ファイアウォール：タイプ2のログフォーマットについて知りたい

ファイアウォール：タイプ2のログフォーマットについて知りたい

サンプルログ

トラフィック

icmp	Jun 1 15:10:27 isa12345678 isi12345678 date=2025-06-01 time=15:10:27 devid="" eventtime=1748758227929256949 tz="+0900" logid="0000000020" type="traffic" subtype="forward" level="notice" vd="root" srcip=192.0.2.10 identifier=2 srcintf="" srcintfrole="undefined" dstip=203.0.113.1 dstintf="" dstintfrole="undefined" srccountry="Reserved" dstcountry="Japan" sessionid=1543610 proto=1 action="accept" policyid=13 policytype="policy" poluuid="ac1a2dc8-3da7-51ee-37e8-99997c8683b5" policyname="allow_icmp" service="" duration=6490 sentbyte=382140 rcvdbyte=382140 sentpkt=6369 rcvdpkt=6369 appcat="unscanned" sentdelta=7080 rcvddelta=7080"
udp	Jun 1 15:30:41 isa12345678 isi12345678 date=2025-06-01 time=15:30:41 devid="" eventtime=1748759441572775975 tz="+0900" logid="0000000013" type="traffic" subtype="forward" level="notice" vd="root" srcip=192.0.2.10 srcport=63706 srcintf="" srcintfrole="undefined" dstip=203.0.113.2 dstport=53 dstintf="" dstintfrole="undefined" srccountry="Reserved" dstcountry="Japan" sessionid=1550334 proto=17 action="accept" policyid=4 policytype="policy" poluuid="321bfbb2-3da9-51ee-7f02-82ecdd9ea554" policyname="allow_web_access" service="" appid=16195 app="DNS" appcat="Network.Service" apprisk="elevated" applist="ISA_Default_APP" duration=180 sentbyte=99 rcvdbyte=131 sentpkt=1 rcvdpkt=1
tcp	Jun 1 16:36:06 isa12345678 isi12345678 date=2025-06-01 time=16:36:06 devid="" eventtime=1748763366112780690 tz="+0900" logid="0000000013" type="traffic" subtype="forward" level="notice" vd="root" srcip=192.0.2.10 srcport=55399 srcintf="" srcintfrole="undefined" dstip=203.0.113.72 dstport=80 dstintf="" dstintfrole="undefined" srccountry="Reserved" dstcountry="Japan" sessionid=1556003 proto=6 action="close" policyid=4 policytype="policy" poluuid="321bfbb2-3da9-51ee-7f02-82ecdd9ea554" policyname="allow_web_access" service="" duration=6 sentbyte=706 rcvdbyte=406 sentpkt=5 rcvdpkt=5 appcat="unscanned" wanin=202 wanout=502 lanin=502 lanout=502
tcp+app1	Jun 1 15:32:08 isa12345678 isi12345678 date=2025-06-01 time=15:32:08 devid="" eventtime=1748759528492827168 tz="+0900" logid="0000000013" type="traffic" subtype="forward" level="notice" vd="root" srcip=192.0.2.10 srcport=54945 srcintf="" srcintfrole="undefined" dstip=203.0.113.211 dstport=443 dstintf="" dstintfrole="undefined" srccountry="Reserved" dstcountry="United States" sessionid=1550639 proto=6 action="close" policyid=4 policytype="policy" poluuid="321bfbb2-3da9-51ee-7f02-82ecdd9ea554" policyname="allow_web_access" service="" appid=15895 app="SSL" appcat="Network.Service" apprisk="elevated" applist="ISA_Default_APP" duration=5 sentbyte=793 rcvdbyte=5030 sentpkt=11 rcvdpkt=7 wanin=6295 wanout=349 lanin=197 lanout=197
tcp+app2	Jun 1 15:19:14 isa12345678 isi12345678 date=2025-06-01 time=15:19:14 devid="" eventtime=1748758754852832389 tz="+0900" logid="0000000013" type="traffic" subtype="forward" level="notice" vd="root" srcip=192.0.2.10 srcport=54767 srcintf="" srcintfrole="undefined" dstip=203.0.113.62 dstport=143 dstintf="" dstintfrole="undefined" srccountry="Reserved" dstcountry="Japan" sessionid=1549746 proto=6 action="client-rst" policyid=4 policytype="policy" poluuid="321bfbb2-3da9-51ee-7f02-82ecdd9ea554" policyname="allow_web_access" service="" appid=27783 app="IMAPS" appcat="Email" apprisk="medium" applist="ISA_Default_APP" duration=5 sentbyte=918 rcvdbyte=4245 sentpkt=11 rcvdpkt=10 utmaction="allow" countapp=1
tcp+ssl	Jun 1 15:33:38 isa12345678 isi12345678 date=2025-06-01 time=15:33:38 devid="" eventtime=1748759618542842964 tz="+0900" logid="0000000013" type="traffic" subtype="forward" level="notice" vd="root" srcip=192.0.2.10 srcport=54938 srcintf="" srcintfrole="undefined" dstip=203.0.113.94 dstport=443 dstintf="" dstintfrole="undefined" srccountry="Reserved" dstcountry="United States" sessionid=1550610 proto=6 action="client-rst" policyid=4 policytype="policy" poluuid="321bfbb2-3da9-51ee-7f02-82ecdd9ea554" policyname="allow_web_access" service="" appid=15895 app="SSL" appcat="Network.Service" apprisk="elevated" applist="ISA_Default_APP" duration=120 sentbyte=844 rcvdbyte=3272 sentpkt=11 rcvdpkt=10 wanin=4613 wanout=400 lanin=375 lanout=375 utmaction="allow" countssl=1

