでの FTP(FTP on Remote Server)] 方式(FTP プッシュと同等)では、リモート コンピュータ上の FTP サーバに定期的にログ ファイルをプッシュします。

この方法を選択した場合、以下の情報を入力する必要があります。

  • FTP サーバのホスト名

  • ログ ファイルを保存する FTP サーバのディレクトリ

  • FTP サーバに接続する権限を持つユーザのユーザ名とパスフレーズ

(注)  

 
AsyncOS for Web は、リモート FTP サーバのパッシブ モードのみをサポートします。アクティブ モードの FTP サーバにログ ファイルをプッシュできません。

取得方法:

リモート サーバでの SCP(SCP on Remote Server)

[リモート サーバでの SCP(SCP on Remote Server)] 方式(SCP プッシュと同等)では、セキュア コピー プロトコルを使用して、リモート SCP サーバに定期的にログ ファイルをプッシュします。この方法には、SSH2 プロトコルを使用するリモート コンピュータ上の SSH SCP サーバが必要です。サブスクリプションには、ユーザ名、SSH キー、およびリモート コンピュータ上の宛先ディレクトリが必要です。ログ ファイルは、ユーザが設定したロールオーバー スケジュールに基づいて転送されます。

この方法を選択した場合、以下の情報を入力する必要があります。

  • SCP サーバのホスト名

  • ログ ファイルを保存する SCP サーバのディレクトリ

  • SCP サーバに接続する権限を持つユーザのユーザ名

(注)  

 

現在は、非 FIPS モードの SSH-RSA と SSH-DSS、および FIPS モードの SSH-RSA のみがサポートされています。

取得方法:

Syslog 送信(Syslog Push)

テキスト ベースのログの syslog のみを選択できます。

[Syslog 送信(Syslog Push)] 方式では、ポート 514 でリモート Syslog サーバにログ メッセージを送信します。この方法は、RFC 3164 に準拠しています。

この方法を選択した場合、以下の情報を入力する必要があります。

  • Syslog サーバのホスト名

  • 転送に使用するプロトコル(UDP または TCP)

  • 最大メッセージ サイズ(Maximum message size)

    UDP で有効な値は 1024 ~ 9216 です。

    TCP で有効な値は 1024 ~ 65535 です。

    最大メッセージ サイズは syslog サーバの設定に応じて異なります。

  • ログで使用するファシリティ

ステップ 4

変更を送信し、保存します。

次のタスク

取得方法として SCP を選択した場合は、アプライアンスによって SSH キーが表示されます。このキーを SCP サーバ ホストに追加します。別のサーバへのログ ファイルのプッシュ を参照してください。

関連項目

W3C ログ フィールドの非匿名化

ログ サブスクリプションの際にフィールド値(c-ip、cs-username、および cs-auth-group)の匿名化機能をイネーブルにしていた場合、送信先のログ サーバは、これらのログ フィールドについて、実際の値ではなく匿名化された値(c-a-ipcs-a-username、および cs-a-auth-group)を受信します。実際の値を表示したい場合は、ログ フィールドを非匿名化する必要があります。

W3C ログのサブスクリプションを追加する際に匿名化されたログ フィールド値 c-a-ipcs-a-username、および cs-a-auth-group は、非匿名化できます。

手順

ステップ 1

[システム管理(System Administration)] > [ログ サブスクリプション(Log Subscriptions)] を選択します。

ステップ 2

匿名化されたフィールドを非匿名化したいログの [非匿名化(Deanonymization)] 列で、[非匿名化(Deanonymization)] をクリックします。

ステップ 3

[方法(Method)] エリアで、暗号化されたテキストを非匿名化のために入力する方法として、次のいずれかを選択します。

  • 暗号化されたテキストを貼り付ける:[匿名化されたテキスト(Anonymized Text)] フィールドに暗号化されたテキストのみを貼り付けます。このフィールドには、最大 500 エントリを入力できます。複数のエントリはカンマで区切る必要があります。

  • ファイルをアップロードする:暗号化されたテキストを含むファイルを選択します。ファイルには、最大 1000 エントリを含めることができます。ファイル形式は、CSV にする必要があります。システムは、フィールド区切り文字として、スペース、改行、タブ、およびセミコロンをサポートしています。

(注)  

 

パスフレーズを変更した場合、それ以前のデータを非匿名化するには、以前のパスフレーズを入力する必要があります。

ステップ 4

[非匿名化(Deanonymization)] をクリックすると、非匿名化されたログ フィールド値が [非匿名化結果(Deanonymization Result)] テーブルに表示されます。

別のサーバへのログ ファイルのプッシュ

始める前に

必要なログ サブスクリプションを作成または編集し、取得方法として SCP を選択します。 ログ サブスクリプションの追加および編集

手順

ステップ 1

リモート システムにキーを追加します。

  1. CLI にアクセスします。

  2. logconfig -> hostkeyconfig コマンドを入力します。

  3. 以下のコマンドを使用してキーを表示します。

    コマンド

    説明

    ホスト(Host)

    システム ホスト キーを表示します。これは、リモート システムの「known_hosts」ファイルに記入される値です。

    ユーザ

    リモート マシンにログをプッシュするシステム アカウントの公開キーを表示します。これは、SCP プッシュ サブスクリプションを設定するときに表示されるキーと同じです。これは、リモート システムの「authorized_keys」ファイルに記入される値です。

  4. これらのキーをリモート システムに追加します。

ステップ 2

CLI で、リモート サーバの SSH 公開ホスト キーをアプライアンスに追加します。

コマンド

説明

新規作成(New)

新しいキーを追加します。

フィンガープリント(Fingerprint)

システム ホスト キーのフィンガープリントを表示します。

ステップ 3

変更を保存します。

Archiving Log Files

AsyncOS archives (rolls over) log subscriptions when a current log file reaches a user-specified limit of maximum file size or maximum time since last rollover.

These archive settings are included in log subscriptions:

  • Rollover by File Size
  • Rollover by Time
  • Log Compression
  • Retrieval Method

You can also manually archive (rollover) log files.

Procedure

Step 1

Choose System Administration > Log Subscriptions.

Step 2

Check the checkbox in the Rollover column of the log subscriptions you wish to archive, or check the All checkbox to select all the subscriptions.

Step 3

Click Rollover Now to archive the selected logs.

What to do next

Related Topics

ログのファイル名とアプライアンスのディレクトリ構造

アプライアンスは、ログ サブスクリプション名に基づいてログ サブスクリプションごとにディレクトリを作成します。ディレクトリ内のログ ファイル名は、以下の情報で構成されます。

  • ログ サブスクリプションで指定されたログ ファイル名
  • ログ ファイルが開始された時点のタイムスタンプ
  • .c(「current(現在)」を表す)、または .s(「saved(保存済み)」を表す)のいずれかを示す単一文字ステータス コード

ログのファイル名は、以下の形式で作成されます。

/LogSubscriptionName/LogFilename.@timestamp.statuscode


(注)  
保存済みのステータスのログ ファイルのみを転送する必要があります。

ログ ファイルの閲覧と解釈

Secure Web Applianceをモニタしてトラブルシューティングする手段として、現在のログ ファイルのアクティビティを確認できます。これを行うには、アプライアンスのインターフェイスを使用します。

また、過去のアクティビティの記録についてアーカイブ ファイルを閲覧することもできます。アーカイブ ファイルがアプライアンスに保存されている場合は、アプライアンスのインターフェイスから閲覧できます。それ以外の場合は、適切な方法で外部ストレージの場所から読み取る必要があります。

ログ ファイルの各情報項目は、フィールド変数によって示されます。どのフィールドがどの情報項目を表しているのかを判別することにより、フィールドの機能を調べて、ログ ファイルの内容を解釈できます。W3C 準拠のアクセス ログの場合は、ファイル ヘッダーに、ログに表示される順でフィールド名がリストされます。しかし、標準のアクセス ログの場合は、このログ タイプに関するドキュメントを参照して、フィールドの順序について調べる必要があります。

関連項目

Viewing Log Files

Before you begin

Be aware that this method of viewing is for log files that are stored on the appliance. The process of viewing files stored externally goes beyond the scope of this documentation.

Procedure

Step 1

Choose System Administration > Log Subscriptions.

Step 2

Click the name of the log subscription in the Log Files column of the list of log subscriptions.

Step 3

When prompted, enter the administers username and passphrase for accessing the appliance.

Step 4

When logged in, click one of the log files to view it in your browser or to save it to disk.

Step 5

Refresh the browser for updated results.

Note

 

If a log subscription is compressed, download, decompress, and then open it.

What to do next

Related Topics

Web Proxy Information in Access Log Files

Access log files provides a descriptive record of all Web Proxy filtering and scanning activity. Access log file entries display a record of how the appliance handled each transaction.

Access logs are available in two formats: Standard and W3C compliant. W3C-compliant log files are more customizable with regard to their content and layout than standard Access logs.

The following text is an example access log file entry for a single transaction: 

1278096903.150 97 172.xx.xx.xx TCP_MISS/200 8187 GET http://my.site.com/ - 
DIRECT/my.site.com text/plain DEFAULT_CASE_11-PolicyGroupName-Identity-
OutboundMalwareScanningPolicy-DataSecurityPolicy-ExternalDLPPolicy-RoutingPolicy-NONE
<IW_comp,6.9,-,"-",-,-,-,-,"-",-,-,-,"-",-,-,"-",""-",-,-,IW_comp,-,"-","-",
"Unknown","Unknown","-","-",198.34,0,-,[Local],"-",37,"W32.CiscoTestVector",33,0,
"WSA-INFECTED-FILE.pdf","fd5ef49d4213e05f448f11ed9c98253d85829614fba368a421d14e64c426da5e”> -

Format Specifier

Field Value

Field Description

%t

1278096903.150

Timestamp since UNIX epoch.

%e

97

Elapsed time (latency) in milliseconds.

%a

172.xx.xx.xx

Client IP address.

Note: You can choose to mask the IP address in the access logs using the advancedproxyconfig > authentication CLI command.

%w

TCP_MISS

Transaction result code.

For more information, see W3C 準拠のアクセス ログ ファイル.

%h

200

HTTP response code.

%s

8187

Response size (headers + body).

%1r

%2r

GET http://my.site.com/

First line of the request.

Note: When the first line of the request is for a native FTP transaction, some special characters in the file name are URL encoded in the access logs. For example, the “@” symbol is written as “%40” in the access logs.

The following characters are URL encoded:

& # % + , : ; = @ ^ { } [ ]

%A

Authenticated username.

Note: You can choose to mask the username in the access logs using the advancedproxyconfig > authentication CLI command.

%H

DIRECT

Code that describes which server was contacted for the retrieving the request content.

Most common values include:

  • NONE. The Web Proxy had the content, so it did not contact any other server to retrieve the content.

  • DIRECT. The Web Proxy went to the server named in the request to get the content.

