Secure Web Appliance 액세스 로그 이해

섹션

액세스 로그의 샘플

형식 지정자

세부사항

에포크 타임

1726597763.348 

%t

에포크 시간(Unix 시간 또는 POSIX 시간이라고도 함)은 1970년 1월 1일(UTC 00:00:00) 이후 경과된 총 초 수(또는 밀리초/마이크로초)를 계산하여 시간을 추적하기 위한 시스템입니다

트랜잭션이 완료된 에포크 시간입니다.

온라인 Epoch 시간 변환기 또는 모든 linux 운영 체제를 사용하여 이 값을 변환할 수 있습니다.

경과 시간

68855 

%e

요청이 완료/중단되고 연결이 닫히기 전에 걸린 시간(밀리초)입니다. 

소스 IP 주소

192.168.1.10 

%a

 클라이언트/소스 IP 주소입니다.

트랜잭션 결과 코드

TCP_MISS

%w

Transaction Result Code(트랜잭션 결과 코드)는 SWA가 클라이언트 요청을 확인하는 방법을 나타냅니다. 

다음은 트랜잭션 결과 코드의 목록입니다.

HTTP 응답 코드

/200

%h

HTTP 응답 코드는 클라이언트 HTTP 요청에 대한 응답으로 웹 서버에서 반환한 상태 코드를 나타냅니다. 

다음은 가장 중요한 HTTP 응답 코드 목록입니다. 자세한 내용은 이 문서의 HTTP 응답 코드 섹션을 참조하십시오.

전송된 총 크기 

97645

%s

요청에 대해 전송된 총 바이트 수입니다.

HTTP 메서드

TCP_CONNECT

%1r

HTTP 메서드는 클라이언트가 GET을 사용하여 데이터를 검색하거나 POST를 사용하여 데이터를 제출하는 것과 같이 웹 서버가 리소스에 대해 수행할 작업을 지정하는 표준화된 방법입니다.

대상

10.37.145.84:443 

%2r

이 섹션에서는 대상 서버 URL 및 TCP 포트 번호를 보여줍니다.

투명 리디렉션에서 트래픽이 해독되기 전에 SWA는 목적지 IP 주소 및 포트 번호를 표시합니다.

URL이 tunnel:// 으로 시작하는 경우 SWA가 아직 트래픽을 해독하지 않았음을 의미합니다.

URL이 https://으로 시작하면 SWA가 트래픽을 해독한다는 의미입니다.

사용자 이름 및 인증 영역 

"AMOJARRA\amirhossein@WCCPrealm"

%A

이 연결에 사용된 자격 증명입니다. 

요청이 인증되면 SWA는 사용자 이름 및 인증 영역을 다음과 같이 기록합니다.

<Domain Name> \ <User Name> @ <Authentication Realm Name>

요청이 아직 인증되지 않았거나 인증에서 제외된 경우 로그에 하이픈 "-"이 표시됩니다.

액세스 유형

DIRECT/

%H

요청 콘텐츠를 검색하기 위해 접속된 서버에 대해 설명하는 코드입니다.

가장 일반적인 값은 다음과 같습니다.

서버 주소

www.cisco.com

%d

데이터 소스 또는 서버 IP 주소입니다.

MIME content-type/subtype

- 

%c

 MIME 문서, 파일 또는 바이트 집합의 특성과 형식을 나타냅니다. MIME 유형은 IETF RFC 6838에서 정의 및 표준화됨

기본 유형의 역할에는 두 가지 기본 MIME 유형이 중요합니다.

• text/plain은 텍스트 파일의 기본값입니다. 텍스트 파일은 사람이 읽을 수 있어야 하며 이진 데이터를 포함하지 않아야 합니다.
• application/octet-stream은 다른 모든 경우의 기본값입니다. 알 수 없는 파일 형식은 이 형식을 사용해야 합니다. 브라우저에서는 이러한 파일을 조작할 때 소프트웨어 취약점 및 가능한 위험한 동작으로부터 사용자를 보호하기 위해 특별히 주의를 기울입니다.

MIME 유형의 전체 목록을 가져오려면 iana(Media Types)를 방문하십시오.

ACL 결정 태그

PASSTHRU_CUSTOMCAT_7-

%D

ACL 결정 태그는 웹 프록시에서 트랜잭션을 처리한 방법을 나타내는 액세스 로그 항목의 필드입니다. 여기에는 웹 평판 필터, URL 카테고리, 스캐닝 엔진의 정보가 포함됩니다.

