Windowsファイアウォールのログの見方
#Fields: date time action protocol src-ip dst-ip src-portdst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
2004-09-12 01:06:51 DROP TCP 172.17.16.161 172.17.40.61 1862 445 48 S 14360898360 64240 - - - RECEIVE←これ
2004-09-12 01:06:54 DROP TCP 172.17.16.161 172.17.40.61 1862 445 48 S 14360898360 64240 - - - RECEIVE
2004-09-12 01:09:41 DROP TCP 172.17.25.241 172.17.40.61 2198 445 48 S 17623909170 16384 - - - RECEIVE
2004-09-12 01:09:44 DROP TCP 172.17.25.241 172.17.40.61 2198 445 48 S 17623909170 16384 - - - RECEIVE
2004-09-12 01:11:14 DROP TCP 172.17.16.161 172.17.40.61 2780 445 48 S 31607376440 64240 - - - RECEIVE
2004-09-12 01:11:17 DROP TCP 172.17.16.161 172.17.40.61 2780 445 48 S 31607376440 64240 - - - RECEIVE
2004-09-12 01:15:34 DROP TCP 172.17.0.207 172.17.40.61 1545 135 48 S 12577413570 16384 - - - RECEIVE
2004-09-12 01:15:37 DROP TCP 172.17.0.207 172.17.40.61 1545 135 48 S 12577413570 16384 - - - RECEIVE
2004-09-12 01:18:44 DROP TCP 172.17.3.203 172.17.40.61 1478 135 48 S 36918825940 16384 - - - RECEIVE
2004-09-12 01:18:47 DROP TCP 172.17.3.203 172.17.40.61 1478 135 48 S 36918825940 16384 - - - RECEIVE
2004-09-12 01:19:49 DROP TCP 172.17.36.143 172.17.40.61 3782 445 48 S 19499396920 64240 - - - RECEIVE
2004-09-12 01:19:52 DROP TCP 172.17.36.143 172.17.40.61 3782 445 48 S 19499396920 64240 - - - RECEIVE
*スペースが区切りとなっています。
左から順番に説明します。(一番上のデータを例として挙げます。)
・date
記録されたトランザクションが発生した時点の年、月、日が示されます。日付は次の形式で記録されます。
YYYY-MM-DD YYYYは年、MMは月、DDは日を表します。(例)2004-09-12
・time
記録されたトランザクションが発生した時点の時、分、秒が示されます。時刻は次の形式で記録されます。
HH:MM:SS HHは24時間表示の時、MMは分、SSは秒を表します。(例)01:06:51
・action
ファイアウォールにより検出された操作が示されます。ファイアウォールで検出できる操作には、OPEN、CLOSE、DROP、およびINFO-EVENTS-LOSTがあります。INFO-EVENTS-LOSTは、発生したもののログには記録されなかったイベントの数を示します。(例)DROP
・protocol
通信に使用されたプロトコルが示されます。TCP、UDP、およびICMP以外のパケットの場合、このフィールドに番号が表示されることもあります。(例)TCP
・src-ip
送信元のIP アドレス(通信を確立しようとしたコンピュータのIP アドレス)が示されます。(例)172.17.16.161
・dst-ip
送信先のIP アドレス(通信の宛先として指定されたコンピュータのIP アドレス)が示されます。(例)172.17.40.61
・src-port
送信側コンピュータの送信元ポート番号が示されます。src-portエントリは、1〜65,535 の範囲にある整数として記録されます。TCPとUDP の場合のみ有効なsrc-portエントリが返されます。それ以外のプロトコルは src-portエントリの対象外であり、エントリは"-"となります。(例)1862
・dst-port
送信先コンピュータのポートが示されます。dst-portエントリは、1〜65,535 の範囲にある整数として記録されます。TCPとUDP の場合のみ有効なdst-portエントリが返されます。それ以外のプロトコルは dst-portエントリの対象外であり、エントリは"-"となります。(例)445
・size
パケットのサイズを表すバイト数が示されます。(例)48
・tcpflags
IPパケットのTCP ヘッダー内にあるTCP 制御フラグが示されます。
- Ack : 受信確認フィールドが有効
- Fin : 送り手のデータ送信の終了
- Psh : 強制送信
- Rst : 接続の強制切断
- Syn : シーケンス番号の同期
- Urg : 緊急ポインタフィールドが有効
フラグは大文字で記録されます。tcpflagsのエントリ情報は、TCP(Transmission Control Protocol)に関して詳細な知識を持つユーザーを対象に提供しています。(例)S
・tcpsyn
パケットのTCP シーケンス番号が示されます。tcpsynのエントリ情報は、TCPに関して詳細な知識を持つユーザーを対象に提供しています。(例)1436089836
・tcpack
パケットのTCP受信確認番号が示されます。tcpackのエントリ情報は、TCPに関して詳細な知識を持つユーザーを対象に提供しています。(例)0
・tcpwin
パケットのTCPウィンドウサイズを表すバイト数が示されます。tcpwinのエントリ情報は、TCPに関して詳細な知識を持つユーザーを対象に提供しています。(例)64240
・icmptype
ICMPメッセージのType フィールドを表す番号が示されます。(例)-
・icmpcode
ICMPメッセージのCode フィールドを表す番号が示されます。(例)-
・info
発生した操作の種類に応じた情報エントリが示されます。たとえば、操作がINFO-EVENTS-LOSTである場合は、この種類のイベントが最後に記録された時点から数え始めて、発生したもののログに記録されなかったイベントの数が示されます。(例)-
記録する情報がないフィールドには、"-"が表示されます。
前のページへ