接続をモニターしたアクセス コントロール ポリシー。

接続を処理したアクセス コントロール ルールまたはデフォルト アクションと、その接続に一致した最大 8 つのモニター ルール。

接続が 1 つのモニター ルールに一致した場合、Secure Firewall Management Center は接続を処理したルールの名前を表示し、その後にモニター ルール名を表示します。接続が複数のモニター ルールに一致した場合、一致するモニター ルールの数が表示されます（Default Action + 2 Monitor Rules など）。

接続に一致した最初の 8 つのモニター ルールのリストをポップアップ ウィンドウに表示するには、[N モニター ルール（NMonitor Rules）] をクリックします。

接続をロギングした設定に関連付けられているアクション。

セキュリティ インテリジェンスによってモニタされている接続の場合、そのアクションは、接続によってトリガーされる最初のモニタ以外のアクセス コントロール ルールのアクションであるか、またはデフォルト アクションです。同様に、モニタ ルールに一致するトラフィックは常に後続のルールまたはデフォルト アクションによって処理されるため、モニタ ルールによってロギングされた接続と関連付けられたアクションが [モニタ（Monitor）] になることはありません。ただし、モニタ ルールに一致する接続の相関ポリシー違反をトリガーする可能性があります。

Secure Firewall Management Center の Web インターフェイスでは、この値は概要とグラフを抑制します。

接続で検出された、ホスト間の通信を表すアプリケーション プロトコル。

アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。

接続で検出されたアプリケーション トラフィックに関連するリスク：Very High、High、Medium、Low、または Very Low。接続で検出されたアプリケーションのタイプごとに、関連するリスクがあります。このフィールドでは、それらのうち最も高いものが表示されます。

接続で検出されたアプリケーション トラフィックに関連するビジネス関連性：Very High、High、Medium、Low、または Very Low。接続で検出されたアプリケーションのタイプごとに、関連するビジネスとの関連性があります。このフィールドでは、それらのうち最も低いもの（関連が最も低い）が表示されます。

接続で検出されたクライアントのクライアント アプリケーションとバージョン。

接続に使用されている特定のクライアントをシステムが特定できなかった場合、このフィールドは汎用的な名称としてアプリケーション プロトコル名の後に「client」という語を付加して FTP client などと表示します。

アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。

ある接続と別の同時接続を区別するカウンタ。このフィールドは、それ自体には意味がありません。

[DeviceUUID]、[First Packet Time]、[Connection Instance ID]、および [Connection Counter] フィールドの情報を総合すると、接続イベントを識別できます。

接続イベントを処理した Snort インスタンス。このフィールドは、それ自体には意味がありません。

[DeviceUUID]、[First Packet Time]、[Connection Instance ID]、および [Connection Counter] フィールドの情報を総合すると、接続イベントを識別できます。

このフィールドは syslog フィールドとしてのみ存在します。Secure Firewall Management Center の Web インターフェイスにはありません。（Web インターフェイスは、[最初のパケット（First Packet）] 列と [最後のパケット（Last Packet）] 列を使用してこの情報を伝送します。）

このフィールドは、接続の最後にロギングが発生した場合にのみ、値が備わっています。接続開始の syslog メッセージでは、このフィールドは出力されません。その時点では不明であるためです。

接続終了の syslog メッセージでは、このフィールどは最初のパケットと最後のパケットまでの秒数が表示されます。短時間の接続ではゼロになることがあります。たとえば、syslog のタイムスタンプが 12:34:56 で ConnectionDuration が 5 の場合、最初のパケットは 12:34:51 に検出されました。

接続サマリーに含まれる接続数。長時間接続（複数回の接続サマリー間隔にまたがる接続）の場合、最初の接続サマリー間隔の分だけ増加します。[接続（Connections）] 条件を使用した検索で意味のある結果を表示するには、接続サマリー ページを持つカスタム ワークフローを使用する必要があります。

