イベントに関する一般的なベストプラクティスについては、を参照してください。 Server & Workload Protectionのイベント。
Server & Workload Protectionによってキャプチャされたファイアウォールイベントを確認するには、 。
ファイアウォールイベントのアイコン:
単一イベント
データを含む単一イベント
折りたたまれたイベント
データを含む折りたたみイベント
 |
注意イベントの折りたたみは、同じ種類の複数のイベントが連続して発生した場合に発生します。これにより、ディスク容量が節約され、ログメカニズムに過負荷を与える可能性のあるDoS攻撃から保護されます。
|
ファイアウォールイベントで表示される情報
これらの列は、[ファイアウォールイベント] ページに表示できます。 [列] をクリックして、テーブルに表示する列を選択できます。
- [時間:] コンピュータでイベントが発生した時刻。
- [コンピュータ名:] このイベントが記録されたコンピュータ。 (コンピュータが削除されている場合、このエントリは「不明なコンピュータ」と表示されます)。
- [理由: ] このページのログエントリは、ファイアウォールルールまたはファイアウォールステートフル設定によって生成されます。エントリがファイアウォールルールによって生成された場合、列のエントリの先頭には「ファイアウォールルール:」が付き、その後にファイアウォールルールの名前が続きます。それ以外の場合、列のエントリには、ログエントリを生成したファイアウォールステートフル設定が表示されます。
- [タグ:] このイベントに適用されるイベントタグ。
- [処理: ] ファイアウォールルールまたはファイアウォールステートフル設定によって実行される処理。可能な処理は、[許可]、[拒否]、[強制的に許可]、および[ログのみ]です。
- [ランク:] ランク付けシステムは、侵入防御イベントとファイアウォールイベントの重要性を数値化する方法を提供します。コンピュータに「アセット価値」を割り当て、侵入防御ルールとファイアウォールルールに「重大度」を割り当てることで、イベントの重要度 (「ランク」) は、2つの値を掛け合わせて計算されます。これにより、侵入防御イベントまたはファイアウォールイベントを表示するときに、イベントをランク順に並べ替えることができます。
- [方向:] 影響を受けたパケットの方向 (受信または送信)。
- [インタフェース:] パケットが通過したインタフェースのMACアドレス。
- [フレームの種類:] のパケットのフレームタイプ。可能な値は、「IPV4」、「IPV6」、「ARP」、「REVARP」、および「その他: XXXX」です。XXXXは、フレームタイプの4桁の16進コードを表します。
- [プロトコル: ] 可能な値は、「ICMP」、「ICMPV6」、「IGMP」、「GGP」、「TCP」、「PUP」、「UDP」、「IDP」、「ND」、「RAW」、「TCP+UDP」、 AND "その他: nnn"。nnnは3桁の10進数を表します。
- [フラグ:] パケットに設定されているフラグ。
- [送信元IP:] パケットの送信元IP。
- [送信元MAC:] パケットの送信元MACアドレス。
- [送信元ポート:] パケットの送信元ポート。
- [送信先IP:] パケットの宛先IPアドレス。
- [送信先MAC:] パケットの宛先MACアドレス。
- [送信先ポート:] パケットの宛先ポート。
- [パケットサイズ:] パケットのサイズ (バイト単位)。
- [繰り返しカウント:] イベントが連続して繰り返された回数。
- [時間 (ミリ秒):] コンピュータでイベントが発生した時間のマイクロ秒単位の分解能。
- [イベント送信元:] イベントの発生元の Server & Workload Protection コンポーネント。
次の列も使用できます。 エージェントバージョン12 FR以降で保護されているコンピュータ上のコンテナからトリガされたイベントの情報が表示されます。
- [インタフェースの種類:] コンテナインタフェースの種類。
- [コンテナ名:] イベントが発生したコンテナの名前。
- [コンテナID:] イベントが発生したコンテナのコンテナID。
- [イメージ名:] イベントが発生したコンテナの作成に使用されたイメージ名。
- [RepoDigest:] コンテナイメージを識別する一意のダイジェスト。
- [プロセス名:] イベントの原因となったプロセスの名前 (コンテナ内)。
|
注意[ログのみ] ルールがログエントリを生成するのは、問題のパケットがその後で [拒否する] ルールまたはそれを除外する [allow (許可)] ルールによって停止されない場合のみです。これら2つのルールのいずれかによってパケットが停止された場合、 [ログのみ] ルールではなく、それらのルールによってログエントリが生成されます。後続のルールでパケットを停止しない場合は、ログのみのルールによってエントリが生成されます。
|
ファイアウォールイベント一覧
|
ID
|
イベント
|
備考
|
|
100
|
接続範囲外
|
既存の接続に関連付けられていないパケットを受信しました。
|
|
101
|
無効なフラグ
|
パケットに設定されているフラグが無効です。このイベントは、フラグが現在の接続 (存在する場合) のコンテキスト内で意味をなさないこと、またはフラグの無意味な組み合わせを示している可能性があります。
接続コンテキストを評価するには「ファイアウォールステートフル設定」がオンになっている必要があります。
|
|
102
|
無効なシーケンス
|
シーケンス番号が無効なパケットまたはデータサイズが範囲外のパケットが検出されました。
|
|
103
|
無効なACK
|
確認応答番号が無効なパケットが検出されました。
|
|
104
|
内部エラー
|
|
|
105
|
CEフラグ
|
パケットに輻輳フラグが設定されており、ポリシーの回避対策設定で、[TCP Congestion Flags] プロパティが [ログ] または [拒否] に設定されているカスタム設定が使用されている。
(「回避策の設定.)
