防火墙将生成并存储日志文件,例如审核日志、规则消息日志和系统事件日志。您必须为每个启用了防火墙的群集配置一个 syslog 服务器。syslog 服务器在 Syslog.global.logHost 属性中指定。

防火墙生成下表中所述的日志。

表 1. 防火墙日志

日志类型

说明

位置

规则消息日志

包括所有访问决定,如每个规则的允许或拒绝流量(如果为该规则启用了日志记录)。包含启用了日志记录的规则的 DFW 数据包日志。

/var/log/dfwpktlogs.log

审核日志

包括管理日志和分布式防火墙配置更改。

/home/secureall/secureall/logs/vsm.log

系统事件日志

包括已应用分布式防火墙配置,已创建或删除筛选器或筛选器失败以及已将虚拟机添加到安全组,等等。

/home/secureall/secureall/logs/vsm.log

数据层面/VMKernel 日志

捕获与防火墙内核模块 (VSIP) 相关的活动。它包含系统生成的消息的日志条目。

/var/log/vmkernel.log

消息总线客户端/VSFWD 日志

捕获防火墙代理的活动。

/var/log/vsfwd.log

注:

可以从 NSX Manager 命令行界面 (CLI) 中运行 show log manager 命令,然后为 vsm.log 关键字执行 grep 以访问 vsm.log 文件。仅具有 root 特权的用户或用户组可以访问该文件。

规则消息日志

规则消息日志包括所有访问决定,如每个规则的允许或拒绝流量(如果为该规则启用了日志记录)。这些日志存储在每个主机上的 /var/log/dfwpktlogs.log 中。

以下是防火墙日志消息示例:

 # more /var/log/dfwpktlogs.log
2015-03-10T03:22:22.671Z INET match DROP domain-c7/1002 IN 242 UDP 192.168.110.10/138->192.168.110.255/138

# more /var/log/dfwpktlogs.log
2017-04-11T21:09:59.877Z ESXi_FQDN dfwpktlogs: 50047 INET TERM domain-c1/1001 IN TCP RST 10.1.2.3/33491->10.4.5.6/10001 22/14 7684/1070

更多示例:

2017-10-19T22:38:05.586Z 58734 INET match PASS domain-c8/1006 OUT 84 ICMP 172.18.8.121->172.18.8.119 RULE_TAG
2017-10-19T22:38:08.723Z 58734 INET match PASS domain-c8/1006 OUT 60 TCP 172.18.8.121/36485->172.18.8.119/22 S RULE_TAG
2017-10-19T22:38:18.785Z 58734 INET TERM domain-c8/1006 OUT ICMP 8 0 172.18.8.121->172.18.8.119 2/2 168/168 RULE_TAG
2017-10-19T22:38:20.789Z 58734 INET TERM domain-c8/1006 OUT TCP FIN 172.18.8.121/36484->172.18.8.119/22 44/33 4965/5009 RULE_TAG

在以下示例中:

  • 1002 是分布式防火墙规则 ID。

  • domain-c7 是 vCenter Managed Object Browser (MOB) 中的群集 ID。

  • 192.168.110.10/138 是源 IP 地址。

  • 192.168.110.255/138 是目标 IP 地址。

  • RULE_TAG 是在添加或编辑防火墙规则时在标记文本框中添加的文本示例。

以下示例显示了从 192.168.110.10 到 172.16.10.12 的 Ping 操作的结果。

 # tail -f /var/log/dfwpktlogs.log | grep 192.168.110.10

2015-03-10T03:20:31.274Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12
2015-03-10T03:20:35.794Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12

下表介绍了防火墙日志消息中的文本框。

表 2. 日志文件条目的组成部分

组成部分

示例中的值

时间戳

2017-04-11T21:09:59

防火墙特定的部分

877Z ESXi_FQDN dfwpktlogs: 50047 INET TERM domain-c1/1001 IN TCP RST 10.1.2.3/33491->10.4.5.6/10001 22/14 7684/1070

表 3. 日志文件条目的防火墙特定部分

实体

可能值

筛选器哈希值

可用于获取筛选器名称和其他信息的数字。

AF 值

INET、INET6

原因

  • match:数据包与规则匹配。

  • bad-offset:在获取数据包时出现数据路径内部错误。

  • fragment:组合到第一个分段的后续分段。

  • short:数据包太短(例如,不太完整而不包括 IP 标头或 TCP/UDP 标头)。

  • normalize:不包含正确标头或负载的不正确格式的数据包。

  • memory:数据路径内存不足。

  • bad-timestamp:不正确的 TCP 时间戳。

  • proto-cksum:不正确的协议校验和。

  • state-mismatch:未通过 TCP 状态机检查的 TCP 数据包。

  • state-insert:发现重复的连接。

  • state-limit:已达到数据路径可跟踪的最大状态数。

  • SpoofGuard:SpoofGuard 丢弃的数据包。

  • TERM:已终止连接。

操作

  • PASS:接受数据包。

  • DROP:丢弃数据包。

  • NAT:SNAT 规则。

  • NONAT:与 SNAT 规则匹配,但无法转换地址。

  • RDR:DNAT 规则。

  • NORDR:与 DNAT 规则匹配,但无法转换地址。

  • PUNT:将数据包发送到在当前虚拟机的相同管理程序上运行的服务虚拟机。

  • REDIRECT:将数据包发送到从当前虚拟机的管理程序中运行的网络服务。

  • COPY:接受数据包,并将其复制到在当前虚拟机的相同管理程序上运行的服务虚拟机中。

  • REJECT:拒绝数据包。

规则集和规则 ID

规则集/规则 ID

方向

入站、出站

数据包长度

长度

协议

TCP、UDP、ICMP 或 PROTO(协议号)

对于 TCP 连接,将在 TCP 关键字后面指示终止连接的实际原因。

如果 TERM 是 TCP 会话的原因,则会在 PROTO 行中显示额外的说明。终止 TCP 连接的可能原因包括:RST(TCP RST 数据包)、FIN(TCP FIN 数据包)和 TIMEOUT(空闲时间太长)

在上面的示例中,原因是 RST。因此,这意味着在必须重置的连接中具有 RST 数据包。

对于非 TCP 连接(UDP、ICMP 或其他协议),终止连接的原因只能是 TIMEOUT。

源 IP 地址和端口

IP 地址/端口

目标 IP 地址和端口

IP 地址/端口

TCP 标记

S (SYN)、SA (SYN-ACK)、A (ACK)、P (PUSH)、U (URGENT)、F (FIN)、R (RESET)

数据包数

数据包的数量。

22/14 - 入站/出站数据包数

字节数

字节的数量。

7684/1070 - 入站/出站字节数

要启用规则消息,请登录到 vSphere Web Client

  1. 网络和安全 > 防火墙页面上启用日志列。

  2. 要为某个规则启用日志记录,请将光标悬停在日志表单元格上并单击铅笔图标。

注:

如果要在防火墙日志消息中显示自定义的文本,您可以启用标记列,然后单击铅笔图标以添加所需的文本。

审核日志和系统事件日志

审核日志包括管理日志和分布式防火墙配置更改。这些日志存储在 /home/secureall/secureall/logs/vsm.log 中。

系统事件日志包括已应用分布式防火墙配置,已创建或删除筛选器或筛选器失败以及已将虚拟机添加到安全组,等等。这些日志存储在 /home/secureall/secureall/logs/vsm.log 中。

要在 UI 中查看审核日志和系统事件日志,请导航到网络和安全 > 安装 > 管理,然后双击 NSX Manager 的 IP 地址。接下来,单击监控选项卡。

有关详细信息,请参见NSX 日志记录和系统事件