Catoクラウド Eventsの確認方法

Catoクラウドのすべてのログが一元的に確認できる、便利な「Events」ですが、慣れるまでは使い方が少し難しいです。

この記事では、Eventsのログの絞り込み方を簡単にご紹介します。

※画面は2023年8月時点のものです。機能アップデート等で変わる場合がありますので、あらかじめご了承ください。

Events画面の概要

Cato Management Application(以下CMA)にログインし、Monitoring > Events を選択すると、以下の画面になります。

右上のカレンダーのボタンにて、ログを表示する期間を指定できます。

Catoクラウドのログ量は多いため、確認したい日時を絞り込むことをお勧めします。

なお、日時は日本時間(JST)表示です。

ログ件数のグラフの下にあるカテゴリ項目は、ユーザインタフェースとしては分かりにくいですが、チェックボックスをクリックするとチェックの付け外しができます。

下図では5つすべてのカテゴリにチェックが入っており、すべてのログが表示される状態になっていますが、確認したいログのカテゴリにのみチェックを入れることで、表示されるログカテゴリを絞り込みできます。

項目名	主なログ内容
Security	Firewall、IPS等、セキュリティ機能のログです。ユーザの通信ログが含まれます。
Connectivity	接続に関するログです。ユーザや拠点の接続/切断のログや、DHCPの払い出しのログ等が含まれます。また、CMAへのログインやAPIの接続も、この項目に記録されます。
System	LDAP連携やSCIM Provisioning等のログが含まれます。
Routing	BGP Peerの追加/削除や、CatoクライアントでAlways-Onを一時的にバイパスしたログが記録されます。
Sockets Management	SocketのUpgradeや、CMAからSocket WebUIへアクセスしたログが記録されます。

Eventsには、実際に発生したログが表示されます。通信の発生から数分以内にEventsにログが反映されます。

各イベントの日付の左にある「+」をクリックすると、以下のようにイベントの詳細が展開表示されます。

左の「Fields」欄にて、確認したいログを絞り込みできます。

例として、Catoにて通信がBlockされたログを確認したいときは、「Action」を選択し、「Block」の横の「+」フィルタをクリックします。

すると、Action が Block のログのみが絞り込まれて表示されます。

フィルタを解除したいときは、グラフ上部のフィルタ欄にて、現在適用されているフィルタ項目の「×」をクリックすると、そのフィルタ項目が削除され、絞り込みが解除されます。

また、このフィルタ欄にて手動で条件を指定してのログ絞り込みが可能です。

フィルタ欄にて「+」をクリックすると、条件指定のウィンドウが表示されます。

特定のモバイルユーザのログのみを確認したい場合は、以下の図のように条件指定します。

項目	説明
Field	絞り込むフィールドを指定します。文字入力することで候補の絞り込みが可能です。
Operator	Is(等しい)、Is Not(等しくない)、In(含む)、Not In(含まない) のいずれかを選択します。
Value	絞り込みたい条件となる値を入力します。

他によく利用する操作として、Sub-Type毎のログ確認があります。

Sub-Typeは、ログのサブカテゴリのようなもので、Catoの機能毎のログに絞ることができます。

ここではよく使うSub-Typeを記載します。

Sub-Type名	ログ内容
Internet Firewall/ WAN Firewall	各Firewallのログです。
Anti Malware/ NG Anti Malware	各Anti Malware機能のログです。
IPS	IPS機能でBlockされた通信のログです。
Suspicious Activity	IPS機能でのBlockには至らなかったものの、疑わしい通信のログです。
DNS Protection	IPSのDNS Protection機能でBlockしたDNS通信のログです。
TLS	通信は成立しているものの、通信先との間で証明書エラーが発生している通信のログです。
Connected/Disconnected/ Reconnected/Changed Pop	拠点やユーザの接続・切断・再接続・PoP切り替わりのログです。