Formát zprávy Syslog pro protokoly brány firewall

Popisuje formát zprávy Syslog pro protokoly brány firewall s příkladem.

Formát zprávy syslogu IETF (RFC 3164)

<%PRI%>%timegenerated% %HOSTNAME% %syslogtag%%msg

Následuje vzorová zpráva syslogu.

<158>Dec 17 07:21:16 b1-edge1 velocloud.sdwan: ACTION=VCF Open FW_POLICY_NAME=test SID=0000012278 SEGMENT_NAME=Global Segment IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3

Zprávu lze rozdělit následovně:

Priorita: zařízení * 8 + závažnost (local3 a info) – 158
Datum: 17. prosince
Čas: 7:21:16
Název hostitele: b1-edge1
Tag syslogu: velocloud.sdwan
Message - ACTION=VCF Open FW_POLICY_NAME=test SID=0000012278 SEGMENT_NAME=Global Segment IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3

VMware podporuje následující zprávy protokolu brány firewall:

S povolenou stavovou bránou firewall:
- Otevřít (Open) – Relace toku provozu byla zahájena.
- Zavřít (Close) – Relace toku provozu skončila kvůli vypršení časového limitu relace nebo je relace vyprázdněna přes Orchestrator.
- Zakázat (Deny) – Pokud relace odpovídá pravidlu Zakázat, zobrazí se zpráva protokolu odepření a paket bude zahozen. V případě TCP bude do zdroje odeslán reset.
- Aktualizovat (Update) – U všech probíhajících relací se zobrazí zpráva protokolu aktualizace, pokud je prostřednictvím nástroje Orchestrator přidáno nebo změněno pravidlo brány firewall.
S deaktivovanou stavovou bránou firewall:
- Povolit
- Odmítnout

Tabulka 1. Pole zprávy protokolu brány firewall
Pole	Popis (Description)
FW_POLICY_NAME	Název zásady brány firewall použitý pro relaci.
SID	Jedinečné identifikační číslo použité pro každou relaci.
SVLAN	ID sítě VLAN zdrojového zařízení.
DVLAN	ID sítě VLAN cílového zařízení.
SEGMENT_NAME	Název segmentu, do kterého relace patří
IN	Název rozhraní, ve kterém byl přijat první paket relace. V případě paketů přijatých v překrytí bude v tomto poli uveden výraz VPN. U všech ostatních paketů (přijatých prostřednictvím podřízené vrstvy) se v tomto poli zobrazí název rozhraní v Edge.
PROTO	Typ protokolu IP adresy, který relace používá. Možné hodnoty jsou TCP, UDP, GRE, ESP a ICMP.
SRC	Zdrojová IP adresa relace v desítkovém zápisu s tečkami.
DST	Cílová IP adresa relace v desítkovém zápisu s tečkami.
SPT	Číslo zdrojového portu relace. Toto pole se používá pouze v případě, že se pro underlay přenos používá UDP/TCP.
DPT	Číslo cílového portu relace. Toto pole se používá pouze v případě, že se pro underlay přenos používá UDP/TCP.
DEST_NAME	Název vzdáleného zařízení v rámci relace. Možné hodnoty jsou: CSS-Backhaul – pro provoz do služby pro zabezpečení cloudu z Edge. Internet-via-<`egress-iface-name`> – pro cloudový provoz přicházející přímo z Edge za použití pravidel řízení. Internet-BH-via-<`název hubu páteřního připojení`> – pro cloudově vázaný provoz přecházejí do sítě internet prostřednictvím hubu páteřního připojení za použití pravidel řízení. <`Název vzdáleného Edge`>-via-Hub – pro provoz VPN procházející hubem. <`Název vzdáleného Edge`>-Via-DE2E – pro provoz VPN procházející mezi Edge prostřednictvím přímého tunelového propojení VCMP. <`Název vzdáleného Edge`>-via-Gateway – pro provoz VPN procházející cloudovou bránou. NVS-via-<`název brány`> – pro provoz Cíl jiný než SD-WAN procházející cloudovou bránou. Internet-via-<`název brány`> – pro internetový provoz procházející cloudovou bránou.
NAT_SRC	Zdrojová IP adresa použitá pro překlad síťové adresy zdroje přímého internetového provozu.
NAT_SPT	Port zdroje použití pro patting přímého internetového provozu.
APPLICATION	Název aplikace, do které byla relace zařazena v rámci filtrování DPI Engine. Toto pole je dostupné pouze pro zprávy z protokolu „Zavřít“.
BYTES_SENT	Objem odeslaných dat (v bajtech) v rámci relace. Toto pole je dostupné pouze pro zprávy z protokolu „Zavřít“.
BYTES_RECEIVED	Objem přijatých dat (v bajtech) v rámci relace. Toto pole je dostupné pouze pro zprávy z protokolu „Zavřít“.
DURATION_SECS	Doba, po kterou byla relace aktivní. Toto pole je dostupné pouze pro zprávy z protokolu „Zavřít“.
REASON	Důvod ukončení nebo zamítnutí relace. Možné hodnoty jsou: Porušení stavu (State Violation) Reset Vyčištěno (Purged) Zastaralé (Aged-out) Přijatý příznak FIN (Fin-Received) Přijatý příznak RST (RST-Received) Chyba (Error) Toto pole je dostupné pro zprávy z protokolu „Zavřít“ a „Odmítnout“.