本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

ファイアウォールイベント

イベントに関する全般的なベストプラクティスについては、Deep Securityのイベントを参照してください。

Deep Securityでキャプチャされたファイアウォールイベントを確認するには、[イベントとレポート]→[イベント]→[ファイアウォールイベント] の順に選択します。

ファイアウォールイベントのアイコン:

• 単一イベント
• データ付き単一イベント
• 折りたたみイベント
• データ付き折りたたみイベント

ファイアウォールイベントで表示される情報

[ファイアウォールイベント] 画面には次の列が表示されます。[列] をクリックして、表に表示する列を選択することができます。

• 時刻: コンピュータ上でイベントが発生した時刻。
• コンピュータ: このイベントのログが記録されたコンピュータ (コンピュータが削除されている場合、このエントリは「不明コンピュータ」と表示されます)。
• 理由: この画面のログエントリが、ファイアウォールルールによって生成されたか、またはファイアウォールステートフル設定によって生成されたかを示します。エントリがファイアウォールルールによって生成された場合、列エントリには、「ファイアウォールルール:」と表示され、続いてファイアウォールルールの名前が表示されます。それ以外の場合、列エントリには、ログエントリを生成したファイアウォールステートフル設定の内容が表示されます。
• タグ: このイベントに適用されているイベントタグ。
• 処理: ファイアウォールルールまたはファイアウォールステートフル設定によって実行された処理。処理には、許可、拒否、強制的に許可、ログのみがあります。
• ランク: ランク付けシステムでは、侵入防御およびファイアウォールイベントの重要度を数値化できます。コンピュータに「資産評価」を割り当て、侵入防御ルールとファイアウォールルールに「重要度」を割り当て、これら2つの値を掛け合わせることによって、イベントの重要度 (ランク) が計算されます。これによって、侵入防御イベントまたはファイアウォールイベントを表示するときに、イベントをランクでソートできます。
• 方向: パケットの方向 (受信または送信)。
• インタフェース: パケットが経由するインタフェースのMACアドレス。
• フレームの種類: 対象となるパケットのフレームの種類。値は、[IPV4]、[IPV6]、[ARP]、[REVARP]、および [その他: XXXX] (XXXXはフレームの種類を示す4桁の16進コード) のいずれかになります。
• プロトコル: 値は、[ICMP]、[ICMPV6]、[IGMP]、[GGP]、[TCP]、[PUP]、[UDP]、[IDP]、[ND]、[RAW]、[TCP+UDP]、および [その他: nnn] (nnnは、3桁の10進値) のいずれかになります。
• フラグ: パケットに設定されたフラグ。
• 送信元IP: パケットの送信元IP。
• 送信元MAC: パケットの送信元MACアドレス。
• 送信元ポート: パケットの送信元ポート。
• 送信先IP: パケットの送信先IP。
• 送信先MAC: パケットの送信先MACアドレス。
• 送信先ポート: パケットの送信先ポート。
• パケットサイズ: バイト単位のパケットのサイズ。
• 繰り返しカウント: イベントが連続して繰り返された回数。
• 時間 (マイクロ秒): コンピュータ上でイベントが発生した時間 (マイクロ秒)。
• イベント送信元: イベントの送信元であるDeep Securityコンポーネント。