참고: ACL 결정 태그의 끝에는 성능 향상을 위해 웹 프록시에서 내부적으로 사용하는 동적으로 생성된 번호가 포함됩니다. 이 번호는 무시할 수 있습니다.

다음은 가장 중요한 ACL 결정 태그 목록입니다. (자세한 내용은 이 문서의 ACL Decision Tag 섹션을 참조하십시오.)

정책 이름

DP_site-

해당 없음

트래픽 유형에 따라 다음 항목이 표시됩니다.

• 암호 해독 정책 이름: 트래픽이 HTTPS이고 아직 해독되지 않은 경우
• 액세스 정책 이름: 트래픽이 HTTP이거나 해독된 경우 

ID 정책

IdP_사이트-

해당 없음

식별 프로필 이름을 표시합니다.

아웃바운드 악성코드 스캐닝 정책 그룹

NONE-

해당 없음

아웃바운드 악성코드 스캐닝 정책 그룹 이름입니다.

정책 그룹 이름의 공백은 밑줄( _ )로 바뀝니다

데이터 보안 정책 그룹 

NONE-

해당 없음

Cisco 데이터 보안 정책 그룹 이름입니다. 트랜잭션이 전역 Cisco 데이터 보안 정책과 일치하는 경우 이 값은 DefaultGroup입니다. 이 정책 그룹 이름은 Cisco 데이터 보안 필터가 활성화된 경우에만 나타납니다. 데이터 보안 정책이 적용되지 않은 경우 "NONE"이 나타납니다.

정책 그룹 이름의 공백은 밑줄( _ )로 바뀝니다

외부 DLP 정책 그룹

NONE-

해당 없음

트랜잭션이 전역 외부 DLP 정책과 일치하는 경우 이 값은 DefaultGroup입니다. 외부 DLP 정책이 적용되지 않은 경우 "NONE"이 나타납니다.

정책 그룹 이름의 공백은 밑줄( _ )로 바뀝니다.

라우팅 정책 그룹

기본 그룹-

해당 없음

라우팅 정책 그룹 이름을 ProxyGroupName/ProxyServerName으로 지정합니다.

트랜잭션이 전역 라우팅 정책과 일치하는 경우 이 값은 DefaultRouting입니다. 업스트림 프록시 서버가 사용되지 않는 경우 이 값은 DIRECT입니다

정책 그룹 이름의 공백은 밑줄( _ )로 대체됩니다.

웹 트래픽 탭

없음 

해당 없음

웹 트래픽 탭 정책 이름

URL 범주 약어

<"C_Cisco",

%XC

요청이 일치하는 URL 범주입니다.

웹 평판 점수

-,

%XW

이 필드는 WBRS(Web Reputation) 점수를 표시합니다.

ns는 URL에 점수가 없음을 의미합니다.

Webroot 스캐닝 

-,"-",-,-,-,

이 5개 필드는 Webroot 스캐닝과 관련이 있습니다

McAfee 스캐닝

-,"-",-,-,-,"-",

이 6개 필드는 McAfee 스캐닝과 관련이 있습니다.

Sophos 스캐닝

-,-,"-","-",

이 4개의 필드는 Sophos 스캐닝과 관련이 있습니다

Cisco 데이터 보안 검사 판정

-,

%Xl

Cisco Data Security Policy의 Content(콘텐츠) 열에 있는 작업을 기반으로 하는 Cisco Data Security 스캔 판정.

이 목록에서는 이 필드에 사용할 수 있는 값을 설명합니다.

0.허용

1.블록

- (하이픈).Cisco 데이터 보안 필터에서 스캐닝을 시작하지 않았습니다. 이 값은 Cisco Data Security Filters가 비활성화된 경우 또는 URL 카테고리 작업이 Allow로 설정된 경우에 나타납니다.

외부 DLP 검사 판정

-,

%Xp

ICAP 응답에서 제공된 결과를 기반으로 하는 외부 DLP 검사 판정.

이 목록에서는 이 필드에 사용할 수 있는 값을 설명합니다.

0.허용

1.블록

- (하이픈). 외부 DLP 서버에서 검사를 시작하지 않았습니다. 이 값은 외부 DLP 검사가 비활성화된 경우 또는 External DLP Policies(외부 DLP 정책) > Destinations(대상) 페이지의 제외 URL 카테고리로 인해 콘텐츠가 검사되지 않은 경우에 나타납니다.

