Formát zprávy Syslog pro protokoly brány firewall

Popisuje formát zprávy Syslog pro protokoly brány firewall s příkladem.

Formát zprávy syslogu IETF (RFC 3164)

<%PRI%>%timegenerated% %HOSTNAME% %syslogtag%%msg

Následuje vzorová zpráva syslogu.

<158>Dec 17 07:21:16 b1-edge1 velocloud.sdwan: VCF Open xR6FveSQT220kZiTmoYJHA SID=12278 SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3

Zprávu lze rozdělit následovně:

Priorita: zařízení * 8 + závažnost (local3 a info) – 158
Datum: 17. prosince
Čas: 7:21:16
Název hostitele: b1-edge1
Tag syslogu: velocloud.sdwan
Message - VCF Open xR6FveSQT220kZiTmoYJHA SID=12278 SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3

VMware podporuje následující zprávy protokolu brány firewall:

S povolenou stavovou bránou firewall:
- Otevřít (Open) – Relace toku provozu byla zahájena.
- Zavřít (Close) – Relace toku provozu skončila kvůli vypršení časového limitu relace nebo je relace vyprázdněna přes Orchestrator.
- Zakázat (Deny) – Pokud relace odpovídá pravidlu Zakázat, zobrazí se zpráva protokolu odepření a paket bude zahozen. V případě TCP bude do zdroje odeslán reset.
- Aktualizovat (Update) – U všech probíhajících relací se zobrazí zpráva protokolu aktualizace, pokud je prostřednictvím nástroje Orchestrator přidáno nebo změněno pravidlo brány firewall.
Se zakázanou stavovou bránou firewall:
- Povolit
- Odmítnout

Tabulka 1. Pole zprávy protokolu brány firewall
Pole	Popis
SID	Jedinečné identifikační číslo použité pro každou relaci.
SVLAN	ID sítě VLAN zdrojového zařízení.
DVLAN	ID sítě VLAN cílového zařízení.
SEGMENT	Segment, do kterého relace spadá. Povolený rozsah je od 0 do 255.
IN	Název rozhraní, ve kterém byl přijat první paket relace. V případě paketů přijatých v překrytí bude v tomto poli uveden výraz VPN. U všech ostatních paketů (přijatých prostřednictvím podřízené vrstvy) se v tomto poli zobrazí název rozhraní v Edge.
PROTO	Typ protokolu IP adresy, který relace používá. Možné hodnoty jsou TCP, UDP, GRE, ESP a ICMP.
SRC	Zdrojová IP adresa relace v desítkovém zápisu s tečkami.
DST	Cílová IP adresa relace v desítkovém zápisu s tečkami.
SPT	Číslo zdrojového portu relace. Toto pole se používá pouze v případě, že se pro underlay přenos používá UDP/TCP.
DPT	Číslo cílového portu relace. Toto pole se používá pouze v případě, že se pro underlay přenos používá UDP/TCP.
DEST_NAME	Název vzdáleného zařízení v rámci relace. Možné hodnoty jsou: CSS-Backhaul – pro provoz do služby pro zabezpečení cloudu z Edge. Internet-via-<`egress-iface-name`> – pro cloudový provoz přicházející přímo z Edge za použití podnikových zásad. Internet-BH-via-<`název hubu páteřního připojení`> – pro cloudově vázaný provoz přecházejí do sítě internet prostřednictvím hubu páteřního připojení za použití podnikových zásad. <`Název vzdáleného Edge`>-via-Hub – pro provoz VPN procházející hubem. <`Název vzdáleného Edge`>-Via-DE2E – pro provoz VPN procházející mezi Edge prostřednictvím přímého tunelového propojení VCMP. <`Název vzdáleného Edge`>-via-Gateway – pro provoz VPN procházející cloudovou bránou. NVS-via-<`název brány`> – pro provoz Non VMware SD-WAN Site procházející cloudovou bránou. Internet-via-<`název brány`> – pro internetový provoz procházející cloudovou bránou.
NAT_SRC	Zdrojová IP adresa použitá pro překlad síťové adresy zdroje přímého internetového provozu.
NAT_SPT	Port zdroje použití pro patting přímého internetového provozu.
APPLICATION	Název aplikace, do které byla relace zařazena v rámci filtrování DPI Engine. Toto pole je dostupné pouze pro zprávy z protokolu „Zavřít“.
BYTES_SENT	Objem odeslaných dat (v bajtech) v rámci relace. Toto pole je dostupné pouze pro zprávy z protokolu „Zavřít“.
BYTES_RECEIVED	Objem přijatých dat (v bajtech) v rámci relace. Toto pole je dostupné pouze pro zprávy z protokolu „Zavřít“.
DURATION_SECS	Doba, po kterou byla relace aktivní. Toto pole je dostupné pouze pro zprávy z protokolu „Zavřít“.
REASON	Důvod ukončení nebo zamítnutí relace. Možné hodnoty jsou: Porušení stavu (State Violation) Reset Vyčištěno (Purged) Zastaralé (Aged-out) Přijatý příznak FIN (Fin-Received) Přijatý příznak RST (RST-Received) Chyba (Error) Toto pole je dostupné pro zprávy z protokolu „Zavřít“ a „Odmítnout“.