UTM

ssl検査	Jun 1 15:41:41 isa12345678 isi12345678 date=2025-06-01 time=15:41:41 devid="" eventtime=1748760101274135253 tz="+0900" logid="1700062302" type="utm" subtype="ssl" eventtype="ssl-anomaly" level="notice" vd="root" action="resign-as-untrusted" policyid=4 poluuid="321bfbb2-3da9-51ee-7f02-82ecdd9ea554" policytype="policy" sessionid=1551302 service="" profile="ISA_Full_Inspection" srcip=192.0.2.10 srcport=55064 srccountry="Reserved" dstip=203.0.113.90 dstport=443 dstcountry="United States" srcintf="" srcintfrole="undefined" dstintf="" dstintfrole="undefined" srcuuid="d965be38-27a3-51ee-c973-e7c987f450fc" dstuuid="d965be38-27a3-51ee-c973-e7c987f450fc" proto=6 eventsubtype="certificate-anomaly" msg="Server certificate is r-signed as untrusted, certificate-status: untrusted." hostname="example.com"
アプリケーション制御	Jun 1 15:19:08 isa12345678 isi12345678 date=2025-06-01 time=15:19:08 devid="" eventtime=1748758748753320552 tz="+0900" logid="1059028704" type="utm" subtype="app-ctrl" eventtype="signature" level="information" vd="root" appid=27783 srcip=192.0.2.10 srccountry="Reserved" dstip=203.0.113.62 dstcountry="Japan" srcport=54767 dstport=143 srcintf="" srcintfrole="undefined" dstintf="" dstintfrole="undefined" proto=6 service="" direction="outgoing" policyid=4 poluuid="321bfbb2-3da9-51ee-7f02-82ecdd9ea554" policytype="policy" sessionid=1549746 applist="ISA_Default_APP" action="pass" appcat="Email" app="IMAPS" incidentserialno=117448862 msg="Email: IMAPS" apprisk="medium"
アンチマルウェア	Jun 1 15:46:51 isa12345678 isi12345678 date=2025-06-01 time=15:46:51 devid="" eventtime=1748760411858565444 tz="+0900" logid="0211008192" type="utm" subtype="virus" eventtype="infected" level="warning" vd="root" policyid=4 poluuid="321bfbb2-3da9-51ee-7f02-82ecdd9ea554" policytype="policy" msg="File is infected." action="blocked" service="" sessionid=1551760 srcip=192.0.2.10 dstip=203.0.113.97 srcport=55164 dstport=443 srccountry="Reserved" dstcountry="Germany" srcintf="" srcintfrole="undefined" dstintf="" dstintfrole="undefined" srcuuid="d965be38-27a3-51ee-c973-e7c987f450fc" dstuuid="d965be38-27a3-51ee-c973-e7c987f450fc" proto=6 direction="incoming" filename="example.com.txt" quarskip="File-was-not-quarantined" virus="EXAMPLE_TEST_FILE" viruscat="Virus" dtype="av-engine" ref="http://www.fortinet.com/ve?vn=EXAMPLE_TEST_FILE" virusid=2172 