ファイアウォールのログの見方|Windows・Linux・UTM別の確認方法|サイバーセキュリティ.com

  1. サイバーセキュリティ.com /
  2. コンテンツホーム /
  3. SOC(Ray-SOC サービス) /
  4. ファイアウォールのログの見方|Windows・Linux・UTM別の確認方法
             

ファイアウォールのログの見方|Windows・Linux・UTM別の確認方法

ファイアウォールのログを確認することで、不正アクセス、通信エラー、マルウェアによる異常なトラフィック などを特定できます。しかし、ログの見方が分からない、どこに保存されているのか不明、解析方法が難しい という方も多いでしょう。本記事では、Windows・Linux・UTM(統合脅威管理)環境別のファイアウォールログの見方、基本用語、解析方法、分析ツール を詳しく解説します。

ファイアウォールログの基本構造

ファイアウォールのログには、通信の許可・拒否、IPアドレス、ポート番号、プロトコル、時間情報 などが記録されます。

 ファイアウォールログの一般的なフォーマット

log
Jan 24 12:34:56 firewall ACCEPT IN=eth0 OUT= MAC=00:11:22:33:44 SRC=192.168.1.10 DST=8.8.8.8 PROTO=TCP SPT=54321 DPT=443

各項目の意味

項目 説明
Jan 24 12:34:56 ログの記録日時
firewall ファイアウォールのホスト名
ACCEPT / DROP / REJECT 許可(ACCEPT)、ブロック(DROP/REJECT)
IN=eth0 受信インターフェース(eth0)
OUT= 送信インターフェース(空白の場合は内部通信)
SRC=192.168.1.10 送信元IPアドレス
DST=8.8.8.8 宛先IPアドレス
PROTO=TCP 通信プロトコル(TCP/UDP)
SPT=54321 送信元ポート(54321)
DPT=443 宛先ポート(443:HTTPS)

「DROP / REJECT」のログが頻繁に出ている場合、不正アクセスの可能性あり!
「DPT=22(SSH)」の異常な通信がある場合、ブルートフォース攻撃の可能性あり!

Windowsのファイアウォールログの確認方法

Windowsには、Windows Defender ファイアウォール が標準搭載されており、詳細なログを記録できます。

① ログの保存場所

ログファイルのデフォルト保存先:

txt
C:\Windows\System32\LogFiles\Firewall\pfirewall.log

② ログの有効化(記録を開始する)

  1. 「Windows セキュリティ」 を開く
  2. 「ファイアウォールとネットワーク保護」 をクリック
  3. 「詳細設定」 を開き、「Windows Defender ファイアウォール」を開く
  4. 左側の 「監視」→「ログ設定」 を選択
  5. 「ドロップされたパケットの記録」「成功した接続の記録」を有効化
  6. 適用を押してログ記録を開始

③ ログの解析方法

項目 説明
DROP ブロックされた通信
ALLOW 許可された通信
SRC=192.168.1.100 送信元IPアドレス
DST=8.8.8.8 宛先IPアドレス
DPT=443 宛先ポート(443=HTTPS)

「DROP」が多い場合は、外部からの不正アクセスの可能性がある!

Linux(iptables / firewalld)のファイアウォールログ確認

① ログの保存場所

ファイアウォール ログファイルの場所
iptables /var/log/messages または /var/log/syslog
firewalld /var/log/firewalld.log または journalctl -xe

② iptablesのログを表示

bash
sudo cat /var/log/syslog | grep "iptables"

③ firewalldのログを表示

bash
sudo journalctl -xe | grep "firewalld"

④ iptablesのリアルタイム監視

bash
sudo tail -f /var/log/syslog | grep "iptables"

外部からの不正なSSHアクセス(DPT=22)が増えていないかチェック!

UTM(FortiGate / Palo Alto / Sophos)のファイアウォールログの確認

UTM(統合脅威管理)ファイアウォール では、専用の管理画面からログを確認できます。

① FortiGateのログの確認

  1. Web管理画面にログイン
  2. 「ログ&レポート」→「システムイベントログ」
  3. 「トラフィックログ」 を開き、通信状況を確認
  4. 「セキュリティイベントログ」 でブロックされた通信を確認

「Action: Deny」のログが頻繁に出ている場合、攻撃の可能性あり!

ファイアウォールログの分析ツール

ファイアウォールのログを可視化すると、異常な通信を直感的に分析 できます。

ツール名 特徴 対応OS
Splunk ログ管理・分析の定番ツール Windows / Linux
Graylog OSSのログ管理ツール Windows / Linux
ELK Stack(Elasticsearch + Logstash + Kibana) 強力なログ可視化ツール Linux
FortiAnalyzer FortiGate専用ログ管理 Fortinet機器専用

「Splunk」は企業向けの高機能SIEM、「Graylog」はOSSで無料利用可能!

よくあるファイアウォールログの解析例

① 外部からの不正アクセス(ブルートフォース攻撃)

log
Jan 24 12:34:56 firewall DROP IN=eth0 SRC=203.0.113.45 DST=192.168.1.10 PROTO=TCP DPT=22

対策

  • DPT=22(SSH)が外部から頻繁にアクセスされている場合、SSHポートを変更(例: 2222)
  • ファイアウォールで特定IPをブロック
bash
sudo iptables -A INPUT -s 203.0.113.45 -j DROP

② 内部PCからの異常な外部通信(マルウェア感染の可能性)

log
Jan 24 13:00:00 firewall ACCEPT IN=eth0 SRC=192.168.1.100 DST=45.67.89.100 PROTO=TCP DPT=443

対策

  • DPT=443(HTTPS)で不審なIPに大量の通信がある場合、マルウェア感染の可能性
  • 該当PCのトラフィックを解析(Wiresharkなどを使用)
  • EDR(Endpoint Detection and Response)で感染調査

まとめ

Windowsなら「pfirewall.log」、Linuxなら「/var/log/syslog」を確認!
UTM(FortiGate / Palo Alto)は専用管理画面でログを解析!
「Wireshark」「Splunk」「Graylog」を活用すると、より詳細な分析が可能!
「DROP / REJECT」が多発する場合、不正アクセスの可能性を疑う!

今すぐファイアウォールログをチェックし、セキュリティ対策を強化しましょう!

Ray-SOC(レイソック)サービス

月額10.8万円から利用できるSOCサービス

国内に施設を持ち、サポート実績のあるSOCサービス、廉価な費用で24時間の監視サービスを提供します。


詳細はこちら

  • 中小企業の情報瀬キィリティ相談窓口[30分無料]
  • 情報処理安全確保支援士(登録セキスペ)募集
  • サイバー保険比較
  • 【企業専用】セキュリティ対策無料相談