Die Firewall generiert und speichert Protokolldateien, wie z. B. das Audit-, Regelmeldungs- und Systemereignisprotokoll. Sie müssen einen Syslog-Server für jedes Cluster konfigurieren, für das eine Firewall aktiviert ist. Der Syslog-Server wird im Attribut Syslog.global.logHost angegeben.

Die Firewall generiert Protokolle, wie in der folgenden Tabelle beschrieben.

Tabelle 1. Firewallprotokolle

Protokolltyp

Beschreibung

Speicherort

Regelmeldungsprotokolle

Schließen alle Zugriffsentscheidungen wie etwa zugelassener oder verweigerter Datenverkehr für jede Regel ein, falls die Protokollierung aktiviert wurde. Enthält die DFW-Paketprotokolle für die Regeln, für die die Protokollierung aktiviert wurde.

/var/log/dfwpktlogs.log

Überwachungsprotokolle

Schließen Verwaltungsprotokolle und Konfigurationsänderungen für die verteilte Firewall ein.

/home/secureall/secureall/logs/vsm.log

Systemereignisprotokolle

Schließen die angewendete Konfiguration der verteilten Firewall, erstellte, gelöschte oder fehlgeschlagene Filter, zu Sicherheitsgruppen hinzugefügte virtuelle Maschinen usw. ein.

/home/secureall/secureall/logs/vsm.log

Datenebene-/VMKernel-Protokolle

Erfassen die Aktivitäten in Verbindung mit einem Firewall-Kernel-Modul (VSIP). Sie enthalten Protokolleinträge für Mails, die vom System generiert werden.

/var/log/vmkernel.log

Nachrichtenbus-Client-/VSFWD-Protokolle

Erfassen die Aktivitäten eines Firewall-Agenten.

/var/log/vsfwd.log

Anmerkung:

Um auf die die Datei vsm.log zuzugreifen, führen Sie den Befehl show log manager in der NSX Manager-Befehlszeilenschnittstelle aus und anschließend den Befehl grep für das Schlüsselwort vsm.log. Diese Datei ist nur für den Benutzer bzw. die Benutzergruppe mit root-Rechten zugänglich.

Regelmeldungsprotokolle

Regelmeldungsprotokolle schließen alle Zugriffsentscheidungen wie etwa zugelassener oder verweigerter Datenverkehr für jede Regel ein, falls die Protokollierung aktiviert wurde. Diese Protokolle werden auf jedem Host unter /var/log/dfwpktlogs.log gespeichert.

Hier sind Beispiele für Firewallprotokollmeldungen:

 # more /var/log/dfwpktlogs.log
2015-03-10T03:22:22.671Z INET match DROP domain-c7/1002 IN 242 UDP 192.168.110.10/138->192.168.110.255/138

# more /var/log/dfwpktlogs.log
2017-04-11T21:09:59.877Z ESXi_FQDN dfwpktlogs: 50047 INET TERM domain-c1/1001 IN TCP RST 10.1.2.3/33491->10.4.5.6/10001 22/14 7684/1070

Weitere Beispiele:

2017-10-19T22:38:05.586Z 58734 INET match PASS domain-c8/1006 OUT 84 ICMP 172.18.8.121->172.18.8.119 RULE_TAG
2017-10-19T22:38:08.723Z 58734 INET match PASS domain-c8/1006 OUT 60 TCP 172.18.8.121/36485->172.18.8.119/22 S RULE_TAG
2017-10-19T22:38:18.785Z 58734 INET TERM domain-c8/1006 OUT ICMP 8 0 172.18.8.121->172.18.8.119 2/2 168/168 RULE_TAG
2017-10-19T22:38:20.789Z 58734 INET TERM domain-c8/1006 OUT TCP FIN 172.18.8.121/36484->172.18.8.119/22 44/33 4965/5009 RULE_TAG

Im nachfolgenden Beispiel:

  • 1002 ist die ID der Verteilten Firewall.

  • „domain-c7“ ist die Cluster-ID im von vCenter verwalteten Objektbrowser (MOB).

  • 192.168.110.10/138 ist die Quell-IP-Adresse.

  • 192.168.110.255/138 ist die Ziel-IP-Adresse.

  • RULE_TAG ist ein Beispiel für den Text, den Sie im Textfeld Tag eingeben, wenn Sie die Firewallregel hinzufügen oder bearbeiten.

Im folgenden Beispiel wird das Ergebnis eines Ping-Befehls von 192.168.110.10 auf 172.16.10.12 angezeigt.

 # tail -f /var/log/dfwpktlogs.log | grep 192.168.110.10

2015-03-10T03:20:31.274Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12
2015-03-10T03:20:35.794Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12

Die folgenden Tabellen erläutern die Textfelder der Firewallprotokollmeldung.

Tabelle 2. Komponenten eines Eintrags in der Protokolldatei

Komponente

Wert im Beispiel

Zeitstempel

2017-04-11T21:09:59

Firewallspezifischer Teil

877Z ESXi_FQDN dfwpktlogs: 50047 INET TERM domain-c1/1001 IN TCP RST 10.1.2.3/33491->10.4.5.6/10001 22/14 7684/1070

Tabelle 3. Firewallspezifischer Teil des Eintrags der Protokolldatei

Element

Mögliche Werte

Filter-Hash

Eine Zahl, mit der der Filtername und andere Informationen abgerufen werden können.

