通过一个示例介绍了防火墙日志的 Syslog 消息格式。
IETF Syslog 消息格式 (RFC 3164)
<%PRI%>%timegenerated% %HOSTNAME% %syslogtag%%msg
下面是一条示例 Syslog 消息。
<158>Dec 17 07:21:16 b1-edge1 velocloud.sdwan: ACTION=VCF Deny SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x TYPE=8 FW_POLICY_NAME=test SEGMENT_NAME=Global Segment
该消息包含以下部分:
- 优先级 - 设施 * 8 + 严重性 (local3 & info) - 158
- 日期 - Dec 17
- 时间 - 07:21:16
- 主机名 - b1-edge1
- Syslog 标记 - velocloud.sdwan
- Message - ACTION=VCF Deny SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x TYPE=8 FW_POLICY_NAME=test SEGMENT_NAME=Global Segment
VMware 支持以下防火墙日志消息:
- 在启用了有状态防火墙时:
- 打开 (Open) - 流量会话已启动。
- 关闭 (Close) - 由于会话超时或通过 Orchestrator 刷新会话,流量会话已结束。
- 拒绝 (Deny) - 如果会话与拒绝规则匹配,则显示拒绝日志消息并丢弃数据包。在这种情况下,将向源发送“TCP,重置”(TCP, Reset)。
- 更新 (Update) - 对于所有进行的会话,如果通过 Orchestrator 添加或修改防火墙规则,则显示更新日志消息。
- 在停用了有状态防火墙时:
- 允许
- 拒绝
字段 | 描述 |
---|---|
SID | 应用于每个会话的唯一识别码。 |
SVLAN | 源设备的 VLAN ID。 |
DVLAN | 目标设备的 VLAN ID。 |
IN | 在其中接收会话的第一个数据包的接口的名称。对于覆盖网络接收的数据包,该字段将包含 VPN。对于任何其他数据包(通过底层网络接收),该字段将显示 Edge 中的接口的名称。 |
PROTO | 会话使用的 IP 协议的类型。可能的值包括 TCP、UDP、GRE、ESP 和 ICMP。 |
SRC | 以点分十进制表示法表示的会话源 IP 地址。 |
DST | 以点分十进制表示法表示的会话目标 IP 地址。 |
类型 | ICMP 消息的类型。
注:
广泛使用的一些重要 ICMP 类型包括:
Type 参数仅显示在 ICMP 数据包的日志中。
有关 ICMP 消息类型的完整列表,请参阅 ICMP 参数类型。 |
SPT | 会话的源端口号。只在底层传输为 UDP/TCP 时,该字段才适用。 |
DPT | 会话的目标端口号。只在底层传输为 UDP/TCP 时,该字段才适用。 |
FW_POLICY_NAME | 应用于会话的防火墙策略的名称。 |
SEGMENT_NAME | 会话所属的分段的名称。 |
DEST_NAME | 会话的远程端设备的名称。可能的值包括:
|
NAT_SRC | 用于直接 Internet 流量源转换的源 IP 地址。 |
NAT_SPT | 用于直接 Internet 流量源转换的源端口。 |
APPLICATION | DPI 引擎将会话划分到的应用程序名称。该字段仅适用于关闭日志消息。 |
BYTES_SENT | 在会话中发送的数据量(以字节为单位)。该字段仅适用于关闭日志消息。 |
BYTES_RECEIVED | 在会话中接收的数据量(以字节为单位)。该字段仅适用于关闭日志消息。 |
DURATION_SECS | 会话已处于活动状态的持续时间。该字段仅适用于关闭日志消息。 |
REASON | 关闭或拒绝会话的原因。可能的值包括:
|