Citrix SD-WAN Orchestrator

ネットワークのトラブルシューティング

お客様は、単一のガラスペインからすべてのネットワークアプライアンスのログを表示できるため、迅速なトラブルシューティングが可能です。監査ログとデバイスログを表示できます。

監査ログ

監査ログは、カスタマーネットワーク内のユーザが実行したアクション、時間、および結果をキャプチャします。

ネットワーク監査ログ

デバイスログ

お客様は、サイトに固有のデバイスログを表示できます。

必要に応じて、特定のデバイスログを選択してダウンロードし、サイト管理者と共有できます。

ネットワークデバイスのログ

セキュリティログ

Citrix SD-WAN アプライアンスでは、エッジセキュリティイベントは SDWAN_advanced_firewall.log ファイルに記録されます。ログファイルは、サイズに基づいて定期的にローテーションされ、最大 23 のアーカイブまたは 1 日分のログが残ります。たとえば、次の 2 つのユースケースを考えます。

  • ログファイルが 20 トランザクション(ログエントリ)あたり 1 GB のレートで満杯になると、アプライアンス内で約 8 時間のログがいつでも使用できます。
  • ログファイルが 1 時間あたり 1 GB またはそれより遅い速度で一杯になると、アプライアンスで正確に 1 日のログを使用できます。

  • ログローテーションのサイズしきい値は、アプライアンスによって異なります。Citrix SD-WAN 1100アプライアンスの場合、ログローテーションサイズのしきい値は1 GBです。
  • ログファイル SDWAN_advanced_firewall.log は、Citrix SD-WAN 1100 アプライアンスでのみ使用でき、Citrix SD-WAN 210 SE および Citrix SD-WAN 210 SE LTE アプライアンスでは使用できません。

Citrix SD-WAN アプライアンスからセキュリティログを受信するには、アプライアンスUIで[ 構成]>[アプライアンスの設定]>ログ/監視 ]>[ Syslog Server] の順に選択し、 ファイアウォールログを Syslog に記録 ] オプションが有効になっています。

オーケストレータからの取得

他のアプライアンスのログファイルと同様に、Citrix SD-WAN Orchestrator からエッジセキュリティファイアウォールのログを取得できます。ネットワークレベルで、[ トラブルシューティング]> [ デバイスログ] に移動し、エッジセキュリティが有効になっているサイトを選択し、ダウンロードする拡張ファイアウォールのログを選択して [ ダウンロード] をクリックします

ネットワークのトラブルシューティング

外部 syslog サーバへのエクスポート

外部 syslog サーバがアプライアンスの UI(アプライアンス設定 > ログ/モニタリング > Syslog サーバ)で構成されている場合、エッジセキュリティログが生成され、このサーバーにオフロードされます。

ログエントリ

エッジセキュリティログエントリは、共通イベント形式 (CEF) に従います。CEF は、ログメッセージの構文を定義する標準であるため、ソリューション内でログメッセージを生成する複数のデバイスの相互運用性を可能にします。

CEF は、標準ヘッダーと変数拡張で構成されます。ヘッダーの形式は次のとおりです。

タイムスタンプホスト CEF: バージョン|デバイスベンダー|デバイス製品|デバイスバージョン|デバイスイベントクラス ID|名前|重大| [拡張機能]```

例:

1月18日 11:07:53 sd-WAN CEF: 0 Citrix SD-WAN 11.2.2.7 EdgeSEC 名前 severity 拡張子```

次のフィールドは、SD-WAN によって生成されるすべてのエッジセキュリティログに共通です。

  • タイムスタンプ: ログメッセージが生成される時刻。

    この時間は、メッセージが対応するイベントの時刻とは異なる場合があります。

  • Host: ログ・ファイルを生成するホストの名前。たとえば、 mybranch

  • CEF: メッセージの残りの部分が CEF 形式に従っていることを示す固定文字列。

    他のフォーマットはサポートされていません。

  • [ バージョン]: CEF 形式のバージョンを識別します。現在の CEF バージョンは 0 です。

  • デバイスベンダー: CEF メッセージを生成するインスタンスまたはアプライアンスのベンダー。このフィールドは常に Citrixです。

  • デバイス製品: 製品、 SD-WAN

  • デバイスバージョン: メジャー.minor.patch.buildNumber 形式の SD-WAN アプライアンスのソフトウェアバージョン。たとえば、11.2.0.88。

