ゲートウェイアクティビティログは、ゲートウェイによって検査された個々のDNSクエリ、ネットワークパケット、およびHTTPリクエストを示します。また、ゲートウェイによってプロキシされたセッションの暗号化されたSSHコマンドログ をダウンロードすることもできます。
ゲートウェイアクティビティログを表示するには、Zero Trust ↗ にログインし、ログ > ゲートウェイ に移動します。個々の行を選択して、イベントを詳細に調査します。
エンタープライズユーザーは、Logpush を使用して、より詳細なログを生成できます。
デフォルトでは、ゲートウェイはDNSクエリやHTTPリクエストなど、リスクがない許可されたすべてのイベントをログに記録します。ログを無効にするか、ブロックされたリクエストのみをログに記録することを選択できます。記録されるイベントの種類をカスタマイズするには、Zero Trust ↗ にログインし、設定 > ネットワーク に移動します。アクティビティログ の下で、DNS、ネットワーク、およびHTTPログの設定を指定します。
これらの設定は、Zero Trustに表示されるログにのみ適用されます。Logpushデータには影響しません。
フィールド 説明 DNS クエリされたドメインの名前。 Email トラフィックが発生したWARPクライアントを登録したユーザーのメールアドレス。非アイデンティティのオンランプ(プロキシエンドポイント など)やマシンレベルの認証(サービストークン など)が使用された場合、この値はnon_identity@<team-domain>.cloudflareaccess.comになります。 Action クエリに対してゲートウェイが適用したアクション (許可またはブロックなど)。 Time DNSクエリの日付と時刻。 Resolver Decision ゲートウェイがリクエストに特定のアクション を適用した理由。 リゾルバ決定のリスト を参照してください。
フィールド 説明 Policy Name 一致したポリシーの名前(ある場合)。 Policy ID 一致したポリシーのID(ある場合)。 Policy Description 一致したポリシーの説明(ある場合)。
フィールド 説明 Address カスタムリゾルバのアドレス。 Policy 一致したリゾルバポリシーの名前。 Response カスタムリゾルバの応答のステータス。 Time (in milliseconds) カスタムリゾルバが応答するのにかかった時間
フィールド 説明 Email トラフィックが発生したWARPクライアントを登録したユーザーのメールアドレス。 User ID ユーザーのUUID。組織内の各ユニークなメールアドレスには、関連付けられたUUIDがあります。 Device Name オペレーティングシステムがWARPクライアントに返すデバイスの表示名。通常、これはデバイスのホスト名です。すべてのデバイスにデバイス名があるわけではありません。デバイス名は一意であることが保証されていません。 Device ID WARPクライアントに接続されたデバイスのUUID。組織内の各ユニークなデバイスには、特定のメールアドレスに登録されるたびに関連付けられたUUIDがあります。同じ物理デバイスには、複数のUUIDが関連付けられる場合があります。 Last authenticated ユーザーが最後にZero Trustセッションを認証した日付と時刻。
フィールド 説明 Query Type DNSクエリの種類 ↗ 。Query Category ドメインが属するコンテンツカテゴリ 。 Matched Categories ドメインに一致するゲートウェイポリシーカテゴリの名前。 Matched Indicator Feed Name ゲートウェイポリシーに一致したインジケータフィードの名前(ある場合)。 Query Indicator Feed Name 一致したドメインまたはIPが属するインジケータフィードの名前(ある場合)。 Source IP DNSクエリのパブリックソースIPアドレス。 Source IP Country DNSクエリの国コード。 Source Internal IP ユーザーのローカルネットワークによって割り当てられたプライベートIPアドレス(ある場合)。 Resolver IP DNSリゾルバのパブリックIPアドレス。 Resolved IPs 応答内の解決されたIPアドレス(ある場合)。 Port DNSクエリを行うために使用されたポート。 Protocol DNSクエリを行うために使用されたプロトコル(httpsなど)。 DNS Location DNSクエリが行われたユーザー設定の場所 。 Location ID クエリが発生したDNSロケーションのID。
名前 値 説明 blockedByCategory3ドメインまたはホスト名がブロックポリシーのカテゴリに一致しました。 allowedOnNoLocation4クエリがゲートウェイDNSロケーションに一致しなかったため許可されました。 allowedOnNoPolicyMatch5クエリがポリシーに一致しなかったため許可されました。 blockedAlwaysCategory6ドメインまたはホスト名はCloudflareによって常にブロックされます。 overrideForSafeSearch7応答はセーフサーチポリシーによって上書きされました。 overrideApplied8応答はオーバーライドポリシーによって上書きされました。 blockedRule9応答内のIPアドレスがブロックポリシーに一致しました。 allowedRule10応答内のIPアドレスが許可ポリシーに一致しました。
フィールド 説明 Source IP パケットを送信しているユーザーのIPアドレス。 Source Internal IP ユーザーのローカルネットワークによって割り当てられたプライベートIPアドレス。 Destination IP パケットのターゲットのIPアドレス。 Action 最初に一致したルールに基づいて取られたゲートウェイのアクション (許可またはブロックなど)。 Session ID ユニークなセッションのID。 Time セッションの日付と時刻。
フィールド 説明 Policy Name 一致したポリシーの名前(ある場合)。 Policy ID ゲートウェイが下した決定を強制するポリシーのID。 Policy Description 一致したポリシーの説明(ある場合)。
Field Description Email パケットを送信しているユーザーのメールアドレス。これはWARPクライアントによって生成されます。 User ID パケットを送信しているユーザーのID。これはWARPクライアントによって生成されます。 Device Name パケットを送信したデバイスの名前。 Device ID パケットを送信したデバイスのID。これはWARPクライアントによって生成されます。 Last Authenticated ユーザーが最後にZero Trustで認証された日時。
