ログリンク機能のしくみ

ログリンク機能は、ログデータから外部システムへのリンクを提供します (たとえば、トラブルチケット、PCAP コレクションシステム、セキュリティスキャンなど)。ログビューアのログ詳細ページの下部にリンクが表示され、構築された URL が新しいブラウザウィンドウで開かれます。

リンク URL の作成に使用できるログの情報:

• src-ソース IP アドレス
• dst-宛先 IP アドレス
• スポーツソースポート
• dport-宛先ポート
• 原始プロトコル
• recvtime_YYYY-受信時間の年
• recvtime_MM-受信時間の月
• recvtime_DD-受信時間の日
• recvtime_hh-受信時間の時間
• recvtime_mm-分の受信時間
• recvtime_ss-受信時間の秒
• 経過時間 (秒単位のセッション時間。トラフィックログでのみ使用可能、"" それ以外の場合)
• 方向-クライアントとサーバー間またはサーバー間 (脅威、データフィルタリング、URL ログのみ使用可能)
• suser-ソースユーザー
• duser-デスティネーションユーザ
• szone-ソースゾーン
• dzone-デスティネーションゾーン
• 進入インタフェース
• 出口出口インターフェイス

ログリンク機能を有効にするには、次の CLI コマンドを使用します。

# セット deviceconfig システムログリンク VirusTotal url https://www.virustotal.com/en/ip-address/{src} 兼務

# 設定 deviceconfig システムログリンク VirusTotal. dst url https://www.virustotal.com/en/ip-address/{dst} 兼務

URL の例: https://www.virustotal.com/en/ip-address/91.220.163.35/information/

この例の URL を使用して上記のコマンドを実行すると、[ログの詳細] ウィンドウに VirusTotal への2つのログリンクが作成されます (ソース ip 用と宛先 ip 用のもの)。

複数のリンクを設定することができ、すべてのログの詳細ウィンドウの下部に表示されます。

メモ:高可用性 (HA) 環境のデバイスペア間では、ログリンクの構成は同期されません。したがって、ログリンクの構成は、アクティブボックスとパッシブの両方の箱で手動で実行する必要があります。