如果为网关防火墙启用了日志记录,则将记录网关防火墙数据包。

日志文件为 /var/log/syslog。每个日志消息均遵循 syslog 格式,并由 syslog 标头和防火墙特定的信息组成。有关 syslog 的详细信息,请参阅日志消息和错误代码

日志消息的防火墙特定部分包含以下字段:

字段 备注
<VRF ID 和接口 UUID> 您可以通过运行 CLI 命令来获取有关接口的此信息。例如:
edge-1> get firewall interfaces 
Interface           : 55f1af2f-4875-44e9-b0e0-59132ad7753d
Type                : UPLINK
Sync enabled        : true
Name                : Uplink_40_1
VRF ID              : 1
...
地址系列 可能的值:INETINET6
原因 可能的值:
  • match:数据包与某个规则匹配。
  • fragment:有一个片段位于第一个片段后面。
  • short:数据包太短(例如,无 IP 标头或 TCP/UDP 标头)。
  • normalize:数据包的格式不正确,不包含正确标头或负载。
  • memory:数据路径内存不足。
  • ip-option:存在无效的 IP 选项。
  • TERM:已终止连接。
操作 可能的值:
  • PASS:接受数据包。
  • DROP:丢弃数据包。
  • NAT:SNAT
  • RDR:DNAT
  • PBR:服务插入。
  • LB:负载均衡器。
规则 ID 防火墙规则 ID。
方向 可能的值:INOUT
数据包长度 以字节为单位的长度。
协议 可能的值:TCPUDPPROTO(协议号)

如果 TERM 是 TCP 会话的原因,则会在关键字 TCP 之后指示连接终止的原因。可能的原因包括 RST(TCP RST 数据包)、FIN(TCP FIN 数据包)和 TIMEOUT(空闲时间太长)。对于非 TCP 连接(UDP、ICMP 或其他协议),终止连接的原因只能是 TIMEOUT。

源 IP 地址和端口 对于 SNAT,这是转换之前的地址。
目标 IP 地址和端口 对于 DNAT,这是转换之前的地址。
TCP 的网关防火墙日志消息示例:
<181>1 2020-09-21T22:14:12.080427+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET reason-match PASS 1005 OUT 60 TCP 1.1.1.10/45120->91.189.92.38/443 S

<181>1 2020-09-21T22:14:19.963758+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET TERM PASS 1005 OUT TCP 1.1.1.10/45120->91.189.92.38/443
UDP 的网关防火墙日志消息示例:
<181>1 2020-09-21T22:05:05.686346+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET reason-match PASS 1005 IN 328 UDP 40.40.40.10/60613->1.1.1.10/42917

<181>1 2020-09-21T22:05:48.301116+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET TERM PASS 1005 IN UDP 40.40.40.10/60613->1.1.1.10/42917
PROTO 的网关防火墙日志消息示例:
<181>1 2020-09-21T21:54:38.047682+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET reason-match PASS 1005 IN 84 PROTO 1 40.40.40.10->1.1.1.10

<181>1 2020-09-21T21:54:45.036957+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET TERM PASS 1005 IN PROTO 1 40.40.40.10->1.1.1.10
SNAT 的网关防火墙日志消息示例:
<181>1 2020-09-21T22:57:24.203037+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET reason-match PASS 1005 OUT 60 TCP 1.1.2.10/49974->40.40.40.10/22 S

<181>1 2020-09-21T22:57:24.203615+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET reason-match NAT 536870914 OUT 60 TCP 2.2.2.10/37305-OR 1.1.2.10/49974->40.40.40.10/22 S

<181>1 2020-09-21T22:57:32.125757+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET TERM NAT 536870914 OUT TCP 2.2.2.10/37305-OR 40.40.40.10/22->1.1.2.10/49974
DNAT 的网关防火墙日志消息示例:
<181>1 2020-09-21T22:49:00.978192+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET reason-match RDR 536870913 IN 60 TCP 40.40.40.10/40082->10.10.10.1/22-OR 1.1.1.10/22 S

<181>1 2020-09-21T22:50:01.915154+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET TERM RDR 536870913 IN TCP 40.40.40.10/40082->10.10.10.1/22-OR 1.1.1.10/22