  • DEFAULT_PARENT. The Web Proxy went to its primary parent proxy or an external DLP server to get the content.

%d

my.site.com

Data source or server IP address.

%c

text/plain

Response body MIME type.

%D

DEFAULT_CASE_11

ACL decision tag.

Note: The end of the ACL decision tag includes a dynamically generated number that the Web Proxy uses internally. You can ignore this number.

For more information, see ACL デシジョン タグ.

N/A (Part of the ACL decision tag)

PolicyGroupName

Name of policy group responsible for the final decision on this transaction (Access Policy, Decryption Policy, or Data Security Policy). When the transaction matches a global policy, this value is “DefaultGroup.”

Any space in the policy group name is replaced with an underscore ( _ ).

N/A (Part of the ACL decision tag)

Identity

Identity policy group name.

Any space in the policy group name is replaced with an underscore ( _ ).

N/A (Part of the ACL decision tag)

OutboundMalwareScanningPolicy

Outbound Malware Scanning Policy group name.

Any space in the policy group name is replaced with an underscore ( _ ).

N/A (Part of the ACL decision tag)

DataSecurityPolicy

Cisco Data Security Policy group name. When the transaction matches the global Cisco Data Security Policy, this value is “DefaultGroup.” This policy group name only appears when Cisco Data Security Filters is enabled. “NONE” appears when no Data Security Policy was applied.

Any space in the policy group name is replaced with an underscore ( _ ).

N/A (Part of the ACL decision tag)

ExternalDLPPolicy

External DLP Policy group name. When the transaction matches the global External DLP Policy, this value is “DefaultGroup.” “NONE” appears when no External DLP Policy was applied.

Any space in the policy group name is replaced with an underscore ( _ ).

N/A (Part of the ACL decision tag)

RoutingPolicy

Routing Policy group name as ProxyGroupName/ProxyServerName .

When the transaction matches the global Routing Policy, this value is “DefaultRouting.” When no upstream proxy server is used, this value is “DIRECT.”

Any space in the policy group name is replaced with an underscore ( _ ).

%Xr 

<IW_comp,6.9,-,"-",-,-,-,-,"-",-,-,-,
"-",-,-,""-","-",-,-,IW_comp,
-,"-","-", "Unknown","Unknown","-","-",
198.34,0,-,[Local],"-",37,
"W32.CiscoTestVector",33,0, 
"WSA-INFECTED-FILE.pdf",
"fd5ef49d4213e05f448f11ed
9c98253d85829614fba368a4
21d14e64c426da5e”>

Scanning verdict information. Inside the angled brackets, the access logs include verdict information from various scanning engines.

Note

 

In AsyncOS version 11.8 and later, the URL category identifier appears in double quotes. For example, “IW_comp”.

For more information about the values included within the angled brackets, see Interpreting Access Log Scanning Verdict Entries and マルウェア スキャンの判定値.

%?BLOCK_SUSPECT_ USER_AGENT, MONITOR_SUSPECT_ USER_AGENT?% < User-Agent:%!%-%

Suspect user agent.

トランザクション結果コード

アクセス ログ ファイルのトランザクション結果コードは、アプライアンスがクライアント要求を解決する方法を示します。たとえば、オブジェクトの要求がキャッシュから解決可能な場合、結果コードは TCP_HIT です。ただし、オブジェクトがキャッシュに存在せず、アプライアンスが元のサーバからオブジェクトをプルする場合、結果コードは TCP_MISS です。以下の表に、トランザクション結果コードを示します。

結果コード

説明 


TCP_HIT

要求されたオブジェクトがディスク キャッシュから取得されました。 


TCP_IMS_HIT

クライアントがオブジェクトの IMS(If-Modified-Since)要求を送信し、オブジェクトがキャッシュ内で見つかりました。プロキシは 304 応答を返します。 


TCP_MEM_HIT

要求されたオブジェクトがメモリ キャッシュから取得されました。 


TCP_MISS

オブジェクトがキャッシュ内で見つからなかったため、元のサーバから取得されました。 


TCP_REFRESH_HIT

オブジェクトはキャッシュ内にありましたが、期限切れでした。プロキシが元のサーバに IMS(If-Modified-Since)要求を送信し、サーバはオブジェクトが変更されていないことを確認しました。そのため、アプライアンスはディスクまたはメモリ キャッシュのいずれかからオブジェクトを取得しました。 


TCP_CLIENT_REFRESH_MISS

クライアントが「Pragma: no-cache」ヘッダーを発行して、「don't fetch response from cache」要求を送信しました。クライアントから送信されたこのヘッダーにより、アプライアンスは元のサーバからオブジェクトを取得しました。 


TCP_DENIED

クライアント要求がアクセス ポリシーによって拒否されました。 


UDP_MISS

オブジェクトは発信サーバから取得されました。 


NONE

トランザクションでエラーが発生しました。DNS 障害やゲートウェイのタイムアウトなど。

ACL デシジョン タグ

ACL デシジョン タグは、Web プロキシがトランザクションを処理した方法を示すアクセス ログ エントリのフィールドです。Web レピュテーション フィルタ、URL カテゴリ、およびスキャン エンジンの情報が含まれます。


(注)  
ACL デシジョン タグの末尾に、Web プロキシがパフォーマンスを高めるために内部的に使用する動的に生成された数値が含まれます。この数値は無視できます。

以下の表は、ACL デシジョン タグの値を示しています。

ACL デシジョン タグ

説明

 
ALLOW_ADMIN_ERROR_PAGE

Web プロキシが、通知ページとそのページで使用される任意のロゴへのトランザクションを許可しました。 

ALLOW_CUSTOMCAT

Web プロキシが、アクセス ポリシー グループのカスタム URL カテゴリ フィルタリング設定に基づいてトランザクションを許可しました。 

ALLOW_REFERER

Web プロキシが、埋め込み/参照コンテンツの免除に基づいてトランザクションを許可しました。 

ALLOW_WBRS

Web プロキシが、アクセス ポリシー グループの Web レピュテーション フィルタ設定に基づいてトランザクションを許可しました。 

AMP_FILE_VERDICT

ファイルに対する Cisco Secure Endpoint レピュテーションサーバーからの判定を表す値です。

  • 1:不明

  • 2:正常

  • 3:悪意がある

  • 4:スキャン不可

ARCHIVESCAN_ALLCLEAR

ARCHIVESCAN_BLOCKEDFILETYPE

ARCHIVESCAN_NESTEDTOODEEP

ARCHIVESCAN_UNKNOWNFMT

ARCHIVESCAN_UNSCANABLE

ARCHIVESCAN_FILETOOBIG

アーカイブ スキャンの判定

ARCHIVESCAN_ALLCLEAR:検査したアーカイブ内にブロックされたファイル タイプはありません。

ARCHIVESCAN_BLOCKEDFILETYPE:検査したアーカイブ内にブロックされたファイル タイプがふくまれています。ログ エントリ([Verdict Detail])の次のフィールドに、ブロックされたファイルのタイプ、ブロックされたファイルの名前などの詳細が示されています。

ARCHIVESCAN_NESTEDTOODEEP:アーカイブに設定された最大値を超える数の「カプセル化」されたアーカイブまたはネストされたアーカイブが含まれているため、アーカイブはブロックされます。[Verdict Detail] フィールドに「UnScanable Archive-Blocked」が含まれています。

ARCHIVESCAN_UNKNOWNFMT – アーカイブに不明な形式のファイル タイプが含まれているため、アーカイブはブロックされます。[Verdict Detail] フィールドの値は「UnScanable Archive-Blocked」です。

ARCHIVESCAN_UNSCANABLE:アーカイブにスキャンできないファイルが含まれているため、アーカイブはブロックされます。[Verdict Detail] フィールドの値は「UnScanable Archive-Blocked」です。

ARCHIVESCAN_FILETOOBIG:アーカイブのサイズが設定された最大値を超えているため、アーカイブはブロックされます。[Verdict Detail] フィールドの値は「UnScanable Archive-Blocked」です。

アーカイブ スキャン判定の詳細

ログ エントリの [Verdict] フィールドの次のフィールドには、ブロックされたファイルのタイプやブロックされたファイルの名前、ブロックされたファイル タイプがアーカイブに含まれていないことを示す「UnScanable Archive-Blocked」や「-」など、判定に関する追加情報が示されています。

たとえば、検査可能なアーカイブ ファイルが「アクセス ポリシー:カスタム オブジェクト ブロック」の設定に基づいてブロックされている場合(ARCHIVESCAN_BLOCKEDFILETYPE)、[Verdict Detail] エントリにはブロックされたファイルのタイプ、およびブロックされたファイルの名前が含まれています。

アーカイブ検査の詳細については、アクセス ポリシー:オブジェクトのブロッキングおよびArchive Inspection Settingsを参照してください。

BLOCK_ADC

アクセス ポリシー グループの設定されたアプリケーション設定に基づいてトランザクションがブロックされました。

 

BLOCK_ADMIN

アクセス ポリシー グループのデフォルト設定に基づいてトランザクションがブロックされました。 


BLOCK_ADMIN_CONNECT

アクセス ポリシー グループの HTTP CONNECT ポート設定で定義された宛先の TCP ポートに基づいてトランザクションがブロックされました。 


BLOCK_ADMIN_CUSTOM_USER_AGENT

アクセス ポリシー グループの [ブロックするユーザエージェント(Block Custom User Agents)] 設定で定義されたユーザ エージェントに基づいてトランザクションがブロックされました。

BLOCK_ADMIN_TUNNELING

Web プロキシは、アクセス ポリシー グループの HTTP ポート上の非 HTTP トラフィックのトンネリングに基づいてトランザクションをブロックしました。

 

BLOCK_ADMIN_HTTPS_
NonLocalDestination

トランザクションがブロックされました。クライアントは、SSL ポートを明示的なプロキシとして使用して認証をバイパスしようとしました。これを防ぐために、SSL 接続が Secure Web Appliance 自体に向けられている場合、実際の Secure Web Appliance リダイレクトホスト名への要求だけが許可されます。 


BLOCK_ADMIN_IDS

データ セキュリティ ポリシー グループで定義された要求本文のコンテンツの MIME タイプに基づいてトランザクションがブロックされました。 


BLOCK_ADMIN_FILE_TYPE

アクセス ポリシー グループで定義されたファイル タイプに基づいてトランザクションがブロックされました。 


BLOCK_ADMIN_PROTOCOL

アクセス ポリシー グループの [ブロックするプロトコル(Block Protocols)] 設定で定義されたプロトコルに基づいてトランザクションがブロックされました。 


