如果为防火墙规则启用了日志记录,则可以通过查看防火墙数据包日志,对问题进行故障排除。

不管是 ESXi 还是 KVM 主机,该日志文件都是 /var/log/dfwpktlogs.log

以下是分布式防火墙规则的常规日志示例: 
2018-07-03T19:44:09.749Z b6507827 INET match PASS mainrs/1024 IN 52 TCP 192.168.4.3/49627->192.168.4.4/49153 SEW

2018-07-03T19:46:02.338Z 7396c504 INET match DROP mainrs/1024 OUT 52 TCP 192.168.4.3/49676->192.168.4.4/135 SEW

2018-07-06T18:15:49.647Z 028cd586 INET match DROP mainrs/1027 IN 36 PROTO 2 0.0.0.0->224.0.0.1

2018-07-06T18:19:54.764Z 028cd586 INET6 match DROP mainrs/1027 OUT 143 UDP fe80:0:0:0:68c2:8472:2364:9be/546->ff02:0:0:0:0:0:1:2/547
DFW 日志文件格式的元素包括以下内容(以空格分隔):
  • 时间戳:
  • 接口的 VIF ID 的最后八位数字
  • INET 类型(v4 或 v6)
  • 原因(匹配)
  • 操作(通过、丢弃、拒绝)
  • 规则集名称/规则 ID
  • 数据包方向(入站/出站)
  • 数据包大小
  • 协议(TCP、UDP 或 PROTO #)
  • netx 规则命中的 SVM 方向
  • 源 IP 地址/源端口 > 目标 IP 地址/目标端口
  • TCP 标记 (SEW)
对于传递的 TCP 数据包,在会话结束时,会出现终止日志: 
2018-07-03T19:44:30.585Z 7396c504 INET TERM mainrs/1024 OUT TCP RST 192.168.4.3/49627->192.168.4.4/49153 20/16 1718/76308
TCP 终止日志的元素包括以下内容(以空格分隔):
  • 时间戳:
  • 接口的 VIF ID 的最后 8 位数字
  • INET 类型(v4 或 v6)
  • 操作(终止)
  • 规则集名称/规则 ID
  • 数据包方向(入站/出站)
  • 协议(TCP、UDP 或 PROTO #)
  • TCP RST 标记
  • netx 规则命中的 SVM 方向
  • 源 IP 地址/源端口 > 目标 IP 地址/目标端口
  • 入站数据包计数/出站数据包计数(全部累计)
  • 入站数据包大小/出战数据包大小
以下是分布式防火墙规则的 FQDN 日志文件示例: 
2019-01-15T00:34:45.903Z 7c607b29 INET match PASS 1031 OUT 48 TCP 10.172.178.226/32808->23.72.199.234/80 S www.sway.com(034fe78d-5857-0680-81e4-d8da6b28d1b4)
FQDN 日志的元素包括以下内容(以空格分隔):
  • 时间戳:
  • 接口的 VIF ID 的最后八位数字
  • INET 类型(v4 或 v6)
  • 原因(匹配)
  • 操作(通过、丢弃、拒绝)
  • 规则集名称/规则 ID
  • 数据包方向(入站/出站)
  • 数据包大小
  • 协议(TCP、UDP 或 PROTO #)- 对于 TCP 连接,在以下 IP 地址后面指示终止连接的实际原因
  • 源 IP 地址/源端口 > 目标 IP 地址/目标端口
  • TCP 标记 - S (SYN)、SA (SYN-ACK)、A (ACK)、P (PUSH)、U (URGENT)、F (FIN)、R (RESET)
  • 域名/UUID,其中 UUID 是域名的二进制内部表示形式
以下是分布式防火墙规则的第 7 层日志文件示例: 
2019-01-15T00:35:07.221Z 82f365ae INET match REJECT 1034 OUT 48 TCP 10.172.179.6/49818->23.214.173.202/80 S APP_HTTP

2019-01-15T00:34:46.486Z 7c607b29 INET match PASS 1030 OUT 48 UDP 10.172.178.226/42035->10.172.40.1/53 APP_DNS
第 7 层日志的元素包括以下内容(以空格分隔):
  • 时间戳:
  • 接口的 VIF ID 的最后八位数字
  • INET 类型(v4 或 v6)
  • 原因(匹配)
  • 操作(通过、丢弃、拒绝)
  • 规则集名称/规则 ID
  • 数据包方向(入站/出站)
  • 数据包大小
  • 协议(TCP、UDP 或 PROTO #)- 对于 TCP 连接,在以下 IP 地址后面指示终止连接的实际原因
  • 源 IP 地址/源端口 > 目标 IP 地址/目标端口
  • TCP 标记 - S (SYN)、SA (SYN-ACK)、A (ACK)、P (PUSH)、U (URGENT)、F (FIN)、R (RESET)
  • APP_XXX 是发现的应用程序