  • デバイスイベントクラス ID:すべてのイベントタイプの一意の識別子。Edge セキュリティログの場合は、常に EdgeSECです。

  • 名前: エッジセキュリティイベントタイプについて、人間が読める説明。たとえば、HTTP、FTP などです。

  • 重大度: イベントのセキュリティ重要度を反映します。CEF 標準で定義されている重大度レベルは次のとおりです。
    • 0-3=Low
    • 4-6=Medium
    • 7-8=High
    • 9-10=Very-High

    Citrix SD-WAN エッジセキュリティイベントの場合、次の基準を使用して重大度レベルが決定されます。

    重要度レベル 説明   -   0 すべてのセッションイベントと許可されているすべての HTTP Web フィルタリングイベント   3 すべてのクリーン (許可) FTP、SMTP、および HTTP マルウェア対策イベント   4 ログされた IPS イベント   6 ブロックされた HTTP Web フィルタリングイベント   7 ブロックされた IPS イベント   8 ブロック (感染) FTP、SMTP、および HTTP マルウェア対策イベント ents
  • 拡張機能: イベントの詳細を提供するキーと値のペアのコレクション。たとえば、”rt=Aug 13 2020 11:46:55”の” RT “はイベントタイムスタンプのキーであり、” Aug 13 2020 11:46:55 “は値です。使用されるキーと値のペアは、CEF メッセージが対応するイベントタイプによって異なります。次のセクションでは、イベントタイプの詳細な説明について説明します。

HTTP (S)

HTTP (S) ログエントリは、HTTP または HTTPS トラフィックに関連するイベントをキャプチャします。このようなイベントは、HTTP (S) 要求に対して URL 分類を実行する Web フィルタリングコンポーネント、または HTTP 応答をスキャンしてマルウェア感染を検出する Anti-Malware コンポーネントによって生成されます。次の表では、HTTP ログエントリのさまざまな拡張について説明します。

フィールド 説明   - -   RT RT イベントの時刻。タイムゾーンなし。時刻は UTC で表されます。   cn1 セッション識別子は、セッションイベント   cn1label cn1フィールドの説明テキストとの相関を可能にします。値は session_ID です。   CS1 設定されているセキュリティポリシー   cs1label cs1 フィールドの説明テキスト。値はセキュリティプロファイルです。   SRC 送信元 IP アドレス (クライアント側)   SPT 送信元ポート (クライアント側)   DST 宛先 IP アドレス (サーバー側)   DPT 宛先ポートアドレス (サーバー側)   requestMethod HTTP 要求 (たとえば、GET、POST)   要求 HTTPURL   dhost HTTP ホスト名   act HTTP イベントのアクション。許可された HTTP イベントの場合、 ** 値は許可され、ブロックされた HTTP イベントの場合、 **値はブロックされます。   理由 イベントを生成したコンポーネント。有効な値は、 web_filteranti_mware です。   CS2 URL カテゴリのカテゴリ名が一致します   CS2label cs2 フィールドの説明テキスト。値は URL Category.   CS3 ペイロードで識別されたマルウェアの名前(存在する場合)   CS3label cs3 フィールドの説明テキストです。**値はマルウェア名です。

HTTP イベントは、Web フィルタリングコンポーネントまたはマルウェア対策コンポーネントのいずれかで生成できます。Web フィルタリングイベントの場合、cs3 キーの値は空白ですが、マルウェア対策イベントの場合、cs2 キーの値は空白です。

