防火墙生成并存储日志文件,例如,审核日志、规则消息日志和系统事件日志。您必须为每个启用了防火墙的群集配置一个 syslog 服务器。syslog 服务器在 Syslog.global.logHost 属性中指定。

建议: 要在 syslog 服务器上收集防火墙审核日志,请确保已将 syslog 服务器升级到最新版本。最好配置一个远程 syslog-ng 服务器以收集防火墙审核日志。

防火墙生成下表中所述的日志。

表 1. 防火墙日志
日志类型 说明 位置
规则消息日志 包括所有访问决定,如每个规则的允许或拒绝流量(如果为该规则启用了日志记录)。包含启用了日志记录的规则的 DFW 数据包日志。 /var/log/dfwpktlogs.log
审核日志 包括管理日志和分布式防火墙配置更改。 /home/secureall/secureall/logs/vsm.log
系统事件日志 包括已应用分布式防火墙配置,已创建或删除筛选器或筛选器失败以及已将虚拟机添加到安全组,等等。 /home/secureall/secureall/logs/vsm.log
数据层面/VMKernel 日志 捕获与防火墙内核模块 (VSIP) 相关的活动。它包含系统生成的消息的日志条目。 /var/log/vmkernel.log
消息总线客户端/VSFWD 日志 捕获防火墙代理的活动。 /var/log/vsfwd.log
注: 可以从 NSX Manager 命令行界面 (CLI) 中运行 show log manager 命令,然后为 vsm.log 关键字执行 grep 以访问 vsm.log 文件。仅具有 root 特权的用户或用户组可以访问该文件。

规则消息日志

规则消息日志包括所有访问决定,如每个规则的允许或拒绝流量(如果为该规则启用了日志记录)。这些日志存储在每个主机上的 /var/log/dfwpktlogs.log 中。

以下是防火墙日志消息示例:
 # more /var/log/dfwpktlogs.log
2015-03-10T03:22:22.671Z INET match DROP domain-c7/1002 IN 242 UDP 192.168.110.10/138->192.168.110.255/138

# more /var/log/dfwpktlogs.log
2017-04-11T21:09:59.877Z ESXi_FQDN dfwpktlogs: 50047 INET TERM domain-c1/1001 IN TCP RST 10.1.2.3/33491->10.4.5.6/10001 22/14 7684/1070

更多示例:

2017-10-19T22:38:05.586Z 58734 INET match PASS domain-c8/1006 OUT 84 ICMP 172.18.8.121->172.18.8.119 RULE_TAG
2017-10-19T22:38:08.723Z 58734 INET match PASS domain-c8/1006 OUT 60 TCP 172.18.8.121/36485->172.18.8.119/22 S RULE_TAG
2017-10-19T22:38:18.785Z 58734 INET TERM domain-c8/1006 OUT ICMP 8 0 172.18.8.121->172.18.8.119 2/2 168/168 RULE_TAG
2017-10-19T22:38:20.789Z 58734 INET TERM domain-c8/1006 OUT TCP FIN 172.18.8.121/36484->172.18.8.119/22 44/33 4965/5009 RULE_TAG
在以下示例中:
  • 1002 是分布式防火墙规则 ID。
  • domain-c7 是 vCenter Managed Object Browser (MOB) 中的群集 ID。
  • 192.168.110.10/138 是源 IP 地址。
  • 192.168.110.255/138 是目标 IP 地址。
  • RULE_TAG 是在添加或编辑防火墙规则时在标记 (Tag)文本框中添加的文本示例。
以下示例显示了从 192.168.110.10 到 172.16.10.12 的 Ping 操作的结果。
 # tail -f /var/log/dfwpktlogs.log | grep 192.168.110.10

2015-03-10T03:20:31.274Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12
2015-03-10T03:20:35.794Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12