BLOCK_ADMIN_SIZE

アクセス ポリシー グループの [オブジェクト サイズ(Object Size)] 設定で定義された応答のサイズに基づいてトランザクションがブロックされました。 


BLOCK_ADMIN_SIZE_IDS

データ セキュリティ ポリシー グループで定義された要求本文のコンテンツのサイズに基づいてトランザクションがブロックされました。 


BLOCK_AMP_RESP

Web プロキシが、アクセスポリシーグループの Secure Endpoint 設定に基づいて応答をブロックしました。 


BLOCK_AMW_REQ

Web プロキシが、発信マルウェア スキャン ポリシー グループの Anti-Malware 設定に基づいて要求をブロックしました。要求の本文はポジティブなマルウェアの判定を生成しました。 


BLOCK_AMW_RESP

Web プロキシが、アクセス ポリシー グループの Anti-Malware 設定に基づいて応答をブロックしました。 


BLOCK_AMW_REQ_URL

Web プロキシが HTTP 要求の URL が安全ではないと疑い、アクセス ポリシー グループの Anti-Malware 設定に基づいて要求時にトランザクションをブロックしました。 


BLOCK_AVC

アクセス ポリシー グループの設定されたアプリケーション設定に基づいてトランザクションがブロックされました。 


BLOCK_CONTENT_UNSAFE

アクセス ポリシー グループのサイト コンテンツ レーティング設定に基づいてトランザクションがブロックされました。クライアント要求はアダルト コンテンツに対するものであり、ポリシーはアダルト コンテンツをブロックするように設定されています。 


BLOCK_CONTINUE_CONTENT_
UNSAFE

アクセス ポリシー グループのサイト コンテンツ レーティング設定に基づいてトランザクションがブロックされ、[警告して継続(Warn and Continue)] ページが表示されました。クライアント要求はアダルト コンテンツに対するものであり、ポリシーはアダルト コンテンツにアクセスするユーザに警告を表示するように設定されています。 


BLOCK_CONTINUE_CUSTOMCAT

[警告(Warn)] に設定されているアクセス ポリシー グループのカスタム URL カテゴリに基づいてトランザクションがブロックされ、[警告して継続(Warn and Continue)] ページが表示されました。 


BLOCK_CONTINUE_WEBCAT

[警告(Warn)] に設定されているアクセス ポリシー グループの定義済み URL カテゴリに基づいてトランザクションがブロックされ、[警告して継続(Warn and Continue)] ページが表示されました。 


BLOCK_CUSTOMCAT

アクセス ポリシー グループのカスタム URL カテゴリ フィルタリング設定に基づいてトランザクションがブロックされました。 


BLOCK_ICAP

Web プロキシが、外部 DLP ポリシー グループで定義された外部 DLP システムの判定に基づいて要求をブロックしました。 


BLOCK_SEARCH_UNSAFE

クライアント要求には危険な検索クエリーが含まれており、アクセス ポリシーは安全検索を実行するように設定されているので、元のクライアント要求がブロックされました。 


BLOCK_SUSPECT_USER_AGENT

アクセス ポリシー グループの [疑わしいユーザエージェント(Suspect User Agent)] 設定に基づいてトランザクションがブロックされました。 


BLOCK_UNSUPPORTED_SEARCH_APP

アクセス ポリシー グループの安全検索設定に基づいてトランザクションがブロックされました。トランザクションはサポートされない検索エンジンに対するものであり、ポリシーはサポートされない検索エンジンをブロックするように設定されています。 


BLOCK_WBRS

アクセス ポリシー グループの Web レピュテーション フィルタ設定に基づいてトランザクションがブロックされました。 


BLOCK_WBRS_IDS

Web プロキシが、Data Security ポリシー グループの Web レピュテーション フィルタ設定に基づいてアップロード要求をブロックしました。 


BLOCK_WEBCAT

アクセス ポリシー グループの URL カテゴリ フィルタリング設定に基づいてトランザクションがブロックされました。 


BLOCK_WEBCAT_IDS

Web プロキシが、Data Security ポリシー グループの URL カテゴリ フィルタリング設定に基づいてアップロード要求をブロックしました。 

BLOCK_YTCAT

Web プロキシが、アクセスポリシーグループに事前設定された YouTube カテゴリのフィルタ処理設定に基づいてトランザクションをブロックしました。

 
BLOCK_CONTINUE_YTCAT

Web プロキシが、[警告(Warn)] に設定されているアクセスポリシーグループの定義済み YouTube カテゴリに基づいてトランザクションをブロックし、[警告して継続(Warn and Continue)] ページを表示しました。

 

DECRYPT_ADMIN

Web プロキシが、復号ポリシー グループのデフォルト設定に基づいてトランザクションを復号しました。 


DECRYPT_ADMIN_EXPIRED_CERT

サーバ証明書が失効していますが、Web プロキシがトランザクションを復号しました。 

DECRYPT_EUN_ADMIN_DEFAULT_ACTION

EUN が有効な場合の復号ポリシーグループのドロップ接続として、デフォルト設定に基づき、Web プロキシがトランザクションを復号しました。

 
DECRYPT_EUN_ADMIN_EXPIRED_CERT

HTTPS プロキシ設定が、EUN が有効になっている期限切れの証明書をドロップすると、Web プロキシがトランザクションを復号しました。

 
DECRYPT_EUN_ADMIN_INVALID_LEAF_CERT

HTTPS プロキシ設定が、EUN が有効になっている無効の証明書をドロップすると、Web プロキシがトランザクションを復号しました。
DECRYPT_EUN_ADMIN_MISMATCHED_HOSTNAME

HTTPS プロキシ設定が、EUN が有効になっている不一致のホスト名をドロップすると、Web プロキシがトランザクションを復号しました。

 
DECRYPT_EUN_ADMIN_OCSP_OTHER_ERROR

HTTPS プロキシ設定が、EUN が有効になっているその他のエラーをもつ OSCP をドロップすると、Web プロキシがトランザクションを復号しました。

 
DECRYPT_EUN_ADMIN_OCSP_REVOKED_CERT

HTTPS プロキシ設定が、EUN が有効になっている OSCP が失効した証明書をドロップすると、Web プロキシがトランザクションを復号しました。

 
DECRYPT_EUN_ADMIN_UNRECOGNIZED_ROOT_CERT

HTTPS プロキシ設定が、認識できないルート権限または EUN が有効になっている発行者の証明書をドロップすると、Web プロキシがトランザクションを復号しました。

 
DECRYPT_EUN_CUSTOMCAT

Web プロキシが、復号ポリシーグループの URL カテゴリフィルタリング設定に基づいてトランザクションを復号しました。EUN が有効になっている場合、トラフィックはドロップされます。

 
DECRYPT_EUN_WBRS

Web プロキシが、復号ポリシーグループの Web レピュテーションフィルタ設定に基づいてトランザクションを復号しました。EUN が有効になっている場合、トラフィックはドロップされます。

 
DECRYPT_EUN_WBRS_NO_SCORE

Web プロキシが、復号ポリシーグループのスコアなし URL の Web レピュテーションフィルタ設定に基づいてトランザクションを復号しました。EUN が有効になっている場合、トラフィックはドロップされます。

 
DECRYPT_EUN_WEBCAT

Web プロキシが、復号ポリシーグループの URL カテゴリフィルタリング設定に基づいてトランザクションを復号しました。EUN が有効になっている場合、トラフィックはドロップされます。

 

DECRYPT_WEBCAT

Web プロキシが、復号ポリシー グループの URL カテゴリ フィルタリング設定に基づいてトランザクションを復号しました。 


DECRYPT_WBRS

Web プロキシが、復号ポリシーグループの Web レピュテーションフィルタ設定に基づいてトランザクションを復号しました。 


DEFAULT_CASE

AsyncOS サービスが Web レピュテーションやアンチマルウェア スキャンなど、トランザクションで処理を行わなかったため、Web プロキシがクライアントにサーバへのアクセスを許可しました。 

DENY_ADMIN

Web プロキシがトランザクションを拒否しました。これは、HTTPS 要求に関して、認証が必要が場合に、HTTPS プロキシ設定で [認証のための復号(Decrypt for Authentication)] が無効になっていると発生します。

 

DROP_ADMIN

Web プロキシが、復号ポリシー グループのデフォルト設定に基づいてトランザクションをドロップました。 


DROP_ADMIN_EXPIRED_CERT

サーバ証明書が失効しているため、Web プロキシがトランザクションをドロップしました。 


DROP_WEBCAT

Web プロキシが、復号ポリシー グループの URL カテゴリ フィルタリング設定に基づいてトランザクションをドロップしました。 


DROP_WBRS

Web プロキシが、復号ポリシー グループの Web レピュテーション フィルタ設定に基づいてトランザクションをドロップしました。 

MONITOR_ADC

Web プロキシが、アクセス ポリシー グループのアプリケーション設定に基づいてトランザクションをモニタしました。 


MONITOR_ADMIN_EXPIRED_CERT

サーバ証明書が失効しているため、Web プロキシがサーバ応答をモニタしました。 


MONITOR_AMP_RESP

Web プロキシが、アクセスポリシーグループの Secure Endpoint 設定に基づいてサーバー応答をモニタしました。 


MONITOR_AMW_RESP

Web プロキシが、アクセス ポリシー グループの Anti-Malware 設定に基づいてサーバ応答をモニタしました。 


MONITOR_AMW_RESP_URL

Webプロキシが HTTP 要求の URL が安全ではないと疑っていますが、アクセス ポリシー グループの Anti-Malware 設定に基づいてトランザクションをモニタしました。 


MONITOR_AVC

Web プロキシが、アクセス ポリシー グループのアプリケーション設定に基づいてトランザクションをモニタしました。 


MONITOR_CONTINUE_CONTENT_
UNSAFE

任意で、Web プロキシが、アクセス ポリシー グループのサイト コンテンツ レーティング設定に基づいてトランザクションをブロックし、[警告して継続(Warn and Continue)] ページを表示しました。クライアント要求はアダルト コンテンツに対するものであり、ポリシーはアダルト コンテンツにアクセスするユーザに警告を表示するように設定されています。ユーザが警告を受け入れ、続けて最初に要求したサイトにアクセスし、その後他のスキャン エンジンは要求をブロックしませんでした。 


MONITOR_CONTINUE_CUSTOMCAT

当初、Web プロキシは、[警告(Warn)] に設定されているアクセス ポリシー グループのカスタム URL カテゴリに基づいて、トランザクションをブロックし、[警告して継続(Warn and Continue)] ページを表示しました。ユーザが警告を受け入れ、続けて最初に要求したサイトにアクセスし、その後他のスキャン エンジンは要求をブロックしませんでした。 


MONITOR_CONTINUE_WEBCAT

当初、Web プロキシは、[警告(Warn)] に設定されているアクセス ポリシー グループの定義済み URL カテゴリに基づいて、トランザクションをブロックし、[警告して継続(Warn and Continue)] ページを表示しました。ユーザが警告を受け入れ、続けて最初に要求したサイトにアクセスし、その後他のスキャン エンジンは要求をブロックしませんでした。 