各行に表示される情報に一致する接続数。[カウント（Count）] フィールドは、複数の同一行が生成される制限を適用した後でのみ表示されることに注意してください。カスタム ワークフローを作成し、ドリルダウン ページに [カウント（Count）] カラムを追加しない場合、各接続は個別に表示され、パケット数とバイト数は合計されません。

関連付けられた接続のパケットを復号する VPN ピアの IP アドレス（ピアの IKE アドレス）。

VPN ピアの IP アドレスを表示するには、接続の開始時と接続の終了時にログを記録するアクセス コントロール ポリシー ルールのログ設定を有効にする必要があります。復号されたトラフィックのアクセス コントロール ポリシーのバイパス（sysopt connection permit-vpn）オプションを有効にした場合、復号されたトラフィックの詳細を表示できません。

このフィールドには、クライアントアプリケーションの検出元が表示されます。[AppID] または [暗号化された可視性（Encrypted Visibility）] のいずれかです。

Secure Firewall Management Center のインターフェイスでは、これらの値は概要とグラフを抑制します。

セッション レスポンダが使用するポートまたは ICMP コード。

このフィールドには、 Destinationsecuritygrouptag（使用可能な場合）の数値に関連付けられているテキスト値が保持されます。グループ名をテキスト値として使用できない場合、このフィールドには、[DestinationSecurityGroupTag] フィールドと同じ整数値が含まれます。

このフィールドには、セキュリティグループタグを取得した送信元が表示されます。

接続に関係する宛先のセキュリティ グループ タグ（SGT）属性。

送信元 SGT 値は、[DestinationSecurityGroupType ] フィールドで指定された送信元から取得されます。

このフィールドには、クライアントの検出元が表示されます。

Secure Firewall Management Center の Web インターフェイスでは、この値は概要とグラフを抑制します。

接続を検出した管理対象デバイス。または、NetFlow データから生成された接続の場合は、データを処理した管理対象デバイス。

イベントを生成した Firepower デバイスの一意の識別子。

[DeviceUUID]、[First Packet Time]、[Connection Instance ID]、および [Connection Counter] フィールドの情報を総合すると、接続イベントを識別できます。

ドメイン名を検索するために接続でネーム サーバーに送信された DNS クエリ。

このフィールドには、DNS フィルタリングが有効になっている場合の URL フィルタリング一致のドメイン名も保持できます。この場合、[URL] フィールドは空白になり、[URL Category] フィールドと [URL Reputation] フィールドにはドメインに関連付けられた値が含まれます。

DNS フィルタリングの詳細については、DNS フィルタリング：DNS ルックアップ中の URL レピュテーションとカテゴリの識別（ベータ版）を参照してください。

接続で送信された DNS クエリを解決するために使用された DNS リソース レコードのタイプ。

問い合わせ時に接続でネーム サーバーに返された DNS レスポンス。

システムが接続をリダイレクトしたシンクホール サーバーの名前。

DNS サーバーが DNS リソース レコードをキャッシュする秒数。

接続を検出した管理対象デバイスのドメイン。または、NetFlow データから生成された接続の場合は、データを処理した管理対象デバイスのドメイン。 このフィールドは、マルチテナンシーのために Management Center を設定したことがある場合に表示されます。

関連付けられた接続のパケットを暗号化する VPN ピアの IP アドレス（ピアの IKE アドレス）。

VPN ピアの IP アドレスを表示するには、接続の開始時と接続の終了時にログを記録するアクセス コントロール ポリシー ルールのログ設定を有効にする必要があります。

セッションの暗号化された可視化エンジン（EVE）によって検出された TLS フィンガープリント。

暗号化された可視性エンジン（EVE）によって分析された TLS クライアント hello パケットのプロセスまたはクライアント。

暗号化された可視性エンジンが適切なプロセスを検出しているかを示す 0 〜 100％ の範囲内の信頼値。たとえば、プロセス名が Firefox で、信頼スコアが 80％ の場合、エンジンが検出したプロセスが Firefox であると 80％ 信頼していることを示します。

