> ## Documentation Index
> Fetch the complete documentation index at: https://auth0.generaltranslation.app/llms.txt
> Use this file to discover all available pages before exploring further.

# 攻撃防御のログイベントを表示する

> テナントトラフィックログデータを使用して攻撃防御イベントを表示する方法について説明します。

テナントログには、テナントを通過するトラフィックのプロファイルを確認するためのグラフを作成するために使用できる便利なデータが含まれています。これは、攻撃防御アクティビティを評価するときに役立ちます。たとえば、次のイベントを探して、攻撃を受けているかどうかを判断できます。

* ログインフローへのトラフィックの異常なバーストによりエラーが発生する（ユーザー名やパスワードのエラーが間違っているなど）。
* 予期しないIPロケールからのトラフィックの異常なバースト。

これらのイベントは、ログイン成功率に大きな変化を伴わずに発生する傾向があります。

テナントログデータの`イベント`フィールドを使用して、テナントトラフィックデータを表示できます。次の種類の失敗イベントの毎日のヒストグラムを作成することをお勧めします。

<table class="table">
  <thead>
    <tr>
      <th><strong>イベントコード</strong></th>
      <th><strong>イベント</strong></th>
    </tr>
  </thead>

  <tbody>
    <tr>
      <td>`f`</td>
      <td>ログインに失敗</td>
    </tr>

    <tr>
      <td>`fcoa`</td>
      <td>クロスオリジン認証に失敗</td>
    </tr>

    <tr>
      <td>`feccft`</td>
      <td>交換に失敗</td>
    </tr>

    <tr>
      <td>`fepft`</td>
      <td>交換に失敗</td>
    </tr>

    <tr>
      <td>`fsa`</td>
      <td>サイレント認証に失敗</td>
    </tr>

    <tr>
      <td>`fu`</td>
      <td>ログインに失敗（メール/ユーザー名が無効）</td>
    </tr>

    <tr>
      <td>`pla`</td>
      <td>ログイン前の評価</td>
    </tr>

    <tr>
      <td>`sepft`</td>
      <td>交換成功</td>
    </tr>
  </tbody>
</table>

これらの失敗イベントは、Auth0で設定したフローによって異なります。

以下は02/13の資格情報スタッフィング攻撃の例です。この攻撃では`fu`タイプの失敗したユーザー名（典型的な資格情報スタッフィング攻撃）のイベントが急増しています。

<Frame>
  <img src="https://mintcdn.com/generaltranslationinc/JoMgZsgQxj2_Gov3/docs/images/ja-jp/cdy7uua7fh8z/3fTdEeLJSvDT4JVs1Ebza2/37e48a5e8d2d522b44a411642fd6c55f/Traffic_Failure_Trends_-_Japanese.png?fit=max&auto=format&n=JoMgZsgQxj2_Gov3&q=85&s=fff85c0b68b844d4865af531c7f0daa9" alt="トラフィック障害トレンドグラフの例" width="1770" height="672" data-path="docs/images/ja-jp/cdy7uua7fh8z/3fTdEeLJSvDT4JVs1Ebza2/37e48a5e8d2d522b44a411642fd6c55f/Traffic_Failure_Trends_-_Japanese.png" />
</Frame>

<div id="rate-of-errors-in-login-flow">
  ## ログインフローのエラー率
</div>

ユーザー名またはパスワードが正しくない場合のエラーの急増または異常な数を探します。例：1時間あたり>30,000件のエラーが予想されますか?

<table class="table">
  <thead>
    <tr>
      <th>イベントコード</th>
      <th>イベント</th>
    </tr>
  </thead>

  <tbody>
    <tr>
      <td>`s`</td>
      <td>ログイン成功</td>
    </tr>

    <tr>
      <td>`fu`</td>
      <td>ログイン失敗、無効なメール/ユーザー名</td>
    </tr>

    <tr>
      <td>`fp`</td>
      <td>ログイン失敗、不正なパスワード</td>
    </tr>
  </tbody>
</table>