미리 정의된 URL 범주 판정

"-",

%XQ

요청 측 스캐닝 중에 결정된 약식 사전 정의 URL 카테고리 판정.

URL 필터링이 비활성화되면 이 필드에 하이픈( - )이 나열됩니다.

요청이 Custom URL Category(맞춤형 URL 카테고리)에 도달한 경우에도 Accesslog에서 사전 정의된 URL 카테고리 이름을 볼 수 있지만, 결정은 맞춤형 URL 카테고리에 의해 이루어졌습니다.

URL 범주 약어 목록은 URL 범주 설명을 참조하십시오.

URL 범주 판정

-,

%XA

응답 측 스캐닝 중에 DCA(Dynamic Content Analysis) 엔진이 결정한 약식 URL 카테고리 판정.

Cisco Web Usage Controls URL 필터링 엔진에만 적용됩니다.

nc: 이 값은 DCA(Dynamic Content Analysis) 엔진이 사용하도록 설정되고 요청 시 URL 카테고리가 할당되지 않은 경우 요청측 스캐닝 판정에 표시되며, 이는 응답 측 스캐닝이 URL을 분류하기 전에 초기 요청 단계 중에 URL이 분류되지 않았음을 나타냅니다

Unified Inbound DVS 판정

"-",

%XZ

활성화된 스캐닝 엔진과 상관없이 악성코드 카테고리를 제공하는 통합된 응답 측 Anti-Malware 스캐닝 판정. 서버 응답 스캐닝으로 인해 차단되거나 모니터링되는 트랜잭션에 적용됩니다.

웹 신뢰도 필터 위협 유형 

"-",

%Xk

Category Name(카테고리 이름) 또는 Threat Type(위협 유형)은 웹 평판 필터에 의해 반환됩니다. Category Name(카테고리 이름)은 웹 평판이 높을 때 반환되고 Threat Type(위협 유형)은 평판이 낮을 때 반환됩니다.

일반적으로 이 필드는 평판 -4 이하의 사이트에 대해 채워집니다.

Google Translate 캡슐화된 URL

"-",

%X#10#

Google translate engine에 캡슐화된 URL입니다. 캡슐화된 URL이 없는 경우 필드 값은 "-"입니다.

애플리케이션 제어(AVC/ADC) 

"-","-","-",

이 3개 필드에는 AVC(Application Visibility and Control) 및 ADC(Application Discovery and Control)의 통계가 기록됩니다.

안전 검색 판정

"-",

%XS

이 값은 안전 검색 또는 사이트 콘텐츠 등급 기능이 트랜잭션에 적용되었는지 여부를 나타냅니다.

평균 대역폭

11.35,

%XB

요청을 처리하는 데 사용된 평균 대역폭(Kb/초)입니다.

대역폭 제한 제어 

0,

%XT

대역폭 제한 제어 설정으로 인해 요청이 제한되었는지 여부를 나타내는 값입니다.

"1"은 요청이 제한되었음을 나타냅니다.

"0"은 요청이 제한되지 않았음을 나타냅니다.

사용자 유형

-,

%l

요청을 하는 사용자의 유형("[Local]" 또는 "[Remote]")

AnyConnect Secure Mobility가 활성화된 경우에만 적용됩니다.

활성화되지 않은 경우 값은 하이픈(-)입니다

아웃바운드 악성코드 스캐닝

"-","-",

이 두 필드는 아웃바운드 악성코드 스캐닝 정책이 적용될 때 클라이언트 요청 스캐닝으로 인해 차단되거나 모니터링되는 트랜잭션에 적용됩니다.

Advanced Malware Protection

-"-",-,-,"-","-",

이 6개 필드는 Secure Endpoint(Advanced Malware Protection이라고도 함)와 관련이 있습니다.

아카이브 스캔

-,-,"-",

다음 3개 필드는 아카이브 파일 검사의 상태를 나타냅니다.

웹 탭

-,

%XU

웹 탭 동작

YouTube URL 카테고리

->

%X#29#

트랜잭션에 할당된 YouTube URL 카테고리(약어). 카테고리가 할당되지 않은 경우 이 필드에 "nc"가 표시됩니다.

인증을 위한 임시 리디렉션

(일반적으로 SWA가 사용자를 인증하는 동안 투명 배포에서 표시됨)