Fortinet商品など
ファイアウォールのログの見方について
ファイアウォールログは、ネットワーク上で行われた通信をいつ・誰が・どこへ・何をして・結果どうなったかという視点で記録したものです。
ログを正しく読み取ることで、
- 不審通信の発見
- 攻撃の兆候の特定
- ネットワークトラブルの原因調査
- システム安定性の確保
といった対応が可能になります。
ファイアウォールログに含まれる主な項目
多くの製品に共通する基本的な要素は以下です。
| 項目 | 内容 |
|---|---|
| Timestamp | 通信が発生した日時 |
| Source IP / Port | 送信元アドレス・ポート |
| Destination IP / Port | 宛先アドレス・ポート |
| Protocol | TCP / UDP / ICMP など |
| Action | Allow(許可) / Deny(拒否) / Drop(破棄) |
| Reason | 拒否理由、適用ルール、検知シグネチャなど |
ログの形式自体は 製品によって大きく異なるため、ここでは概念として整理しています。
Action(許可・拒否)の読み解きポイント
Deny / Drop(拒否)
- 不正アクセスの可能性
- ポリシー違反
- シグネチャに引っかかった攻撃
- 存在しないポートに対するアクセス
などを示すことがあります。
Allow(許可)
許可されたからといって安全とは限りません。
ただし、許可トラフィックのログは製品設定によって出ない場合もあるため、閲覧できるかどうかは環境依存です。
実際のログ例と読み解き
以下はあくまで典型的なイメージ例です。
実際はベンダごとに形式が異なります。
Jan 10 14:23:50 FIREWALL01 DENY TCP 203.0.113.45:57123 → 192.168.1.10:22
Reason: Rule "Block SSH"
読み解き
- 送信元: 203.0.113.45
- 宛先: 192.168.1.10
- 宛先ポート: 22(SSH)
- 動作: DENY(拒否)
- 理由: 外部からのSSHアクセスを拒否するルールが適用された
→ 不正ログイン試行の可能性が高い。
よく見られる不審通信のログパターン
ポートスキャン
DENY TCP 185.100.87.23 → 10.0.0.5:21
DENY TCP 185.100.87.23 → 10.0.0.5:22
DENY TCP 185.100.87.23 → 10.0.0.5:80
短時間に複数ポートへアクセスしている → スキャン行為の可能性。
ただし、正当な監視ツールが実行している場合もある。
不正ログイン試行(SSH など)
DENY TCP 45.134.56.120 → 203.0.113.10:22
Reason: Authentication Failure (Multiple Attempts)
Webアプリケーション攻撃(WAF)
実際のログは IP と URL が分離して記録されることが多いです。
BLOCK HTTP request from 91.102.34.3
URL: /index.php?id=' OR '1'='1
Reason: SQL Injection Attempt
DDoS(SYN Flood)
DROP TCP SYN Flood detected
Source: 203.55.19.110
実際には多数IPからの閾値超過で検知されることも多い。
正常通信でも注視すべき内容
特定IPからの過剰アクセス
- 短時間で異常に多い
- 特定のURLやポートへの集中
- 国や地域が意図しない場所
一定期間のトラフィック急増
- システム不具合
- 攻撃の前兆
- クローラの集中
などの可能性があります。
ログ解析の手順(実務向け)
ステップ1:範囲を絞る
- 時間帯
- 宛先IP(特定サーバ)
- 特定ポート
- Action(Deny など)
ステップ2:Deny/Drop を最初に確認
- 繰り返し拒否されている通信
- 同一IPからの連続アクセス
- 特定ポートへのスキャン
- 典型的な攻撃シグネチャ
ステップ3:Allowログがあれば確認
設定でログ出力していない場合もあることに注意。
- 許可されているが不審なアクセス
- 過剰リクエスト
- 急激な接続増加
ステップ4:IPごとに集計
- 頻度
- ポート種別
- プロトコル
- 国別(GeoIPを使用)
ステップ5:対策
- 不審IPのブロック(可能ならFW/WAF側で実施)
- 不要ポートの閉鎖
- ルール見直し
- シグネチャ更新
- しきい値設定
ログ解析を効率化する方法
- 正規表現で抽出・分類
- スクリプトで集計(Shell, Python など)
- Syslogサーバへ集約して可視化
- GeoIPデータベースで国別分析
- WAFログと突き合わせて相関分析
まとめ
ファイアウォールログを読む際は、以下のポイントが重要です。
- Action(許可・拒否)を軸に分類する
- 送信元/宛先IP、ポート、プロトコルを照らし合わせる
- 同一IPの繰り返し通信を優先的にチェック
- 不審なURLや攻撃シグネチャを確認する
- 大量アクセス、急増、特定パターンを見逃さない
- 実際のログ形式はベンダ依存であることを前提に読む
これらを押さえることで、ログを通じたネットワーク監視・攻撃検知・トラブルシュートがより正確に行えるようになります。
以上、ファイアウォールのログの見方についてでした。
最後までお読みいただき、ありがとうございました。
商品カテゴリから探す
「安心のセキュリティをお得な価格」でご提供!
Fortinet商品など
受付時間 / 9:00~17:00 定休日 / 土・日・祝
【大阪本社】
〒531-0072
大阪市北区豊崎3-19-3
ピアスタワー6階
電話番号:06-6359-5533
FAX番号:06-6359-5534
【東京支店】
〒104-0032
東京都中央区八丁堀3-25-8
八丁堀陽光ビル3階A
電話番号:03-6823-1313
【福岡支店】
〒812-0038
福岡市博多区祇園町8-13
第一プリンスビル1階
(Zero-Ten Park キャナルシティ博多前)
電話番号:092-600-1222
