Catoクラウドは、マネジメントコンソール(CMA)上の「Events」ページから一通りのイベントログを確認できます。
以前の記事が執筆された2023年8月と比べると、2025年6月現在は主に以下のような新機能が追加されています。
- フィルタリングを行うときに、「部分一致」での指定が可能になった
- カスタムプリセットを作成、保存可能になった
- 「Quick View」機能により、デフォルトの表示項目が少しだけすっきりした
本記事では、これらの追加機能も交え、「Events」の一通りの確認方法を紹介いたします。
はじめに:デフォルトの表示内容
CMAにログインして[Home] > [Events]を開いた画面は以下の通り。
デフォルトでは、Catoが自動で設定した期間のログが表示されます。
CatoのEventsには「条件に該当する直近100件のイベントしか表示されない」という不便な仕様があるため、
このままでは目的のイベントに行きつくのは困難です。
このため、確認したいイベントを参照するためのフィルタリングが必要となります。
ログ表示期間でのフィルタリング
表示期間を具体的に設定
Events画面の右上にあるカレンダーのアイコンをクリックすることで、表示期間を変更できます。
右側の「Last Hour」「Last Week」等をクリックすると、その通りに期間を変更可能です。
左側の「Custom」を使用することで、対象期間を1分単位で指定することが可能です。
グラフから大まかに期間指定
Eventsページのグラフの一部をドラッグすることで、その期間を表示期間とするように指定できます。
厳密な時間指定が不要で、グラフ上でイベントの多発している箇所を詳しく確認したい場合などに便利です。
条件でのフィルタリング
ウィンドウからフィルタ条件を追加
グラフ上部の「Filter」アイコンをクリックすることで、ログの属性によるフィルタ条件を追加することができます。
Field:絞り込みに使う、ログの属性を指定します。
Operator:絞り込みの方法を指定します。
| Is | 完全一致でフィルタリングします。1文字の過不足、差異で結果に影響が出ます。 「Action Is Block」など、値が数種しか存在しない属性の絞り込みに有効です。 |
| Is Not | 完全一致以外のものを出力するようフィルタリングします。 |
| In | 「Is」と同じく完全一致のフィルタリングですが、複数の対象を指定できます。 例えば、「User In ユーザA, ユーザB」とすれば、 ユーザAとユーザBの通信に絞り込むことが可能です。 |
| Not in | 複数指定の対象について、いずれとも完全一致しないものを出力します。 |
| Contains (New!) | 「部分一致」でのフィルタリングです。 例えば「〇〇.google.com」宛の通信を確認する場合、 かつては考えうる全てのサブドメインを「In」で指定する必要がありました。 現在では「Domain Name Contains google」指定で簡単に実現できます。 |
| Not Contains(New!) | 「部分一致」に当てはまらないものを表示するフィルタリングです。 複数のサブドメインを持つページをまとめて除外したい場合に便利です。 |
| Approximate Match(New!) | いわゆる「あいまい検索」です。 例えばドメインとして「goggle.com」を指定していた場合に、 「google.com」の通信がヒットする可能性があります。 ドメイン名がはっきりしない場合等に使用可能ですが、 現状の検出精度はかなり低く、活用は難しいところです。 |
| Not Approximate Match(New!) | 「あいまい検索」に当てはまらないものを表示するフィルタリングです。 精度は「Approximate Match」同様で、現時点の活用は難しいところです。 |
Value:フィルタリングに用いる設定値です。
条件設定後に「Add Filter」を選択することで、フィルタリングの結果が適用されます。
フィルタウィンドウに表示されているフィルタ条件右の「×」をクリックすると、対象のフィルタを解除できます。
また、フィルタ条件をクリックすることで、適用中のフィルタの内容を編集することが可能です。
表示結果からフィルタ条件を追加
[Events]画面左部の「Fields」には、現在の条件に当てはまるイベントの、各属性に該当するログ件数が表示されます。
絞り込みたい属性を開き、値にマウスを合わせると「+」「ー」の2つのフィルタマークが表示されます。
「+」をクリックすると「In」、「ー」をクリックすると「Not In」のフィルタ条件が追加されます。
なお、イベントの詳細表示からも同様の操作を実行可能です。
フィルタリングによく使う属性(Field)例
属性(Field)を指定し、フィルタリングを設定できることを説明してきましたが、
CatoのEventの属性は種類がきわめて多く、どれを使えば効果的に調査できるのか?が難しいところです。
以下に、参考として調査で使いやすい属性(Field)を例示します。
| 属性(Field)名 | 説明 |
|
| Event Type | Eventの種別です。 |
|
| Security | FirewallやIPS等、セキュリティ機能のログです。 | |
| Connectivity | ユーザやSiteの接続/切断といったログです。 接続障害が発生した際の切断/再接続等が記録されます。 また、DHCP払い出しやAPI連携のログも含まれます。 |
|
| System | SDP Userのグループ追加やライセンス適用等の操作、 LDAP連携やSCIMプロビジョニングのログ等、 主にユーザ周りのログが記録されます。 |
|
| Routing | 主にBGP周りの通信が記録されます。 | |
| Sockets Management | SocketのアップグレードやSocket Web UIへの接続等、 Socket関連のログが記録されます。 |
|
| Detection and Response | XDR機能関連のログが記録されます。 | |
| Sub-Type | 「Event Type」よりも詳細なイベントの分類です。 例えば、接続断について調査する場合「Disconnected」「Reconnected」、 拠点間通信を調査する場合「WAN Firewall」等が対象となるでしょう。 |
|
