Sophos XG Firewall のイベントメッセージ例

これらのサンプル・イベント・メッセージを使用して、 IBM QRadarとの統合が正常に行われたことを確認します。

重要: フォーマットの問題のため、メッセージ・フォーマットをテキスト・エディターに貼り付けてから、復帰文字または改行文字を削除してください。

Syslogプロトコルを使用する際のSophos XG Firewallのサンプルメッセージ

サンプル 1: 以下のサンプル・イベント・メッセージは、Web 要求がブロックされたことを示しています。

<30>2019:06:20-04:12:39 sophos.astaro.test httpproxy[7917]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="10.112.47.87" dstip="10.112.48.88" user="testUser" group="" ad_domain="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2521" request="0x93368600" url="http://ipv6.qradar.example.test/connecttest.txt" referer="" error="Host not found" authtime="0" dnstime="4743" cattime="180" avscantime="0" fullreqtime="5295" device="0" auth="0" ua="Microsoft NCSI" exceptions="" category="178" reputation="neutral" categoryname="Internet Services"
表 1. Sophos XG Firewallのイベントで強調表示された値
QRadarフィールド名 イベント・ペイロードで強調表示される値
イベント ID 0002
送信元 IP 10.112.47.87
宛先 IP 10.112.48.88
Username testUser
デバイス時刻 2019:06:20-04:12:39

サンプル 2: 以下のサンプル・イベント・メッセージは、パケットがパケット・フィルターによりドロップされたことを示しています。

<30>2019:06:20-04:12:39 sophos.astaro.test ulogd[7117]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" mark="0x307c" app="124" srcmac="00:00:5E:00:53:2A" dstmac="00:00:5E:00:53:66" srcip="10.112.2.39" dstip="10.112.47.75" proto="17" length="1071" tos="0x00" prec="0x00" ttl="62" srcport="53" dstport="29366"  
表 2. Sophos XG Firewallのイベントで強調表示された値
QRadarフィールド名 イベント・ペイロードで強調表示される値
イベント ID 2001
送信元 IP 10.112.2.39
送信元ポート 53
宛先 IP 10.112.47.75
宛先ポート 29366
デバイス時刻 2019:06:20-04:12:39

サンプル 3: 以下のサンプル・イベント・メッセージは、IPS シグネチャーが検出されたことを示しています。

<188>device="SFW" date=2020-07-31 time=09:45:51 timezone="CEST" device_name="device_name" device_id=ABCDEFGH1234567 log_id=020803407001 log_type="IDP" log_component="Signatures" log_subtype="Detect" priority=Warning idp_policy_id=13 fw_rule_id=9 user_name="" signature_id=15888 signature_msg="SERVER-OTHER SAPLPD 0x31 command buffer overflow attempt" classification="Attempted Administrator Privilege Gain" rule_priority=2 src_ip=10.0.0.1 src_country_code= dst_ip=10.0.0.2 dst_country_code= protocol="TCP" src_port=50392 dst_port=515 platform="Windows" category="server-other" target="Server"
表 3. Sophos XG Firewallのイベントで強調表示された値
QRadarフィールド名 イベント・ペイロードで強調表示される値
イベント ID Detect
イベント・カテゴリー IDP
送信元 IP 10.0.0.1
送信元ポート 50392
宛先 IP 10.0.0.2
宛先ポート 515
デバイス時刻 QRadar の値は 2020 年 7 月 31 日 9:45:51 CESTです。 (イベント・ペイロードの date +time +timezone フィールドから抽出。)

サンプル 4: 以下のイベントメッセージの例は、ファイアウォールルールが許可されていることを示しています。

Mar 17 15:26:43 sophos.xgfirewall.test device_name="SFW" timestamp="2026-03-16T17:56:59+0900" device_model="XGS2100" device_serial_id="X210XXDHXXXXXX2" log_id="010101600001" log_type="Firewall" log_component="Firewall Rule" log_subtype="Allowed" log_version=1 severity="Information" duration=32 fw_rule_id="55" fw_rule_name="Allow_Internet" fw_rule_section="Local rule" nat_rule_id="2" nat_rule_name="Default SNAT IPv4" fw_rule_type="USER" gw_id_request=1 gw_name_request="Port2_GW" ether_type="Unknown (0x0000)" in_interface="Port1" out_interface="Port2" src_mac="00:00:5E:00:53:00" dst_mac="01:00:5E:90:10:00" src_ip="10.0.0.1" src_country="KOR" dst_ip="10.0.0.2" dst_country="KOR" protocol="UDP" src_port=59119 dst_port=53 packets_sent=1 packets_received=1 bytes_sent=75 bytes_received=139 src_trans_ip="10.0.0.3" src_zone_type="LAN" src_zone="LAN" dst_zone_type="WAN" dst_zone="WAN" con_event="Stop" con_id="426860416" hb_status="No Heartbeat" app_resolved_by="Signature" app_is_cloud="FALSE" qualifier="New" in_display_interface="Internal" out_display_interface="External" log_occurrence="1"
表4. Sophos XG Firewallのイベントで強調表示された値
QRadarフィールド名 イベント・ペイロードで強調表示される値
イベント ID Allowed
イベント・カテゴリー Firewall
送信元 IP 10.0.0.1
送信元ポート 59119
宛先 IP 10.0.0.2
宛先ポート 53
デバイス時刻 選択されたタイムゾーンに基づくと、の QRadar 値は 2026年3月16日 14:26:59(IST )となります。