許可された HTTP Web フィルタリングイベントの一般的なログエントリは次のとおりです。

Oct 8 2020 09:51:01 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|HTTP|0|rt=Oct 8 2020 09:51:01 cn1=104946811893306 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 spt=54749 dst=192.168.1.2 dpt=80 requestMethod=GET request=http://192.168.1.2/eicar.exe dhost=192.168.1.2 act=allowed reason=web_filter cs2=Uncategorized cs2Label=URL Category cs3= cs3Label=Malware name ```

ブロックされた HTTP Web フィルタリングイベントの一般的なログエントリは次のとおりです。

Oct 8 2020 09:46:57 mybranch CEF:0 Citrix SD-WAN 11.2.2.2 EdgeSec HTTP 6 rt=Oct 8 2020 09:46:57 cn1=104946811893249 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 spt=59543 dst=192.168.1.2 dpt=443 requestMethod=GET request=http://www.randomadultsite.com/ dhost=www.randomadultsite.com act=blocked reason=web_filter cs2=Adult and Pornography cs2Label=URL Category cs3= cs3Label=Malware name ```

許可される HTTP マルウェア対策イベントの一般的なログエントリは次のとおりです。

Oct 8 2020 11:49:09 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|HTTP|3|rt=Oct 8 2020 11:49:08 cn1=104946811893527 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 spt=34143 dst=192.168.1.2 dpt=80 requestMethod=GET request=http://192.168.1.2/harmless.exe dhost=192.168.1.2 act=allowed reason=anti_malware cs2= cs2Label=URL Category cs3= cs3Label=Malware name ```

ブロックされた HTTP マルウェア対策イベントの一般的なログエントリは次のとおりです。

Oct 8 2020 11:45:43 mybranch CEF:0 Citrix SD-WAN 11.2.2.2 EdgeSec HTTP 8 rt=Oct 8 2020 11:45:43 cn1=104946811893520 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 spt=37702 dst=192.168.1.2 dpt=80 requestMethod=GET request=http://192.168.1.2/eicar.exe dhost=192.168.1.2 act=blocked reason=anti_malware cs2= cs2Label=URL Category cs3=EICAR-Test-File cs3Label=Malware name ```

FTPイベント

FTP ログエントリは、FTP 要求に関連するユーザーアクティビティをキャプチャします。次の表では、FTP ログエントリのさまざまなフィールドについて説明します。

フィールド 説明   -   rt rt イベント時間 (タイムゾーンなし)   CN1 セッション識別子は、セッションイベント   cn1label cn1 フィールドの説明テキストとの相関を可能にします。値は session_ID です。   CS1 設定されているセキュリティポリシー   cs1label cs1 フィールドの説明テキスト。値は [ セキュリティプロファイル] です。   src 送信元 IP アドレス (クライアント側)   dst 送信先 IP アドレス (サーバー側)   要求 FTP URI   act FTP イベントのアクション。許可された FTP イベントの場合、 ** 値は許可され、ブロックされた FTP イベントの場合、 **値はブロックされます。   理由 イベントを生成したコンポーネント。FTP イベントを生成する唯一のコンポーネントは anti_mware です。   CS3 ペイロードで識別されたマルウェアの名前 (存在する場合)   CS3label cs3 フィールドの説明テキスト。**値はマルウェア名です。

許可された FTP マルウェア対策イベントの一般的なログエントリは次のとおりです。

Oct 8 2020 09:49:56 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|FTP|3|rt=Oct 8 2020 09:49:56 cn1=104946811893256 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 dst=192.168.1.2 request=harmless.exe act=allowed reason=anti_malware cs3= cs3Label=Malware name ```

ブロックされた FTP マルウェア対策イベントの一般的なログエントリは次のとおりです。

Oct 8 2020 09:50:06 mybranch CEF:0 Citrix SD-WAN 11.2.2.2 EdgeSec FTP 8 rt=Oct 8 2020 09:50:06 cn1=104946811893276 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 dst=192.168.1.2 request=eicar.exe act=blocked reason=anti_malware cs3=EICAR-Test-File cs3Label=Malware name ```