url="https://www.example.com/example.com.txt" profile="ISA_Default_AM" agent="Firefox/116.0" analyticssubmit="false" crscore=50 craction=2 crlevel="critical" rawdata="Method=GET\|Response-Content-Type=text/plain; charset=utf-8\|Referer=https://www.example.com/\|User-Agent=Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/116.0"
侵入防止	Jun 1 15:50:55 isa12345678 isi12345678 date=2025-06-01 time=15:50:55 devid="" eventtime=1748760655003925180 tz="+0900" logid="0419016384" type="utm" subtype="ips" eventtype="signature" level="alert" vd="root" severity="high" srcip=192.0.2.10 srccountry="Reserved" dstip=203.0.113.97 dstcountry="Germany" srcintf="" srcintfrole="undefined" dstintf="" dstintfrole="undefined" sessionid=1552085 action="detected" proto=6 service="" policyid=4 poluuid="321bfbb2-3da9-51ee-7f02-82ecdd9ea554" policytype="policy" attack="Web.Server.Password.File.Access" srcport=55245 dstport=443 hostname="example.com" url="/etc/passwd" direction="outgoing" attackid=43336 profile="AllDetect" ref="http://www.fortinet.com/ids/VID43336" incidentserialno=117449770 msg="applications3: Web.Server.Password.File.Access" attackcontextid="0/2" rawdataid="1/1" rawdata="Method=GET\|Response-Content-Type=text/html; charset=utf-8\|User-Agent=Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/116.0" crscore=30 craction=8192 crlevel="high" Jun 1 15:50:55 isa12345678 isi12345678 date=2025-06-01 time=15:50:55 devid="" eventtime=1748760655003932265 tz="+0900" logid="0419016384" type="utm" subtype="ips" eventtype="signature" level="alert" vd="root" severity="high" srcip=192.0.2.10 srccountry="Reserved" dstip=203.0.113.97 dstcountry="Germany" srcintf="" srcintfrole="undefined" dstintf="" dstintfrole="undefined" sessionid=1552085 action="detected" proto=6 service="" policyid=4 poluuid="321bfbb2-3da9-51ee-7f02-82ecdd9ea554" policytype="policy" attack="Web.Server.Password.File.Access" srcport=55245 dstport=443 direction="outgoing" attackid=43336 profile="AllDetect" ref="http://www.fortinet.com/ids/VID43336" incidentserialno=117449770 attackcontextid="1/2" attackcontext="ZXhhbXBsZSBhdHRhY2sgY29udGVudHM=" crscore=30 craction=8192 crlevel="high"

共通

項目	例	説明
Month day hh:mm:dd	Jun 1 15:10:27	ログ出力日時
isaXXXXXXXX	isa12345678	isaサービスコード
isiXXXXXXXX	isi12345678	isiサービスコード

