|
|
キー
|
説明と取りうる値
|
type
|
HTTP メッセージの種別。値は「Request」または「Response」になります。
|
method
|
HTTP 要求の方式。
|
action
|
検知されたオブジェクトに対する処理。次のいずれかの値になります:
Allow – 許可Block – ブロックRedirect – リダイレクト
|
blocked_by_rule
|
Web リソースをブロックしたトラフィック処理ルール名。
次の形式で表示されます:
- バイパスルールの場合:
"[<ルール名>]" - 保護ルールとアクセスルールの場合:
"[<ワークスペース名>/<ルールグループ名>/<ルール名>]"
|
redirected_by_rule
|
ユーザーを指定された URL にリダイレクトしたトラフィック処理ルール名。
次の形式で表示されます:
- バイパスルールの場合:
"[<ルール名>]" - アクセスルールの場合:
"[<ワークスペース名>|<ルールグループ名>|<ルール名>]"
|
processing_time
|
HTTP メッセージの処理に要した時間(ミリ秒単位)。
HTTP メッセージの処理の開始から、本製品のイベントログと Syslog イベントログにスキャンの完了に関するレコードが保存されるまでの時間で計測されます。
|
scan_result
|
HTTP メッセージのスキャン結果。
複数の脅威が検知された場合、最も優先して対応すべき脅威の名前が表示されます。
脅威が駆除されたか検知されなかった場合、最も優先度の高いスキャン結果が表示されます(駆除済み、検知されていない、スキャンされていない)。
|
workspace
|
トラフィック処理イベントに関連付けられているワークスペースの名前。ワークスペースが存在しない場合、ダッシュ記号が表示されます。
|
http_user_name
|
HTTP 要求を開始したユーザーアカウント名。
|
http_user_agent
|
HTTP 要求を実行したクライアントアプリケーション。
|
http_user_ip
|
HTTP 要求の送信元のコンピューターの IP アドレス。
|
url
|
ユーザーが要求した Web リソースの URL。
|
kata-alert
|
KATA が検知したオブジェクトと一致するかどうかをチェックするために URL をスキャンした結果。
次の値を取る可能性があります:
NotDetected – URL をスキャンしましたが脅威は検知されませんでした。Detected – KATA のキャッシュのオブジェクトとの一致が検出されました。オブジェクト ID、一致基準、使用された技術が記載されています。例:kata-alert="Detected/128563/Url/Sb"。NotScanned/AccessRuleSettings – アクセスルールで指定されている処理に従って、保護ルールが適用されなかったため、スキャンは実行されませんでした。NotScanned/BypassRuleSettings – バイパスルールに従ってスキャンせずにスキップされたため、ファイルはスキャンされませんでした。NotScanned/ProtectionRuleSettings – 保護ルールで[KATA が検知したオブジェクト]に対して「スキャンしない」処理が指定されているため、スキャンは実行されませんでした。NotScanned/ApplicationSettings – 本製品の設定により、KATA が検知したオブジェクトを受信するモードまたは KATA 連携が無効になっているため、スキャンが実行されませんでした。ScanError/InternalError – スキャンはエラーで終了しました。
|
MIME タイプがマルチパートのオブジェクトについては、構成するすべてのパーツに関する情報が記載されます。構成要素ごとに、「part」の末尾に連番が追加されたキーが使用されます。このキーに続いて、該当する構成要素に関するすべての情報が記載されます(情報が記載されるキー:filename、filesize、part_mimetype、kata_upload、guid、rules、av_status、ap_status、mlf-status、encrypted、macros、kata-alert)。
例:part1 "news.html", <1 番目の構成要素の情報> part2 <2 番目の構成要素の情報>
|
filename
|
スキャンされたオブジェクトの名前。
HTTP メッセージにオブジェクトが含まれていない場合、「"nofile"」と記載されます。この場合、後続するすべてのフィールドはスキャン対象の URL に関するものになります。
|
filesize
|
スキャンされたオブジェクトのサイズ。
HTTP メッセージにオブジェクトが含まれていないかルールの適用でファイルサイズが条件になっていない場合、「"NotApplicable"」と記載されます。
|
part_mimetype
|
HTTP メッセージの MIME タイプと構成要素。Content-Type ヘッダーの値が使用されます。
HTTP メッセージにオブジェクトが含まれていないかルールの適用で MIME タイプが条件になっていない場合、「"NotApplicable"」と記載されます。
|
kata_upload
|
オブジェクトを KATA サーバーに送信する必要があるかどうかのチェック結果。
次の値を取る可能性があります:
NotApplicable – HTTP メッセージにファイルが含まれていません。Scheduled – ファイルの送信がスケジュールされました。DisabledBySettings – KATA サーバーへのファイルの送信または KATA との連携が本製品の設定で無効になっています。SkippedByAction – HTTP メッセージがバイパスルールに従ってスキャンせずにスキップされたか、「ブロック」処理または「リダイレクト」処理が適用されました。RejectedByFilter – KATA サーバーへ送信する条件をファイルが満たしていませんでした。Failed/QueueOverflowed – ファイルを KATA サーバーに送信する必要がありますが、キューがオーバーフローしているためファイルの送信をスケジュールできませんでした。Failed/InternalError – ファイルを KATA サーバーに送信する必要がありますが、本製品で内部エラーが発生したためファイルの送信をスケジュールできませんでした。
|
guid
|
本製品によってオブジェクトに割り当てられた ID。
オブジェクトを KATA サーバーに送信する必要があるかどうかのチェック時に、次のステータスが割り当てられた場合にのみ ID 情報が送信されます:
ScheduledFailed/QueueOverflowedFailed/InternalError
その他のステータスが割り当てられている場合、「guid」フィールドは空白の状態で送信されます。
|
rules
|
適用されたトラフィック処理ルールが次の形式で記載されます:
"bypass_rule [<ルール名>], access_rules [<ワークスペース名>/<ルールグループ名>/<ルール名>], protection_rules [<ワークスペース名>/<ルールグループ名>/<ルール名>]".
ルールがワークスペースと関連付けられていない場合、ワークスペース名のかわりにダッシュ記号が表示されます。
ルールがルールグループに属していない場合、グループ名のかわりにダッシュ記号が表示されます。
いずれのトラフィック処理ルールも適用されなかった場合、既定の保護ポリシーが適用されます。値として「"default_policy [既定のポリシー]"」が表示されます。
|
av_status
|
アンチウイルスモジュールによる Web リソースのスキャン結果。
次の値を取る可能性があります:
Detected – ウイルスまたはその他の脅威がオブジェクト内で検知されました。検知する脅威の名前と本製品がオブジェクトに適用する処理は、カンマで区切られます。例:av-status="Detected", threats="EICAR-Test-File/Block"。ScanError/Timeout – スキャン時間の上限を超過したため、スキャンはエラーで終了しました。ScanError/InternalError – スキャンは内部エラーで終了しました。ScanError/BasesNotLoaded – 定義データベースが読み込まれなかったため、スキャンはエラーで終了しました。IncompleteScan/MaxNestingLevelReached – スキャン対象のアーカイブファイルの階層のネスト数が上限を超えていたため、スキャンは実行されませんでした。IncompleteScan/EncryptedArchive – オブジェクトが暗号化されているため、スキャンは実行されませんでした。Disinfected – 脅威が検知されましたが、すべての脅威が駆除されました。NotDetected – オブジェクトをスキャンしましたが脅威は検知されませんでした。NotScanned/AccessRuleSettings – アクセスルールで指定されている処理に従って、このオブジェクトには保護ルールが適用されませんでした。NotScanned/BypassRuleSettings – バイパスルールが適用されたため、このオブジェクトはスキャンされませんでした。NotScanned/ProtectionRuleSettings – 保護ルールで指定された処理に従って、このオブジェクトはスキャンされませんでした。NotScanned/ApplicationSettings – 本製品の設定に従って、オブジェクトはスキャンされませんでした。
|
ap_status
|
アンチフィッシングモジュールによる Web リソースのスキャン結果。
次の値を取る可能性があります:
Detected (local bases) – 本製品のローカルの定義データベースのレコードに従って、リンクはフィッシングリンクだと判定されました。Detected (KSN) – KSN でのレピュテーション情報のチェック結果に従って、リンクはフィッシングリンクだと判定されました。Detected (heuristics) – ヒューリスティック分析の結果に従って、リンクはフィッシングリンクだと判定されました。ScanError/Timeout – スキャン時間の上限を超過したため、スキャンはエラーで終了しました。ScanError/InternalError – スキャンは内部エラーで終了しました。ScanError/BasesNotLoaded – 定義データベースが読み込まれなかったため、スキャンはエラーで終了しました。NotDetected – オブジェクトをスキャンしましたが脅威は検知されませんでした。NotScanned/AccessRuleSettings – アクセスルールで指定されている処理に従って、このオブジェクトには保護ルールが適用されませんでした。NotScanned/BypassRuleSettings – バイパスルールが適用されたため、このオブジェクトはスキャンされませんでした。NotScanned/ProtectionRuleSettings – 保護ルールで指定された処理に従って、このオブジェクトはスキャンされませんでした。NotScanned/ApplicationSettings – 本製品の設定に従って、オブジェクトはスキャンされませんでした。
|
mlf-status
|