SMTPイベント

SMTP ログエントリは、SMTP プロトコルを使用して送信された、暗号化されていない電子メールに関連するユーザーアクティビティをキャプチャします。次の表では、SMTP ログエントリのさまざまなフィールドについて説明します。

フィールド 説明   -   rt rt イベント時間 (タイムゾーンなし)   CN1 セッション識別子は、セッションイベント   cn1label cn1 フィールドの説明テキストとの相関を可能にします。値は session_ID です。   CS1 設定されているセキュリティポリシー   cs1label cs1 フィールドの説明テキスト。値は [ セキュリティプロファイル] です。   src 送信元 IP アドレス (クライアント側)   SPT 送信元ポート (クライアント側)   dst 宛先 IP アドレス (サーバー側)   DPT 宛先ポートアドレス (サーバー側)   cn2 メッセージ識別子   CN2label cn2 フィールドの説明テキスト値は、メッセージ識別子。   CS4 電子メールの件名   CS4label cs4 フィールドの説明テキストです。値は、メッセージの件名。   suser 送信者のアドレス   duser 受信者のアドレス   act SMTP イベントのアクション。値は、 **許可された SMTP 電子メールメッセージ、ブロックされた SMTP 電子メールメッセージに対して、ブロックされた SMTP 電子メールメッセージに対して許可され、マルウェアペイロードが削除された後に許可された SMTP **電子メールメッセージでは削除できます。   理由 理由アクション。値はanti_mware です。   CS3 ペイロードで識別されるマルウェアの名前 (存在する場合)   CS3label cs3 フィールドの説明テキスト。**値はマルウェア名です。

ウイルスを含むSMTPイベントの典型的なログエントリは次のとおりです。

Oct 8 2020 11:51:31 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|SMTP|8|rt=Oct 8 2020 11:51:31 cn1=104946811893617 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 spt=36097 dst=192.168.1.2 dpt=25 cn2=104946811893546 cn2Label=message identifier cs4=Test email cs4Label=subject suser=sender@sender.com suserLabel=sender duser=receiver@receiver.com duserLabel=receiver act=remove reason=anti_malware cs3=EICAR-Test-File cs3Label=Malware name ```

ウイルスがない SMTP イベントの一般的なログエントリは次のとおりです。

Oct 8 2020 11:50:50 mybranch CEF:0 Citrix SD-WAN 11.2.2.2 EdgeSec SMTP 3 rt=Oct 8 2020 11:50:50 cn1=104946811893573 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 spt=52737 dst=192.168.1.2 dpt=25 cn2=104946811893537 cn2Label=message identifier cs4=Test email cs4Label=subject suser=sender@sender.com suserLabel=sender duser=receiver@receiver.com duserLabel=receiver act=allowed reason=anti_malware cs3= cs3Label=Malware name ```

IPS/ID

フィールド 説明   - -   rt イベント時間 (タイムゾーンなし)   CN3 イベントをトリガーした IPS/IDS シグニチャ識別子   CN3label cn3 の説明テキスト。値は signature_id。   src パケットの送信元 IP アドレス   SPT パケットの送信元ポート (該当する場合)   dst パケットの宛先 IP アドレス   DPT パケットの宛先ポート (該当する場合)   proto パケットのプロトコル (TCP, UDP)   act ザIPS/IDS イベントに対するアクション。許可された IPS/IDS イベントの場合、 値が記録されますが、ブロックされた IPS/IDS イベントの場合、 値はブロックされます。   CS5 イベントをトリガーした IPS/IDS シグニチャのクラスタイプ   CS5label cs5 の説明テキスト。値はクラスタイプ   msg イベントに関連付けられている IPS メッセージ