暗号化された可視性エンジンによって検出されたプロセスに脅威が含まれる確率のレベル。このフィールドは、脅威信頼スコアの値に基づいて、帯域（[Very High]、[High]、[Medium]、[Low]、または [Very Low]）を示します。

暗号化された可視性エンジンによって検出されたプロセスに脅威が含まれていることを示す 0 〜 100％ の範囲内の信頼値。脅威信頼スコアが非常に高い場合（90% など）、[暗号化された可視性プロセス名（Encrypted Visibility Process Name）] フィールドには [マルウェア（Malware）] と表示されます。

ISE で指定された、ユーザーの認証に ISE を使用したネットワーク デバイスの IP アドレス。

ISE で指定されたユーザーのエンドポイント デバイス タイプ。

接続イベントが優先度の高いイベントであるかどうか。高優先度（High）イベントは、侵入、セキュリティ インテリジェンス、ファイル、またはマルウェアイベントに関連付けられた接続イベントです。他のすべてのイベントは低優先度（Low）イベントです。

1 つ以上のファイル イベントに関連付けられている接続で検出またはブロックされたファイル（マルウェア ファイルを含む）の数。

Secure Firewall Management Center の Web インターフェイスでは、[ファイルの表示（View Files）] アイコン（）はファイルのリストにリンクしています。アイコンの数字は、その接続で検出またはブロックされたファイル数（マルウェア ファイルを含む）を示します。

セッションの最初または最後のパケットが検出された日時。

システムが最初のパケットを検出した時間。

[DeviceUUID]、[First Packet Time]、[Connection Instance ID]、および [Connection Counter] フィールドの情報を総合すると、接続イベントを識別できます。

接続で検出された HTTP トラフィックの要求 URL のリファラを示す HTTP リファラ（他の URL へのリンクを提供した Web サイト、他の URL からリンクをインポートした Web サイトなど）。

クライアントからの接続経由の HTTP 要求に応じて送信される HTTP ステータス コード。

接続に関連付けられた入力または出力のインターフェイス。展開に非対称のルーティング設定が含まれている場合は、入力と出力のインターフェイスが同じインライン ペアに属する場合があります。

接続に関連付けられた入力または出力のセキュリティ ゾーン。

再区分されたカプセル化接続では、元の入力セキュリティ ゾーンの代わりに、割り当てたトンネル ゾーンが入力フィールドに表示されます。出力フィールドは空白です。

仮想ルーティングを使用するネットワークにおける、トラフィックがネットワークに出入りするときに通過する仮想ルータの名前。

セッション イニシエータが送信したバイトまたはセッション レスポンダが受信したバイトの総数。

ルーティング可能な IP が検出された場合の、セッション イニシエータまたはレスポンダの IP アドレスに関連付けられた大陸。

ルーティング可能な IP が検出された場合の、セッション イニシエータまたはレスポンダの IP アドレスに関連付けられた国。システムにより、国旗のアイコンと、国の ISO 3166-1 alpha-3 国番号が表示されます。国旗アイコンの上にポインタを移動すると、国の完全な名称が表示されます。

Secure Firewall Management Center のインターフェイスでは、これらの値は概要とグラフを抑制します。

セッション イニシエータまたはレスポンダの IP アドレス（および DNS 解決が有効化されている場合はホスト名）。

イニシエータ/レスポンダ、送信元/接続先、および送信者/受信者フィールドに関する注意も参照してください。

Secure Firewall Management Center の Web インターフェイスでは、ホストアイコンは接続がブロックされる原因となった IP アドレスを示します。

プレフィルタポリシーによってブロックされるか、または高速パスが適用されたプレーンテキストのパススルートンネルでは、イニシエータとレスポンダの IP アドレスはトンネルエンドポイント（トンネルの両側のネットワークデバイスのルーテッドインターフェイス）を表します。