| Action | 処理結果を示す属性です。 例えば、ブロックされてしまった通信を絞り込むならば 「Action Is Block」としてフィルタリングすることになります。 |
|
| Source Site | 接続元のSiteを示す属性です。 特定のSiteで起きた事象の調査を行う場合に有用です。 |
|
| Source is Site or SDP User | 接続者がSiteからの通信か、SDPユーザとして通信しているかを示す属性です。 SDPユーザに限って調査をする場合等に活用可能です。 |
|
| User Email | SDPユーザに紐付けられているメールアドレスを示す属性です。 特定のユーザの通信を対象に調査する場合に利用します。 |
|
| Device Name | 接続元の機器(PC等)につけられたホスト名を示す属性です。 こちらも、特定の対象から行われる通信を調査したい場合に利用します。 |
|
| Domain Name | 接続先のドメイン情報を示す属性です。 「特定のWEBサイトへアクセスできない」ような場合の調査に利用します。 |
|
| Destination IP | 接続先のIPアドレスを示す属性です。 トラブルが発生している通信の宛先IPが確定している場合、 この属性でのフィルタリングが有効です。 |
|
| Destination Port | 宛先ポート番号を示す属性です。 例えばHTTPS通信なら443、名前解決なら53といった形で、 通信のプロトコルや種別を間接的に指定できます。 |
|
プリセットを用いたフィルタリング
ここまでフィルタリングの設定方法や例を紹介しましたが、毎回フィルタリングを吟味、指定するのも大変……
という悩みを解決するべく、Catoはフィルタリングの「プリセット」機能を用意しています。
デフォルトのプリセットによるフィルタリング
フィルタウィンドウ左のブックマークアイコンをクリックすることで、プリセットの一覧が表示されます。
「Predefined Presets」として、Catoが事前に作成したプリセットが存在します。
これをクリックすることで、記載されている内容を満たすフィルタ設定が自動で設定されます。
(クリック前のフィルタ設定は期間指定以外全てクリアされ、プリセットの内容に置き換えられます。)
以下はプリセット「Site Disconnected」を適用した場合のフィルタ設定です。
他にも「Socket Update Failed」「SDP Authentication issue(モバイルユーザのログイン失敗)」など、
トラブルシューティングに有用なプリセットが多数登録されています。調査の効率化に活用しましょう。
カスタムプリセットの作成・適用
高頻度で使用するフィルタ設定が存在する場合、プリセットとして保存することで操作を簡略化できます。
保存したいフィルタ設定を行った状態で、フィルタウィンドウ右の「Add to Custom Presets」をクリックします。
プリセットの名前を付けて「Apply」をクリックすれば、プリセットとして追加されます。
プリセットの一覧を表示すると、「Custom Preset」として作成したプリセットが表示されています。
これで、同様のフィルタ設定を簡単に実行することができます。
表示項目(属性)を絞り込む
手動での属性絞り込み
これをクリックすることで、「Time」と追加した属性だけが一覧表示されるようになります。
(Timeは必ず表示されます。)
非常にすっきりとした表示になりました。詳細を開くことで、非表示になっている属性も確認が可能です。
この絞り込み指定はフィルタのCustom Preset作成時に保存されるため、
日常的に検索する必要がある場合は活用しましょう。
Smart Viewによる属性絞り込み
[Events]画面の[Smart View]タブを開くと、Catoにて事前に表示項目を絞り込んだ状態でイベントが表示されます。
カスタマイズは不可能ですが、イベントの概要を掴める状態で列挙されるため、
特定の時間帯のイベントをざっと確認するのに有用です。
Quick View機能について
[Events]タブに「Quick View」という、Smart Viewによく似た名称の機能が存在します。
こちらは処理高速化のため、Catoにより優先度が低いと判断された一部の属性をクエリ対象外とする機能です。
以下の画像は、同一のイベントのQuick ViewのOFF / ONでの比較です。
左側の赤枠で囲われている属性が、Quick ViewをONにした場合は対象外となっています。
対象外となっている属性はCato内部でのIDのような属性が多く、
通常のトラブルシューティングにおいて参照する必要性は薄いでしょう。
対象外とされた属性は詳細を開いても表示されません。
多くの場合は有効のままで問題ありませんが、対象外とされた属性の確認が必要な場合は無効化しましょう。
イベントをエクスポートする
Excel等を使用して整理、分析したい場合や、上記のフィルタリングを用いてもなお100件を超える結果となる場合、
イベントの検索結果をCSVファイルとしてエクスポートすることで対応できます。
[Events]画面右上の「Export Events]を実行することで、
現在のフィルタリング条件に合致するイベントをエクスポートします。
エクスポートする際に含める属性は、以下の3種類から選択可能です。
- 絞り込みで指定中の属性のみ (※手動での絞り込み実施中のみ選択可能)
- 「Quick View」機能利用中に表示対象となる属性のみ
- 全ての属性を含める
実行すると、自動的にCSVファイル入りのzipファイルが生成され、ダウンロードが開始されます。
同時に、ダウンロードリンクを記した通知メールが送付されます。
実行後7日間はこのメール内のリンクから再ダウンロード可能です。
実行者だけでなく管理者全員宛にメール通知が実施されるため、ご注意ください。
管理者宛にメール通知がなされることを避けたい場合、
[Account] > [NOTIFICATIONS] > [System Notifications]にて
「Data Export」をDisableに変更しましょう。通知先をエクスポート実行者だけになるよう変更可能です。
おわりに
CatoのEventsページは厄介な仕様も持ち合わせているものの、
使いこなせば簡単な調査であればコンソール上で完結させることも可能です。
ログの確認が必要な際に、本記事をご活用いただければ幸いです。