管理ガイド › クエリおよびレポート › プロンプト › ポート プロンプトの使用

ポート プロンプトの使用

ポート プロンプトは、指定したポートが選択した精製済みイベントの CEG フィールドに表示されるイベントに対してクエリを実行します。 元のイベント データが精製されると、イベントの詳細に複数の CEG ポート番号が含まれることがあります。 次のシナリオを考えます。

1. ソース ホスト上のイベント イニシエータは、受信 dest_port 通信ポートを経由して宛先ホスト上にあるターゲットへのイベント アクションを開始する際に、送信 source_port 通信ポートを使用します。

   注： source_port と dest_port は、ローカル イベントの場合は同じものです。 そうでない場合は、ホスト固有のものになります。

2. このイベントは、イベント ソースのリポジトリに記録されます。
3. CA Enterprise Log Manager エージェントが、イベント ソースに記録されたイベントのコピーを作成します。
4. エージェントが、CA Enterprise Log Manager 収集サーバに、outbound port、receiver_port 経由で、イベントのコピーを送信します。

   注： エージェントは、デフォルトでは、ポート 17001 を使用して、CA Enterprise Log Manager 収集サーバへの通信を確保します。

ポート プロンプトを使用する方法

1. ［クエリおよびレポート］を選択します。

   ［クエリ リスト］に、［プロンプト］フォルダおよびほかのクエリ用の 1 つ以上のフォルダが表示されます。

2. ［プロンプト］を展開し、［ポート］を選択します。

   ポート プロンプトが表示されます。

3. このクエリの基となるポート番号を入力します。
4. ポート番号エントリと一致するデータにクエリを実行するフィールドを選択します。

   source_port

   アクションを開始するために使用された通信ポートです。

   dest_port

   アクションのターゲットである宛先ホストの通信ポートです。

   receiver_port

   CA Enterprise Log Manager 収集サーバと通信するためにエージェントが使用するポートです。

5. ［実行］をクリックします。

   ポート プロンプト クエリの結果が表示されます。

6. 以下の説明を使用して、クエリ結果を解釈します。

   CA 重大度

   イベントの重大度を示します。値には、重大度が大きくなる順に、情報、警告、マイナー インパクト、メジャー インパクト、クリティカル、および致命的、があります。

   日付

   イベントが発生した日付を示します。

   送信元 IP

   イベント アクションが開始されたホストの IP アドレスを示します。

   Result

   対応するアクションのイベント結果のコードを示します。「S」は成功、「F」は失敗、「A」は許可、「D」は廃棄、「R」は拒否、「U」は不明を表します。

   ソース ポート

   アクションを開始するために使用された送信ポートを示します。

   宛先ポート

   宛先ホストの受信ポートを示します。

   受信側ホスト

   イベント ログを CA Enterprise Log Manager サーバに送信するために使用されたエージェントの送信ポートを示します。

   カテゴリ

   対応するイベント アクションの上位レベルのカテゴリを示します。 たとえば、「システム アクセス」は認証アクション用のカテゴリです。

   ［アクション］

   イベント アクションを示します。

   ログ名

   イベントを収集したコネクタによって使用されたログ名を示します。