セッション イニシエータが送信したバイトまたはセッション レスポンダが受信したパケットの総数。

Secure Firewall Management Center の Web インターフェイスでは、この値は概要とグラフを制限します。

セッション イニシエータにログインしていたユーザー。このフィールドに [認証なし（No Authentication）] が入力されている場合、ユーザ トラフィックは次のようになります。

• 関連付けられたアイデンティティ ポリシーがないアクセス コントロール ポリシーに一致しました。

• アイデンティティ ポリシーのいずれのルールにも一致しませんでした。

該当する場合、ユーザー名の前には <realm>\ が付いています。

イニシエータ/レスポンダ、送信元/接続先、および送信者/受信者フィールドに関する注意も参照してください。

接続に関連付けられた侵入イベント（ある場合）の数。

Secure Firewall Management Center の Web インターフェイスでは、[侵入イベントの表示（View Intrusion Events）] アイコン（）はイベントのリストにリンクしています。

マルウェア イベントが、接続に関与したホストに対する侵入の痕跡（IOC）をトリガーしたかどうか。

セッションのイニシエータまたはレスポンダの NAT 変換後の IP アドレス。

セッションのイニシエータまたはレスポンダの NAT 変換後のポート。

セッションで使用された NetBIOS ドメイン。

NetFlow データから生成された接続の場合、接続トラフィックが NetFlow 対応デバイスに入ったか、NetFlow エクスポータから出た際のインターフェイスのインターフェイス インデックス。

NetFlow データから生成された接続の場合、接続のトラフィックの送信元または宛先に対する、Border Gateway Protocol の自律システム番号。

NetFlow データから生成された接続の場合、送信元または宛先の IP アドレスに、送信元と宛先のプレフィックス マスクが追加されたもの。

NetFlow データから生成された接続の場合、接続トラフィックが NetFlow 対応デバイスに入ったか、NetFlow エクスポータから出たときの Type of Service（TOS）バイトの設定。

イベントの生成に関連付けられているネットワーク分析ポリシー（NAP）（ある場合）。

元のクライアントの IP アドレスが属する国。この値を取得するために、システムは元のクライアント IP アドレスを X-Forwarded-For（XFF）、True-Client-IP、またはカスタム定義の HTTP ヘッダーから抽出し、それを地理位置情報データベース（GeoDB）を使用して国にマップします。このフィールドに入力するには、元のクライアントに基づいてプロキシ トラフィックを処理するアクセス コントロール ルールを有効にする必要があります。

X-Forwarded-For（XFF）、True-Client-IP、またはカスタム定義の HTTP ヘッダーからの、元のクライアント IP アドレス。このフィールドに入力するには、元のクライアントに基づいてプロキシ トラフィックを処理するアクセス コントロール ルールを有効にする必要があります。

接続を処理したプレフィルタ ポリシー。

Secure Firewall Management Center の Web インターフェイスは、次のようになります。

• この値は概要とグラフを抑制します。

• このフィールドは検索フィールドとしてのみ使用できます。

接続に使用されるトランスポート プロトコルです。特定のプロトコルを検索するには、名前を使用するか、http://www.iana.org/assignments/protocol-numbers に記載されたプロトコルの番号を指定します。

レート制限された接続で、レート制限を適用するインターフェイスの名前。

レート制限によりセッション イニシエータまたはセッション レスポンダからドロップされたバイト数。

レート制限によりセッション イニシエータまたはセッション レスポンダからドロップされたパケット数。

接続のレートを制限する QoS ポリシー。

接続のレートを制限する QoS ルール。

多くの場合に接続がロギングされた 1 つまたは複数の原因。完全なリストについては、接続イベントの理由を参照してください。

IP ブロック、DNS ブロック、および URL ブロックの理由による接続には、固有のイニシエータ レスポンダ ペアごとに 15 秒のしきい値があります。システムがこれらのいずれかの接続をブロックした後、イベントを生成した時点から 15 秒の間、この 2 つのホスト間で接続がブロックされたとしても、ポートやプロトコルの違いに関わらず、接続イベントを生成しません。