ファイアウォールイベント一覧

ID	イベント	備考
100	セッション情報なし	既存の接続に関連付けられていないパケットを受信しました。
101	不正なフラグ	パケットに設定されたフラグが無効です。このイベントは、現在の接続 (存在する場合) のコンテキスト内で意味をなさないフラグ、または無意味な組み合わせのフラグであることを示しています。 接続コンテキストを評価するには「ファイアウォールステートフル設定」がオンになっている必要があります。
102	不正なシーケンス	シーケンス番号が無効なパケットまたはデータサイズが範囲外のパケットが検出されました。
103	不正なACK	確認応答番号が無効なパケットが検出されました。
104	内部エラー
105	CEフラグ	パケットに輻輳フラグが設定されていたり、ポリシーの回避技術対策でTCP輻輳フラグプロパティがログまたは拒否に設定されているカスタム設定を使用したりしています (回避技術対策の設定を参照)。
106	不正なIP	パケットの送信元IPが無効です。
107	不正なIPデータグラム長	IPヘッダで指定されている長さよりも短いIPデータグラム長です。
108	フラグメント化	フラグメント化されたパケットが検出されました。フラグメント化されたパケットは許可されていません。
109	不正なフラグメントオフセット
110	最初のフラグメントが最小サイズ未満	フラグメント化されたパケットが検出されました。最初のフラグメントのサイズがTCPパケット (データなし) のサイズよりも小さくなっています。 パケットヘッダに次の設定が指定されている場合、パケットは破棄されます。 フラグメントオフセット = 0 (フラグメントはパケットの最初のフラグメントです) 合計長 (最大組み合わせヘッダ長) < 120バイト (デフォルトの許容最小フラグメントサイズ) このイベントの再発を防止するには、最小フラグメントサイズプロパティの値を低くするようにポリシーのネットワークエンジンの詳細設定を行うか、この監視をオフにするように0に設定します (ネットワークエンジン設定の「ネットワークエンジンの詳細オプション」を参照)。
111	範囲外のフラグメント	フラグメント化されたパケットシーケンスに指定されているオフセットが、データグラムの最大サイズ範囲を超えています。
112	最小オフセット値以下のフラグメント	フラグメント化されたパケットが検出されました。フラグメントのサイズがTCPパケット (データなし) のサイズよりも小さくなっています。
113	IPv6パケット	IPv6パケットが検出されました。IPv6ブロックが有効になっています。「ネットワークエンジンの詳細オプション」の「バージョン9以降のAgentとApplianceでIPv6をブロック」プロパティ (ネットワークエンジン設定を参照) を参照してください。
114	受信接続の上限	受信接続数が最大許容数を超えました。TCPパケットインスペクションの「TCPステートフルインスペクションを有効にする」プロパティを参照してください。
115	送信接続の上限	送信接続数が最大許容数を超えていました。TCPパケットインスペクションの「TCPステートフルインスペクションを有効にする」プロパティを参照してください。
116	SYN送信の上限	単一コンピュータからのハーフオープン接続数がファイアウォールステートフル設定に指定された数を超えています。TCPパケットインスペクションの「単一コンピュータからのハーフオープン接続数の上限」プロパティを参照してください。
118	不明なIPバージョン	IPv4またはIPv6以外のIPパケットが検出されました。
119	不正なパケット情報
120	内部エンジンエラー	システムメモリの不足。システムリソースを追加してこの問題を修正します。
121	許可されていないUDP応答	コンピュータに許可されていない受信UDPパケットは拒否されます。
122	許可されていないICMP応答	ファイアウォールステートフル設定でICMPステートフルが有効になっています。いずれの「強制的に許可」ルールにも一致しない未許可のパケットを受信しました。
123	ポリシーで未許可	パケットはいずれの「許可」ルールまたは「強制的に許可」ルールにも一致しないため黙示的に拒否されます。
124	不正なポートコマンド	FTP制御チャネルのデータストリームで無効なFTPポートコマンドが検出されました。
125	SYN Cookieエラー	SYN Cookieの保護メカニズムでエラーが発生しました。
126	不正なデータオフセット	データオフセットパラメータが無効です。
127	IPヘッダなし	パケットIPヘッダが無効または不完全です。
128	読み取り不能なイーサネットヘッダ	このイーサネットフレームに含まれるデータがイーサネットヘッダよりも少なくなっています。
