Netscreen のデフォルトでは Netscreen 自身宛に届いて deny した通信はロギングしない。

この通信をロギングしたい場合は次のように設定する。

○GUIで設定する場合

[Configuration] --> [Report Settings] --> [Log Settings] [Log Packets Terminated to Self] にチェックを入れる。

○コマンドラインから設定する場合

> set firewall log-self > save

○確認

> get firewall Log Self for IKE : Off Log Self for SNMP: Off Log Self for ICMP: Off Log Self Deny: On Log Self Deny exclude Multicast: Off

これで Netscreen 自身宛で deny した通信をロギングできるのだが、
環境によってはログが大量になり過ぎることがある。

例えば、Cisco の HSRP の通信を受ける環境では、
hello パケットがすべて log-self にロギングされてしまう。

そのような場合は、マルチキャストの通信をロギングしないようにする必要がある。

Netscreen の log-self でマルチキャストをロギングしないように設定する