接続のプロトコルが HTTP または HTTPS の場合、このフィールドにはそれぞれのプロトコルが使用していたホスト名が表示されます。

どの IP アドレスが一致しているか。

有効な値：None、Destination、またはSource。

ASA FirePOWER でマルチコンテキストモードで処理される接続で、トラフィックが通過した仮想ファイアウォールグループを特定するメタデータ。

接続でブロックされた URL、ドメイン、または IP アドレスを表すか、またはそれを含むオブジェクトの名前。セキュリティ インテリジェンスのカテゴリは、ネットワークオブジェクトまたはグループ、ブロックリスト、カスタム セキュリティ インテリジェンスのリストまたはフィード、監視に関連する TID カテゴリ、またはインテリジェンスフィードのカテゴリのいずれかの名前にすることができます。

Secure Firewall Management Center の Web インターフェイスでは、DNS、ネットワーク（IP アドレス）、および URL セキュリティ インテリジェンスの接続イベントは 1 つのカテゴリ フィールドに結合されます。syslog メッセージでは、それらのイベントはタイプ別に固有です。

セキュリティ関連の接続イベントには、セキュリティ インテリジェンス イベントやその他の接続イベント（侵入イベントやマルウェアイベントをトリガーしたものなど）が含まれます。[セキュリティ インテリジェンスの概要（Security Intelligence Summary）] ワークフローには、すべてのセキュリティ インテリジェンス イベントがカテゴリや数ごとに表示されます。セキュリティ インテリジェンス カテゴリのないイベントは、グループ化され、数とのみ表示されます。

インテリジェンス フィードのカテゴリの詳細については、セキュリティ インテリジェンス カテゴリ を参照してください。

Secure Firewall Management Center の Web インターフェイスでは、この値は概要とグラフを抑制します。

接続の生成に使用されたデータをブロードキャストする NetFlow エクスポータの IP アドレス。管理対象デバイスによって接続が検出された場合、このフィールドには Firepower と表示されます。

Secure Firewall Management Center のインターフェイスでは、これらの値は概要とグラフを抑制します。

セッション イニシエータが使用するポートまたは ICMP タイプ。

このフィールドには、 [SourceSecurityGroupTag]（使用可能な場合）の数値に関連付けられているテキスト値が保持されます。グループ名をテキスト値として使用できない場合、このフィールドには、[SourceSecurityGroupTag] フィールドと同じ整数値が含まれます。タグは、インラインデバイス（送信元 SGT 名が指定されていない）または ISE（送信元を指定している）から取得できます。

このフィールドには、セキュリティグループタグを取得した送信元が表示されます。

接続に関係するパケットのセキュリティグループタグ（SGT）属性の数値表現。SGT は、信頼ネットワーク内での、トラフィックの送信元の権限を指定します。セキュリティ グループ アクセス（Cisco TrustSec と Cisco ISE の両方に共通の機能）は、パケットがネットワークに入るときに属性を適用します。

Secure Firewall Management Center の Web インターフェイスでは、このフィールドは検索フィールド専用です。

システムにより、検索ワークフローのページの [SSL ステータス（SSL Status）] フィールドにフィールド値が表示されます。

システムが SSL ポリシーの暗号化トラフィックに適用したアクション。

Secure Firewall Management Center の Web インターフェイスでは、このフィールドは検索フィールド専用です。

トラフィックを暗号化するための公開キー証明書に保存される次の情報：

• サブジェクト/発行元共通名（Subject/Issuer Common Name）

• サブジェクト/発行元組織（Subject/Issuer Organization）

• サブジェクト/発行元組織単位（Subject/Issuer Organization Unit）

• 有効期間の開始/終了（Not Valid Before/After）

• シリアル番号（Serial Number）

• 証明書フィンガープリント（Certificate Fingerprint）

• 公開キー フィンガープリント（Public Key Fingerprint）

これは、認証ステータスの SSL ルール条件が設定されている場合にのみ適用されます。暗号化されたトラフィックが SSL ルールに一致すると、このフィールドに次のサーバの証明書のステータス値の 1 つ以上が表示されます。