下表介绍了防火墙日志消息中的文本框。

表 2. 日志文件条目的组成部分
组成部分 示例中的值
时间戳 2017-04-11T21:09:59
防火墙特定的部分 877Z ESXi_FQDN dfwpktlogs: 50047 INET TERM domain-c1/1001 IN TCP RST 10.1.2.3/33491->10.4.5.6/10001 22/14 7684/1070
表 3. 日志文件条目的防火墙特定部分
实体 可能值
筛选器哈希值 可用于获取筛选器名称和其他信息的数字。
AF 值 INET、INET6
原因
  • match:数据包与规则匹配。
  • bad-offset:在获取数据包时出现数据路径内部错误。
  • fragment:组合到第一个分段的后续分段。
  • short:数据包太短(例如,不太完整而不包括 IP 标头或 TCP/UDP 标头)。
  • normalize:不包含正确标头或负载的不正确格式的数据包。
  • memory:数据路径内存不足。
  • bad-timestamp:不正确的 TCP 时间戳。
  • proto-cksum:不正确的协议校验和。
  • state-mismatch:未通过 TCP 状态机检查的 TCP 数据包。
  • state-insert:发现重复的连接。
  • state-limit:已达到数据路径可跟踪的最大状态数。
  • SpoofGuard:SpoofGuard 丢弃的数据包。
  • TERM:已终止连接。
操作
  • PASS:接受数据包。
  • DROP:丢弃数据包。
  • NAT:SNAT 规则。
  • NONAT:与 SNAT 规则匹配,但无法转换地址。
  • RDR:DNAT 规则。
  • NORDR:与 DNAT 规则匹配,但无法转换地址。
  • PUNT:将数据包发送到在当前虚拟机的相同管理程序上运行的服务虚拟机。
  • REDIRECT:将数据包发送到从当前虚拟机的管理程序中运行的网络服务。
  • COPY:接受数据包,并将其复制到在当前虚拟机的相同管理程序上运行的服务虚拟机中。
  • REJECT:拒绝数据包。
规则集和规则 ID 规则集/规则 ID
方向 入站、出站
数据包长度 长度
协议 TCP、UDP、ICMP 或 PROTO(协议号)

对于 TCP 连接,将在 TCP 关键字后面指示终止连接的实际原因。

如果 TCP 会话终止是由 TERM 造成的,则会在 PROTO 行中显示额外的说明。终止 TCP 连接的可能原因包括:RST(TCP RST 数据包)、FIN(TCP FIN 数据包)和 TIMEOUT(空闲时间太长)

在上面的示例中,原因是 RST。因此,这意味着在必须重置的连接中具有 RST 数据包。

对于非 TCP 连接(UDP、ICMP 或其他协议),终止连接的原因只能是 TIMEOUT。

源 IP 地址和端口 IP 地址/端口
目标 IP 地址和端口 IP 地址/端口
TCP 标记 S (SYN)、SA (SYN-ACK)、A (ACK)、P (PUSH)、U (URGENT)、F (FIN)、R (RESET)
数据包数 数据包的数量。

22/14 - 入站/出站数据包数

字节数 字节的数量。

7684/1070 - 入站/出站字节数

要启用规则消息,请登录到 vSphere Web Client
  1. 导航到网络和安全 (Networking & Security) > 安全性 (Security) > 防火墙 (Firewall)
  2. 确保您处于常规 (General)选项卡中。
  3. 启用日志记录。
    NSX 版本 过程
    NSX 6.4.1 和更高版本 单击更多 (More) > 启用 (Enable) > 启用规则日志 (Enable Rule Logs)
    NSX 6.4.0
    1. 在页面上启用日志 (Log)列。
    2. 要为某个规则启用日志记录,请将光标悬停在日志表单元格上并单击铅笔图标。
注: 如果要在防火墙日志消息中显示自定义的文本,您可以启用 标记 (Tag)列,然后单击铅笔图标以添加所需的文本。

审核日志和系统事件日志

审核日志包括管理日志和分布式防火墙配置更改。这些日志存储在 /home/secureall/secureall/logs/vsm.log 中。

系统事件日志包括已应用分布式防火墙配置,已创建或删除筛选器或筛选器失败以及已将虚拟机添加到安全组,等等。这些日志存储在 /home/secureall/secureall/logs/vsm.log 中。

要在 vSphere Web Client 中查看审核日志和系统事件日志,请导航到网络和安全 (Networking & Security) > 系统 (System) > 事件 (Events)。在监控 (Monitor)选项卡中,选择 NSX Manager 的 IP 地址。