データの例を以下に示します。

<Frame>
  <img src="https://mintcdn.com/generaltranslationinc/xVHOwZwVA1KVCQay/docs/images/ja-jp/cdy7uua7fh8z/5PQBhfw1B1yx8S2BnHSDTk/dbd9fbb123d6b9a66a6e247611b6cefe/Login_events_by_type_-_Japanese.png?fit=max&auto=format&n=xVHOwZwVA1KVCQay&q=85&s=cffac673ff58d20287ada6c0c75e7365" alt="通常のトラフィックと比較したログイン失敗の急増のグラフ例" width="1770" height="672" data-path="docs/images/ja-jp/cdy7uua7fh8z/5PQBhfw1B1yx8S2BnHSDTk/dbd9fbb123d6b9a66a6e247611b6cefe/Login_events_by_type_-_Japanese.png" />
</Frame>

<div id="rate-of-attack-protection-events">
  ## 攻撃防御イベントの率
</div>

パスワード侵害の検出や複数のアカウントに対するブルートフォース攻撃などの攻撃防御イベントのトラフィックが異常に高いかどうかを探します。

<table class="table">
  <thead>
    <tr>
      <th>イベントコード</th>
      <th>イベント</th>
    </tr>
  </thead>

  <tbody>
    <tr>
      <td>`limit_mu`</td>
      <td>ブロックされたIPアドレス</td>
    </tr>

    <tr>
      <td>`limit_wc`</td>
      <td>ブロックされたアカウント</td>
    </tr>

    <tr>
      <td>`pwd_leak`</td>
      <td>ログイン時に侵害されたパスワード</td>
    </tr>

    <tr>
      <td>`signup_pwd_leak`</td>
      <td>サインアップ時に侵害されたパスワード</td>
    </tr>
  </tbody>
</table>

データの例を以下に示します。

<Frame>
  <img src="https://mintcdn.com/generaltranslationinc/TAtXfl0iCCUYtXZs/docs/images/ja-jp/cdy7uua7fh8z/4hCSxSwOq5jmiwChEKnSuQ/1335fd42ea06bdac024856da7714e70e/Types_-_Japanese.png?fit=max&auto=format&n=TAtXfl0iCCUYtXZs&q=85&s=2532d2d1d8fb6ad58223c95cca8d9e67" alt="異常検出イベントのグラフ例" width="1770" height="672" data-path="docs/images/ja-jp/cdy7uua7fh8z/4hCSxSwOq5jmiwChEKnSuQ/1335fd42ea06bdac024856da7714e70e/Types_-_Japanese.png" />
</Frame>

<div id="number-of-ips-producing-errors-and-their-locations">
  ## エラーを生成しているIPの数とその場所
</div>

意味をなさないロケールからのIPの数が多いかどうかを探します。例：ロシアから毎日10,000のIPからのトラフィックが予想されますか?失敗トラフィックの発生元を特定するには、`fu`イベントトラフィックと併せて`ip`アドレスデータを観察します。

IPジオロケーションデータは、別の場所からエンリッチメントできない限り、テナントログでは使用できません。IPロケールは、ログに既に情報がエンリッチメントされているKibanaからのみ使用できます。

データの例を次に示します。

<Frame>
  <img src="https://mintcdn.com/generaltranslationinc/UCtxRPLKKGiAgiWv/docs/images/ja-jp/cdy7uua7fh8z/6fP5CSgHUpn66orFrhwh84/7b4d69ce30efd60e613a0f8f5f824642/Regions_-_Japanese.png?fit=max&auto=format&n=UCtxRPLKKGiAgiWv&q=85&s=974f0c6c3f4ef290d2e315a82a4e106e" alt="地域別の失敗したアクセス試行のグラフ例" width="1770" height="672" data-path="docs/images/ja-jp/cdy7uua7fh8z/6fP5CSgHUpn66orFrhwh84/7b4d69ce30efd60e613a0f8f5f824642/Regions_-_Japanese.png" />
</Frame>

<div id="learn-more">
  ## もっと詳しく
</div>

* [ボット検知](/docs/ja-JP/ja-jp/secure/attack-protection/bot-detection)
* [パスワード漏洩検知](/docs/ja-JP/ja-jp/secure/attack-protection/breached-password-detection)
* [総当たり攻撃防御](/docs/ja-JP/ja-jp/secure/attack-protection/brute-force-protection)
* [ログ](/docs/ja-JP/ja-jp/deploy-monitor/logs)
* [ログ検索のクエリ構文](/docs/ja-JP/ja-jp/deploy-monitor/logs/log-search-query-syntax)