• [自署（Self Signed）]

• [有効（Valid）]

• [署名が無効（Invalid Signature）]

• [発行元が無効（Invalid issuer）]

• [期限切れ（Expired）]

• [不明（Unknown）]

• [まだ有効ではない（Not Valid Yet）]

• [失効（Revoked）]

復号できないトラフィックが SSL ルールと一致する場合、このフィールドには [未チェック（Not Checked）] と表示されます。

接続を暗号化するのに使用される暗号スイートを表すマクロ値。暗号スイートの値の指定については、 https://www.iana.org/assignments/tls-parameters/tls-parameters.xhtmlを参照してください。

このフィールドは、Firepower Management Center の Web インターフェイスで検索フィールドとしてのみ使用できます。

yes または no を [SSL] 検索フィールドに入力することで、TLS/SSL 暗号化された接続または暗号化されていない接続が表示されます。

Secure Firewall Management Center の Web インターフェイスでは、このフィールドは検索フィールド専用です。

有効な SSL ルールで指定された、暗号化トラフィックに適用されると予想されるアクション。

[SSL の実際の動作（SSL Actual Action）] にリストされている値を入力します。

システムが暗号化されたトラフィックの復号化に失敗した理由。

• 不明

• 不一致（No Match）

• Success

• キャッシュされていないセッション（Uncached Session）

• 不明な暗号スイート（Unknown Cipher Suite）

• サポートされていない暗号スイート（Unsupported Cipher Suite）

• サポートされていない SSL バージョン（Unsupported SSL Version）

• 使用された SSL 圧縮（SSL Compression Used）

• パッシブ モードで復号化できないセッション（Session Undecryptable in Passive Mode）

• ハンドシェイク エラー（Handshake Error）

• 復号エラー（Decryption Error）

• 保留中のサーバー名カテゴリの検索（Pending Server Name Category Lookup）

• 保留中の共通名カテゴリの検索（Pending Common Name Category Lookup）

• 内部エラー（Internal Error）

• 未完了のハンドシェイク（Incomplete Handshake）

• 使用不可能なネットワーク パラメータ（Network Parameters Unavailable）

• 無効なサーバー証明書の処理（Invalid Server Certificate Handle）

• 使用不可能なサーバー証明書フィンガープリント（Server Certificate Fingerprint Unavailable）

• サブジェクト DN をキャッシュできない（Cannot Cache Subject DN）

• 発行元 DN をキャッシュできない（Cannot Cache Issuer DN）

• 不明な SSL バージョン（Unknown SSL Version）

• 使用不可能な外部証明書リスト（External Certificate List Unavailable）

• 使用不可能な外部証明書フィンガープリント（External Certificate Fingerprint Unavailable）

• 無効な内部証明書リスト（Internal Certificate List Invalid）

• 使用不可能な内部証明書リスト（Internal Certificate List Unavailable）

• 使用不可能な内部証明書（Internal Certificate Unavailable）

• 使用不可能な内部証明書フィンガープリント（Internal Certificate Fingerprint Unavailable）

• 使用不可能なサーバー証明書の検証（Server Certificate Validation Unavailable）

• サーバー証明書の検証エラー（Server Certificate Validation Failure）

• 無効なアクション（Invalid Action）

フィールド値は、検索ワークフロー ページの [SSL ステータス（SSL Status）] フィールドに表示されます。

エラーが TLS/SSL セッション中に発生した場合はエラー名および 16 進数コード。エラーが発生しない場合は [成功（Success）]。

暗号化された接続の最初の 10 デバッグ レベル フラグ。ワークフロー ページでは、すべてのフラグを表示するには、省略記号（…）をクリックします。。

次のキーワードは、暗号化トラフィックが TLS/SSL ハンドシェイク時にクライアントとサーバー間で交換される指定されたメッセージ タイプに関連付けられていることを示します。詳細については、http://tools.ietf.org/html/rfc5246を参照してください。

