Die Firewall generiert und speichert Protokolldateien, wie z. B. Audit-, Regelmeldungs- und Systemereignisprotokolle. Sie müssen einen Syslog-Server für jedes Cluster konfigurieren, für das eine Firewall aktiviert ist. Der Syslog-Server wird im Attribut Syslog.global.logHost angegeben.

Empfehlung: Um Firewall-Überwachungsprotokolle auf einem Syslog-Server zu erfassen, stellen Sie sicher, dass Sie den Syslog-Server auf die aktuelle Version aktualisiert haben. Konfigurieren Sie vorzugsweise einen Remote-Syslog-ng-Server zur Erfassung der Firewall-Überwachungsprotokolle.

Die Firewall generiert Protokolle, wie in der folgenden Tabelle beschrieben.

Tabelle 1. Firewallprotokolle
Protokolltyp Beschreibung Speicherort
Regelmeldungsprotokolle Schließen alle Zugriffsentscheidungen wie etwa zugelassener oder verweigerter Datenverkehr für jede Regel ein, falls die Protokollierung aktiviert wurde. Enthält die DFW-Paketprotokolle für die Regeln, für die die Protokollierung aktiviert wurde. /var/log/dfwpktlogs.log
Überwachungsprotokolle Schließen Verwaltungsprotokolle und Konfigurationsänderungen für die verteilte Firewall ein. /home/secureall/secureall/logs/vsm.log
Systemereignisprotokolle Schließen die angewendete Konfiguration der verteilten Firewall, erstellte, gelöschte oder fehlgeschlagene Filter, zu Sicherheitsgruppen hinzugefügte virtuelle Maschinen usw. ein. /home/secureall/secureall/logs/vsm.log
Datenebene-/VMKernel-Protokolle Erfassen die Aktivitäten in Verbindung mit einem Firewall-Kernel-Modul (VSIP). Dieser enthält Protokolleinträge für Mails, die vom System generiert werden. /var/log/vmkernel.log
Nachrichtenbus-Client-/VSFWD-Protokolle Erfassen die Aktivitäten eines Firewall-Agenten. /var/log/vsfwd.log
Hinweis: Um auf die die Datei vsm.log zuzugreifen, führen Sie den Befehl show log manager in der NSX Manager-Befehlszeilenschnittstelle aus und anschließend den Befehl grep für das Schlüsselwort vsm.log. Diese Datei ist nur für den Benutzer bzw. die Benutzergruppe mit root-Rechten zugänglich.

Regelmeldungsprotokolle

Regelmeldungsprotokolle schließen alle Zugriffsentscheidungen wie etwa zugelassener oder verweigerter Datenverkehr für jede Regel ein, falls die Protokollierung aktiviert wurde. Diese Protokolle werden auf jedem Host unter /var/log/dfwpktlogs.log gespeichert.

Hier sind Beispiele für Firewallprotokollmeldungen: 
 # more /var/log/dfwpktlogs.log
2015-03-10T03:22:22.671Z INET match DROP domain-c7/1002 IN 242 UDP 192.168.110.10/138->192.168.110.255/138

# more /var/log/dfwpktlogs.log
2017-04-11T21:09:59.877Z ESXi_FQDN dfwpktlogs: 50047 INET TERM domain-c1/1001 IN TCP RST 10.1.2.3/33491->10.4.5.6/10001 22/14 7684/1070

Weitere Beispiele: 

2017-10-19T22:38:05.586Z 58734 INET match PASS domain-c8/1006 OUT 84 ICMP 172.18.8.121->172.18.8.119 RULE_TAG
2017-10-19T22:38:08.723Z 58734 INET match PASS domain-c8/1006 OUT 60 TCP 172.18.8.121/36485->172.18.8.119/22 S RULE_TAG
2017-10-19T22:38:18.785Z 58734 INET TERM domain-c8/1006 OUT ICMP 8 0 172.18.8.121->172.18.8.119 2/2 168/168 RULE_TAG
2017-10-19T22:38:20.789Z 58734 INET TERM domain-c8/1006 OUT TCP FIN 172.18.8.121/36484->172.18.8.119/22 44/33 4965/5009 RULE_TAG
Im nachfolgenden Beispiel:
  • 1002 ist die ID der verteilten Firewall.
  • „domain-c7“ ist die Cluster-ID im von vCenter verwalteten Objektbrowser (MOB).
  • 192.168.110.10/138 ist die Quell-IP-Adresse.
  • 192.168.110.255/138 ist die Ziel-IP-Adresse.
  • RULE_TAG ist ein Beispiel für den Text, den Sie im Textfeld Tag eingeben, wenn Sie die Firewallregel hinzufügen oder bearbeiten.
Im folgenden Beispiel wird das Ergebnis eines Ping-Befehls von 192.168.110.10 auf 172.16.10.12 angezeigt. 
 # tail -f /var/log/dfwpktlogs.log | grep 192.168.110.10

2015-03-10T03:20:31.274Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12
2015-03-10T03:20:35.794Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12

Die folgenden Tabellen erläutern die Textfelder der Firewallprotokollmeldung.

