Log Search (FireCloud)

適用対象: FireCloud インターネット アクセス

FireCloud の Log Search ページで、単純検索クエリまたは複合検索クエリを作成して、ログ メッセージに入っている特定の詳細を検索することができます。Log Search では、WatchGuard Query Language を使用して、WatchGuard Cloud に保存されている FireCloud ログ メッセージが検索されます。FireCloud ログ メッセージは、WatchGuard によって 1 年間保存されます。

エンド ユーザーも、FireCloud Connection Manager でアクティブなログ メッセージを表示することができます。また、そのログ メッセージをファイルにエクスポートすることもできます。

既定では、Log Search で独自のクエリを作成することができます。検索するログ メッセージのフィールドと値を選択することが可能です。独自のクエリを作成する場合は、詳細検索オプションを選択します。基本検索では達成できないような複雑なクエリを実行する場合に、このオプションを選択してください。

詳細検索を使用する場合は、まず基本検索でクエリを作成して、その後に詳細検索に切り替えて変更を加えることが勧められます。

FireCloud の Log Search ページから検索を実行する

FireCloud ログ メッセージを検索するには、WatchGuard Cloud で以下の手順を実行します。

  1. WatchGuard Cloud にログインする。
  2. Service Provider アカウントの場合は、アカウント マネージャーからそのアカウントを選択します。
  3. 監視 > FireCloud の順に選択します。
  4. Log Search を選択します。
  5. ログ メッセージの日付範囲を選択するには、日付アイコン をクリックします。

    Screenshot of the FireCloud Log Search page with recent log searches and example searches

  1. 最近実行した検索を繰り返すには、最近のログ検索 セクションで、クエリをクリックします。
  2. 検索バーを選択し、Log Search ドロップダウン リストから、全般 または セキュリティ サービス を選択して、検索するログ メッセージの種類を指定します。
  3. セキュリティ サービスおよびログ メッセージ フィールド セクションで、フィールドを追加する をクリックして、検索するログ メッセージ フィールドを指定します。ログ メッセージ フィールドを選択して、そのログ メッセージ フィールドで検索する値または文字列を指定する必要があります。許可や拒否など、特定の値が割り当てられているログ メッセージ フィールドの場合は、ドロップダウン リストから適切な値を選択します。
  4. フィールド名の後に、検索クエリのテキストを入力します。
    単語の一部で検索するには、その単語の末尾にワイルドカード文字 * を含める必要があります。クエリの作成方法の詳細については、次を参照してください:WatchGuard Query Language

クエリには、FireCloud ログ メッセージ に表示される任意のフィールド名を含めることができます。

WatchGuard Cloud では、すべてのフィールドとすべてのログ メッセージの種類でワイルドカード検索がサポートされているわけではありません。ワイルドカード文字を使用する場合は、ログ メッセージの種類を選択して、フィールド名を含める必要があります。

  1. 検索を実行するには、Enter を押すか、検索 をクリックします。
    ページが更新され、検索クエリに一致するログ メッセージが表示されます。


FireCloud ログ メッセージ

FireCloud ログ メッセージは、カンマで区切られたいくつかのフィールドで構成されています。各フィールドには、イベントに関する特定の情報が含まれており、フィールドにはフィールド名と値を含めることができます。

たとえば、FireCloud Log Search では、ログ メッセージは以下のように表示されます。

disp=allow, d=2024-04-30 08:02:43, wgc_client_id=test1, wgc_policy_id=fwnpl_firewan_wVAjUuMf7EwBOw, proto=tcp, src_ip=10.20.133.104, src_port=57628, dst_ip=108.156.172.123, dst_port=443, dst_host=atlas.ngtv.io, http_uri=/v2/locate, http_method=OPTIONS, sent=498, rcvd=699, took=19, log_type=tr, geo_dst=USA, app_cat=Web services, app_cat_id=14, app_name=Google Chrome, app_id=8, url_cat=Business and Economy

ログ メッセージでは、フィールド名と値が等号 (=) で区切られます。Log Search クエリでは、コロン (:) を使用してフィールド名と値を区切ります。

WatchGuard Query Language

WatchGuard Query Language を使用して、FireCloud ログ メッセージの単純または複雑な検索を構築することができます。最良の結果を得るには、FireCloud ログ メッセージに表示されるフィールド名を含めます。