• HELLO_REQUEST

• CLIENT_ALERT

• SERVER_ALERT

• CLIENT_HELLO

• SERVER_HELLO

• SERVER_CERTIFICATE

• SERVER_KEY_EXCHANGE

• CERTIFICATE_REQUEST

• SERVER_HELLO_DONE

• CLIENT_CERTIFICATE

• CLIENT_KEY_EXCHANGE

• CERTIFICATE_VERIFY

• CLIENT_CHANGE_CIPHER_SPEC

• CLIENT_FINISHED

• SERVER_CHANGE_CIPHER_SPEC

• SERVER_FINISHED

• NEW_SESSION_TICKET

• HANDSHAKE_OTHER

• APP_DATA_FROM_CLIENT

• APP_DATA_FROM_SERVER

• SERVER_NAME_MISMATCH

  セッションで表示されるサーバー証明書には、宛先ドメイン名に対応しない共通名または SAN 値があります。

• CERTIFICATE_CACHE_HIT

  宛先ドメイン名に一致する証明書がキャッシュ内で見つかりました。

• CERTIFICATE_CACHE_MISS

  宛先ドメイン名に一致する証明書がキャッシュ内で見つかりませんでした。

接続を処理した SSL ポリシー。

アクセス コントロール ポリシーの詳細設定で TLS サーバーのアイデンティティ検出が有効になっている場合で、そのアクセス コントロール ポリシーに関連付けられている SSL ポリシーがない場合、このフィールドにはどの SSL イベントについても何も保持されません。

接続を処理した SSL ルールまたはデフォルト アクションと、その接続に一致した最初のモニター ルール。接続がモニター ルールに一致した場合、フィールドには接続を処理したルールの名前が表示され、その後にモニター ルール名が表示されます。

このフィールドは syslog フィールドとしてのみ存在します。Secure Firewall Management Center の Web インターフェイスにはありません。

クライアントが暗号化された接続を確立した相手側サーバーのホスト名。

TLS/SSL ハンドシェイク時にクライアントとサーバー間でネゴシエートされた 16 進数セッション ID。

暗号化された接続を記録した、[SSL の実際の動作（SSL Actual Action）]（SSL ルール、デフォルト アクション、または復号できないトラフィック アクション）に関連したアクション。[ロック（Lock）] アイコン（）は、SSL 証明書の詳細にリンクしています。証明書を利用できない場合（たとえば、TLS/SSL ハンドシェイク エラーにより接続がブロックされる場合）、ロック アイコンはグレー表示になります。

システムが暗号化された接続の復号化に失敗した場合、実行された [SSL の実際のアクション（SSL Actual Action）]（復号化できないトラフィック アクション）と [SSL 障害の理由（SSL Failure Reason）] が表示されます。たとえば、不明な暗号スイートによって暗号化されたトラフィックをシステムが検出し、それ以上のインスペクションをせずにこれを許可した場合、このフィールドには [復号しない（不明な暗号スイート）（Do Not Decrypt (Unknown Cipher Suite)）] が表示されます。

暗号化された接続の SSL ハンドシェイクが未完了であり、システムがトラフィックの復号に失敗した場合、[SSLステータス（SSL Status）] フィールドに「Unknown (Incomplete Handshake)」（不明（未完了のハンドシェイク））と表示されます。

このフィールドを検索するときは、[SSL の実際のアクション（SSL Actual Action）] および [SSL 障害の理由（SSL Failure Reason）] の値を 1 つ以上を入力して、システムが処理した暗号化されたトラフィック、または復号化に失敗したトラフィックを表示します。