|
|
106
|
無効なIP
|
パケットの送信元IPが無効です。
|
|
107
|
無効なIPデータグラム長
|
IPヘッダで指定されている長さよりも短いIPデータグラム長です。
|
|
108
|
フラグメント化
|
フラグメント化されたパケットが検出されました。お使いの環境では、フラグメント化された受信パケットを拒否するようにIPパケット検査が設定されています。
|
|
109
|
無効なフラグメントオフセット
|
|
|
110
|
最初のフラグメントが小さすぎる
|
フラグメント化されたパケットが検出されました。最初のフラグメントのサイズがTCPパケット (データなし) のサイズよりも小さくなっています。
パケットヘッダに次の設定が指定されている場合、パケットは破棄されます。
このイベントが発生しないようにするには、ポリシーのネットワークエンジンの詳細設定で、[最小フラグメントサイズ] プロパティの値を小さくするか、0に設定してこの検査をオフにします。
(「ネットワークエンジンの詳細オプション」を参照してください。コンピュータとポリシーエディタの設定.)
|
|
111
|
範囲を超えたフラグメント
|
フラグメント化されたパケットシーケンスに指定されているオフセットが、データグラムの最大サイズ範囲を超えています。
|
|
112
|
フラグメントオフセットが小さすぎる
|
フラグメント化されたパケットが検出されました。フラグメントのサイズがTCPパケット (データなし) のサイズよりも小さくなっています。
|
|
113
|
IPv6パケット
|
IPv6パケットが検出され、IPv6ブロックが有効になっています。 [ネットワークエンジンの詳細オプション] の [Agent and Appliance バージョン
9 以降で IPv6 をブロック] プロパティを参照コンピュータとポリシーエディタの設定.)
|
|
114
|
受信接続の上限
|
受信接続の数が、許可されている最大接続数を超えました。の「TCPステートフルインスペクションを有効にする」プロパティを参照してください。 TCPパケット検査。
|
|
115
|
送信接続の上限
|
送信接続数が、許可されている最大接続数を超えました。の「TCPステートフルインスペクションを有効にする」プロパティを参照してください。 TCPパケット検査。
|
|
116
|
SYN送信の上限
|
1台のコンピュータからのハーフオープン接続の数が、ファイアウォールのステートフル設定で指定された数を超えています。の「1台のコンピュータからのハーフオープン接続の数を制限する」プロパティを参照してください。 TCPパケット検査。
|
|
118
|
IPバージョン不明
|
IPv4またはIPv6以外のIPパケットが検出されました。
|
|
119
|
無効なパケット情報
|
|
|
120
|
内部エンジンエラー
|
システムメモリが不足しています。この問題を解決するには、システムリソースを追加してください。
|
|
121
|
未承諾のUDP
|
コンピュータに許可されていない受信UDPパケットは拒否されます。
|
|
122
|
未承諾のICMP
|
ファイアウォールステートフル設定でICMPステートフルが有効になっています。いずれの「強制的に許可」ルールにも一致しない未許可のパケットを受信しました。
|
|
123
|
ポリシーの許可外
|
パケットはいずれの「許可」ルールまたは「強制的に許可」ルールにも一致しないため黙示的に拒否されます。
|
|
124
|
不正なポートコマンド
|
FTP制御チャネルのデータストリームで無効なFTPポートコマンドが検出されました。
|
|
125
|
SYN Cookieエラー
|
SYN Cookieの保護メカニズムでエラーが発生しました。
|
|
126
|
無効なデータオフセット
|
データオフセットパラメータが無効です。
|
|
127
|
IPヘッダなし
|
パケットIPヘッダが無効または不完全です。
|
|
128
|
読み取り不能なイーサネットヘッダ
|
このイーサネットフレームに含まれるデータがイーサネットヘッダよりも少なくなっています。
|
|
129
|
未定義
|
|
|
130
|
送信元と送信先のIPが同じ
|
送信元IPと送信先IPが同じです。
|
|
131
|
無効なTCPヘッダ長
|
|
|
132
|
読み取り不能なプロトコルヘッダ
|
読み取り不能なTCP、UDP、またはICMPヘッダがパケットに含まれています。
|
|
133
|
読み取り不能なIPv4ヘッダ
|
読み取り不能なIPv4ヘッダがパケットに含まれています。
|
|
134
|
不明なIPバージョン
|
IPバージョンを認識できません。
