Popisuje formát zprávy Syslog pro protokoly brány firewall s příkladem.
Formát zprávy syslogu IETF (RFC 3164)
<%PRI%>%timegenerated% %HOSTNAME% %syslogtag%%msg
Následuje vzorová zpráva syslogu.
<158>Dec 17 07:21:16 b1-edge1 velocloud.sdwan: ACTION=VCF Open FW_POLICY_NAME=test SID=0000012278 SEGMENT_NAME=Global Segment IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3
Zprávu lze rozdělit následovně:
- Priorita: zařízení * 8 + závažnost (local3 a info) – 158
- Datum: 17. prosince
- Čas: 7:21:16
- Název hostitele: b1-edge1
- Tag syslogu: velocloud.sdwan
- Message - ACTION=VCF Open FW_POLICY_NAME=test SID=0000012278 SEGMENT_NAME=Global Segment IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3
VMware podporuje následující zprávy protokolu brány firewall:
- S povolenou stavovou bránou firewall:
- Otevřít (Open) – Relace toku provozu byla zahájena.
- Zavřít (Close) – Relace toku provozu skončila kvůli vypršení časového limitu relace nebo je relace vyprázdněna přes Orchestrator.
- Zakázat (Deny) – Pokud relace odpovídá pravidlu Zakázat, zobrazí se zpráva protokolu odepření a paket bude zahozen. V případě TCP bude do zdroje odeslán reset.
- Aktualizovat (Update) – U všech probíhajících relací se zobrazí zpráva protokolu aktualizace, pokud je prostřednictvím nástroje Orchestrator přidáno nebo změněno pravidlo brány firewall.
- S deaktivovanou stavovou bránou firewall:
- Povolit
- Odmítnout
Pole | Popis (Description) |
---|---|
FW_POLICY_NAME | Název zásady brány firewall použitý pro relaci. |
SID | Jedinečné identifikační číslo použité pro každou relaci. |
SVLAN | ID sítě VLAN zdrojového zařízení. |
DVLAN | ID sítě VLAN cílového zařízení. |
SEGMENT_NAME | Název segmentu, do kterého relace patří |
IN | Název rozhraní, ve kterém byl přijat první paket relace. V případě paketů přijatých v překrytí bude v tomto poli uveden výraz VPN. U všech ostatních paketů (přijatých prostřednictvím podřízené vrstvy) se v tomto poli zobrazí název rozhraní v Edge. |
PROTO | Typ protokolu IP adresy, který relace používá. Možné hodnoty jsou TCP, UDP, GRE, ESP a ICMP. |
SRC | Zdrojová IP adresa relace v desítkovém zápisu s tečkami. |
DST | Cílová IP adresa relace v desítkovém zápisu s tečkami. |
SPT | Číslo zdrojového portu relace. Toto pole se používá pouze v případě, že se pro underlay přenos používá UDP/TCP. |
DPT | Číslo cílového portu relace. Toto pole se používá pouze v případě, že se pro underlay přenos používá UDP/TCP. |
DEST_NAME | Název vzdáleného zařízení v rámci relace. Možné hodnoty jsou:
|
NAT_SRC | Zdrojová IP adresa použitá pro překlad síťové adresy zdroje přímého internetového provozu. |
NAT_SPT | Port zdroje použití pro patting přímého internetového provozu. |
APPLICATION | Název aplikace, do které byla relace zařazena v rámci filtrování DPI Engine. Toto pole je dostupné pouze pro zprávy z protokolu „Zavřít“. |
BYTES_SENT | Objem odeslaných dat (v bajtech) v rámci relace. Toto pole je dostupné pouze pro zprávy z protokolu „Zavřít“. |
BYTES_RECEIVED | Objem přijatých dat (v bajtech) v rámci relace. Toto pole je dostupné pouze pro zprávy z protokolu „Zavřít“. |
DURATION_SECS | Doba, po kterou byla relace aktivní. Toto pole je dostupné pouze pro zprávy z protokolu „Zavřít“. |
REASON | Důvod ukončení nebo zamítnutí relace. Možné hodnoty jsou:
|