トラフィック処理イベントに関する Syslog メッセージの内容

各 Syslog メッセージには、オペレーティングシステムの Syslog プロトコルパラメータで定義された次のフィールドが含まれています。

Syslog メッセージのうち、本製品のオプションで指定されるトラフィック処理イベントに関するフィールドは「<キー>="<値>"」1 つのキーに複数の値が存在する場合は、値はカンマで区切られます。キーとキーの間はコロンで区切られます。

例:

Oct 9 10:13:06 localhost KWTS: type="Response": method="GET": action="Block": blocked_by_rule="protection_rules [Workspace1/-/Rule2]": processing_time="952": scan_result="Malware": workspace="Workspace1": http_user_name="example@test.local": http_user_agent="curl/7.29.0": http_user_ip="192.0.2.0": url="http://example.com/eicar.com": kata-alert="NotDetected": "eicar.com", filesize="69", kata_upload="SkippedByAction", guid="", rules="access_rules [Workspace1/Group1/Rule1], protection_rules [Workspace1/-/Rule2]", av-status="Detected", threats="EICAR-Test-File/Block", ap-status="NotDetected", mlf-status="NotDetected", encrypted="NotDetected", macros="NotDetected", kata-alert="NotDetected"

メッセージに含まれるキーと値を次の表に記載しています。

Syslog メッセージに含まれるトラフィック処理イベントに関する情報

キー

説明と取りうる値

type

HTTP メッセージの種別。値は「Request」または「Response」になります。

method

HTTP 要求の方式。

action

検知されたオブジェクトに対する処理。次のいずれかの値になります:

  • Allow – 許可
  • Block – ブロック
  • Redirect – リダイレクト

blocked_by_rule

Web リソースをブロックしたトラフィック処理ルール名。

次の形式で表示されます:

  • バイパスルールの場合:"[<ルール名>]"
  • 保護ルールとアクセスルールの場合:"[<ワークスペース名>/<ルールグループ名>/<ルール名>]"

redirected_by_rule

ユーザーを指定された URL にリダイレクトしたトラフィック処理ルール名。

次の形式で表示されます:

  • バイパスルールの場合:"[<ルール名>]"
  • アクセスルールの場合:"[<ワークスペース名>/<ルールグループ名>/<ルール名>]"

processing_time

HTTP メッセージの処理に要した時間(ミリ秒単位)。

HTTP メッセージの処理の開始から、本製品のイベントログと Syslog イベントログにスキャンの完了に関するレコードが保存されるまでの時間で計測されます。

scan_result

HTTP メッセージのスキャン結果。

複数の脅威が検知された場合、最も優先して対応すべき脅威の名前が表示されます。

脅威が駆除されたか検知されなかった場合、最も優先度の高いスキャン結果が表示されます(駆除済み検知されていないスキャンされていない)。

workspace

トラフィック処理イベントに関連付けられているワークスペースの名前。ワークスペースが存在しない場合、ダッシュ記号が表示されます。

http_user_name

HTTP 要求を開始したユーザーアカウント名。

http_user_agent

HTTP 要求を実行したクライアントアプリケーション。

http_user_ip

HTTP 要求の送信元のコンピューターの IP アドレス。

url

ユーザーが要求した Web リソースの URL。

kata-alert

URL が KATA によって検知されたオブジェクトと一致するかどうかのスキャンの実行結果。

次の値を取る可能性があります:

  • NotDetected – URL をスキャンしましたが脅威は検知されませんでした。
  • Detected – KATA のキャッシュのオブジェクトとの一致が検出されました。オブジェクト ID、一致基準、使用された技術が記載されています。例:kata-alert="Detected/128563/Url/Sb"
  • NotScanned/AccessRuleSettings – アクセスルールで指定されている処理に従って、保護ルールが適用されなかったため、スキャンは実行されませんでした。
  • NotScanned/BypassRuleSettings – バイパスルールに従ってスキャンせずにスキップされたため、ファイルはスキャンされませんでした。
  • NotScanned/ProtectionRuleSettings – 保護ルールで[KATA が検知したオブジェクト]に対して「スキャンしない」処理が指定されているため、スキャンは実行されませんでした。
  • NotScanned/ApplicationSettings – KATA で検知したオブジェクトの受信または KATA との連携が本製品の設定で無効になっているため、スキャンは実行されませんでした。
  • ScanError/InternalError – スキャンはエラーで終了しました。