129	未定義
130	送信元および送信先IPが同一	送信元IPと送信先IPが同じです。
131	不正なTCPヘッダ長
132	読み取り不能なプロトコルヘッダ	読み取り不能なTCP、UDP、またはICMPヘッダがパケットに含まれています。
133	読み取り不能なIPv4ヘッダ	読み取り不能なIPv4ヘッダがパケットに含まれています。
134	不明なIPバージョン	IPバージョンを認識できません。
135	不正なアダプタ設定	無効なアダプタ設定を受信しました。
136	重複しているフラグメント	このパケットのフラグメントは以前に送信されたフラグメントと重複しています。
138	切断された接続上のパケット	すでに切断された接続に属するパケットを受信しました。
139	再送の破棄	ネットワークエンジンが、同じTCP接続ですでに受信したデータと重複しているTCPパケットを検出しましたが、すでに受信したデータと一致しません。(ネットワークエンジンは、エンジンの接続バッファ内の処理待ちパケットデータと再送信されたパケットのデータを比較します。) ネットワークエンジンは、処理するTCP接続ごとにデータストリームを順番に再構築します。受信パケットのシーケンス番号と長さにより、このデータストリームの特定の領域が決まります。ログの注記用フィールドは、TCPストリームで変更した次のコンテンツの場所を示します。prev-full、prev-part、next-full、およびnext-part。 「prev-full」と「prev-part」:変更領域は、順番に整理されたデータストリームの再送信パケットをすぐに処理するパケット内にあります。「prev-full」は、変更領域が順番に整理されたデータストリームの再送信パケットをすぐに処理するパケット内に完全に含まれることを示します。それ以外の場合の注記は「prev-part」です。 「next-full」と「next-part」:変更領域は、順番に整理されたデータストリームの再送信パケットのすぐ後に続くパケット内にあります。「next-full」は、変更領域が順番に整理されたデータストリームの再送信パケットのすぐ後に続くパケット内に完全に含まれることを示します。それ以外の場合の注記は「next-part」です。
140	未定義
141	ポリシーで未許可 (オープンポート)
142	新しい接続の開始
143	無効なチェックサム
144	無効なフック
145	IPペイロードがゼロ
146	IPv6ソースがマルチキャスト
147	無効なIPv6アドレス
148	最小サイズ以下のIPv6のフラグメント
149	無効なトランスポートヘッダ長
150	メモリ不足
151	最大TCP接続数	TCP接続の最大数が超えました。 イベント: 最大TCP接続数を参照してください。
152	最大UDP接続数
200	リージョンサイズの超過	リージョン (編集リージョン、URIなど) が閉じられずに、バッファの最大許容サイズ (7570バイト) を超えました。これは、通常、データがプロトコルに適合していないために発生します。
201	メモリ不足	リソースがなくなったため、パケットを適切に処理できませんでした。これは、多くの同時接続によってバッファ (最大2,048) や一致リソース (最大128) が一度に要求された場合、1つのIPパケットにおける一致数 (最大2,048) を超過した場合、または単にシステムのメモリが不足した場合に発生することがあります。
202	編集回数の超過	パケットの単一リージョンにおける最大編集回数 (32回) を超えました。
203	編集範囲の超過	リージョンのサイズを最大許容サイズ (8,188バイト) よりも増やそうとする編集が試行されました。
204	パケットの最大一致数を超過	パケット内でパターンに一致する地点が2,048箇所を超えています。この制限に達するパケットは通常ガベージパケットまたは回避パケットであるため、エラーが返されて接続が破棄されます。
205	エンジンのコールスタック数の超過
206	ランタイムエラー	ランタイムエラーです。
207	パケットの読み込みエラー	パケットデータの読み込み中に発生した低レベルの問題です。
257	Fail-Open:拒否 (ログに記録)	破棄する必要のあるパケットを記録し、Fail-Open機能がオンでインラインモードの場合には記録しません。
300	サポートされていない暗号化	不明またはサポートされていない暗号化スイートが要求されました。
301	マスターキーの生成エラー	マスターシークレットから、暗号化キー、MACシークレット、および初期化ベクタを生成できません。
302	レコードレイヤメッセージ (準備ができていません)	SSL状態エンジンで、セッションの初期化前にSSLレコードが検出されました。
