通过一个示例介绍了防火墙日志的 syslog 消息格式。

IETF syslog 消息格式 (RFC 3164)

<%PRI%>%timegenerated% %HOSTNAME% %syslogtag%%msg

下面是一条示例 syslog 消息。

<158>Dec 17 07:21:16 b1-edge1 velocloud.sdwan: ACTION=VCF Deny SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x TYPE=8 FW_POLICY_NAME=test SEGMENT_NAME=Global Segment
该消息包含以下部分:
  • 优先级 - 设施 * 8 + 严重性 (local3 & info) - 158
  • 日期 - Dec 17
  • 时间 - 07:21:16
  • 主机名 - b1-edge1
  • syslog 标记 - velocloud.sdwan
  • Message - ACTION=VCF Deny SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x TYPE=8 FW_POLICY_NAME=test SEGMENT_NAME=Global Segment
VMware 支持以下防火墙日志消息:
  • 在启用了有状态防火墙时:
    • 打开 (Open) - 流量会话已启动。
    • 关闭 (Close) - 由于会话超时或通过 Orchestrator 刷新会话,流量会话已结束。
    • 拒绝 (Deny) - 如果会话与拒绝规则匹配,则显示拒绝日志消息并丢弃数据包。在这种情况下,将向源发送“TCP,重置”(TCP, Reset)。
    • 更新 (Update) - 对于所有进行的会话,如果通过 Orchestrator 添加或修改防火墙规则,则显示更新日志消息。
  • 在停用了有状态防火墙时:
    • 允许 (Allow)
    • 拒绝 (Deny)
表 1. 防火墙日志消息字段
字段 描述
SID 应用于每个会话的唯一识别码。
SVLAN 源设备的 VLAN ID。
DVLAN 目标设备的 VLAN ID。
IN 在其中接收会话的第一个数据包的接口的名称。对于覆盖网络接收的数据包,该字段将包含 VPN。对于任何其他数据包(通过底层网络接收),该字段将显示 Edge 中的接口的名称。
PROTO 会话使用的 IP 协议的类型。可能的值包括 TCP、UDP、GRE、ESP 和 ICMP。
SRC 以点分十进制表示法表示的会话源 IP 地址。
DST 以点分十进制表示法表示的会话目标 IP 地址。
Type ICMP 消息的类型。
注: Type 参数仅显示在 ICMP 数据包的日志中。
广泛使用的一些重要 ICMP 类型包括:
  • 回显应答 (0)
  • 回显请求 (8)
  • 重定向 (5)
  • 目标无法访问 (3)
  • 跟踪路由 (30)
  • 超时 (11)

有关 ICMP 消息类型的完整列表,请参阅 ICMP 参数类型

SPT 会话的源端口号。只在底层传输为 UDP/TCP 时,该字段才适用。
DPT 会话的目标端口号。只在底层传输为 UDP/TCP 时,该字段才适用。
FW_POLICY_NAME 应用于会话的防火墙策略的名称。
SEGMENT_NAME 会话所属的分段的名称。
DEST_NAME 会话的远程端设备的名称。可能的值包括:
  • CSS-Backhaul - 适用于从 Edge 发送到云安全服务的流量。
  • Internet-via-<输出接口名称> - 适用于使用业务策略直接从 Edge 传输的云流量。
  • Internet-BH-via-<回传 Hub 名称> - 适用于使用业务策略通过回传 Hub 进入 Internet 的云范围流量。
  • <远程 Edge 名称>-via-Hub - 适用于流经 Hub 的 VPN 流量。
  • <远程 Edge 名称>-via-DE2E - 适用于通过直接 VCMP 隧道在 Edge 之间传输的 VPN 流量。
  • <远程 Edge 名称>-via-Gateway - 适用于流经云网关的 VPN 流量。
  • NVS-via-<网关名称> - 适用于流经云网关的 非 SD-WAN 目标 流量。
  • Internet-via-<网关名称> - 适用于流经云网关的 Internet 流量。
NAT_SRC 用于直接 Internet 流量源网络连接的源 IP 地址。
NAT_SPT 用于直接 Internet 流量源转换的源端口。
APPLICATION DPI 引擎将会话划分到的应用程序名称。该字段仅适用于关闭日志消息。
BYTES_SENT 在会话中发送的数据量(以字节为单位)。该字段仅适用于关闭日志消息。
BYTES_RECEIVED 在会话中接收的数据量(以字节为单位)。该字段仅适用于关闭日志消息。
DURATION_SECS 会话已处于活动状态的持续时间。该字段仅适用于关闭日志消息。
REASON 关闭或拒绝会话的原因。可能的值包括:
  • State Violation
  • Reset
  • Purged
  • Aged-out
  • Fin-Received
  • RST-Received
  • Error
该字段适用于关闭和拒绝日志消息。