|
|
135
|
不正なアダプタ設定
|
無効なアダプタ設定を受信しました。
|
|
136
|
オーバーラッピングフラグメント
|
このパケットのフラグメントは以前に送信されたフラグメントと重複しています。
|
|
138
|
切断された接続上のパケット
|
すでに切断された接続に属するパケットを受信しました。
|
|
139
|
再送の破棄
|
ネットワークエンジンは、同じTCP接続ですでに受信したデータと重複しているが、すでに受信したデータとは一致しないTCPパケットを検出しました。 (ネットワークエンジンは、エンジンの接続バッファにキューイングされていたパケットデータと、再送信されたパケット内のデータを比較します)。
ネットワークエンジンは、処理する各TCP接続の順序付けられたデータストリームを再構築します。受信したパケットのシーケンス番号と長さは、このデータストリームの特定の領域を指定します。ログのメモフィールドは、TCPストリーム内の変更されたコンテンツの場所を示します。prev-full、prev-part、next-full、およびnext-part:
|
|
140
|
未定義
|
|
|
141
|
ポリシーで未許可 (オープンポート)
|
|
|
142
|
新しい接続の開始
|
|
|
143
|
無効なチェックサム
|
|
|
144
|
無効なフック
|
|
|
145
|
IPペイロードがゼロ
|
|
|
146
|
IPv6ソースがマルチキャスト
|
|
|
147
|
無効なIPv6アドレス
|
|
|
148
|
最小サイズ以下のIPv6のフラグメント
|
|
|
149
|
無効なトランスポートヘッダ長
|
|
|
150
|
メモリ不足
|
|
|
151
|
最大TCP接続数
|
TCP接続の最大数を超えました。参照許可されるTCP接続の最大数を増やす。
|
|
152
|
最大UDP接続数
|
|
|
200
|
リージョンサイズの超過
|
リージョン (編集リージョン、URIなど) が閉じられずに、バッファの最大許容サイズ (7570バイト) を 超えました。これは、通常、データがプロトコルに適合していないために発生します。
|
|
201
|
メモリ不足
|
リソースを使い果たしたため、パケットを正しく処理できませんでした。これは、バッファリング (最大2048) またはリソースのマッチング (最大128) を同時に必要とする同時接続が多すぎるため、または単一のIPパケット内での一致が多すぎる
(最大2048) ため、または単にシステムのメモリ不足が原因である可能性があります。
|
|
202
|
編集回数の超過
|
パケットの単一リージョンにおける最大編集回数 (32回) を超えました。
|
|
203
|
編集範囲の超過
|
リージョンのサイズを最大許容サイズ (8,188バイト) よりも増やそうとする編集が試行されました。
|
|
204
|
パケットの最大一致数を超過
|
パケット内でパターンに一致する地点が2,048箇所を超えています。この制限に達するパケットは通常ガベージパケットまたは回避パケットであるため、エラーが返されて接続が破棄されます。
|
|
205
|
エンジンのコールスタック数の超過
|
|
|
206
|
ランタイムエラー
|
ランタイムエラーです。
|
|
207
|
パケットの読み込みエラー
|
パケットデータの読み込み中に発生した低レベルの問題です。
|
|
257
|
フェールオープン: 拒否
|
破棄する必要のあるパケットを記録し、Fail-Open機能がオンでインラインモードの場合には記録しません。
|
|
300
|
サポートされていない暗号化
|
不明またはサポートされていない暗号化スイートが要求されました。
|
|
301
|
マスターキーの生成エラー
|
マスターシークレットから、暗号化キー、MACシークレット、および初期化ベクタを生成できません。
|
|
302
|
レコードレイヤメッセージ (準備ができていません)
|
SSL状態エンジンで、セッションの初期化前にSSLレコードが検出されました。
|
|
303
|
ハンドシェークメッセージ (準備ができていません)
|
SSL状態エンジンで、ハンドシェークのネゴシエーション後にハンドシェークメッセージが検出されました。
|
|
304
|
ハンドシェークメッセージの障害
|
適切にフォーマットされたハンドシェークメッセージが、誤った順序で検出されました。
|
|
305
|
メモリの割り当てエラー
|
リソースを使い果たしたため、パケットを正しく処理できませんでした。これは、バッファリング (最大2048) またはリソースのマッチング (最大128) を同時に必要とする同時接続が多すぎるため、または単一のIPパケット内での一致が多すぎる