MIME タイプがマルチパートのオブジェクトについては、構成するすべてのパーツに関する情報が記載されます。構成要素ごとに、「part」の末尾に連番が追加されたキーが使用されます。このキーに続いて、該当する構成要素に関するすべての情報が記載されます(情報が記載されるキー:filenamefilesizepart_mimetypekata_uploadguidrulesav_statusap_statusmlf-statusencryptedmacroskata-alert)。

例:part1 "news.html", <1 番目の構成要素の情報> part2 <2 番目の構成要素の情報>

filename

スキャンされたオブジェクトの名前。

HTTP メッセージにオブジェクトが含まれていない場合、「"nofile"」と記載されます。この場合、後続するすべてのフィールドはスキャン対象の URL に関するものになります。

filesize

スキャンされたオブジェクトのサイズ。

HTTP メッセージにオブジェクトが含まれていないかルールの適用でファイルサイズが条件になっていない場合、「"NotApplicable"」と記載されます。

part_mimetype

HTTP メッセージの MIME タイプと構成要素。Content-Type ヘッダーの値が使用されます。

HTTP メッセージにオブジェクトが含まれていないかルールの適用で MIME タイプが条件になっていない場合、「"NotApplicable"」と記載されます。

kata_upload

オブジェクトを KATA サーバーに送信する必要があるかどうかのチェック結果。

次の値を取る可能性があります:

  • NotApplicable – HTTP メッセージにファイルが含まれていません。
  • Scheduled – ファイルの送信がスケジュールされました。
  • DisabledBySettings – KATA サーバーへのファイルの送信または KATA との連携が本製品の設定で無効になっています。
  • SkippedByAction – HTTP メッセージがバイパスルールに従ってスキャンせずにスキップされたか、「ブロック」処理または「リダイレクト」処理が適用されました。
  • RejectedByFilter – KATA サーバーへ送信する条件をファイルが満たしていませんでした。
  • Failed/QueueOverflowed – ファイルを KATA サーバーに送信する必要がありますが、キューがオーバーフローしているためファイルの送信をスケジュールできませんでした。
  • Failed/InternalError – ファイルを KATA サーバーに送信する必要がありますが、本製品で内部エラーが発生したためファイルの送信をスケジュールできませんでした。

guid

本製品によってオブジェクトに割り当てられた ID。

オブジェクトを KATA サーバーに送信する必要があるかどうかのチェック時に、次のステータスが割り当てられた場合にのみ ID 情報が送信されます:

  • Scheduled
  • Failed/QueueOverflowed
  • Failed/InternalError

その他のステータスが割り当てられている場合、「guid」フィールドは空白の状態で送信されます。

rules

適用されたトラフィック処理ルールが次の形式で記載されます:

"bypass_rule [<ルール名>], access_rules [<ワークスペース名>/<ルールグループ名>/<ルール名>], protection_rules [<ワークスペース名>/<ルールグループ名>/<ルール名>]".

