在企业网络中,SD-WAN Orchestrator 支持将来自于企业 SD-WAN EdgesSD-WAN Orchestrator 范围事件和防火墙日志收集到一个或多个集中式远程 Syslog 收集器(服务器)中(采用本机 Syslog 格式)。要使 Syslog 收集器接收来自企业中配置的 Edge 的 SD-WAN Orchestrator 范围事件和防火墙日志,请执行该过程中的步骤,以便在配置文件级别在 SD-WAN Orchestrator 中配置每个分段的 Syslog 收集器详细信息。

前提条件

  • 确保为 SD-WAN Edge 配置了云虚拟专用网络(分支到分支 VPN 设置)(SD-WAN Orchestrator 范围的事件来自于该 Edge),以确定 SD-WAN Edge 和 Syslog 收集器之间的路径。有关更多信息,请参阅配置云 VPN

过程

  1. SD-WAN Orchestrator 中,转到配置 (Configure) > 配置文件 (Profiles)
    将显示 配置文件 (Configuration Profiles) 页面。
  2. 选择一个要配置 Syslog 设置的配置文件,然后单击设备 (Device) 列下面的图标。
    将显示选定配置文件的“设备设置”(Device Settings) 页面。
  3. 配置分段 (Configure Segment) 下拉菜单中,选择一个配置文件分段以配置 Syslog 设置。默认情况下,将选择全局分段 [常规] (Global Segment [Regular])
  4. 转到 Syslog 设置 (Syslog Settings) 区域,然后配置以下详细信息。
    1. 设施代码 (Facility Code) 下拉菜单中,选择一个 Syslog 标准值,以映射到 Syslog 服务器如何使用设施字段管理来自 SD-WAN Edges 的所有事件的消息。允许的值是 local0local7
      注: 只能为 全局分段 (Global Segment) 配置 设施代码 (Facility Code) 字段,而无论是否为配置文件启用了 Syslog 设置。其他分段将从全局分段中继承设施代码值。
    2. 选中已启用 Syslog (Syslog Enabled) 复选框。
    3. IP 文本框中,输入 Syslog 收集器的目标 IP 地址。
    4. 协议 (Protocol) 下拉菜单中,选择 TCPUDP 以作为 Syslog 协议。
    5. 端口 (Port) 文本框中,输入 Syslog 收集器的端口号。默认值为 514。
    6. 由于 Edge 接口在配置文件级别不可用,因此,源接口 (Source Interface) 字段设置为自动 (Auto)。Edge 自动选择一个接口,并将“通告”(Advertise) 字段设置为源接口。
    7. 角色 (Roles) 下拉菜单中,选择以下选项之一:
      • Edge 事件 (EDGE EVENT)
      • 防火墙事件 (FIREWALL EVENT)
      • Edge 和防火墙事件 (EDGE AND FIREWALL EVENT)
    8. Syslog 级别 (Syslog Level) 下拉菜单中,选择需要配置的 Syslog 严重性级别。例如,如果配置了严重 (CRITICAL)SD-WAN Edge 将发送设置为严重、警示或紧急的所有事件。
      注: 默认情况下,将转发 Syslog 严重性级别为 信息 (INFO) 的防火墙事件日志。

      允许的 Syslog 严重性级别包括:

      • 紧急 (EMERGENCY)
      • 警示 (ALERT)
      • 严重 (CRITICAL)
      • 错误 (ERROR)
      • 警告 (WARNING)
      • 通知 (NOTICE)
      • 信息 (INFO)
      • 调试 (DEBUG)
    9. (可选)在标记 (Tag) 文本框中,为 Syslog 输入一个标记。Syslog 标记可用于区分 Syslog 收集器中的各种类型的事件。允许的最大字符长度为 32,以句点分隔。
    10. 在使用防火墙事件 (FIREWALL EVENT)Edge 和防火墙事件 (EDGE AND FIREWALL EVENT) 角色配置 Syslog 收集器时,如果希望 Syslog 收集器从所有分段接收防火墙日志,请选中所有分段 (All Segments) 复选框。如果禁用了该复选框,则 Syslog 收集器仅从配置了收集器的特定分段接收防火墙日志。
      注: 如果角色是 Edge 事件 (EDGE EVENT),默认情况下,任何分段中配置的 Syslog 收集器都会接收 Edge 事件日志。
  5. 单击 + 按钮以添加另一个 Syslog 收集器,否则,单击保存更改 (Save Changes)。将在 SD-WAN Orchestrator 中配置远程 Syslog 收集器。
    注: 您最多可以为每个分段配置两个 Syslog 收集器,并为每个 Edge 最多配置 10 个 Syslog 收集器。在配置的收集器数达到允许的最大限制时,将禁用 + 按钮。
    注: 根据选定的角色,Edge 将指定严重性级别的相应日志导出到远程 Syslog 收集器。如果您希望在 Syslog 收集器中接收 SD-WAN Orchestrator 自动生成的本地事件,则必须在 SD-WAN Orchestrator 级别使用 log.syslog.backendlog.syslog.upload 系统属性配置 Syslog。

