
ファイアウォールのログを確認することで、不正アクセス、通信エラー、マルウェアによる異常なトラフィック などを特定できます。しかし、ログの見方が分からない、どこに保存されているのか不明、解析方法が難しい という方も多いでしょう。本記事では、Windows・Linux・UTM(統合脅威管理)環境別のファイアウォールログの見方、基本用語、解析方法、分析ツール を詳しく解説します。
目次
ファイアウォールログの基本構造
ファイアウォールのログには、通信の許可・拒否、IPアドレス、ポート番号、プロトコル、時間情報 などが記録されます。
ファイアウォールログの一般的なフォーマット
各項目の意味
項目 | 説明 |
---|---|
Jan 24 12:34:56 |
ログの記録日時 |
firewall |
ファイアウォールのホスト名 |
ACCEPT / DROP / REJECT |
許可(ACCEPT)、ブロック(DROP/REJECT) |
IN=eth0 |
受信インターフェース(eth0) |
OUT= |
送信インターフェース(空白の場合は内部通信) |
SRC=192.168.1.10 |
送信元IPアドレス |
DST=8.8.8.8 |
宛先IPアドレス |
PROTO=TCP |
通信プロトコル(TCP/UDP) |
SPT=54321 |
送信元ポート(54321) |
DPT=443 |
宛先ポート(443:HTTPS) |
✅ 「DROP / REJECT」のログが頻繁に出ている場合、不正アクセスの可能性あり!
✅ 「DPT=22(SSH)」の異常な通信がある場合、ブルートフォース攻撃の可能性あり!
Windowsのファイアウォールログの確認方法
Windowsには、Windows Defender ファイアウォール が標準搭載されており、詳細なログを記録できます。
① ログの保存場所
ログファイルのデフォルト保存先:
② ログの有効化(記録を開始する)
- 「Windows セキュリティ」 を開く
- 「ファイアウォールとネットワーク保護」 をクリック
- 「詳細設定」 を開き、「Windows Defender ファイアウォール」を開く
- 左側の 「監視」→「ログ設定」 を選択
- 「ドロップされたパケットの記録」「成功した接続の記録」を有効化
- 適用を押してログ記録を開始
③ ログの解析方法
項目 | 説明 |
---|---|
DROP |
ブロックされた通信 |
ALLOW |
許可された通信 |
SRC=192.168.1.100 |
送信元IPアドレス |
DST=8.8.8.8 |
宛先IPアドレス |
DPT=443 |
宛先ポート(443=HTTPS) |
✅ 「DROP」が多い場合は、外部からの不正アクセスの可能性がある!
Linux(iptables / firewalld)のファイアウォールログ確認
① ログの保存場所
ファイアウォール | ログファイルの場所 |
---|---|
iptables | /var/log/messages または /var/log/syslog |
firewalld | /var/log/firewalld.log または journalctl -xe |
② iptablesのログを表示
③ firewalldのログを表示
④ iptablesのリアルタイム監視
✅ 外部からの不正なSSHアクセス(DPT=22)が増えていないかチェック!
UTM(FortiGate / Palo Alto / Sophos)のファイアウォールログの確認
UTM(統合脅威管理)ファイアウォール では、専用の管理画面からログを確認できます。
① FortiGateのログの確認
- Web管理画面にログイン
- 「ログ&レポート」→「システムイベントログ」
- 「トラフィックログ」 を開き、通信状況を確認
- 「セキュリティイベントログ」 でブロックされた通信を確認
✅ 「Action: Deny」のログが頻繁に出ている場合、攻撃の可能性あり!
ファイアウォールログの分析ツール
ファイアウォールのログを可視化すると、異常な通信を直感的に分析 できます。
ツール名 | 特徴 | 対応OS |
---|---|---|
Splunk | ログ管理・分析の定番ツール | Windows / Linux |
Graylog | OSSのログ管理ツール | Windows / Linux |
ELK Stack(Elasticsearch + Logstash + Kibana) | 強力なログ可視化ツール | Linux |
FortiAnalyzer | FortiGate専用ログ管理 | Fortinet機器専用 |
✅ 「Splunk」は企業向けの高機能SIEM、「Graylog」はOSSで無料利用可能!
よくあるファイアウォールログの解析例
① 外部からの不正アクセス(ブルートフォース攻撃)
✅ 対策
- DPT=22(SSH)が外部から頻繁にアクセスされている場合、SSHポートを変更(例: 2222)
- ファイアウォールで特定IPをブロック
② 内部PCからの異常な外部通信(マルウェア感染の可能性)
✅ 対策
- DPT=443(HTTPS)で不審なIPに大量の通信がある場合、マルウェア感染の可能性
- 該当PCのトラフィックを解析(Wiresharkなどを使用)
- EDR(Endpoint Detection and Response)で感染調査
まとめ
✅ Windowsなら「pfirewall.log」、Linuxなら「/var/log/syslog」を確認!
✅ UTM(FortiGate / Palo Alto)は専用管理画面でログを解析!
✅ 「Wireshark」「Splunk」「Graylog」を活用すると、より詳細な分析が可能!
✅ 「DROP / REJECT」が多発する場合、不正アクセスの可能性を疑う!
今すぐファイアウォールログをチェックし、セキュリティ対策を強化しましょう!