このフィールドは Secure Firewall Management Center の Web インターフェイスのみで、検索フィールドとしてのみ使用できます。

暗号化証明書に関連付けられている件名または発行者の国に関する 2 文字の ISO 3166-1 アルファ 2 国コード。

TLS/SSL ハンドシェイク時に送信されたセッション チケット情報の 16 進数のハッシュ値。

暗号化接続でアクセスされた URL の URL カテゴリ

このフィールドは syslog フィールドとしてのみ存在します。Secure Firewall Management Center の Web インターフェイスでは、このフィールドの値が URL カテゴリ列に組み込まれます。

URLを参照してください。

接続の暗号化に使用された TLS/SSL プロトコル バージョン。

• 不明

• SSLv2.0

• SSLv3.0

• TLSv1.0

• TLSv1.1

• TLSv1.2

• TLSv1.3

NetFlow データから生成された接続において、接続で検出された TCP フラグ。

このフィールドを検索する場合は、TCP フラグのカンマ区切りリストを入力することで、これらのフラグが 1 つ以上あるすべての接続が表示されます。

システムが接続を接続サマリーに集約するために使用した 5 分間隔の終了時刻。このフィールドは検索できません。

このフィールドは検索フィールドとしてのみ使用できます。

接続で送信された合計パケット数。

このフィールドは検索フィールドとしてのみ使用できます。

接続で送信されたデータの総量（キロバイト単位）。

トンネル ルール、プレフィルタ ルール、または接続を処理したプレフィルタ ポリシーのデフォルト アクション。

セッション中にモニター対象のホストによって要求された URL と、関連付けられたカテゴリおよびレピュテーション（利用できる場合）。

URL カテゴリとレピュテーションを表示するイベントでは、該当する URL ルールをアクセス コントロール ポリシーに含め、[URL] タブに URL カテゴリと URL レピュテーションを使用してルールを設定する必要があります。

URL ルールと一致する前に接続が処理される場合、URL カテゴリとレピュテーションはイベントに表示されません。

[URL] 列が空で、DNS フィルタリングが有効になっている場合、[DNS Query] フィールドにドメインが表示され、[URL Category] と [URL Reputation] の値がドメインに適用されます。

システムが TLS/SSL アプリケーションを識別またはブロックする場合、要求された URL は暗号化トラフィック内にあるため、システムは、SSL 証明書に基づいてトラフィックを識別します。したがって TLS/SSL アプリケーションの場合、このフィールドは証明書に含まれる一般名を表示します。

上記は SSLURLCategory も参照してください。

接続で検出された HTTP トラフィックから取得したユーザー エージェント文字列アプリケーションの情報。

接続をトリガーしたパケットに関連付けられている最内部 VLAN ID。

接続に関連付けられた VPN アクション。

値は以下のとおりです。

• [暗号化（Encrypt）]：VPN は、ログに記録された接続のトラフィックを暗号化します。接続を暗号化する VPN ピアの IP アドレスを確認するには、[暗号化ピア（Encrypt Peer）] 列を参照してください。

• [復号（Decrypt）]：VPN は、ログに記録された接続のトラフィックを復号します。接続を復号する VPN ピアの IP アドレスを確認するには、[復号ピア（Decrypt Peer）] 列を参照してください。

• [VPNルーティング（VPN Routing）]：トラフィックは VPN トンネルを通過します。VPN は、接続の開始時に復号を実行し、接続の終了時に暗号化を実行します。接続を暗号化および復号する VPN ピアの IP アドレスを確認すには、[暗号化ピア（Encrypt Peer）] 列および [復号ピア（Decrypt Peer）] 列を参照してください。

接続で検出された HTTP トラフィックの内容または要求された URL を表す Web アプリケーション。

Web アプリケーションがイベントの URL に一致しない場合、そのトラフィックは通常、参照先のトラフィックです（アドバタイズメントのトラフィックなど）。システムは、参照先のトラフィックを検出すると、参照元のアプリケーションを保存し（可能な場合）、そのアプリケーションを Web アプリケーションとして表示します。

HTTP トラフィックに含まれる特定の Web アプリケーションをシステムが特定できなかった場合、このフィールドには [Web ブランジング（Web Browsing）] と表示されます。

アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。