MONITOR_CONTINUE_YTCAT

当初、Web プロキシが、[警告(Warn)] に設定されたアクセスポリシーグループの定義済み YouTube カテゴリに基づいてトランザクションをブロックし、[警告して継続(Warn and Continue)] ページを表示しました。ユーザが警告を受け入れ、続けて最初に要求したサイトにアクセスし、その後他のスキャンエンジンは要求をブロックしませんでした。

 

MONITOR_IDS

Web プロキシが、データ セキュリティ ポリシーまたは外部 DLP ポリシーのいずれかを使用してアップロード要求をスキャンしましたが、要求をブロックしませんでした。Web プロキシは、アクセス ポリシーに対して要求を評価しました。 


MONITOR_SUSPECT_USER_AGENT

Web プロキシが、アクセス ポリシー グループの Suspect User Agent 設定に基づいてトランザクションをモニタしました。 


MONITOR_WBRS

Web プロキシが、アクセス ポリシー グループの Web レピュテーション フィルタ設定に基づいてトランザクションをモニタしました。 


NO_AUTHORIZATION

ユーザが、ある認証レルムに対して認証済みであったが、アプリケーション認証ポリシーに設定されている認証レルムに対して未認証であったため、Web プロキシはアプリケーションへのユーザ アクセスを許可しませんでした。 


NO_PASSWORD

ユーザが認証に失敗しました。 


PASSTHRU_ADMIN

Web プロキシが、復号ポリシー グループのデフォルト設定に基づいてトランザクションをパススルーました。 


PASSTHRU_ADMIN_EXPIRED_CERT

サーバ証明書が失効していますが、Web プロキシがトランザクションをパススルーしました。 


PASSTHRU_WEBCAT

Web プロキシが、復号ポリシー グループの URL カテゴリ フィルタリング設定に基づいてトランザクションをパススルーしました。 


PASSTHRU_WBRS

Web プロキシが、復号ポリシー グループの Web レピュテーション フィルタ設定に基づいてトランザクションをパススルーしました。 


REDIRECT_CUSTOMCAT

Web プロキシが、[リダイレクト(Redirect)] に設定されているアクセス ポリシー グループのカスタム URL カテゴリに基づいて、トランザクションを別の URL にリダイレクトしました。 


SAAS_AUTH

ユーザが、アプリケーション認証ポリシーに設定されている認証レルムに対して透過的に認証されていたため、Web プロキシはそのユーザがアプリケーションにアクセスすることを許可しました。 


OTHER

認可の失敗、サーバの切断、クライアントによる中止などのエラーにより、Web プロキシが要求を完了できませんでした。

Interpreting Access Log Scanning Verdict Entries

The access log file entries aggregate and display the results of the various scanning engines, such as URL filtering, Web Reputation filtering, and anti-malware scanning. The appliance displays this information in angled brackets at the end of each access log entry.

The following text is the scanning verdict information from an access log file entry. In this example, the Webroot scanning engine found the malware: 

<IW_infr,ns,24,"Trojan-Phisher-Gamec",0,354385,12559,-,"-",-,-,-,"-",-,-,"-","-",
-,-,
IW_infr,-,"Trojan Phisher","-","-","Unknown","Unknown","-","-",489.73,0,

[Local],“-“,"-",37,"W32.CiscoTestVector",33,0,"WSA-INFECTED-FILE.pdf",

"fd5ef49d4213e05f448f11ed9c98253d85829614fba368a421d14e64c426da5e”,

ARCHIVESCAN_BLOCKEDFILETYPE,

EXT_ARCHIVESCAN_VERDICT,

EXT_ARCHIVESCAN_THREATDETAIL,

EXT_WTT_BEHAVIOR,
EXT_YTCAT, 
"BlockedFileType: application/x-rpm,
BlockedFile: allfiles/linuxpackage.rp">

Note
For an example of a whole access log file entry, see Web Proxy Information in Access Log Files.

Each element in this example corresponds to a log-file format specifier as shown in the following table:

Position

Field Value

Format Specifier

Description

1 


IW_infr

%XC

The custom URL category assigned to the transaction, abbreviated. This field shows “nc” when no category is assigned.

2 


ns

%XW

Web Reputation filters score. This field either shows the score as a number, “ns” for no score, or “dns” when there is a DNS lookup error.

3 


24

%Xv

The malware scanning verdict Webroot passed to the DVS engine. Applies to responses detected by Webroot only.

For more information, see マルウェア スキャンの判定値.

4 


“Trojan-Phisher-Gamec”

“%Xn”

Name of the spyware that is associated with the object. Applies to responses detected by Webroot only.

5 


0

%Xt

The Webroot specific value associated with the Threat Risk Ratio (TRR) value that determines the probability that malware exists. Applies to responses detected by Webroot only.

6 


354385

%Xs

A value that Webroot uses as a threat identifier. Cisco Customer Support may use this value when troubleshooting an issue. Applies to responses detected by Webroot only.

7 


12559

%Xi

A value that Webroot uses as a trace identifier. Cisco Customer Support may use this value when troubleshooting an issue. Applies to responses detected by Webroot only.

8 


-

%Xd

The malware scanning verdict McAfee passed to the DVS engine. Applies to responses detected by McAfee only.

For more information, see マルウェア スキャンの判定値.

9 


“-”

“%Xe”

The name of the file McAfee scanned. Applies to responses detected by McAfee only.

10 


-

%Xf

A value that McAfee uses as a scan error. Cisco Customer Support may use this value when troubleshooting an issue. Applies to responses detected by McAfee only.

11 


-

%Xg

A value that McAfee uses as a detection type. Cisco Customer Support may use this value when troubleshooting an issue. Applies to responses detected by McAfee only.

12 


-

%Xh

A value that McAfee uses as a virus type. Cisco Customer Support may use this value when troubleshooting an issue. Applies to responses detected by McAfee only.

13 


“-”

“%Xj”

The name of the virus that McAfee scanned. Applies to responses detected by McAfee only.

14 


-

%XY

The malware scanning verdict Sophos passed to the DVS engine. Applies to responses detected by Sophos only.

For more information, see マルウェア スキャンの判定値.

15 


-

%Xx

A value that Sophos uses as a scan return code. Cisco Customer Support may use this value when troubleshooting an issue. Applies to responses detected by Sophos only.

16 


“-”

“%Xy”

The name of the file in which Sophos found the objectionable content. Applies to responses detected by Sophos only.

17 


“-”

“%Xz”

A value that Sophos uses as the threat name. Cisco Customer Support may use this value when troubleshooting an issue. Applies to responses detected by Sophos only.

18 


-

%Xl

The Cisco Data Security scan verdict based on the action in the Content column of the Cisco Data Security Policy. The following list describes the possible values for this field:

  • 0. Allow

  • 1. Block

  • - (hyphen). No scanning was initiated by the Cisco Data Security Filters. This value appears when the Cisco Data Security Filters are disabled, or when the URL category action is set to Allow.

19 


-

%Xp

The External DLP scan verdict based on the result given in the ICAP response. The following list describes the possible values for this field:

  • 0. Allow

  • 1. Block

  • - (hyphen). No scanning was initiated by the external DLP server. This value appears when External DLP scanning is disabled, or when the content was not scanned due to an exempt URL category on the External DLP Policies > Destinations page.

20 


IW_infr

%XQ

The predefined URL category verdict determined during request-side scanning, abbreviated. This field lists a hyphen ( - ) when URL filtering is disabled.

Note

 

In AsyncOS version 11.8 and later, the URL category identifier appears in double quotes. For example, “IW_infr”.

For a list of URL category abbreviations, see URL カテゴリについて.

21 


-

%XA

The URL category verdict determined by the Dynamic Content Analysis engine during response-side scanning, abbreviated. Applies to the Cisco Web Usage Controls URL filtering engine only. Only applies when the Dynamic Content Analysis engine is enabled and when no category is assigned at request time (a value of “nc” is listed in the request-side scanning verdict).

For a list of URL category abbreviations, see URL カテゴリについて.

22 


“Trojan Phisher”

“%XZ”

Unified response-side anti-malware scanning verdict that provides the malware category independent of which scanning engines are enabled. Applies to transactions blocked or monitored due to server response scanning.

23 


“-”

“%Xk”

The Category Name or Threat Type is returned by the Web Reputation filters. The Category Name is returned when the Web Reputation is high and Threat Type returned when the reputation is low.

24 


“-”

%X#10#

The URL which is encapsulated inside Google translate engine. If there is no encapsulated URL, the field value will be “-”.

25

 

“Unknown”

"%XO"

The application name as returned by the AVC or ADC engine, if applicable. Only applies when the AVC or ADC engine is enabled.

26

 

“Unknown”

“%Xu”

The application type as returned by the AVC or ADC engine, if applicable. Only applies when the AVC or ADC engine is enabled.

27

 

“-” or "Unknown"

“%Xb”

The application behavior as returned by the AVC or ADC engine, if applicable. Only applies when the AVC or AVC engine is enabled.

It is "_" for AVC and "Unknown" for ADC.

28

 

“-”

“%XS”

Safe browsing scanning verdict. This value indicates whether either the safe search or the site content ratings feature was applied to the transaction.

For a list of the possible values, see アダルト コンテンツ アクセスのロギング.

29

 

489.73

%XB

The average bandwidth consumed serving the request, in Kb/sec.

30

 

0

%XT

A value that indicates whether the request was throttled due to bandwidth limit control settings, where “1” indicates the request was throttled, and “0” indicates it was not.

31

 

[Local]

%l

The type of user making the request, either “[Local]” or “[Remote].” Only applies when AnyConnect Secure Mobility is enabled. When it is not enabled, the value is a hyphen (-).

32

 

“-”

“%X3”

Unified request-side anti-malware scanning verdict independent of which scanning engines are enabled. Applies to transactions blocked or monitored due to client request scanning when an Outbound Malware Scanning Policy applies.

33

 

“-”

“%X4”

The threat name assigned to the client request that was blocked or monitored due to an applicable Outbound Malware Scanning Policy.

This threat name is independent of which anti-malware scanning engines are enabled.

34

 

37

%X#1#

Verdict from Secure Endpoint file scanning:

  • 0: File is not malicious

  • 1: File was not scanned because of its file type

  • 2: File scan timed out

  • 3: Scan error

  • Greater than 3: File is malicious

35

 

"W32.CiscoTestVector"

%X#2#

Threat name, as determined by Secure Endpoint file scanning; "-" indicates no threat.

36

 

33

%X#3#

Reputation score from Secure Endpoint file scanning. This score is used only if the cloud reputation service is unable to determine a clear verdict for the file.

For details, see information about the Threat Score and the reputation threshold in ファイル レピュテーション フィルタリングとファイル分析 .

.

37

 

0

%X#4#

Indicator of upload and analysis request:

“0” indicates that Secure Endpoint did not request upload of the file for analysis.

“1” indicates that Secure Endpoint did request upload of the file for analysis.

38

 

"WSA-INFECTED-FILE.pdf"

%X#5#

The name of the file being downloaded and analyzed.