ルールがワークスペースと関連付けられていない場合、ワークスペース名のかわりにダッシュ記号が表示されます。

ルールがルールグループに属していない場合、グループ名のかわりにダッシュ記号が表示されます。

いずれのトラフィック処理ルールも適用されなかった場合、既定の保護ポリシーが適用されます。値として「"default_policy [既定のポリシー]"」が表示されます。

av_status

アンチウイルスモジュールによる Web リソースのスキャン結果。

次の値を取る可能性があります:

  • Detected – ウイルスまたはその他の脅威がオブジェクト内で検知されました。カンマの後に、検知された脅威の名前とオブジェクトに対して実行された処理が記載されます。例:av-status="Detected", threats="EICAR-Test-File/Block"
  • ScanError/Timeout – スキャン時間の上限を超過したため、スキャンはエラーで終了しました。
  • ScanError/InternalError – スキャンは内部エラーで終了しました。
  • ScanError/BasesNotLoaded – 定義データベースが読み込まれなかったため、スキャンはエラーで終了しました。
  • IncompleteScan/MaxNestingLevelReached – スキャン対象のアーカイブファイルの階層のネスト数が上限を超えていたため、スキャンは実行されませんでした。
  • IncompleteScan/EncryptedArchive – オブジェクトが暗号化されているため、スキャンは実行されませんでした。
  • Disinfected – 脅威が検知されましたが、すべての脅威が駆除されました。
  • NotDetected – オブジェクトをスキャンしましたが脅威は検知されませんでした。
  • NotScanned/AccessRuleSettings – アクセスルールで指定されている処理に従って、このオブジェクトには保護ルールが適用されませんでした。
  • NotScanned/BypassRuleSettings – バイパスルールが適用されたため、このオブジェクトはスキャンされませんでした。
  • NotScanned/ProtectionRuleSettings – 保護ルールで指定された処理に従って、このオブジェクトはスキャンされませんでした。
  • NotScanned/ApplicationSettings – 本製品の設定に従って、このオブジェクトはスキャンされませんでした。

ap_status

アンチフィッシングモジュールによる Web リソースのスキャン結果。

次の値を取る可能性があります:

  • Detected (local bases) – 本製品のローカルの定義データベースのレコードに従って、リンクはフィッシングリンクだと判定されました。
  • Detected (KSN) – KSN でのレピュテーション情報のチェック結果に従って、リンクはフィッシングリンクだと判定されました。
  • Detected (heuristics) – ヒューリスティック分析の結果に従って、リンクはフィッシングリンクだと判定されました。
  • ScanError/Timeout – スキャン時間の上限を超過したため、スキャンはエラーで終了しました。
  • ScanError/InternalError – スキャンは内部エラーで終了しました。
  • ScanError/BasesNotLoaded – 定義データベースが読み込まれなかったため、スキャンはエラーで終了しました。
  • NotDetected – オブジェクトをスキャンしましたが脅威は検知されませんでした。
  • NotScanned/AccessRuleSettings – アクセスルールで指定されている処理に従って、このオブジェクトには保護ルールが適用されませんでした。
  • NotScanned/BypassRuleSettings – バイパスルールが適用されたため、このオブジェクトはスキャンされませんでした。
  • NotScanned/ProtectionRuleSettings – 保護ルールで指定された処理に従って、このオブジェクトはスキャンされませんでした。
  • NotScanned/ApplicationSettings – 本製品の設定に従って、このオブジェクトはスキャンされませんでした。

mlf-status

リンクに悪意があるかどうかのスキャンの結果。

次の値を取る可能性があります:

  • Detected (local bases) – ローカルの定義データベースのレコードに従ってリンクは悪意があると判定されました。
  • Detected (KSN) – KSN でのレピュテーション情報のチェック結果に従って、リンクは悪意があると判定されました。
  • ScanError/Timeout – スキャン時間の上限を超過したため、スキャンはエラーで終了しました。
  • ScanError/InternalError – スキャンは内部エラーで終了しました。
  • ScanError/BasesNotLoaded – 定義データベースが読み込まれなかったため、スキャンはエラーで終了しました。
  • NotDetected – リンクをスキャンしましたが脅威は検知されませんでした。
  • NotScanned/AccessRuleSettings – アクセスルールで指定されている処理に従って、このオブジェクトには保護ルールが適用されませんでした。
  • NotScanned/BypassRuleSettings – バイパスルールが適用されたため、このオブジェクトはスキャンされませんでした。
  • NotScanned/ProtectionRuleSettings – 保護ルールで指定された処理に従って、このオブジェクトはスキャンされませんでした。
  • NotScanned/ApplicationSettings – 本製品の設定に従って、このオブジェクトはスキャンされませんでした。

encrypted

スキャン対象オブジェクトの暗号化の状態に関する情報。

次の値を取る可能性があります:

  • Detected – 脅威が検知されました。
  • ScanError/Timeout – スキャン時間の上限を超過したため、スキャンはエラーで終了しました。
  • ScanError/InternalError – スキャンは内部エラーで終了しました。
  • ScanError/BasesNotLoaded – 定義データベースが読み込まれなかったため、スキャンはエラーで終了しました。
  • NotDetected – リンクをスキャンしましたが脅威は検知されませんでした。NotScanned/ApplicationSettings – 本製品の設定に従って、このオブジェクトはスキャンされませんでした。
  • NotScanned/AccessRuleSettings – アクセスルールで指定されている処理に従って、このオブジェクトには保護ルールが適用されませんでした。
  • NotScanned/BypassRuleSettings – バイパスルールが適用されたため、このオブジェクトはスキャンされませんでした。
  • NotScanned/ProtectionRuleSettings – 保護ルールで指定された処理に従って、このオブジェクトはスキャンされませんでした。
  • NotScanned/ApplicationSettings – 本製品の設定に従って、このオブジェクトはスキャンされませんでした。

macros

スキャン対象オブジェクト内のマクロの有無に関する情報。

次の値を取る可能性があります:

  • Detected – マクロが検知されました。
  • ScanError/Timeout – スキャン時間の上限を超過したため、スキャンはエラーで終了しました。
  • ScanError/InternalError – スキャンは内部エラーで終了しました。
  • ScanError/BasesNotLoaded – 定義データベースが読み込まれなかったため、スキャンはエラーで終了しました。
  • NotDetected – オブジェクトをスキャンしましたがマクロは検知されませんでした。
  • NotScanned/AccessRuleSettings – アクセスルールで指定されている処理に従って、このオブジェクトには保護ルールが適用されませんでした。
  • NotScanned/BypassRuleSettings – バイパスルールが適用されたため、このオブジェクトはスキャンされませんでした。
  • NotScanned/ProtectionRuleSettings – 保護ルールで指定された処理に従って、このオブジェクトはスキャンされませんでした。
  • NotScanned/ApplicationSettings – 本製品の設定に従って、このオブジェクトはスキャンされませんでした。

kata-alert

HTTP メッセージに含まれるファイルまたはその構成要素(複数のオブジェクトで構成される場合)が KATA によって検知されたオブジェクトと一致するかどうかのスキャンの実行結果。

次の値を取る可能性があります:

  • NotDetected – URL をスキャンしましたが脅威は検知されませんでした。
  • Detected – KATA のキャッシュのオブジェクトとの一致が検出されました。オブジェクト ID、一致基準、使用された技術が記載されています。例:kata-alert="Detected/124567/Md5/Yara"
  • NotScanned/AccessRuleSettings – アクセスルールで指定されている処理に従って、保護ルールが適用されなかったため、スキャンは実行されませんでした。
  • NotScanned/BypassRuleSettings – バイパスルールに従ってスキャンせずにスキップされたため、ファイルはスキャンされませんでした。
  • NotScanned/ProtectionRuleSettings – 保護ルールで[KATA が検知したオブジェクト]に対して「スキャンしない」処理が指定されているため、スキャンは実行されませんでした。
  • NotScanned/ApplicationSettings – KATA で検知したオブジェクトの受信または KATA との連携が本製品の設定で無効になっているため、スキャンは実行されませんでした。
  • ScanError/InternalError – スキャンはエラーで終了しました。

ページのトップに戻る