防火墙生成并存储日志文件,例如,审核日志、规则消息日志和系统事件日志。您必须为每个启用了防火墙的群集配置一个 syslog 服务器。syslog 服务器在 Syslog.global.logHost 属性中指定。
建议: 要在 syslog 服务器上收集防火墙审核日志,请确保已将 syslog 服务器升级到最新版本。最好配置一个远程 syslog-ng 服务器以收集防火墙审核日志。
防火墙生成下表中所述的日志。
| 日志类型 | 说明 | 位置 |
|---|---|---|
| 规则消息日志 | 包括所有访问决定,如每个规则的允许或拒绝流量(如果为该规则启用了日志记录)。包含启用了日志记录的规则的 DFW 数据包日志。 | /var/log/dfwpktlogs.log |
| 审核日志 | 包括管理日志和分布式防火墙配置更改。 | /home/secureall/secureall/logs/vsm.log |
| 系统事件日志 | 包括已应用分布式防火墙配置,已创建或删除筛选器或筛选器失败以及已将虚拟机添加到安全组,等等。 | /home/secureall/secureall/logs/vsm.log |
| 数据层面/VMKernel 日志 | 捕获与防火墙内核模块 (VSIP) 相关的活动。它包含系统生成的消息的日志条目。 | /var/log/vmkernel.log |
| 消息总线客户端/VSFWD 日志 | 捕获防火墙代理的活动。 | /var/log/vsfwd.log |
注: 可以从
NSX Manager 命令行界面 (CLI) 中运行
show log manager 命令,然后为
vsm.log 关键字执行
grep 以访问
vsm.log 文件。仅具有
root 特权的用户或用户组可以访问该文件。
规则消息日志
规则消息日志包括所有访问决定,如每个规则的允许或拒绝流量(如果为该规则启用了日志记录)。这些日志存储在每个主机上的 /var/log/dfwpktlogs.log 中。
以下是防火墙日志消息示例:
# more /var/log/dfwpktlogs.log 2015-03-10T03:22:22.671Z INET match DROP domain-c7/1002 IN 242 UDP 192.168.110.10/138->192.168.110.255/138 # more /var/log/dfwpktlogs.log 2017-04-11T21:09:59.877Z ESXi_FQDN dfwpktlogs: 50047 INET TERM domain-c1/1001 IN TCP RST 10.1.2.3/33491->10.4.5.6/10001 22/14 7684/1070
更多示例:
2017-10-19T22:38:05.586Z 58734 INET match PASS domain-c8/1006 OUT 84 ICMP 172.18.8.121->172.18.8.119 RULE_TAG 2017-10-19T22:38:08.723Z 58734 INET match PASS domain-c8/1006 OUT 60 TCP 172.18.8.121/36485->172.18.8.119/22 S RULE_TAG 2017-10-19T22:38:18.785Z 58734 INET TERM domain-c8/1006 OUT ICMP 8 0 172.18.8.121->172.18.8.119 2/2 168/168 RULE_TAG 2017-10-19T22:38:20.789Z 58734 INET TERM domain-c8/1006 OUT TCP FIN 172.18.8.121/36484->172.18.8.119/22 44/33 4965/5009 RULE_TAG
在以下示例中:
- 1002 是分布式防火墙规则 ID。
- domain-c7 是 vCenter Managed Object Browser (MOB) 中的群集 ID。
- 192.168.110.10/138 是源 IP 地址。
- 192.168.110.255/138 是目标 IP 地址。
- RULE_TAG 是在添加或编辑防火墙规则时在标记 (Tag)文本框中添加的文本示例。
以下示例显示了从 192.168.110.10 到 172.16.10.12 的 Ping 操作的结果。
# tail -f /var/log/dfwpktlogs.log | grep 192.168.110.10 2015-03-10T03:20:31.274Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12 2015-03-10T03:20:35.794Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12
下表介绍了防火墙日志消息中的文本框。
| 组成部分 | 示例中的值 |
|---|---|
| 时间戳 | 2017-04-11T21:09:59 |
| 防火墙特定的部分 | 877Z ESXi_FQDN dfwpktlogs: 50047 INET TERM domain-c1/1001 IN TCP RST 10.1.2.3/33491->10.4.5.6/10001 22/14 7684/1070 |
| 实体 | 可能值 |
|---|---|
| 筛选器哈希值 | 可用于获取筛选器名称和其他信息的数字。 |
| AF 值 | INET、INET6 |
| 原因 |
|
| 操作 |
|
| 规则集和规则 ID | 规则集/规则 ID |
| 方向 | 入站、出站 |
| 数据包长度 | 长度 |
| 协议 | TCP、UDP、ICMP 或 PROTO(协议号) 对于 TCP 连接,将在 TCP 关键字后面指示终止连接的实际原因。 如果 TCP 会话终止是由 TERM 造成的,则会在 PROTO 行中显示额外的说明。终止 TCP 连接的可能原因包括:RST(TCP RST 数据包)、FIN(TCP FIN 数据包)和 TIMEOUT(空闲时间太长) 在上面的示例中,原因是 RST。因此,这意味着在必须重置的连接中具有 RST 数据包。 对于非 TCP 连接(UDP、ICMP 或其他协议),终止连接的原因只能是 TIMEOUT。 |
| 源 IP 地址和端口 | IP 地址/端口 |
| 目标 IP 地址和端口 | IP 地址/端口 |
| TCP 标记 | S (SYN)、SA (SYN-ACK)、A (ACK)、P (PUSH)、U (URGENT)、F (FIN)、R (RESET) |
| 数据包数 | 数据包的数量。 22/14 - 入站/出站数据包数 |
| 字节数 | 字节的数量。 7684/1070 - 入站/出站字节数 |
要启用规则消息,请登录到
vSphere Web Client:
- 导航到。
- 确保您处于常规 (General)选项卡中。
- 启用日志记录。
NSX 版本 过程 NSX 6.4.1 和更高版本 单击更多 (More) > 启用 (Enable) > 启用规则日志 (Enable Rule Logs) NSX 6.4.0 - 在页面上启用日志 (Log)列。
- 要为某个规则启用日志记录,请将光标悬停在日志表单元格上并单击铅笔图标。
注: 如果要在防火墙日志消息中显示自定义的文本,您可以启用
标记 (Tag)列,然后单击铅笔图标以添加所需的文本。
审核日志和系统事件日志
审核日志包括管理日志和分布式防火墙配置更改。这些日志存储在 /home/secureall/secureall/logs/vsm.log 中。
系统事件日志包括已应用分布式防火墙配置,已创建或删除筛选器或筛选器失败以及已将虚拟机添加到安全组,等等。这些日志存储在 /home/secureall/secureall/logs/vsm.log 中。
要在 vSphere Web Client 中查看审核日志和系统事件日志,请导航到。在监控 (Monitor)选项卡中,选择 NSX Manager 的 IP 地址。