303	ハンドシェークメッセージ (準備ができていません)	SSL状態エンジンで、ハンドシェークのネゴシエーション後にハンドシェークメッセージが検出されました。
304	ハンドシェークメッセージの障害	適切にフォーマットされたハンドシェークメッセージが、誤った順序で検出されました。
305	メモリの割り当てエラー	リソースがなくなったため、パケットを適切に処理できませんでした。これは、多くの同時接続によってバッファ (最大2,048) や一致リソース (最大128) が一度に要求された場合、1つのIPパケットにおける一致数 (最大2,048) を超過した場合、または単にシステムのメモリが不足した場合に発生することがあります。
306	サポートされていないSSLバージョン	クライアントがSSL V2バージョンのネゴシエーションを試行しました。
307	プレマスターキーの復号時のエラー	ClientKeyExchangeメッセージからプレマスターシークレットを復号できません。
308	クライアントによるロールバックの試行	クライアントが、ClientHelloメッセージに指定されたバージョンより古いバージョンのSSLプロトコルへのロールバックを試行しました。
309	更新エラー	キャッシュされたセッションキーでSSLセッションが要求されましたが、該当するセッションキーが見つかりませんでした。
310	鍵の交換エラー	サーバが一時的に生成されたキーを使用してSSLセッションを確立しようとしています。
311	SSLキー交換の上限を超過	キー交換の同時要求数が上限を超えました。
312	鍵サイズの超過	マスターの秘密鍵がプロトコルIDで指定されたサイズを超えています。
313	ハンドシェーク内の不正なパラメータ	ハンドシェークプロトコルのデコード中に無効または不正な値が検出されました。
314	利用可能なセッションなし
315	未サポートの圧縮方法
316	サポートされていないアプリケーション層プロトコル	不明、またはサポートされていないSSLアプリケーション層プロトコルが要求されました。
385	Fail-Open:拒否 (ログに記録)	破棄する必要のあるパケットを記録し、Fail-Open機能がオンでタップモードの場合には記録しません。
500	URIパスの深さが超過	区切り文字「/」が多すぎます。パスの深さは最大100です。
501	無効なトラバーサル	ルートより上位に「../」を使用しようとしました。
502	URIに使用できない文字	URIに無効な文字が使用されています。
503	不完全なUTF8シーケンス	UTF8シーケンスの途中でURIが終了しました。
504	無効なUTF8の符号化	無効または規定外のエンコードが試行されました。
505	無効な16進の符号化	%nnのnnが16進数ではありません。
506	URIパス長の超過	パス長が512文字を超えています。
507	不正な文字の使用	無効な文字を使用しています。
508	二重デコードの攻撃コード	二重デコードの攻撃コードです (%25xx、%25%xxdなど)。
700	不正なBase64コンテンツ	Base64形式でエンコードされるはずのパケットコンテンツが正しくエンコードされませんでした。
710	破損したDeflate/GZIPコンテンツ	Base64形式でエンコードされるはずのパケットコンテンツが正しくエンコードされませんでした。
711	不完全なDeflate/GZIPコンテンツ	不完全なDeflate/GZIPコンテンツです
712	Deflate/GZIPチェックサムエラー	Deflate/GZIPチェックサムエラーです。
713	未サポートのDeflate/GZIP辞書	サポートされていないDeflate/GZIP辞書です。
714	サポートされていないGZIPヘッダ形式/方法	サポートされていないGZIPヘッダ形式または方法です。
801	プロトコルデコード検索の上限を超過	プロトコルデコードルールには検索またはPDUオブジェクトの制限が定義されていますが、オブジェクトを見つける前に制限に達しました。
802	プロトコルデコードの制約エラー	プロトコルデコードルールによってデコードされたデータが、プロトコルコンテンツの制約を満たしていません。
803	プロトコルデコードエンジンの内部エラー
804	プロトコルデコードの構造の超過	プロトコルデコードルールで、型の最大ネスト深度 (16) を超える型定義とパケットコンテンツが検出されました。
805	プロトコルデコードのスタックエラー	ルールのプログラミングエラーが原因で、反復が発生したか、またはネストされたプロシージャコールが使用されようとしました。
806	データの無限ループエラー