ログファイルの書式
「パケット警察 for Windows」が記録するログの書式は以下のとおりです。
このログの内容はパケットの送受信記録やアプリケーションの起動・終了記録を忠実に保存したものです。時刻付きで保存してありますので、プロバイダやアクセス先
Web サーバー側の記録などと照らし合わすことにより、一貫性があることが確認できます。
また、膨大な情報が記録されますので、限られた時間で矛盾のないようにログを改ざんすることは極めて困難であると思われます。
1. パケットログ (ウイルス等の通信記録)
パケットログは、「パケット警察」をインストールしたフォルダ内の「PacketPolice_log」フォルダ内に作成される LAN
カード名のフォルダ内にテキスト形式で保存されます。
標準では 1 日に 1 個ずつファイルが作成されますが、1 時間や 1 分に 1
個ずつ新たなファイルを作成するように設定することもできます。
ログファイルの一覧を「エクスプローラ」で表示した例
ログファイルの書式
ログファイルの内容は CSV (カンマで区切られた値の集合) になっています。ログファイルはテキストエディタのほか、Excel
等の CSV に対応したソフトウェアで読み込むことができます。
ログファイルの 1 行は、1 個のパケットを示しています。たとえば、Web ブラウザを起動して「茨城県警察本部」の Web サイト
http://www.pref.ibaraki.jp/kenkei/ にアクセスした際のログは以下のようになります。
2012-10-20,04:24:21.431,-,-,BCAEC57D281D,000944917380,0x0800,635,
TCP_DATAv4,PSH+ACK,27.121.46.57,10270,210.148.86.3,http(80),
2758859093,909024417,
WindowSize=16425 HttpMethod=GET HttpUrl=http://www.pref.ibaraki.jp/kenkei/
HttpProtocol=HTTP/1.1 HttpReferer=http://www.google.com/url?
sa=t&rct=j&q=&esrc=s&frm=1&source=web&cd=1&ved=0CC8QFjAA&
url=http%3A%2F%2Fwww.pref.ibaraki.jp%2Fkenkei%2F&
ei=5KiBUPJNq6-JB9emgJgF&usg=AFQjCNEar_Lqk_vytzBhFG3PQGvEm_1fJg&
sig2=fMXB8MGVip6bd3yOdxcfGg HttpUserAgent=Mozilla/5.0_(compatible;_MSIE_9.0;
_Windows_NT_6.1;_WOW64;_Trident/5.0),- |
上記の例の 1 行のログを参考にして、1 行に含められるカンマ区切りのフィールドの一覧を示すと、以下のようになります。なお、内容が記録されないフィールドには
1 文字のハイフン '-' 文字が記録されます。
順番 |
内容 |
解説 |
1 |
日付 |
パケットが送受信された日付です。 |
2 |
時刻 |
パケットが送受信された時刻 (ミリ秒単位) です。 |
3 |
予備 |
このフィールドには何も記録されません。 |
4 |
予備 |
このフィールドには何も記録されません。 |
5 |
送信元 MAC アドレス |
パケットの送信元 MAC アドレスです。たとえば、パケットを発信する場合は、自分のパソコンの LAN カードの MAC
アドレスが入ります。 |
6 |
宛先 MAC アドレス |
パケットの宛先の MAC アドレスです。たとえば、パケットを発信する場合は、最寄りのブロードバンドルータや ISP
のルータなどの装置の MAC アドレスが入ります。 |
7 |
Ethernet
プロトコル番号 |
Ethernet の TPID と呼ばれるフィールドの値です。IPv4 の場合は 0x0800、IPv6 の場合は
0x86DD が入ります。 |
8 |
パケットサイズ |
Ethernet パケットサイズです。最大 1,514 バイトです。 |
9 |
パケットの種類 |
パケットの種類を示す英数字が入ります。
[IPv4 パケットの場合]
ARPv4: ARP パケットです。
ICMPv4: ICMP (Ping 等) パケットです。