39

 
"fd5ef49d4213e05f448
f11ed9c98253d85829614fba
368a421d14e64c426da5e"

%X#6#

The SHA-256 identifier for this file.

40

 

ARCHIVESCAN_BLOCKEDFILETYPE

%X#8#

Archive scan Verdict.

41

 
EXT_ARCHIVESCAN_VERDICT

%Xo

Archive scan Verdict Detail. If an Inspectable Archive file is blocked (ARCHIVESCAN_BLOCKEDFILETYPE) based on Access policy: Custom Objects Blocking settings, this Verdict Detail entry includes the type of file blocked, and the name of the blocked file.

42

 
EXT_ARCHIVESCAN_THREATDETAIL

%Xm

File verdict by Archive Scanner

43

 
EXT_WTT_BEHAVIOR

%XU

Web Tap Behavior.

44

 
EXT_YTCAT

%X#29#

The YouTube URL category assigned to the transaction, abbreviated. This field shows “nc” when no category is assigned.

Refer to ログ ファイルのフィールドとタグ for a description of each format specifier’s function.

Related Topics

W3C 準拠のアクセス ログ ファイル

Secure Web Applianceには、Web プロキシ トランザクション情報を記録する 2 つの異なるログ タイプ(アクセス ログと W3C 形式のアクセス ログ)が用意されています。W3C アクセス ログは World Wide Web コンソーシアム(W3C)準拠であり、W3C 拡張ログ ファイル(ELF)形式でトランザクション履歴を記録します。

W3C フィールド タイプ

W3C アクセス ログ サブスクリプションを定義する場合は、ACL デシジョン タグまたはクライアント IP アドレスなど、含めるログ フィールドを選択します。以下のいずれかのログ フィールドのタイプを含めることができます。

  • 定義済み。Web インターフェイスには、選択できるフィールドのリストが含まれています。
  • ユーザ定義。定義済みリストに含まれていないログ フィールドを入力できます。

W3C アクセス ログの解釈

W3C アクセス ログを解釈するときは、以下のルールとガイドラインを考慮してください。

  • 各 W3C アクセス ログ サブスクリプションに記録されるデータは、管理者が指定します。したがって、W3C アクセス ログには設定済みのフィールド形式がありません。

  • W3C ログは自己記述型です。ファイル形式(フィールドのリスト)は、各ログ ファイルの先頭のヘッダーで定義されます。

  • W3C アクセス ログのフィールドは空白で区切ります。

  • フィールドに特定のエントリのデータが含まれていない場合、ログ ファイルには代わりにハイフン(-)が表示されます。

  • W3C アクセス ログ ファイルの各行は、1 つのトランザクションに対応し、各行は改行シーケンスで終了します。

W3C ログ ファイルのヘッダー

各 W3C ログ ファイルには、ファイルの先頭にヘッダー テキストが含まれています。各行は、# 文字で始まり、ログ ファイルを作成した Secure Web Applianceに関する情報を提供します。W3C ログ ファイルのヘッダーには、ログ ファイルを自己記述型にするファイル形式(フィールドのリスト)が含まれています。

以下の表は、各 W3C ログ ファイルの先頭に配置されているヘッダー フィールドの説明です。

ヘッダー フィールド

説明

バージョン

使用される W3C の ELF 形式バージョン

日付(Date)

ヘッダー(およびログ ファイル)が作成された日時。

システム(System)

ログ ファイルを生成した Secure Web Appliance(「Management_IP - Management_hostname」形式)。

ソフトウェア(Software)

これらのログを生成したソフトウェア

フィールド(Fields)

ログに記録されたフィールド

W3C ログ ファイルの例:
 #Version: 1.0 
 #Date: 2009-06-15 13:55:20 
 #System: 10.1.1.1 - wsa.qa
 #Software: AsyncOS for Web 6.3.0 
	#Fields: timestamp x-elapsed-time c-ip
	x-resultcode-httpstatus sc-bytes cs-method cs-url cs-username
	x-hierarchy-origin cs-mime-type x-acltag x-result-code x-suspect-user-agent

W3C Field Prefixes

Most W3C log field names include a prefix that identifies from which header a value comes, such as the client or server. Log fields without a prefix reference values that are independent of the computers involved in the transaction. The following table describes the W3C log fields prefixes.

Prefix Header

Description

c

Client

s

Server

cs

Client to server

sc

Server to client

x

Application specific identifier.

For example, the W3C log field “cs-method” refers to the method in the request sent by the client to the server, and “c-ip” refers to the client’s IP address.

Related Topics

Customizing Access Logs

You can customize regular and W3C access logs to include many different fields to capture comprehensive information about web traffic within the network using predefined fields or user defined fields.

Related Topics

Access Log User Defined Fields

If the list of predefined Access log and W3C log fields does not include all header information you want to log from HTTP/HTTPS transactions, you can type a user-defined log field in the Custom Fields text box when you configure the access and W3C log subscriptions.

Custom log fields can be any data from any header sent from the client or the server. If a request or response does not include the header added to the log subscription, the log file includes a hyphen as the log field value.

The following table defines the syntax to use for access and W3C logs:

Header Type

Access Log Format Specifier Syntax

W3C Log Custom Field Syntax

Header from the client application

%<ClientHeaderName :

cs(ClientHeaderName )

Header from the server

%<ServerHeaderName :

sc(ServerHeaderName )

For example, if you want to log the If-Modified-Since header value in client requests, enter the following text in the Custom Fields box for a W3C log subscription:

cs(If-Modified-Since)

Related Topics

標準アクセス ログのカスタマイズ

手順

ステップ 1

[システム管理(System Administration)] > [ログ サブスクリプション(Log Subscriptions)] を選択します。

ステップ 2

アクセス ログ サブスクリプションを編集するには、アクセス ログ ファイル名をクリックします。

ステップ 3

[カスタム フィールド(Custom Fields)] に、必要なフォーマット指定子を入力します。

[カスタム フィールド(Custom Fields)] にフォーマット指定子を入力する構文は以下のとおりです。 


<format_specifier_1> <format_specifier_2> ...

例:%a %b %E

フォーマット指定子の前にトークンを追加して、アクセス ログ ファイルの説明テキストを表示できます。次に例を示します。 


client_IP %a body_bytes %b error_type %E

この場合、client_IP はログ フォーマット指定子 %a の説明トークンです(以下同様)。

(注)  

 
クライアント要求またはサーバ応答の任意のヘッダーにカスタム フィールドを作成できます。

ステップ 4

変更を送信し、保存します。

次のタスク

関連項目

W3C アクセス ログのカスタマイズ

手順

ステップ 1

[システム管理(System Administration)] > [ログ サブスクリプション(Log Subscriptions)] を選択します。

ステップ 2

W3C ログ サブスクリプションを編集するには、W3C ログ ファイル名をクリックします。

ステップ 3

[カスタム フィールド(Custom Fields)] ボックスにフィールドを入力し、[追加(Add)] をクリックします。

[選択されたログ フィールド(Selected Log Fields)] リストに表示されるフィールドの順序によって、W3C アクセス ログ ファイルのフィールドの順序が決まります。[上へ移動(Move Up)] または [下へ移動(Move Down)] ボタンを使用してフィールドの順序を変更できます。[選択されたログ フィールド(Selected Log Fields)] リストでフィールドを選択し、[削除(Remove)] をクリックして、それを削除できます

[カスタム フィールド(Custom Field)] ボックスに複数のユーザ定義フィールドを入力し、それらを同時に入力できます。ただし、[追加(Add)] をクリックする前に、各エントリが改行(Enter キーを押します)で区切られている必要があります。

W3C ログ サブスクリプションに含まれるログ フィールドを変更すると、ログ サブスクリプションは自動的にロール オーバーします。これにより、ログ ファイルの最新バージョンに適切な新しいフィールド ヘッダーを含めることができます。

(注)  

 
クライアント要求またはサーバ応答の任意のヘッダーにカスタム フィールドを作成できます。

ステップ 4

変更を送信し、保存します。

次のタスク

関連項目

Cisco CTA 固有のカスタム W3C ログの設定

アプライアンスを、Cognitive Threat Analytics(CTA)(分析とレポートのための Cisco Cloud Web Security サービス固有のカスタム W3C アクセス ログ)を「プッシュ」するよう設定することができます。Cisco ScanCenter は Cloud Web Security(CWS)の管理ポータルです。https://www.cisco.com/c/en/us/support/security/cloud-web-security/products-installation-and-configuration-guides-list.htmlを参照してください

始める前に

自動アップロード プロトコルとして SCP(Secure Copy Protocol)を選択して、アプライアンス用の Cisco ScanCenter にデバイスのアカウントを作成します。『Cisco ScanCenter Administrator』の「Proxy Device Uploads」のセクションを参照してください(https://www.cisco.com/c/en/us/td/docs/security/web_security/scancenter/administrator/guide/b_ScanCenter_Administrator_Guide.html)。

SCP のホスト名とアプライアンス用の生成されたユーザ名に注意してください。ユーザ名は大文字と小文字が区別され、デバイスごとに異なります。

手順

ステップ 1

[セキュリティサービス(Security Services)] > [Cisco Cognitive Threat Analytics] を選択します。

ステップ 2

[設定の編集(Edit Settings)] をクリックします。

ステップ 3

[ログフィールド(Log Fields)] エリアに、必要に応じて追加のログ フィールドを追加します。ログ サブスクリプションの追加および編集を参照してください。

ステップ 4

[選択されたログフィールド(Selected Log Fields)] で、c-ip、cs-username または cs-auth-group の横のチェック ボックスを、個別にこれらのフィールドを匿名化する場合は、オンにします。

また、[匿名化(Anonymization)] チェック ボックスをオンにして、これらのフィールドを同時に匿名化することもできます。ログ サブスクリプションの追加および編集を参照してください。

ステップ 5

[検索方法(Retrieval Method)] 領域に、Cisco ScanCenter のデバイス用に生成されたユーザ名を入力します。デバイス ユーザ名は大文字と小文字が区別され、プロキシ デバイスごとに異なります。

ステップ 6

必要に応じて、[詳細オプション(Advanced Options)] の値を変更します。

ステップ 7

[送信(Submit)] をクリックします。

アプライアンスは公開 SSH キーを生成し、[Cisco Cognitive Threat Analytics] ページにそれらが表示されます。

ステップ 8

公開 SSH キーのいずれかをクリップボードにコピーします。

ステップ 9

[Cisco Cognitive Threat Analyticsの表示(View Cisco Cognitive Threat Analytics)] ポータル リンクをクリックして、Cisco ScanCenter ポータルに切り替えて、適切なデバイス アカウントを選択してから、公開 SSH キーを [CTAデバイスプロビジョニング(CTA Device Provisioning)] ページに貼り付けます。(『Cisco ScanCenter Administrator Guide』の「Proxy Device Uploads」のセクションを参照してください)。