ブロックされた IPS イベントの一般的なログエントリは次のとおりです。

Aug 14 2020 14:58:59 mybranch CEF:0|Citrix|SD-WAN|11.2.2.53|EdgeSec|HTTP|7|rt=Aug 14 2020 14:58:59 cn3=2210051 cn3Label=signature_id src=192.168.0.2 spt=1944 dst=192.168.1.2 dpt=22 proto=TCP act=blocked cs5=protocol-command-decode cs5Label=class-type msg=SURICATA STREAM Packet with broken ack ```

ログに記録される IPS イベントの一般的なログエントリは次のとおりです。

Oct 8 2020 12:57:36 mybranch CEF:0 Citrix SD-WAN 11.2.2.2 EdgeSec IPS 4 rt=Oct 8 2020 12:57:36 cn3=2210051 cn3Label=signature_id src=192.168.0.2 spt=1076 dst=192.168.1.2 dpt=22 proto=TCP act=logged cs5=protocol-command-decode cs5Label=class-type msg=SURICATA STREAM Packet with broken ack ```

セッションイベント

セッションログエントリは、TCP 層でのユーザーアクティビティをキャプチャします。これらのイベントは、TCP セッション期間、開始および停止のタイムスタンプに関する洞察を提供することにより、HTTP、FTP、および SMTP イベントを補完します。セッションログエントリは、セッション開始、セッション終了、または更新イベントを参照できます。

フィールド 説明   - -   rt RT イベントの時刻。タイムゾーンなし。セッション開始イベントの場合、タイムスタンプはセッションが確立された時刻です。   cn1 セッション識別子   cn1label cn1 フィールドの説明テキスト。値は session_ID です。   CS1 設定されているセキュリティポリシー   cs1label cs1 フィールドの説明テキスト。値はセキュリティプロファイルです。   src 送信元 IP アドレス (クライアント側)   SPT 送信元ポート (クライアント側)   dst 宛先 IP アドレス (サーバー側)   DPT 宛先ポートアドレス (サーバー側)   act セッションイベントの種類。** 新しく確立されたセッションを参照するイベントの場合は **new_session、既存の長期間有効なセッションを参照するイベントの場合はsession_update、 セッション終了を参照するイベントの場合はsession_closed とすることができます。   終了 時間セッションはタイムゾーンなしで終了しました。このフィールドは、 session_closed イベントにのみ適用されます。

セッション開始イベントの一般的なログエントリは次のとおりです。

Oct 7 2020 23:46:44 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|Session|0|rt=Oct 7 2020 23:46:44 cn1=104946811892916 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 spt=43838 dst=10.78.242.11 dpt=53 act=new_session ```

セッション終了イベントの一般的なログエントリは次のとおりです。

Oct 7 2020 23:46:46 mybranch CEF:0 Citrix SD-WAN 11.2.2.2 EdgeSec Session 0 rt=Oct 7 2020 23:46:45 cn1=104946811892917 cn1Label=session_id cs1=1 cs1Label=Security profile end=1602114405989 src=192.168.0.2 spt=42253 dst=10.78.242.11 dpt=53 act=session_closed ```

セッションの更新

セッション更新ログエントリは、長時間実行セッションの TCP 層でのユーザーアクティビティを 1 分単位でキャプチャします。セッションの更新は、まだ開いているセッションに対応する既存のログエントリ (HTTP、SMTP、FTP、およびセッションイベント) を識別するのに役立ちます。セッションを閉じると、特定の属性(セッション終了時間)が更新される可能性があるため、対応するイベントは無視することも、仮として扱うこともできます。session_start イベントと session_closed イベントとは異なり、セッション更新イベントには限られたフィールドサブセットしかありません。

フィールド 説明   - -   rt イベント時間 (タイムゾーンなし)   CN1 セッション識別子   cn1label cn1 フィールドの説明テキスト。値は session_ID です。   act IPS/IDS イベントのアクションです。セッション更新の場合、値は **session_update です。

セッション更新イベントの一般的なログエントリは次のとおりです。

Oct 7 2020 23:47:00 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|Session|0|rt=Oct 7 2020 23:47:00 cn1=104946811892912 cn1Label=session_id act=session_update

ネットワークのトラブルシューティング