クエリには以下を含めることができます。

  • フィールド名 — FireCloud ログ メッセージに表示されるフィールド名を指定します。これは、11 日以上前のログを含むすべての検索に必要です。
  • 検索用語 — フィールド名を入力または選択した後、検索する値を指定します。
  • ワイルドカード文字 — 任意の数の文字と一致します。ログ メッセージ内の単語の一部を検索するには、* ワイルドカード文字を使用する必要があります。
  • 検索演算子 — 各検索用語で検索を展開または制限する方法を指定します。
  • 括弧 — 複数の検索演算子が含まれるクエリで、操作の順序を指定します。

以下のセクションには、こうした要素に関する詳細な説明が含まれています。

フィールド名

FireCloud ログ メッセージに表示されるフィールド名をクエリに含めることが強く勧められます。検索に 11 日以上前のログ メッセージが含まれる場合、ページにはフィールド名の検索候補のリストが表示されます。

使用可能なフィールド名は、選択したログ メッセージの種類によって異なります。 選択したログの種類に使用可能な完全なリストについては、基本検索を使用するとクエリを構築するのに役立ちます。

検索用語

クエリには、1 つ以上の検索用語を含めることができます。

  • 検索用語では、大文字と小文字は区別されません。たとえば、クエリで User1 と指定されている場合は、検索結果には User1user1 という両方のテキストが含まれるログ メッセージが表示される可能性があります。
  • 検索用語にスペースが含まれている場合は、そのスペースは検索対象のテキストの一部と見なされます。
  • ログ メッセージで単語の一部を検索する場合は、* ワイルドカード文字を使用する必要があります。たとえば、名前が「A」で始まるユーザーのログ メッセージを検索するには、「src_user:a*」と入力します。
  • 最良の結果を得るには、各検索用語にフィールド名と値を含める必要があります。検索するフィールド名と値を指定します。フィールド名は常に小文字で指定します。例:src_ip:10.0.10.1
  • クエリで「bovpn」、「ssl」、「auth」、「virus」、「ips」といった特定の用語を使用しているにも関わらず、結果が返されない場合は、こうしたイベントをメッセージの一部に入れて検索してみてください。たとえば、メッセージの中で「auth」イベントを見つける場合は、msg:*auth* と入力して検索します。その他の例については、次を参照してください:クエリの例

ワイルドカード文字

検索用語では、ログ メッセージ フィールドの任意の数の文字との一致を探す * ワイルドカード文字がサポートされています。

  • フィールド名のない検索用語では、中央および末尾のワイルドカード文字のみがサポートされます。冒頭のワイルドカード文字はサポートされていません。
  • フィールド名が含まれている検索用語では、冒頭、中央、末尾のワイルドカード文字がサポートされます。
  • 検索クエリ全体に、最大 4 つのワイルドカード文字を含めることができます。

検索演算子

クエリでは、次の検索演算子のいずれかで区切って、検索する 1 つまたは複数の項目を指定することができます。

  • OR — 検索を拡張します。検索結果には、一方または両方の項目が含まれるログ メッセージが表示されます。
  • AND — 検索を絞り込みます。検索結果には、両方の項目が含まれるログ メッセージのみが表示されます。
  • NOT — 検索を絞り込みます。検索結果から、この用語を含むログ メッセージが除外されます。これが検索の最初の用語でない場合は、その前に AND または OR を付ける必要があります。

検索の演算子は大文字でなければなりません。

括弧

複数の検索演算子が含まれているクエリでは、括弧を使用して、最初に評価する項目をグループ化することができます。1 レベルの括弧を使用して、クエリ内の項目をグループ化することができます。たとえば、disp:allow AND (dst_ip:10.0.10.2 OR dst_ip:10.0.10.3) のようになります。

クエリの例

検索を実行する際は、まず単純な部分クエリ検索を行い、必要に応じて検索条件を拡張します。

FireCloud によって任意の宛先ホストに対するトラフィックが拒否されたログ メッセージを検索します。

dst_host:* AND disp:deny*

FireCloud によってユーザー [email protected] に対するトラフィックが拒否されたログ メッセージを検索します。

wgc_client_id:[email protected] AND disp:deny

アクセス ルール名が Default で、宛先 IP アドレスが 8.8.8.8 以外のログ メッセージを検索します。

policy:Default AND NOT dst_ip:8.8.8.8

検索結果が膨大な場合は、WatchGuard Cloud から結果が返されません。時間範囲を縮小するか、または特定の検索条件を入力してください。

関連トピック

Log Manager (WatchGuard Cloud)

FireCloud 通知ルールを構成する

FireCloud 使用状況レポートについて