プロキシ デバイスからのログ ファイルは、プロキシ デバイスと CTA システム間の正常な認証での分析のため CTA システムにアップロードされます。

ステップ 10

アプライアンスに戻って、変更を確定します。

[システム管理(System Administration)] > [ログサブスクリプション(Log Subscription)] を使用して、CTA W3C ログを追加することもできます。W3C アクセス ログのカスタマイズの手順に従って、新しい W3C アクセス ログ サブスクリプションを次のオプションを指定して追加します。

  • ログ タイプとして [W3C ログ(W3C Logs)]

  • サブスクリプションとして [Cisco Cognitive Threat Analyticsサブスクリプション(Cisco Cognitive Threat Analytics Subscription)] を選択

  • ファイル転送タイプとして [SCP] を選択

カスタム フィールドの詳細については、ログ サブスクリプションの追加および編集を参照してください。

(注)  

 

CTA ログ サブスクリプションをすでに設定している場合には、アプライアンスの [Cisco Cognitive Threat Analytics] ページで、ログの名前を cta_log に変更する必要があります。

ログを作成した後、CTA ログを削除する場合は、[Cisco Cognitive Threat Analytics] ページで [無効化(Disable)] をクリックします。CTA ログは [ログサブスクリプション(Log Subscriptions)] ページからも削除できます([システム管理(System Administration)] > [ログサブスクリプション(Log Subscriptions)])。

匿名の CTA 固有 W3C ログ フィールドを非匿名化するには、[Cisco Cognitive Threat Analytics] ページで [非匿名化(Cisco Cognitive Threat Analytics)] をクリックします。W3C ログ フィールドの非匿名化を参照してください

また、[システム管理(System Administration)] > [ログサブスクリプション(Log Subscriptions)] を使用して、匿名の CTA 固有 W3C ログ フィールドを非匿名化することもできます。W3C ログ フィールドの非匿名化を参照してください

Cisco Cloudlock に固有のカスタム W3C ログの設定

Cisco Cloudlock は、クラウド ネイティブ CASB およびサイバー セキュリティ プラットフォームであり、Software-as-a-Service、Platform-as-a-Service、および Infrastructure-as-a-Service の全体にわたってユーザ、データ、およびアプリケーションを保護します。シスコの Cloudlock ポータルに W3C アクセス ログをプッシュするようお使いのアプライアンスを設定し、分析とレポーティングに役立てることができます。これらのカスタム W3C ログを使用すると、顧客の SaaS 利用状況がさらに把握しやすくなります。

始める前に

お使いのアプライアンスの Cloudlock ポータルにデバイス アカウントを作成し、自動アップロード プロトコルとして SCP を選択します。

Cloudlock ポータルにログオンしてオンライン ヘルプにアクセスし、Cloudlock ポータルにデバイス アカウントを作成するための手順に従ってください。

手順

ステップ 1

[セキュリティ サービス(Security Services)] > [Cisco Cloudlock] を選択します。

ステップ 2

[設定の編集(Edit Settings)] をクリックします。

(注)  

 

ログのフィールドは、[ログ フィールド(Log Fields)] エリアでデフォルトで選択されています。デフォルトで選択されている以外のログ フィールドをさらに追加することはできません。[ログ フィールド(Log Fields)] エリアに表示されているログ フィールドの順番を変えることは推奨されません。

Cloudlock ログ ファイルのログ フィールド(c-ip、cs-username、または cs-auth-group)を匿名化することはできません。

ステップ 3

[取得方法(Retrieval Method)] エリアで、次の情報を入力します。

  • Cloudlock サーバのホスト名とポート番号

  • ログ ファイルを保存する Cloudlock サーバのディレクトリ

  • Cloudlock サーバに接続する権限を持つユーザのユーザ名

ステップ 4

必要に応じ、[詳細オプション(Advanced Options)] の値を変更します。

ステップ 5

[送信(Submit)] をクリックします。

アプライアンスによって公開 SSH キーが生成され、Cisco Cloudlock ページに表示されます。

ステップ 6

公開 SSH キーのいずれかをクリップボードにコピーします。

ステップ 7

[Cloudlockポータルの表示(View Cloudlock Portal)] リンクをクリックして、Cisco Cloudlock ポータルに切り替えます。適切なデバイス アカウントを選択し、公開 SSH キーを [Cloudlock設定(Cloudlock Setting)] ページに貼り付けます。

お使いのプロキシ デバイスと Cloudlock システムの間で認証が成功すると、プロキシ デバイスからのログ ファイルが、分析のため、Cloudlock システムにアップロードされます。

ステップ 8

アプライアンスに戻って、変更を確定します。

Cloudlock W3C ログの追加は、[システム管理(System Administration)] > [ログサブスクリプション(Log Subscription)] を使用して行うこともできますW3C アクセス ログのカスタマイズの手順に従って、新しい W3C アクセス ログ サブスクリプションを次のオプションを指定して追加します。

  • ログ タイプとして [W3C ログ(W3C Logs)]

  • サブスクリプションとして [Cisco Cloudlock] を選択

  • ファイル転送タイプとして [SCP] を選択

カスタム フィールドの詳細については、ログ サブスクリプションの追加および編集を参照してください。

(注)  

 

Cloudlock ログ サブスクリプションがすでに設定済みの場合、ログ名を cloudlock_log に変更し、それを、アプライアンスの Cisco Cloudlock ページにリストする必要があります。

ログの作成後に Coudlock ログを削除する場合は、Cisco Cloudlock ページで [無効(Disable)] をクリックします。Cloudlock ログの削除は、[ログサブスクリプション(Log Subscription)] ページ([システム管理(System Administration)] > [ログサブスクリプション(Log subscriptions)])から行うこともできます。

トラフィック モニタのログ ファイル

レイヤ 4 トラフィック モニター ログ ファイルには、レイヤ 4 モニタリング アクティビティの詳細が記録されます。レイヤ 4 トラフィック モニタ ログ ファイルのエントリを表示して、ファイアウォール ブロック リストやファイアウォール許可リストのアップデートを追跡できます。

トラフィック モニタ ログの解釈

下記の例では、トラフィック モニタ ログに記録されるさまざまなタイプのエントリの意味について説明します。

例 1

172.xx.xx.xx discovered for blocksite.net (blocksite.net) added to firewall block list.

この例では、一致する場所がブロック リストのファイアウォール エントリとなります。レイヤ 4 トラフィック モニタにより、アプライアンスを通過した DNS 要求に基づいて、ブロック リストのドメイン名への IP アドレスが検出されました。その後で、その IP アドレスがファイアウォールのブロック リストに追加されました。

例 2

172.xx.xx.xx discovered for www.allowsite.com (www.allowsite.com) added to firewall allow list.

この例では、一致が許可リストのファイアウォール エントリとなります。レイヤ 4 トラフィック モニタによりドメイン名エントリが照合され、一致がアプライアンスの許可リストに追加されました。その後で、その IP アドレスがファイアウォールの許可リストに追加されました。

例 3

Firewall noted data from 172.xx.xx.xx to 209.xx.xx.xx (allowsite.net):80.

この例では、レイヤ 4 トラフィック モニタにより内部 IP アドレスとブロック リストに記載されている外部 IP アドレス間で渡されたデータ レコードが記録されています。この場合、レイヤ 4 トラフィック モニタは、「ブロック」ではなく「モニタ」に設定されています。

関連項目

ログ ファイルのフィールドとタグ

アクセス ログのフォーマット指定子と W3C ログ ファイルのフィールド

ログ ファイルでは、各ログ ファイル エントリを構成している情報項目を表すために変数が使用されます。これらの変数は、アクセス ログではフォーマット指定子、W3C ログではログ フィールドと呼ばれ、各フォーマット指定子には対応するログ フィールドがあります。

アクセス ログにこれらの値を表示するよう設定する方法については、Customizing Access Logs、および ログ サブスクリプションの追加および編集 のカスタム フィールドに関する情報を参照してください。

以下の表は、これらの変数に関する説明です。

アクセス ログのフォーマット指定子

W3C ログのログ フィールド

説明

%:<A

AclTime

アクセス制御リストトランザクションにかかった合計時間を出力します。

%{

x-id-shared

Umbrella と共有する ID のステータスを出力します。

ID がトランザクションで共有されている場合、対応するフォーマッタの値は「ID_SHARED」です。それ以外の場合は、アクセスログに「-」が表示されます。

%[

x-spoofed-ip

プロキシ IP スプーフィングで使用される送信元 IP アドレス。

%)

x-proxy-instance-id

ハイパフォーマンスモードが有効になっている場合のプロキシのインスタンス ID。それ以外の場合は、ハイフンをログに記録します。

%(

cs-domain-map

ドメインマップを使用して解決された解決済みのドメイン名。

%X#11#

ext_auth_sgt

ISE 統合で使用されるセキュリティ グループ タグのカスタム フィールド パラメーター。

%$

cipher information

トランザクションの両方のレッグの暗号情報(クライアントプロキシ暗号情報 ## プロキシサーバ暗号情報)。この情報は「<ciphername>, <protocol version>, Kx=<key exchange>, Au=<authentication>, Enc=<symmetric encryption method>, Mac=<message authentication code>」のようなシーケンスで示されます。

%:<1

x-p2s-first-byte-time

Web プロキシがサーバへの接続を開始した時点から最初にサーバに書き込みが行えるようになるまでの時間。Web プロキシが複数のサーバに接続してトランザクションを完了する必要がある場合、これらの時間の合計になります。

%:<a

x-p2p-auth-wait-time

Web プロキシが要求を送信後、Web プロキシの認証プロセスからの応答を受信する待機時間。

%:<b

x-p2s-body-time

ヘッダーの後、要求本文をサーバに書き込むまでの待機時間。

%:<d

x-p2p-dns-wait-time

Web プロキシが Web プロキシ DNS プロセスに DNS 要求を送信するのにかかった時間。

%:<h

x-p2s-header-time

最初のバイトの後、要求ヘッダーをサーバに書き込むまでの待機時間。

%:<r

x-p2p-reputation- wait-time

Web プロキシが要求を送信後、Web レピュテーション フィルタからの応答を受信する待機時間。

%:<s

x-p2p-asw-req- wait-time

Web プロキシが要求を送信後、Web プロキシのアンチス パイウェア プロセスからの判定を受信する待機時間。

%:>1

x-s2p-first-byte-time

サーバからの最初の応答バイトの待機時間

%:>a

x-p2p-auth-svc-time

Web プロキシの認証プロセスからの応答を受信する待機時間(Web プロキシが要求を送信するのに必要な時間を含む)。

%:>b

x-s2p-body-time

受信したヘッダーの後の完全な応答本文の待機時間

%:>c

x-p2p-fetch-time

Web プロキシがディスク キャッシュからの応答を読み取るのに必要な時間。

%:>d

x-p2p-dns-svc-time

Web プロキシ DNS プロセスが Web プロキシに DNS 結果を返送するのにかかった時間。

%:>h

x-s2p-header-time

最初の応答バイト後のサーバ ヘッダーの待機時間

%:>g

SSL サーバ ハンドシェイク遅延の情報。

%o

-

消費された時間クォータ。

% O

-

消費されたボリュームクォータ。

%X#41#

x-bw-info

適用される帯域幅クォータ制御レベル、リクエストにマッピングされた帯域幅パイプ番号、設定された帯域幅クォータ制限、および使用される帯域幅クォータプロファイル(level-pipe_no-quota_limit-quota_profile)。