TCP_CONNECTv4: TCP の接続・切断制御パケットです。
TCP_DATAv4: TCP のデータ通信パケットです。
DHCPv4: DHCP による IP アドレスの割当等の記録です。
UDPv4: DHCP 以外の一般的な UDP パケットです。
IPv4: TCP, UDP 以外の特殊な IPv4 パケットです。
[IPv6 パケットの場合]
ICMPv6: ICMP (Ping, RA 等) パケットを意味します。
TCP_CONNECTv6: TCP の接続・切断制御パケットです。
TCP_DATAv6: TCP のデータ通信パケットです。
UDPv6: 一般的な UDP パケットです。
IPv6: TCP, UDP 以外の特殊な IPv6 パケットです。
[その他の Ethernet パケットの場合]
Proto: IPv4, IPv6 のいずれでもない Ethernet パケットです。 |
10 |
TCP/IP フラグ |
FIN, SYN, RST, PSH, ACK, URG などの TCP フラグが入ります。 |
11 |
送信元 IP アドレス |
パケットの送信元の IP アドレスです。
発信時には自分のパソコンの IP アドレスが入ります。 |
12 |
送信元ポート番号 |
パケットの送信元のポート番号です (TCP, UDP の場合のみ)。
発信時には通常は動的に変化するポート番号が入ります。 |
13 |
宛先 IP アドレス |
パケットの宛先の IP アドレスです。
発信時には通常はアクセス先の Web サーバーなどの IP アドレスが入ります。 |
14 |
宛先ポート番号 |
パケットの宛先のポート番号です (TCP, UDP の場合のみ)。
発信時には通常はアクセス先のサーバーのポート番号が入ります。HTTP の場合は 80 の場合は多いです。 |
15 |
TCP の SEQ 番号 |
TCP パケットの場合、シーケンス番号が入ります。 |
16 |
TCP の ACK 番号 |
TCP パケットの場合、確認応答番号が入ります。 |
17 |
パケットの詳しい情報 |
TCP パケット、ARP パケットまたは DHCP
パケットの場合、そのパケット内から読み取ることができた簡単なパケットデータの内容をわかりやすく表示します。
[TCP パケットの場合]
HTTP アクセスパケットの場合は、HTTP プロトコル番号やアクセス先の URL、アクセスメソッド、引数、User
Agent, Referer 等の値が入ります。
[ARP パケットの場合]
ARP の問い合わせや応答の内容の抜粋が表示されます。
[DHCP パケットの場合]
DHCP の要求や回答の内容の抜粋が表示されます。 |
18 |
パケットデータダンプ |
パケット保存の設定でヘッダのみではなくすべてのパケットデータを保存するように設定すると、パケットデータを含むビット列が
16 進ダンプで表示されます。ただしハードディスク容量を消費します。 |
2. プロセス起動・終了ログ (ウイルス等の動作記録)
プロセス起動・終了ログは、「パケット警察」をインストールしたフォルダ内の「PacketPolice_log」フォルダ内に作成される「Process_log」フォルダ内にテキスト形式で保存されます。ログファイルは
1 日に 1 個新たに作成されます。
このログファイルは日本語で記録されます。文字コードは UTF-8 です。Windows 2000 以降のメモ帳であれば UTF-8
を表示することができます。
プロセスログの例
プロセスログは、1 行ごとに保存されます。行の最初には、日付と時刻 (ミリ秒単位)
が表示されます。その後に日本語で説明が記載され、プロセス ID と起動・終了されたプロセスの EXE
ファイル名がフルパスで記録されます。
プロセス ID とは、Windows のシステムが付けるプロセスの識別番号です。一般ユーザーにとって特に意味はありません。
EXE ファイル名は、プロセスがディスク上に記録されている場合におけるその実行可能ファイル名です。一般的には拡張子は .exe
ですが、その他にも .com や .scr
などの場合があります。たとえば、最近日本において話題となっている遠隔操作ウイルスのファイル名は「iesys.exe」です。
プロセスの起動・終了ログは、プロセスの EXE
ファイルが消去されてしまった後にも消えることはありません。したがって、ウイルス等の活動記録はウイルスが自己消滅してしまった後も残ることになります。
|