key	value	説明
date	2025-06-01	通信が発生した日付
time	15:10:27	通信が発生した時間
devid	""	内部パラメータ
eventtime	1748758227929256949	ログイベントのタイムスタンプ（UNIX時間（ナノ秒単位））
tz	+0900	タイムゾーン
logid	0000000020	ログ識別子
type	traffic	ログの主分類
subtype	forward	ログの副分類
level	notice	ログイベントの重大度
srcip	192.0.2.10	送信元IPアドレス
dstip	203.0.113.1	宛先IPアドレス
sessionid	1543610	セッションID
proto	1	プロトコル番号
action	accept	通信に対しての対応結果
policyid	13	ポリシーID
policytype	policy	ポリシーのタイプ
poluuid	ac1a2dc8-3da7-51ee-37e8-99997c8683b5	ポリシーのUUID
srcport	54938	送信元ポート番号
dstport	443	宛先ポート番号
vd	root	バーチャルドメイン名
srcintf	""	内部パラメータ
srcintfrole	undefined	内部パラメータ
dstintf	""	内部パラメータ
dstintfrole	undefined	内部パラメータ
srccountry	Reserved	送信元IPアドレスから判断した送信元の国名送信元IPアドレスがプライベートIPアドレスの場合、Reservedと出力する
dstcountry	Japan	宛先IPアドレスから判断した宛先の国名
service	""	内部パラメータ
appid	15895	アプリケーションID
app	SSL	アプリケーション名
appcat	Network.Service	アプリケーションのカテゴリ
apprisk	elevated	アプリケーションのリスクレベル
applist	ISA_Default_APP	アプリケーションプロファイル名

type別

type	subtype	key	value	説明
traffic				通信ログ
	forward			転送トラフィックログ
		identifier	2	特定のイベントやアクションを一意に識別するための情報
		policyname	allow_icmp	ポリシー名
		duration	6490	通信継続時間
		sentbyte	382140	送信バイト数
		rcvdbyte	382140	受信バイト数
		sentpkt	6369	送信パケット数
		rcvdpkt	6369	受信パケット数
		sentdelta	7080	送信されたバイト数の増分
		rcvddelta	7080	受信されたバイト数の増分
		wanin	4613	wanの受信トラフィック（バイト単位）
		wanout	400	wanの送信トラフィック（バイト単位）
		lanin	375	lanの受信トラフィック（バイト単位）
		lanout	375	lanの送信トラフィック（バイト単位）
		utmaction	allow	UTMが行うセキュリティアクション
		countapp	1	セッションに関連するアプリケーションコントロールログの数
		countssl	1	セッションに関連するSSLログの数
utm				UTMログ
	全subtype共通	eventtype	{ ssl-anomaly \| signature \| infected }	イベントタイプ
		direction	{ outgoing \| inbound }	攻撃の方向性 outgoing = 外部へ向けた攻撃 inbound = 内部へ向けた攻撃
		msg	Server certificate is r-signed as untrusted, certificate-status: untrusted.	メッセージフィールド
		hostname	example.com	宛先ホスト名
		url	https://www.example.com/example.com.txt	宛先URL
		profile	ISA_Full_Inspection	プロファイル名
		incidentserialno	117449770	インシデントシリアル番号
		ref	http://www.fortinet.com/ids/VID43336	シグネチャの詳細
		crscore	30	リスクスコア
		craction	8192	脅威に対してUTMが取ったアクション
		crlevel	high	リスクレベル
		rawdata	Method=GET\|Response-Content-Type=text/plain	HTTPリクエストの詳細情報（HTTPメソッドやリファラ情報・UAなど）
		srcuuid	d965be38-27a3-51ee-c973-e7c987f450fc	送信元UUID
		dstuuid	d965be38-27a3-51ee-c973-e7c987f450fc	宛先UUID
	ssl			SSL検査ログ
		eventsubtype	certificate-anomaly	イベントのサブタイプ
	app-ctl			アプリケーション制御ログ
	virus			アンチマルウェアログ
		filename	example.com.txt	ファイル名
		quarskip	File-was-not-quarantined	検疫スキップ理由
		virus	EXAMPLE_TEST_FILE	ウイルス検知名
		viruscat	Virus	ウイルスのカテゴリ
		dtype	av-engine	ウイルスカテゴリのデータタイプ
		virusid	2172	ウイルスID
		agent	Firefox/116.0	User-Agent
		analyticssubmit	false	分析送信のフラグ
	ips			侵入防止ログ
		severity	high	重要度
		attack	Web.Server.Password.File.Access	シグネチャ名
		attackid	43336	シグネチャID
		attackcontextid	0/2	アタックコンテキストID
		attackcontext	[Base64エンコードされたデータ]	base64エンコーディングした検知パターン情報
		rawdataid	1/1	rawdataを一意に識別するID