%:>r

x-p2p-reputation-svc- time

Web レピュテーション フィルタからの判定を受信する待機時間(Web プロキシが要求を送信するのに必要な時間を含む)。

%:>s

x-p2p-asw-req-svc- time

Web プロキシのアンチス パイウェア プロセスからの判定を受信する待機時間(Web プロキシが要求を送信するのに必要な時間を含む)。

%:1<

x-c2p-first-byte-time

新しいクライアント接続からの最初の要求バイトを待機する時間。

%:1>

x-p2c-first-byte-time

最初のバイトがクライアントに書き込まれるまでの待機時間。

%:A<

x-p2p-avc-svc-time

AVC プロセスからの応答を受信する待機時間(Web プロキシが要求を送信するのに必要な時間を含む)。

%:A>

x-p2p-avc-wait-time

Web プロキシが要求を送信後、AVC プロセスからの応答を受信する待機時間。

%:b<

x-c2p-body-time

クライアント本文全体を待機する時間。

%:b>

x-p2c-body-time

本文全体がクライアントに書き込まれるまでの待機時間。

%:C<

x-p2p-dca-resp- svc-time

動的コンテンツ分析からの判定を受信する待機時間(Web プロキシが要求を送信するのに必要な時間を含む)。

%:C>

x-p2p-dca-resp- wait-time

Web プロキシが要求を送信後、動的コンテンツ分析からの応答を受信する待機時間。

%:h<

x-c2p-header-time

最初のバイトの後の完全なクライアント ヘッダーの待機時間

%:h>

x-p2c-header-time

クライアントに書き込まれる完全なヘッダーの待機時間

%:m<

x-p2p-mcafee-resp- svc-time

McAfee スキャン エンジンからの判定を受信する待機時間(Web プロキシが要求を送信するのに必要な時間を含む)。

%:m>

x-p2p-mcafee-resp- wait-time

Web プロキシが要求を送信後、McAfee スキャン エンジンからの応答を受信する待機時間。

%:p<

x-p2p-sophos-resp- svc-time

Sophos スキャン エンジンからの判定を受信する待機時間(Web プロキシが要求を送信するのに必要な時間を含む)。

%:p>

x-p2p-sophos-resp- wait-time

Web プロキシが要求を送信後、Sophos スキャン エンジンからの応答を受信する待機時間。

%:w<

x-p2p-webroot-resp -svc-time

Webroot スキャン エンジンからの判定を受信する待機時間(Web プロキシが要求を送信するのに必要な時間を含む)。

%:w>

x-p2p-webroot-resp-wait- time

Web プロキシが要求を送信後、Webroot スキャン エンジンからの応答を受信する待機時間。

%?BLOCK_SUSPECT_ USER_AGENT, MONITOR_SUSPECT_ USER_AGENT?% < User-Agent:%!%-%

x-suspect-user-agent

不審なユーザ エージェント(該当する場合)。ユーザ エージェントが疑わしい Web プロキシが判定した場合、このフィールドにそのユーザ エージェントを記録します。それ以外の場合、ハイフンが表示されます。このフィールドは、二重引用符付きでアクセス ログに書き込まれます。

%<Referer:

cs(Referer)

Referer ヘッダー

%>Server:

sc(Server)

応答の Server ヘッダー

%a

c-ip

クライアント IP アドレス。

%A

cs-username

認証されたユーザ名。このフィールドは、二重引用符付きでアクセス ログに書き込まれます。

%b

sc-body-size

本文のコンテンツ用に Web プロキシからクライアントに送信されたバイト数。

%B

bytes

使用された合計バイト数(要求サイズ + 応答サイズ、つまり %q + %s)。

%c

cs-mime-type

応答本文の MIME タイプ。このフィールドは、二重引用符付きでアクセス ログに書き込まれます。

%C

cs(Cookie)

Cookie ヘッダー。このフィールドは、二重引用符付きでアクセス ログに書き込まれます。

%d

s-hostname

データ ソースまたはサーバの IP アドレス。

%]

Header_profile

HTTP ヘッダー書き換えプロファイル名。

%D

x-acltag

ACL デシジョン タグ。

%e

x-elapsed-time

ミリ秒単位の経過時間。

TCP トラフィックの場合、HTTP 接続の開始から完了までの経過時間です。

UDP トラフィックの場合、最初のデータグラムを送信してから、最後のデータグラムが許可される時間までの経過時間です。UDP トラフィックの経過時間が大きいと、タイムアウト値が大きくなる可能性があり、存続時間の長い UDP アソシエーションの許容データグラムが必要以上に長く許可される可能性があります。

%E

x-error-code

カスタマー サポートが失敗したトランザクションの原因をトラブルシューティングするのに役立つエラー コード番号。

%f

cs(X-Forwarded-For)

X-Forwarded-For ヘッダー

%F

c-port

クライアントの送信元ポート

%g

cs-auth-group

承認されたグループ名。このフィールドは、二重引用符付きでアクセス ログに書き込まれます。

このフィールドは、ユーザが適切なグループまたはポリシーに一致しているかどうかを判断する、認証問題のトラブルシューティングに使用されます。

%G

人間が読み取れる形式のタイムスタンプ。

%h

sc-http-status

HTTP 応答コード。

%H

s-hierarchy

階層の取得。

%i

x-icap-server

要求の処理中に接続した最後の ICAP サーバの IP アドレス。

%I

x-transaction-id

トランザクション ID。

%j

DCF

応答コードをキャッシュしません(DCF フラグ)。

応答コードの説明:

  • クライアント要求に基づく応答コード:

    • 1 = 要求に「no-cache」ヘッダーがあった。

    • 2 = 要求に対してキャッシングが許可されていない。

    • 4 = 要求に「Variant」ヘッダーがない。

    • 8 = ユーザ要求にユーザ名またはパスフレーズが必要。

    • 20 = 指定された HTTP メソッドへの応答。

  • アプライアンスで受信された応答に基づく応答コード:

    • id="li_7443F05D141F4D9FB788FD416697DB65"> 40 =応答に「Cache-Control: private」ヘッダーが含まれている。

    • 80 = 応答に「Cache-Control: no-store」ヘッダーが含まれている。

    • 100 = 応答は、要求がクエリーだったことを示している。

    • 200 = 応答に含まれている「有効期限」の値が小さい(期限切れ間近)。

    • 400 = 応答に「Last Modified」ヘッダーがない。

    • 1000 = 応答がただちに期限切れになる。

    • 2000 = 応答ファイルが大きすぎてキャッシュできない。

    • 20000 = ファイルの新しいコピーがある。

    • 40000 = 応答の「Vary」ヘッダーに不正/無効な値がある。

    • 80000 = 応答には Cookie の設定が必要。

    • 100000 = キャッシュ不可の HTTP ステータス コード。

    • 200000 = アプライアンスが受信したオブジェクトが不完全(サイズに基づく)。

    • 800000 = 応答トレーラがキャッシュなしを示している。

    • 1000000 = 応答のリライトが必要。

%k

s-ip

データ ソースの IP アドレス(サーバの IP アドレス)

この値は、ネットワーク上の侵入検知デバイスによって IP アドレスがフラグ付けされたときに、要求元を決定するのに使用されます。これにより、フラグ付けされた IP アドレスを参照したクライアントの検索が可能になります。

%l

user-type

ユーザのタイプ(ローカルまたはリモート)。

%L

x-local_time

人間が読み取れる形式の要求のローカル時刻:DD/MMM/YYYY : hh:mm:ss +nnnn。このフィールドは、二重引用符付きでアクセス ログに書き込まれます。

このフィールドを有効にすると、各ログ エントリのエポック タイムからローカルタイムを計算せずにログを問題に関連付けることができます。

%m

cs-auth-mechanism

認証問題をトラブルシューティングするのに使用されます。

トランザクションで使用する認証メカニズム。値は以下のとおりです。

  • BASIC。ユーザ名が基本認証方式を使用して認証されました。

  • NTLMSSP。ユーザ名が NTLMSSP 認証方式を使用して認証されました。

  • NEGOTIATE。ユーザ名は Kerberos 認証方式を使用して認証されました。

  • SSO_TUI。クライアント IP アドレスと透過的ユーザ ID を使用して認証されたユーザ名を照合することによって、ユーザ名が取得されました。

  • SSO_ISE。ユーザは ISE サーバによって認証されました(ISE 認証のフォールバック メカニズムとして選択されている場合、ログには GUEST と表示されます)。

  • SSO_ASA。ユーザがリモート ユーザで、ユーザ名はセキュア モビリティを使用して Cisco ASA から取得されました。

  • FORM_AUTH。アプリケーションへのアクセス時に、ユーザが Web ブラウザのフォームに認証クレデンシャルを入力しました。

  • GUEST。ユーザが認証に失敗し、代わりにゲスト アクセスが許可されました。

%M

CMF

キャッシュ ミス フラグ(CMF フラグ)。

%N

s-computerName

サーバ名または宛先ホスト名。このフィールドは、二重引用符付きでアクセス ログに書き込まれます。

%p

s-port

宛先ポート番号。

%P

cs-version

使用されるプロトコル。値は以下のとおりです。

  • 0 = プロトコルの使用なし

  • 1 = HTTP

  • 2 = HTTPS

  • 3 = FTP over HTTP

  • 4 = FTP

  • 5 = SOCKS

  • 6 = HTTP2

%q

cs-bytes

要求サイズ(ヘッダー + 本文)。

%r

x-req-first-line

要求の先頭行:要求方法(URI)。

%s

sc-bytes

応答サイズ(ヘッダー + 本文)。

%t

timestamp

UNIX エポックのタイムスタンプ

注:サードパーティ製のログ アナライザ ツールを使用して W3C アクセス ログを解析する場合は、timestamp フィールドを含める必要があります。ほとんどのログ アナライザは、このフィールドで提供される形式の時間のみ認識します。

%u

cs(User-Agent)

ユーザ エージェント。このフィールドは、二重引用符付きでアクセス ログに書き込まれます。

このフィールドは、アプリケーションが認証に失敗しているかどうか、および/または別のアクセス権限が必要かどうかを判断するのに役立ちます。

%U

cs-uri

要求 URI。

%v

date

YYYY-MM-DD 形式の日付。

%V

時刻

HH:MM:SS 形式の時刻。

%w

sc-result-code

結果コード。例:TCP_MISS、TCP_HIT。

%W

sc-result-code-denial

結果コードの拒否。

%x

x-latency

待ち時間。

%X0

x-resp-dvs-scanverdict

どのスキャン エンジンがイネーブルになっているかに関係なく、マルウェア カテゴリ番号を提供する統合された応答側アンチマルウェア スキャンの判定。サーバ応答のスキャンによってブロックまたはモニタされるトランザクションに適用されます。

