Wenn die Protokollierung für eine Gateway-Firewall aktiviert ist, werden die Firewallpakete protokolliert.

Die Protokolldatei ist /var/log/syslog. Jede Protokollmeldung entspricht dem Syslog-Server-Format und besteht aus einem Syslog-Header und den firewallspezifischen Informationen. Weitere Informationen zu Syslog finden Sie unter Protokollmeldungen und Fehlercodes.

Der firewallspezifische Teil einer Protokollmeldung verfügt über die folgenden Felder:

Feld Anmerkungen
<VRF-ID und Schnittstellen-UUID> Sie können diese Informationen über eine Schnittstelle abrufen, indem Sie einen CLI-Befehl ausführen. Beispiel:
edge-1> get firewall interfaces 
Interface           : 55f1af2f-4875-44e9-b0e0-59132ad7753d
Type                : UPLINK
Sync enabled        : true
Name                : Uplink_40_1
VRF ID              : 1
...
Adressfamilie Mögliche Werte: INET, INET6
Grund Mögliche Werte:
  • match: Paket stimmt mit einer Regel überein.
  • fragment: Ein Fragment, das nach dem ersten Fragment kommt.
  • short: Paket ist zu kurz (z. B. kein IP-Header oder TCP/UDP-Header).
  • normalize: Falsch formatierte Pakete ohne korrekten Header oder Payload.
  • memory: Datenpfad ohne Speicher.
  • ip-option: Ungültige IP-Adressen sind vorhanden.
  • TERM: Eine Verbindung wird beendet.
Aktion Mögliche Werte:
  • PASS: Paket wird angenommen.
  • DROP: Paket wird verworfen.
  • NAT: SNAT
  • RDR: DNAT
  • PBR: Service Insertion.
  • LB: Load Balancer.
Regel-ID Die Firewall-Regel-ID.
Richtung Mögliche Werte: IN, OUT
Paketlänge Länge in Bytes.
Protokoll Mögliche Werte: TCP, UDP oder PROTO (Protokollnummer)

Wenn TERM der Grund für eine TCP-Sitzung ist, wird der Grund dafür, dass eine Verbindung beendet wird, nach dem Schlüsselwort „TCP“ angezeigt. Zu möglichen Gründen gehören RST (TCP-RST-Paket), FIN (TCP-FIN-Paket) und TIMEOUT (zu lange inaktiv). Bei anderen Verbindungen als TCP-Verbindungen (UDP, ICMP oder andere Protokolle) gibt es als Grund für das Beenden einer Verbindung nur TIMEOUT.

Quell-IP-Adresse und -Port Bei SNAT handelt es sich hierbei um die Adresse vor der Übersetzung.
Ziel-IP-Adresse und -Port Bei DNAT handelt es sich hierbei um die Adresse vor der Übersetzung.
Beispiele für Protokollmeldungen von Gateway-Firewalls für TCP:
<181>1 2020-09-21T22:14:12.080427+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET reason-match PASS 1005 OUT 60 TCP 1.1.1.10/45120->91.189.92.38/443 S

<181>1 2020-09-21T22:14:19.963758+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET TERM PASS 1005 OUT TCP 1.1.1.10/45120->91.189.92.38/443
Beispiele für Protokollmeldungen von Gateway-Firewalls für UDP:
<181>1 2020-09-21T22:05:05.686346+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET reason-match PASS 1005 IN 328 UDP 40.40.40.10/60613->1.1.1.10/42917

<181>1 2020-09-21T22:05:48.301116+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET TERM PASS 1005 IN UDP 40.40.40.10/60613->1.1.1.10/42917
Beispiele für Protokollmeldungen von Gateway-Firewalls für PROTO:
<181>1 2020-09-21T21:54:38.047682+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET reason-match PASS 1005 IN 84 PROTO 1 40.40.40.10->1.1.1.10

<181>1 2020-09-21T21:54:45.036957+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET TERM PASS 1005 IN PROTO 1 40.40.40.10->1.1.1.10
Beispiele für Protokollmeldungen von Gateway-Firewalls für SNAT:
<181>1 2020-09-21T22:57:24.203037+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET reason-match PASS 1005 OUT 60 TCP 1.1.2.10/49974->40.40.40.10/22 S

<181>1 2020-09-21T22:57:24.203615+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET reason-match NAT 536870914 OUT 60 TCP 2.2.2.10/37305-OR 1.1.2.10/49974->40.40.40.10/22 S

<181>1 2020-09-21T22:57:32.125757+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET TERM NAT 536870914 OUT TCP 2.2.2.10/37305-OR 40.40.40.10/22->1.1.2.10/49974
Beispiele für Protokollmeldungen von Gateway-Firewalls für DNAT:
<181>1 2020-09-21T22:49:00.978192+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET reason-match RDR 536870913 IN 60 TCP 40.40.40.10/40082->10.10.10.1/22-OR 1.1.1.10/22 S

<181>1 2020-09-21T22:50:01.915154+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET TERM RDR 536870913 IN TCP 40.40.40.10/40082->10.10.10.1/22-OR 1.1.1.10/22