Popisuje formát zprávy Syslog pro protokoly brány firewall s příkladem.

Formát zprávy syslogu IETF (RFC 3164)

<%PRI%>%timegenerated% %HOSTNAME% %syslogtag%%msg

Následuje vzorová zpráva syslogu.

<158>Dec 17 07:21:16 b1-edge1 velocloud.sdwan: ACTION=VCF Deny SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x TYPE=8 FW_POLICY_NAME=test SEGMENT_NAME=Global Segment
Zprávu lze rozdělit následovně:
  • Priorita: zařízení * 8 + závažnost (local3 a info) – 158
  • Datum: 17. prosince
  • Čas: 7:21:16
  • Název hostitele: b1-edge1
  • Tag syslogu: velocloud.sdwan
  • Zpráva – ACTION=VCF Deny SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x TYPE=8 FW_POLICY_NAME=test SEGMENT_NAME=Global Segment
VMware podporuje následující zprávy protokolu brány firewall:
  • S povolenou stavovou bránou firewall:
    • Otevřít (Open) – Relace toku provozu byla zahájena.
    • Zavřít (Close) – Relace toku provozu skončila kvůli vypršení časového limitu relace nebo je relace vyprázdněna přes Orchestrator.
    • Zakázat (Deny) – Pokud relace odpovídá pravidlu Zakázat, zobrazí se zpráva protokolu odepření a paket bude zahozen. V případě TCP bude do zdroje odeslán reset.
    • Aktualizovat (Update) – U všech probíhajících relací se zobrazí zpráva protokolu aktualizace, pokud je prostřednictvím nástroje Orchestrator přidáno nebo změněno pravidlo brány firewall.
  • S deaktivovanou stavovou bránou firewall:
    • Povolit
    • Odmítnout
Tabulka 1. Pole zprávy protokolu brány firewall
Pole Popis
SID Jedinečné identifikační číslo použité pro každou relaci.
SVLAN ID sítě VLAN zdrojového zařízení.
DVLAN ID sítě VLAN cílového zařízení.
IN Název rozhraní, ve kterém byl přijat první paket relace. V případě paketů přijatých v overlay bude v tomto poli uveden výraz VPN. U všech ostatních paketů (přijatých prostřednictvím underlay) se v tomto poli zobrazí název rozhraní v Edge.
PROTO Typ protokolu IP adresy, který relace používá. Možné hodnoty jsou TCP, UDP, GRE, ESP a ICMP.
SRC Zdrojová IP adresa relace v desítkovém zápisu s tečkami.
DST Cílová IP adresa relace v desítkovém zápisu s tečkami.
Typ (Type) Typ zprávy ICMP.
Poznámka: Parametr Type se zobrazí v protokolech pouze pro pakety ICMP.
Mezi důležité typy ICMP, které jsou často používané, patří:
  • Odpověď Echo (0)
  • Požadavek Echo (8)
  • Přesměrování (5)
  • Cíl je nedosažitelný (3)
  • Traceroute (30)
  • Byl překročen časový limit (11)

Úplný seznam typů zpráv ICMP naleznete v tématu Typy parametrů ICMP (ICMP Parameters Types).
SPT Číslo zdrojového portu relace. Toto pole se používá pouze v případě, že se pro underlay přenos používá UDP/TCP.
DPT Číslo cílového portu relace. Toto pole se používá pouze v případě, že se pro underlay přenos používá UDP/TCP.
FW_POLICY_NAME Název zásady brány firewall použitý pro relaci.
SEGMENT_NAME Název segmentu, do kterého relace patří
DEST_NAME Název vzdáleného zařízení v rámci relace. Možné hodnoty jsou:
  • CSS-Backhaul – pro provoz do služby pro zabezpečení cloudu z Edge.
  • Internet-via-<egress-iface-name> – pro cloudový provoz přicházející přímo z Edge za použití pravidel řízení.
  • Internet-BH-via-<název hubu páteřního připojení> – pro cloudově vázaný provoz přecházejí do sítě internet prostřednictvím hubu páteřního připojení za použití pravidel řízení.
  • <Název vzdáleného Edge>-via-Hub – pro provoz VPN procházející hubem.
  • <Název vzdáleného Edge>-Via-DE2E – pro provoz VPN procházející mezi Edge prostřednictvím přímého tunelového propojení VCMP.
  • <Název vzdáleného Edge>-via-Gateway – pro provoz VPN procházející cloudovou bránou.
  • NVS-via-<název brány> – pro provoz Cíl jiný než SD-WAN procházející cloudovou bránou.
  • Internet-via-<název brány> – pro internetový provoz procházející cloudovou bránou.
NAT_SRC Zdrojová IP adresa použitá pro překlad síťové adresy zdroje přímého internetového provozu.
NAT_SPT Port zdroje použití pro patting přímého internetového provozu.
APPLICATION Název aplikace, do které byla relace zařazena v rámci filtrování DPI Engine. Toto pole je dostupné pouze pro zprávy z protokolu „Zavřít“.
BYTES_SENT Objem odeslaných dat (v bajtech) v rámci relace. Toto pole je dostupné pouze pro zprávy z protokolu „Zavřít“.
BYTES_RECEIVED Objem přijatých dat (v bajtech) v rámci relace. Toto pole je dostupné pouze pro zprávy z protokolu „Zavřít“.
DURATION_SECS Doba, po kterou byla relace aktivní. Toto pole je dostupné pouze pro zprávy z protokolu „Zavřít“.
REASON Důvod ukončení nebo zamítnutí relace. Možné hodnoty jsou:
  • Porušení stavu (State Violation)
  • Reset
  • Vyčištěno (Purged)
  • Zastaralé (Aged-out)
  • Přijatý příznak FIN (Fin-Received)
  • Přijatý příznak RST (RST-Received)
  • Chyba (Error)
Toto pole je dostupné pro zprávy z protokolu „Zavřít“ a „Odmítnout“.