このフィールドは、二重引用符付きでアクセス ログに書き込まれます。

%X1

x-resp-dvs-threat-name

どのスキャン エンジンがイネーブルになっているかに関係なく、マルウェア脅威の名前を提供する統合された応答側アンチマルウェア スキャンの判定。サーバ応答のスキャンによってブロックまたはモニタされるトランザクションに適用されます。

このフィールドは、二重引用符付きでアクセス ログに書き込まれます。

%X2

x-req-dvs-scanverdict

要求側 DVS スキャンの判定

%X3

x-req-dvs-verdictname

要求側 DVS 判定の名前

%X4

x-req-dvs-threat-name

要求側 DVS 脅威の名前

%X6

x-as-malware-threat-name

マルウェア対策スキャン エンジンを起動することなく、適応型スキャンによってトランザクションがブロックされたかどうかを示します。設定可能な値は次のとおりです。

  • 1. トランザクションがブロックされました。

  • 0. トランザクションはブロックされませんでした。

この変数は、スキャン判定情報(各アクセス ログ エントリの末尾の山カッコ内)に含まれています。

%XA

x-webcat-resp-code- abbr

応答側のスキャン中に判定された URL カテゴリの評価(省略形)。Cisco Web 利用の制御の URL フィルタリング エンジンにのみ適用されます。

%Xb

x-behavior

AVC または ADC エンジンによって識別される Web アプリケーションの動作。

%XB

x-avg-bw

帯域幅制限が AVC エンジンで定義されている場合、ユーザの平均帯域幅。

%XC

x-webcat-code-abbr

トランザクションに割り当てられたカスタム URL カテゴリの URL カテゴリの省略形。

%Xd

x-mcafee-scanverdict

McAfee 固有の ID:(スキャン判定)。

%Xe

x-mcafee-filename

McAfee 固有の ID:(判定を生成するファイル名)このフィールドは二重引用符付きでアクセス ログに書き込まれます。

%Xf

x-mcafee-av-scanerror

McAfee 固有の ID:(スキャン エラー)。

%XF

x-webcat-code-full

トランザクションに割り当てられた URL カテゴリの完全名。このフィールドは、二重引用符付きでアクセス ログに書き込まれます。

%Xg

x-mcafee-av-detecttype

McAfee 固有の ID:(検出タイプ)。

%XG

x-avc-reqhead-scanverdict

AVC 要求ヘッダーの判定。

%Xh

x-mcafee-av-virustype

McAfee 固有の ID:(ウイルス タイプ)。

%XH

x-avc-reqbody- scanverdict

AVC 要求本文の判定。

%Xi

x-webroot-trace-id

Webroot 固有のスキャン識別子:(トレース ID)

%Xj

x-mcafee-virus-name

McAfee 固有の ID:(ウイルス名)このフィールドは、二重引用符付きでアクセス ログに書き込まれます。

%Xk

x-wbrs-threat-type

Web レピュテーションの脅威タイプ。

%XK

x-wbrs-threat-reason

Web レピュテーションの脅威の理由。

%Xl

x-ids-verdict

Cisco データ セキュリティ ポリシーのスキャン判定。このフィールドが含まれている場合は IDS 判定が表示されます。IDS がアクティブでドキュメントが「正常」とスキャン判定された場合は「0」、要求に対する IDS ポリシーがアクティブでない場合は「-」が表示されます。

%XL

x-webcat-resp-code- full

応答側のスキャン中に判定された URL カテゴリの評価(完全名)。Cisco Web 利用の制御の URL フィルタリング エンジンにのみ適用されます。

%XM

x-avc-resphead- scanverdict

AVC 応答ヘッダーの判定。

%Xn

x-webroot-threat-name

Webroot 固有の ID:(脅威の名前)このフィールドは二重引用符付きでアクセス ログに書き込まれます。

%XN

x-avc-reqbody-scanverdict

AVC 応答本文の判定。

%XO

xAPP

AVC または ADC エンジンによって識別される Web アプリケーションタイプ。

%Xp

x-icap-verdict

外部 DLP サーバのスキャン判定。

%XP

x-acl-added-headers

認識されないヘッダー。クライアント要求の追加ヘッダーのログを記録するには、このフィールドを使用します。クライアント要求を認証してリダイレクトする方法として要求にヘッダーを追加する、特殊なシステム(YouTube for Schools など)のトラブルシューティングをサポートします。

%XQ

x-webcat-req-code- abbr

要求側のスキャン時に決定された定義済み URL カテゴリの判定(省略形)。

%Xr

x-result-code

スキャン判定情報。

%XR

x-webcat-req-code-full

要求側のスキャン中に判定された URL カテゴリの評価(完全名)。

%Xs

x-webroot-spyid

Webroot 固有の ID:(スパイ ID)。

%XS

x-request-rewrite

安全なブラウジング スキャンの判定。

セーフ サーチ機能またはサイト コンテンツ レーティング機能がトランザクションに適用されたかどうかを示します。

%Xt

x-webroot-trr

Webroot 固有の ID:(脅威リスク比率(TRR))。

%XT

x-bw-throttled

帯域幅制限がトランザクションに適用されたかどうかを示すフラグ。

%Xu

xAPP タイプ

AVC または ADC エンジンによって識別される Web アプリケーション。

%Xv

x-webroot-scanverdict

Webroot からのマルウェア スキャンの判定。

%XV

x-request-source-ip

Web プロキシ設定で、[X-Forwarded-For を使用したクライアント IP アドレスの識別を有効にする(Enable Identification of Client IP Addresses using X-Forwarded-For)] チェックボックスをオンにした場合のダウンストリーム IP アドレス。

%XW

x-wbrs-score

復号された WBRS スコア <-10.0-10.0>。

%Xx

x-sophos-scanerror

Sophos 固有の ID:(スキャンの戻りコード)。

%Xy

x-sophos-file-name

Sophos が好ましくないコンテンツを検出したファイルの名前。Sophos でのみ検出された応答に適用します。

%XY

x-sophos-scanverdict

Sophos 固有の ID:(スキャン判定)。

%Xz

x-sophos-virus-name

Sophos 固有の ID:(脅威の名前)。

%XZ

x-resp-dvs-verdictname

どのスキャン エンジンがイネーブルになっているかに関係なく、マルウェア カテゴリを提供する統合された応答側アンチマルウェア スキャンの判定。サーバ応答のスキャンによってブロックまたはモニタされるトランザクションに適用されます。

このフィールドは、二重引用符付きでアクセス ログに書き込まれます。

%X#1#

x-amp-verdict

Secure Endpoint ファイルスキャンからの判定:

  • 0:悪意のないファイル。

  • 1:ファイル タイプが原因で、ファイルがスキャンされなかった。

  • 2:ファイル スキャンがタイムアウト。

  • 3:スキャン エラー。

  • 3 よりも大きい値:悪意のあるファイル。

%X#2#

x-amp-malware-name

Secure Endpoint ファイルスキャンで判定された脅威の名前。「-」は脅威がないことを示します。

%X#3#

x-amp-score

Secure Endpoint ファイルスキャンのレピュテーションスコア。

このスコアは、クラウド レピュテーション サービスがファイルを正常と判定できない場合にのみ使用されます。

詳細については、ファイル レピュテーション フィルタリングとファイル分析の「脅威スコアとレピュテーションしきい値」に関する情報を参照してください。

%X#4#

x-amp-upload

アップロードおよび分析要求のインジケータ:

「0」は、Secure Endpoint で分析用にファイルのアップロードが要求されなかったことを示します。

「1」は、Secure Endpoint で分析用にファイルのアップロードが要求されたことを示します。

%X#5#

x-amp-filename

ダウンロードして分析するファイルの名前。

%X#6#

x-amp-sha

このファイルの SHA-256 ID。

%y

cs-method

方式。

%Y

cs-url

URL 全体。

%:>A

x-p2p-adc-svc-time

ADC プロセスからの応答を受信する待機時間(Web プロキシが要求を送信するのに必要な時間を含む)。

%:a>

x-p2p-adc-wait-time

Web プロキシが要求を送信後、ADC プロセスからの応答を受信する待機時間。

%:e<

x-p2p-amp-svc-time

Cisco Secure Endpoint スキャンエンジンからの判定を受信する待機時間(Web プロキシが要求を送信するのに必要な時間を含む)。

%:e>

x-p2p-amp-wait-time

Web プロキシが要求を送信後、Cisco Secure Endpoint スキャンエンジンからの応答を受信する待機時間。

該当なし

x-hierarchy-origin

要求コンテンツを取得するために接続したサーバを示すコード(DIRECT/www.example.com など)。

該当なし

x-resultcode-httpstatus

結果コードおよび HTTP 応答コード(間をスラッシュ(/)で区切ります)。

該当なし

x-archivescan-verdict

アーカイブ検査の判定を表示します。

該当なし

x-archivescan-verdict- reason

アーカイブ スキャンでブロックされるファイルの詳細。

%XU

該当なし

将来のために予約済み。

関連項目

マルウェア スキャンの判定値

マルウェア スキャンの判定は、マルウェアを含む可能性を判別する、URL 要求またはサーバ応答に割り当てられた値です。Webroot、McAfee、および Sophos のスキャン エンジンは、マルウェア スキャンの判定を DVS エンジンに返し、DVS エンジンが要求をモニタするかブロックするかを決定できるようにします。特定のアクセス ポリシーに対するアンチマルウェア設定を編集した場合、各マルウェア スキャンの判定は、[アクセス ポリシー(Access Policies)] > [レピュテーションおよびマルウェア対策設定(Reputation and Anti-Malware Settings)] ページにリストされているマルウェア カテゴリに対応します。

以下のリストは、さまざまなマルウェア スキャンの判定値および対応するマルウェア カテゴリを示しています。

マルウェア スキャンの判定値

マルウェア カテゴリ

-

設定しない

0

不明

1

スキャンしない

2

タイムアウト

3

エラー

4

スキャン不可

10

一般的なスパイウェア

12

ブラウザ ヘルパー オブジェクト

13

アドウェア

14

システム モニタ

18

商用システム モニタ

19

ダイヤラ

20

ハイジャッカー

21

フィッシング URL

22

トロイのダウンローダ

23

トロイの木馬

24

トロイのフィッシャ

25

ワーム

26

暗号化ファイル

27

ウィルス

33

その他のマルウェア

34

PUA

35

中断

36

アウトブレイク ヒューリスティック

37

既知の悪意のある高リスク ファイル

関連項目