Tabelle 2. Komponenten eines Eintrags in der Protokolldatei
Komponente Wert im Beispiel
Zeitstempel 2017-04-11T21:09:59
Firewallspezifischer Teil 877Z ESXi_FQDN dfwpktlogs: 50047 INET TERM domain-c1/1001 IN TCP RST 10.1.2.3/33491->10.4.5.6/10001 22/14 7684/1070
Tabelle 3. Firewallspezifischer Teil des Eintrags der Protokolldatei
Element Mögliche Werte
Filter-Hash Eine Zahl, mit der der Filtername und andere Informationen abgerufen werden können.
AF-Wert INET, INET6
Grund
  • match: Paket stimmt mit einer Regel überein.
  • bad-offset: interner Datenpfadfehler beim Erhalt des Pakets.
  • fragment: die nicht-ersten Fragmente, nachdem sie zum ersten Fragment zusammengesetzt wurden.
  • short: Paket zu kurz (z. B. unvollständig, IP-Header oder TCP/UDP-Header fehlt).
  • normalize: falsch formatierte Pakete ohne korrekten Header oder Payload.
  • memory: Datenpfad ohne Speicher.
  • bad-timestamp: ungültiger TCP-Zeitstempel.
  • proto-cksum: falsche Protokollprüfsumme.
  • state-mismatch: TCP-Pakete, die die TCP-Status-Maschinenprüfung nicht bestehen.
  • state-insert: doppelte Verbindung gefunden.
  • state-limit: maximale Anzahl an Status erreicht, die ein Datenpfad nachverfolgen kann.
  • SpoofGuard: Paket von SpoofGuard verworfen.
  • TERM: Eine Verbindung wird beendet.
Aktion
  • PASS: Paket wird angenommen.
  • DROP: Paket wird verworfen.
  • NAT: SNAT-Regel.
  • NONAT: Stimmt mit SNAT-Regel überein, kann die Adresse aber nicht übersetzen.
  • RDR: DNAT-Regel.
  • NORDR: Stimmt mit DNAT-Regel überein, kann die Adresse aber nicht übersetzen.
  • PUNT: Sendet das Paket zu einer Dienst-VM, die auf demselben Hypervisor der aktuellen virtuellen Maschine ausgeführt wird.
  • REDIRECT: Sendet das Paket zu einem Netzwerkdienst, der auf einem anderen Hypervisor als der der aktuellen virtuellen Maschine ausgeführt wird.
  • COPY: Nimmt das Paket an und sendet eine Kopie davon zu einer Dienst-VM, die auf demselben Hypervisor der aktuellen virtuellen Maschine ausgeführt wird.
  • REJECT: Weist das Paket zurück.
Regelsatz und Regel-ID Regelsatz/Regel-ID
Richtung IN, OUT
Paketlänge length
Protokoll TCP, UDP, ICMP oder PROTO (Protokollnummer)

Bei TCP-Verbindungen wird der tatsächliche Grund für das Beenden einer Verbindung nach dem Schlüsselwort TCP angezeigt.

Wenn TERM der Grund für eine TCP-Sitzung ist, wird in der Zeile PROTO eine zusätzliche Erläuterung angezeigt. Zu möglichen Gründen für das Beenden einer TCP-Verbindung gehören: RST (TCP-RST-Paket), FIN (TCP-FIN-Paket) und TIMEOUT (zu lange inaktiv).

Im o. g. Beispiel ist es RST. Das bedeutet, dass in der Verbindung ein RST -Paket vorhanden ist, das zurückgesetzt werden muss.

Bei anderen Verbindungen als TCP-Verbindungen (UDP, ICMP oder andere Protokolle) gibt es als Grund für das Beenden einer Verbindung nur TIMEOUT.

Quell-IP-Adresse und -Port IP address/port
Ziel-IP-Adresse und -Port IP address/port
TCP-Flags S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET)
Anzahl an Paketen Anzahl an Paketen.

22/14 – eingehende Pakete/ausgehende Pakete

Anzahl an Bytes Anzahl an Bytes.

7684/1070 – eingehende Bytes/ausgehende Bytes

Um eine Regelmeldung zu aktivieren, melden Sie sich bei vSphere Web Client an.
  1. Navigieren Sie zu Netzwerk und Sicherheit (Networking & Security) > Sicherheit (Security) > Firewall.
  2. Vergewissern Sie sich, dass Sie sich auf der Registerkarte Allgemein (General) befinden.
  3. Aktivieren Sie die Protokollierung.
    NSX-Version Vorgehensweise
    NSX 6.4.1 und höher Klicken Sie auf Mehr (More)>Aktivieren (Enable)>Regelprotokolle aktivieren (Enable Rule Logs)
    NSX 6.4.0
    1. Aktivieren Sie die Spalte Protokoll (Log) auf der Seite.
    2. Sie aktivieren die Protokollierung für eine Regel, indem Sie den Mauszeiger über einer Zelle in der Protokolltabelle halten und auf das Bleistiftsymbol klicken.
Hinweis: Um benutzerdefinierten Text in der Firewallprotokollmeldung anzuzeigen, aktivieren Sie die Spalte Tag und klicken Sie auf das Stiftsymbol, um den gewünschten Text hinzuzufügen.

Audit- und Systemereignisprotokolle

Überwachungsprotokolle schließen Verwaltungsprotokolle und Konfigurationsänderungen für die verteilte Firewall ein. Diese werden unter /home/secureall/secureall/logs/vsm.log gespeichert.

Systemereignisprotokolle schließen die angewendete Konfiguration der verteilten Firewall, erstellte, gelöschte oder fehlgeschlagene Filter, zu Sicherheitsgruppen hinzugefügte virtuelle Maschinen usw. ein. Diese Protokolle werden unter /home/secureall/secureall/logs/vsm.log gespeichert.

Um die Audit- und Systemereignisprotokolle im vSphere Web Clientanzuzeigen, navigieren Sie zu Netzwerk und Sicherheit (Networking & Security) > System > Ereignisse (Events). Wählen Sie auf der Registerkarte Überwachen (Monitor) die IP-Adresse des NSX Manager aus.