Stránka Protokoly brány firewall (Firewall logs) zobrazuje detaily protokolu brány firewall pocházejícího ze Zařízení VMware SD-WAN Edge. Dříve mohl zákazník ukládat a prohlížet protokoly brány firewall pouze tak, že je přeposlal na server Syslog. Od verze 5.2.0 má zákazník možnost ukládat protokoly brány firewall v nástroji Orchestrator, kde je lze zobrazovat, řadit a vyhledávat v nich v uživatelském rozhraní nástroje Orchestrator. Ve výchozím nastavení nemohou zařízení Edge odesílat své protokoly bran firewall do nástroje Orchestrator. Aby zařízení Edge mohlo odesílat protokoly brány firewall do nástroje Orchestrator, ujistěte se, že je zákaznická možnost Aktivovat protokolování brány firewall do nástroje Orchestrator (Enable Firewall Logging to Orchestrator) aktivována na úrovni zákazníka na stránce uživatelského rozhraní Globální nastavení (Global Settings). Zákazníci se musí obrátit na svého operátora, pokud chtějí aktivovat funkci protokolování brány firewall. Ve výchozím nastavení nástroj Orchestrator uchovává protokoly brány firewall, dokud nedosáhne maximální doby uchování 7 dní nebo maximální velikosti protokolu 15 GB na zákazníka na základě rotace.

Zobrazení protokolů brány firewall zařízení Edge v nástroji Orchestrator:
  1. Ve službě SD-WAN podnikového portálu přejděte na možnost Monitorování (Monitor) > Protokoly brány firewall (Firewall logs). Otevře se stránka Protokoly brány firewall (Firewall Logs).

    Na stránce se zobrazí následující údaje v protokolu brány firewall zařízení Edge: Čas (Time), Segment, zařízení Edge (Edge), Akce (Action), Rozhraní (Interface), Protokol (Protocol), Zdrojová IP adresa (Source IP), Zdrojový port (Source Port), Cílová IP adresa (Destination IP), Cílový port (Destination Port), Záhlaví přípon (Extension Headers), Pravidlo (Rule), Důvod (Reason), Přijaté bajty (Bytes Received), Odeslané bajty (Bytes Sent), Doba trvání (Duration), Aplikace (Application), Cílová doména (Destination Domain), Název cíle (Destination Name), ID relace (Session ID), Podpis (Signature), Výstraha IPS (IPS Alert), Výstraha IDS (IDS Alert), ID podpisu (Signature ID), Kategorie (Category), Zdroj útoku (Attack Source), Cíl útoku (Attack Target) a Závažnost (Severity).

    Poznámka: Ne všechna pole budou vyplněna pro všechny protokoly brány firewall. Například pole Důvod (Reason), Přijaté/odeslané bajty (Bytes Received/Sent) a Doba trvání (Duration) jsou zahrnuta do protokolu, je-li relace uzavřena. Pole Podpis (Signature), Výstraha IPS (IPS Alert), Výstraha IDS (IDS Alert), ID podpisu (Signature ID), Kategorie (Category), Zdroj útoku (Attack Source), Cíl útoku (Attack Target) a Závažnost (Severity) jsou vyplněna pouze pro výstrahy Vylepšených služeb firewall (EFS), a nikoli pro protokoly brány firewall.
    Protokoly brány firewall jsou vygenerovány:
    • Při vytvoření toku (za podmínky, kdy je tok přijat)
    • Když je tok uzavřen
    • Když je nový tok odmítnut
    • Když je existující tok aktualizován (kvůli změně konfigurace brány firewall)
    Výstrahy EFS jsou vygenerovány:
    • Kdykoli se tok dat shoduje s podpisy suricata nakonfigurovanými v modulu EFS.
    • Pokud má pravidlo brány firewall aktivován pouze systém zjišťování neoprávněného vniknutí (IDS), zařízení Edge zjistí, zda je tok dat škodlivý, nebo ne, na základě určitých podpisů nakonfigurovaných v modulu. Pokud je útok rozpoznán, modul EFS vygeneruje výstrahu a odešle zprávu výstrahy do SASE Orchestrator / na server Syslog (pokud je v nástroji Orchestrator aktivováno protokolování brány firewall) a nezahodí žádné pakety.
    • Pokud má pravidlo brány firewall aktivován systém prevence před neoprávněným vniknutím (IPS), zařízení Edge zjistí, zda je tok dat škodlivý, nebo ne, na základě určitých podpisů nakonfigurovaných v modulu. Pokud je detekován útok, modul EFS vygeneruje výstrahu a zablokuje tok dat ke klientovi pouze v případě, že má pravidlo podpisu akci Odmítnout (Reject), která se shoduje se škodlivým provozem. Pokud je akce v pravidlu podpisu Výstraha (Alert), provoz bude povolen bez odstranění paketů, i když nakonfigurujete IPS.
  2. Můžete použít možnosti Filtr (Filter) a z rozevírací nabídky vybrat filtr za účelem dotazování na protokoly brány firewall.
  3. Kliknutím na tlačítko CSV stáhněte zprávu o protokolech brány firewall zařízení Edge ve formátu CSV.