Field Description Source IP パケットを送信しているユーザーのIPアドレス。 Source Port パケットの送信元ポート番号。 Source Country パケットの送信元の国コード。 Destination IP パケットのターゲットのIPアドレス。 Destination Port パケットの宛先ポート番号。 Destination Country パケットの宛先国のポート番号。 Protocol パケットが送信されたプロトコル。 Detected Protocol 検出されたネットワークプロトコル 。 SNI サーバー名インジケーション(SNI)ヘッダーに対してGatewayがトラフィックをフィルタリングするホスト。 Virtual Network クライアントが接続している仮想ネットワーク 。 Category details パケットに関連付けられたカテゴリ。 Proxy PAC Endpoint Gatewayがトラフィックを転送したPACファイルプロキシエンドポイント 、該当する場合。
Explanation of the fields Field Description Host HTTPリクエストのHTTPヘッダーに含まれるホスト名。 Email HTTPリクエストを行ったユーザーのメールアドレス。これはWARPクライアントによって生成されます。 Action 最初に一致したルールに基づいてGatewayが取ったアクション (許可またはブロックなど)。 Request ID リクエストのユニークID。 Time HTTPリクエストの日時。 Source Internal IP ユーザーのローカルネットワークによって割り当てられたプライベートIPアドレス。 User Agent 発信デバイスによってリクエストに送信されたユーザーエージェントヘッダー。 Policy details リクエストのトラフィック基準に基づいてGatewayが下した決定に対応するポリシー。 DLP profiles 一致したDLPプロファイル の名前(該当する場合)。 DLP profile entries DLPプロファイル内の一致したエントリの名前(該当する場合)。 Uploaded/downloaded file Information about the file transferred in the request found by enhanced file detection . Details include:
File name File type File size File hash (for Allowed requests only) Content type Direction (Upload/Download) Action (Block/Allow)
Field Description Policy Name 一致したポリシーの名前(該当する場合)。 Policy ID 一致したポリシーのID(該当する場合)。 Policy Description 一致したポリシーの説明(該当する場合)。
Field Description Email HTTPリクエストを行ったユーザーのメールアドレス。これはWARPクライアントによって生成されます。 User ID リクエストを行ったユーザーのID。これはWARPクライアントによって生成されます。 Device Name リクエストを行ったデバイスの名前。 Device ID リクエストを行ったデバイスのID。これはリクエストを作成したデバイス上のWARPクライアントによって生成されます。 Last Authenticated ユーザーが最後にZero Trustで認証された日時。
Field Description HTTP Version Gatewayがユーザーの代わりに接続したオリジンのHTTPバージョン。 HTTP Method リクエストに使用されたHTTPメソッド(GETやPOSTなど)。 HTTP Status Code HTTPステータスコード がレスポンスで返されました。URL HTTPリクエストの完全なURL。 Referer リクエストを行っているページのアドレスを含むリファラリクエストヘッダー。 Source IP HTTPリクエストの公開送信元IPアドレス。 Source Port HTTPリクエストを行うために使用されたポート。 Source IP Country HTTPリクエストの国コード。 Destination IP 要求された宛先の公開IPアドレス。 Destination Port 要求された宛先のポート。 Destination IP Country 要求された宛先の国コード。 Blocked file reason ファイル転送が発生した場合、または試みられた場合にファイルがブロックされた理由。 Category details ブロックされたファイルが属するカテゴリ。
Field Description Name 検出されたファイルの名前。 Type 検出されたファイルのファイルタイプ。 Size 検出されたファイルのサイズ。 Hash DLPによって生成された検出されたファイルのハッシュ。 Content type 検出されたファイルのMIMEタイプ。 Direction 検出されたファイルのアップロードまたはダウンロードの方向。 Action リクエストに対してGatewayが適用したアクション。
強化されたファイル検出は、HTTPトラフィックからより多くのファイル情報を抽出するためのオプション機能です。これをオンにすると、GatewayはHTTPヘッダーではなくHTTPボディからファイル情報を読み取り、より高い精度と信頼性を提供します。この機能は、ファイルが多い組織に対してパフォーマンスにわずかな影響を与える可能性があります。
強化されたファイル検出をオンにするには:
Zero Trust ↗ に移動し、Settings > Network に行きます。Firewall でTLS復号化 をオンにします。Gateway Logging で強化されたファイル検出を有効にする をオンにします。
ユーザーがアイソレーションポリシー を作成すると、Gatewayはアイソレーションをトリガーする最初のリクエストをIsolateアクションとしてログに記録します。このリクエストはまだアイソレートされていないため、is_isolatedフィールドはfalseを返します。Zero Trustは、その後、安全に結果をアイソレートされたブラウザでユーザーに返します。Gatewayは、アイソレートされたブラウザ内のすべての後続リクエストをアクション(許可またはブロックなど)でログに記録し、is_isolatedフィールドはtrueを返します。
Gatewayのアクティビティログは、Cloudflare Data Localization Suite (DLS)内でCustomer Metadata Boundary をオンにすると、ダッシュボードで利用できなくなります。CMBを使用しているエンタープライズユーザーは、Logpush を介してログをエクスポートできます。詳細については、DLS製品の互換性 を参照してください。