示例: IETF Syslog 消息格式 (RFC 3164)

<%PRI%>%timegenerated% %HOSTNAME% %syslogtag%%msg

下面是一条示例 Syslog 消息。

<158>Dec 17 07:21:16 b1-edge1 velocloud.sdwan: VCF Open xR6FveSQT220kZiTmoYJHA SID=12278 SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3
该消息包含以下部分:
  • 优先级 - 设施 * 8 + 严重性 (local4 & critical) - 158
  • 日期 - Dec 17
  • 时间 - 07:21:16
  • 主机名 - b1-edge1
  • Syslog 标记 - velocloud.sdwan
  • 消息 - VCF Open xR6FveSQT220kZiTmoYJHA SID=12278 SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3
VMware SD-WAN 支持以下防火墙日志消息:
  • 在启用了有状态防火墙时:
    • 打开
    • 关闭
    • 拒绝
    • 更新
  • 在禁用了有状态防火墙时:
    • 允许
    • 拒绝
表 1. 防火墙日志消息字段
字段 描述
SID 应用于每个会话的唯一识别码。
SVLAN 源设备的 VLAN ID。
DVLAN 目标设备的 VLAN ID。
SEGMENT 会话所属的分段。允许的范围是 0 到 255。
IN 在其中接收会话的第一个数据包的接口的名称。对于覆盖网络接收的数据包,该字段将包含 VPN。对于任何其他数据包(通过底层网络接收),该字段将显示 Edge 中的接口的名称。
PROTO 会话使用的 IP 协议的类型。可能的值包括 TCP、UDP、GRE、ESP 和 ICMP。
SRC 以点分十进制表示法表示的会话源 IP 地址。
DST 以点分十进制表示法表示的会话目标 IP 地址。
SPT 会话的源端口号。只在底层传输为 UDP/TCP 时,该字段才适用。
DPT 会话的目标端口号。只在底层传输为 UDP/TCP 时,该字段才适用。
DEST_NAME 会话的远程端设备的名称。可能的值包括:
  • CSS-Backhaul - 适用于从 Edge 发送到云安全服务的流量。
  • Internet-via-<输出接口名称> - 适用于使用业务策略直接从 Edge 传输的云流量。
  • Internet-BH-via-<回传 Hub 名称> - 适用于使用业务策略通过回传 Hub 进入 Internet 的云范围流量。
  • <远程 Edge 名称>-via-Hub - 适用于流经 Hub 的 VPN 流量。
  • <远程 Edge 名称>-via-DE2E - 适用于通过直接 VCMP 隧道在 Edge 之间传输的 VPN 流量。
  • <远程 Edge 名称>-via-Gateway - 适用于流经云网关的 VPN 流量。
  • NVS-via-<网关名称> - 适用于流经云网关的 Non-VMware SD-WAN Site 流量。
  • Internet-via-<网关名称> - 适用于流经云网关的 Internet 流量。
NAT-SRC 用于直接 Internet 流量源转换的源 IP 地址。
NAT-SPT 用于直接 Internet 流量源转换的源端口。
APPLICATION DPI 引擎将会话划分到的应用程序名称。该字段仅适用于关闭日志消息。
BYTES_SENT 在会话中发送的数据量(以字节为单位)。该字段仅适用于关闭日志消息。
BYTES_RECEIVED 在会话中接收的数据量(以字节为单位)。该字段仅适用于关闭日志消息。
DURATION_SECS 会话已处于活动状态的持续时间。该字段仅适用于关闭日志消息。
REASON 关闭或拒绝会话的原因。可能的值包括:
  • State Violation
  • Reset
  • Purged
  • Aged-out
  • Fin-Received
  • RST-Received
  • Error
该字段适用于关闭和拒绝日志消息。

后续步骤

SD-WAN Orchestrator 允许您在配置文件和 Edge 级别启用 Syslog 转发功能。如果要将来自于企业 SD-WAN Edges 的防火墙日志转发到配置的 Syslog 收集器,请在配置文件配置的 防火墙 (Firewall) 页面上启用 Syslog 转发 (Syslog Forwarding) 按钮。
注: 默认情况下,在配置文件或 Edge 配置的 防火墙 (Firewall) 页面上提供了 Syslog 转发 (Syslog Forwarding) 按钮并将其禁用。

有关配置文件级别的防火墙设置的更多信息,请参阅为配置文件配置防火墙