(最大2048) ため、または単にシステムのメモリ不足が原因である可能性があります。
|
|
306
|
サポートされていないSSLバージョン
|
クライアントがSSL V2バージョンのネゴシエーションを試行しました。
|
|
307
|
プレマスターキーの復号化時のエラー
|
ClientKeyExchangeメッセージからプレマスターシークレットを復号化できません。
|
|
308
|
クライアントによるロールバックの試行
|
クライアントが、ClientHelloメッセージに指定されたバージョンより古いバージョンのSSLプロトコルへのロールバックを試行しました。
|
|
309
|
更新エラー
|
キャッシュされたセッションキーでSSLセッションが要求されましたが、該当するセッションキーが見つかりませんでした。
|
|
310
|
鍵の交換エラー
|
サーバが一時的に生成されたキーを使用してSSLセッションを確立しようとしています。
|
|
311
|
SSLキー交換の上限を超過
|
キー交換の同時要求数が上限を超えました。
|
|
312
|
鍵サイズの超過
|
マスターの秘密鍵がプロトコルIDで指定されたサイズを超えています。
|
|
313
|
ハンドシェーク内の不正なパラメータ
|
ハンドシェークプロトコルのデコード中に無効または不正な値が検出されました。
|
|
314
|
利用可能なセッションなし
|
|
|
315
|
未サポートの圧縮方法
|
|
|
316
|
サポートされていないアプリケーション層プロトコル
|
不明またはサポートされていないSSLアプリケーション層プロトコルが要求されました。
|
|
385
|
フェールオープン: 拒否
|
破棄する必要のあるパケットを記録し、Fail-Open機能がオンでタップモードの場合には記録しません。
|
|
500
|
URIパスの深さが超過
|
「/」区切り文字が多すぎます。パスの深さは最大100です。
|
|
501
|
無効なトラバーサル
|
ルートより上位に「../」を使用しようとしました。
|
|
502
|
URIに使用できない文字
|
URIに無効な文字が使用されています。
|
|
503
|
不完全なUTF8シーケンス
|
UTF8シーケンスの途中でURIが終了しました。
|
|
504
|
無効なUTF8の符号化
|
無効または規定外のエンコードが試行されました。
|
|
505
|
無効な16進の符号化
|
%nnのnnが16進数ではありません。
|
|
506
|
URIパス長の超過
|
パス長が512文字を超えています。
|
|
507
|
不正な文字の使用
|
無効な文字を使用しています。
|
|
508
|
二重デコードの攻撃コード
|
二重デコードの攻撃コードです (%25xx、%25%xxdなど)。
|
|
700
|
不正なBase64コンテンツ
|
Base64形式でエンコードされるはずのパケットコンテンツが正しくエンコードされませんでした。
|
|
710
|
破損したDeflate/GZIPコンテンツ
|
Base64形式でエンコードされるはずのパケットコンテンツが正しくエンコードされませんでした。
|
|
711
|
不完全なDeflate/GZIPコンテンツ
|
不完全なDeflate/GZIPコンテンツです
|
|
712
|
Deflate/GZIPチェックサムエラー
|
Deflate/GZIPチェックサムエラーです。
|
|
713
|
未サポートのDeflate/GZIP辞書
|
サポートされていないDeflate/GZIP辞書です。
|
|
714
|
サポートされていないGZIPヘッダ形式/方法
|
サポートされていないGZIPヘッダ形式または方法です。
|
|
801
|
プロトコルデコード検索の上限を超過
|
プロトコルデコードルールには検索またはPDUオブジェクトの制限が定義されていますが、オブジェクトを見つける前に制限に達しました。
|
|
802
|
プロトコルデコードの制約エラー
|
プロトコルデコードルールによってデコードされたデータが、プロトコルコンテンツの制約を満たしていません。
|
|
803
|
プロトコルデコードエンジンの内部エラー
|
|
|
804
|
プロトコルデコードの構造の超過
|
プロトコルデコードルールで、型の最大ネスト深度 (16) を超える型定義とパケットコンテンツが検出されました。
|
|
805
|
プロトコルデコードのスタックエラー
|
ルールのプログラミングエラーが原因で、反復が発生したか、またはネストされたプロシージャコールが使用されようとしました。
|
|
806
|
データの無限ループエラー
|