AF-Wert

INET, INET6

Grund

  • match: Paket stimmt mit einer Regel überein.

  • bad-offset: interner Datenpfadfehler beim Erhalt des Pakets.

  • fragment: die nicht-ersten Fragmente, nachdem sie zum ersten Fragment zusammengesetzt wurden.

  • short: Paket zu kurz (z. B. unvollständig, IP-Header oder TCP/UDP-Header fehlt).

  • normalize: falsch formatierte Pakete ohne korrekten Header oder Payload.

  • memory: Datenpfad ohne Speicher.

  • bad-timestamp: ungültiger TCP-Zeitstempel.

  • proto-cksum: falsche Protokollprüfsumme.

  • state-mismatch: TCP-Pakete, die die TCP-Status-Maschinenprüfung nicht bestehen.

  • state-insert: doppelte Verbindung gefunden.

  • state-limit: maximale Anzahl an Status erreicht, die ein Datenpfad nachverfolgen kann.

  • SpoofGuard: Paket von SpoofGuard verworfen.

  • TERM: Eine Verbindung wird beendet.

Aktion

  • PASS: Paket wird angenommen.

  • DROP: Paket wird verworfen.

  • NAT: SNAT-Regel.

  • NONAT: Stimmt mit SNAT-Regel überein, kann die Adresse aber nicht übersetzen.

  • RDR: DNAT-Regel.

  • NORDR: Stimmt mit DNAT-Regel überein, kann die Adresse aber nicht übersetzen.

  • PUNT: Sendet das Paket zu einer Dienst-VM, die auf demselben Hypervisor der aktuellen virtuellen Maschine ausgeführt wird.

  • REDIRECT: Sendet das Paket zu einem Netzwerkdienst, der auf einem anderen Hypervisor als der der aktuellen virtuellen Maschine ausgeführt wird.

  • COPY: Nimmt das Paket an und sendet eine Kopie davon zu einer Dienst-VM, die auf demselben Hypervisor der aktuellen virtuellen Maschine ausgeführt wird.

  • REJECT: Weist das Paket zurück.

Regelsatz und Regel-ID

Regelsatz/Regel-ID

Richtung

IN, OUT

Paketlänge

length

Protokoll

TCP, UDP, ICMP oder PROTO (Protokollnummer)

Bei TCP-Verbindungen wird der tatsächliche Grund für das Beenden einer Verbindung nach dem Schlüsselwort TCP angezeigt.

Wenn TERM der Grund für eine TCP-Sitzung ist, wird in der Zeile PROTO eine zusätzliche Erläuterung angezeigt. Zu möglichen Gründen für das Beenden einer TCP-Verbindung gehören: RST (TCP-RST-Paket), FIN (TCP-FIN-Paket) und TIMEOUT (zu lange inaktiv).

Im o. g. Beispiel ist es RST. Das bedeutet, dass in der Verbindung ein RST -Paket vorhanden ist, das zurückgesetzt werden muss.

Bei anderen Verbindungen als TCP-Verbindungen (UDP, ICMP oder andere Protokolle) gibt es als Grund für das Beenden einer Verbindung nur TIMEOUT.

Quell-IP-Adresse und -Port

IP address/port

Ziel-IP-Adresse und -Port

IP address/port

TCP-Flags

S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET)

Anzahl an Paketen

Anzahl an Paketen.

22/14 – eingehende Pakete/ausgehende Pakete

Anzahl an Bytes

Anzahl an Bytes.

7684/1070 – eingehende Bytes/ausgehende Bytes

Um eine Regemeldung zu aktivieren, melden Sie sich bei vSphere Web Client an.

  1. Aktivieren Sie die Spalte Protokoll auf der Seite Networking & Security > Firewall.

  2. Sie aktivieren die Protokollierung für eine Regel, indem Sie den Mauszeiger über einer Zelle in der Protokolltabelle halten und auf das Bleistiftsymbol klicken.

Anmerkung:

Um benutzerdefinierten Text in der Firewallprotokollmeldung anzuzeigen, aktivieren Sie die Spalte Tag und klicken Sie auf das Stiftsymbol, um den gewünschten Text hinzuzufügen.

Audit- und Systemereignisprotokolle

Überwachungsprotokolle schließen Verwaltungsprotokolle und Konfigurationsänderungen für die verteilte Firewall ein. Diese werden unter /home/secureall/secureall/logs/vsm.log gespeichert.

Systemereignisprotokolle schließen die angewendete Konfiguration der verteilten Firewall, erstellte, gelöschte oder fehlgeschlagene Filter, zu Sicherheitsgruppen hinzugefügte virtuelle Maschinen usw. ein. Diese Protokolle werden unter /home/secureall/secureall/logs/vsm.log gespeichert.

Navigieren Sie zum Anzeigen von Audit- und Systemereignisprotokollen in der Benutzeroberfläche zu Networking & Security > Installation > Verwaltung und doppelklicken Sie auf die IP-Adresse von NSX Manager. Klicken Sie dann auf die Registerkarte Überwachen.

Weitere Informationen finden Sie unter NSX-Protokollierung und -Systemereignisse.