URL 脅威の終了理由を示すフィルタリング ブロック
50903
Created On 04/08/19 21:49 PM - Last Modified 03/26/21 17:36 PM
Symptom
フィルタリング プロファイルによってブロックされている同じセッションの Web ブラウザ トラフィックには URL 、2 つの個別のログ エントリが表示されます。 1 つは 「許可」アクションを示し、もう 1 つは 「ブロック URL」を示しています。 トラフィックはブロックされましたが、脅威ログの内部に対するエントリはありません。
IDこのセッションは 73419 です。 ID脅威ログでこのセッションを検索する場合、エントリはありません。
Cause
セッションの作成後に firewall 、"コンテンツ検査の設定" を実行します。 URLフィルタリング エンジンが を決定 URL し、適切なアクションを実行します。
この記事では URL 、フィルタの優先順位について説明https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClsmCAC
Resolution
このトラフィックの場合、カテゴリ"プライベート ip アドレス" はブロックに設定されます。 ブロック firewall する URL カテゴリセットに当たると判断されると、 firewall ブロックウェブページが挿入されます。 フィルター ログには、カテゴリ URL URL 、および実行されたアクションを示すログ エントリが記録されます。
フィルタリングのブロックアクション URL がコンテンツエンジンで発生したため ID 、 firewall その観点からは、 TCP セッションはエンジンからのブロックなしで処理されました firewall 。 firewallエンジンは、このセッションを許可された状態で表示します。 コンテンツ ID エンジンのブロックにより、トラフィックは依然としてブロックされています。 この動作の結果 は、1 つのセッションに対して 2 つの別個のログ エントリになります。
IDセッションがタイムアウトする前に、コンテンツ エンジンがセッションをブロックしたため、ブロック アクション URL ログ エントリには firewall 、"allow" アクションを含むログ エントリよりも前の受信時刻が表示されます。
重要な注意点の 1 つは、"脅威" の終了理由を示すセッションのすべてが脅威ログに記録されるわけではないということです。
参照のために、以下の構成可能なプロファイルには、次のログにエントリがあります。
>ログを監視する:
- 脅威: ウイルス対策、スパイウェア対策、脆弱性保護、DoS 保護
- URL フィルタリング: URL プロファイルのフィルタリング
- データフィルタリング: ファイルブロック、データフィルタリング