リンクに悪意があるかどうかのスキャンの結果。
次の値を取る可能性があります:
Detected (local bases) – ローカルの定義データベースのレコードに従ってリンクは悪意があると判定されました。Detected (KSN) – KSN でのレピュテーション情報のチェック結果に従って、リンクは悪意があると判定されました。ScanError/Timeout – スキャン時間の上限を超過したため、スキャンはエラーで終了しました。ScanError/InternalError – スキャンは内部エラーで終了しました。ScanError/BasesNotLoaded – 定義データベースが読み込まれなかったため、スキャンはエラーで終了しました。NotDetected – リンクをスキャンしましたが脅威は検知されませんでした。NotScanned/AccessRuleSettings – アクセスルールで指定されている処理に従って、このオブジェクトには保護ルールが適用されませんでした。NotScanned/BypassRuleSettings – バイパスルールが適用されたため、このオブジェクトはスキャンされませんでした。NotScanned/ProtectionRuleSettings – 保護ルールで指定された処理に従って、このオブジェクトはスキャンされませんでした。NotScanned/ApplicationSettings – 本製品の設定に従って、オブジェクトはスキャンされませんでした。
|
encrypted
|
スキャン対象オブジェクトの暗号化の状態に関する情報。
次の値を取る可能性があります:
Detected – 脅威が検知されました。ScanError/Timeout – スキャン時間の上限を超過したため、スキャンはエラーで終了しました。ScanError/InternalError – スキャンは内部エラーで終了しました。ScanError/BasesNotLoaded – 定義データベースが読み込まれなかったため、スキャンはエラーで終了しました。NotDetected – リンクはスキャンされましたが、脅威は検知されませんでした。NotScanned/ApplicationSettings – 本製品設定に従って、オブジェクトはスキャンされませんでした。NotScanned/AccessRuleSettings – アクセスルールで指定されている処理に従って、このオブジェクトには保護ルールが適用されませんでした。NotScanned/BypassRuleSettings – バイパスルールが適用されたため、このオブジェクトはスキャンされませんでした。NotScanned/ProtectionRuleSettings – 保護ルールで指定された処理に従って、このオブジェクトはスキャンされませんでした。NotScanned/ApplicationSettings – 本製品の設定に従って、オブジェクトはスキャンされませんでした。
|
macros
|
スキャン対象オブジェクト内のマクロの有無に関する情報。
次の値を取る可能性があります:
Detected – マクロが検知されました。ScanError/Timeout – スキャン時間の上限を超過したため、スキャンはエラーで終了しました。ScanError/InternalError – スキャンは内部エラーで終了しました。ScanError/BasesNotLoaded – 定義データベースが読み込まれなかったため、スキャンはエラーで終了しました。NotDetected – オブジェクトをスキャンしましたがマクロは検知されませんでした。NotScanned/AccessRuleSettings – アクセスルールで指定されている処理に従って、このオブジェクトには保護ルールが適用されませんでした。NotScanned/BypassRuleSettings – バイパスルールが適用されたため、このオブジェクトはスキャンされませんでした。NotScanned/ProtectionRuleSettings – 保護ルールで指定された処理に従って、このオブジェクトはスキャンされませんでした。NotScanned/ApplicationSettings – 本製品の設定に従って、オブジェクトはスキャンされませんでした。
|
kata-alert
|
HTTP メッセージに含まれるファイルまたはその構成要素(複数のオブジェクトで構成される場合)が KATA によって検知されたオブジェクトと一致するかどうかのスキャンの実行結果。
次の値を取る可能性があります:
NotDetected – URL をスキャンしましたが脅威は検知されませんでした。Detected – KATA のキャッシュのオブジェクトとの一致が検出されました。オブジェクト ID、一致基準、使用された技術が記載されています。例:kata-alert="Detected/124567/Md5/Yara"。NotScanned/AccessRuleSettings – アクセスルールで指定されている処理に従って、保護ルールが適用されなかったため、スキャンは実行されませんでした。NotScanned/BypassRuleSettings – バイパスルールに従ってスキャンせずにスキップされたため、ファイルはスキャンされませんでした。NotScanned/ProtectionRuleSettings – 保護ルールで[KATA が検知したオブジェクト]に対して「スキャンしない」処理が指定されているため、スキャンは実行されませんでした。NotScanned/ApplicationSettings – 本製品の設定により、KATA が検知したオブジェクトを受信するモードまたは KATA 連携が無効になっているため、スキャンが実行されませんでした。ScanError/InternalError – スキャンはエラーで終了しました。
|