Wenn die Protokollierung für Firewallregeln aktiviert ist, können Sie zur Fehlerbehebung die Protokolle der Firewallpakete durchsehen.
Die Protokolldatei für ESXi-Hosts lautet /var/log/dfwpktlogs.log.
Variable | Mögliche Werte |
---|---|
Filter-Hash | Eine Zahl, mit der der Filtername und andere Informationen abgerufen werden können. |
AF-Wert | INET, INET6 |
Grund |
|
Aktion |
|
Regelsatz und Regel-ID | Regelsatz/Regel-ID |
Richtung | IN, OUT |
Paketlänge | length |
Protokoll | TCP, UDP, ICMP oder PROTO (Protokollnummer) Bei TCP-Verbindungen wird der tatsächliche Grund für das Beenden einer Verbindung nach dem Schlüsselwort TCP angezeigt. Wenn TERM der Grund für eine TCP-Sitzung ist, wird in der Zeile PROTO eine zusätzliche Erläuterung angezeigt. Zu möglichen Gründen für das Beenden einer TCP-Verbindung gehören: RST (TCP-RST-Paket), FIN (TCP-FIN-Paket) und TIMEOUT (zu lange inaktiv). Im o. g. Beispiel ist es RST. Das bedeutet, dass in der Verbindung ein RST -Paket vorhanden ist, das zurückgesetzt werden muss. Bei anderen Verbindungen als TCP-Verbindungen (UDP, ICMP oder andere Protokolle) gibt es als Grund für das Beenden einer Verbindung nur TIMEOUT. |
Quell-IP-Adresse und -Port | IP address/port |
Ziel-IP-Adresse und -Port | IP address/port |
TCP-Flags | S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET) |
Anzahl an Paketen | Anzahl an Paketen. 22/14 – eingehende Pakete/ausgehende Pakete |
Anzahl an Bytes | Anzahl an Bytes. 7684/1070 – eingehende Bytes/ausgehende Bytes |
2018-07-03T19:44:09.749Z b6507827 INET match PASS mainrs/1024 IN 52 TCP 192.168.4.3/49627->192.168.4.4/49153 SEW 2018-07-03T19:46:02.338Z 7396c504 INET match DROP mainrs/1024 OUT 52 TCP 192.168.4.3/49676->192.168.4.4/135 SEW 2018-07-06T18:15:49.647Z 028cd586 INET match DROP mainrs/1027 IN 36 PROTO 2 0.0.0.0->224.0.0.1 2018-07-06T18:19:54.764Z 028cd586 INET6 match DROP mainrs/1027 OUT 143 UDP fe80:0:0:0:68c2:8472:2364:9be/546->ff02:0:0:0:0:0:1:2/547Die Elemente eines DFW-Protokolldateiformats enthalten Folgendes, getrennt durch ein Leerzeichen:
- Zeitstempel:
- die letzten acht Ziffern der VIF-ID der Schnittstelle
- INET-Typ (v4 oder V6)
- Grund (Übereinstimmung)
- Aktion (ÜBERGEBEN, ABLEGEN, ABLEHNEN)
- Regelsatzname/-ID
- Paketrichtung (EIN-/AUSGEHEND)
- Paketgröße
- Protokoll (TCP, UDP oder PROTO #)
- SVM-Richtung für netX-Regeltreffer
- IP-Adresse/Port der Quelle > IP-Adresse/Port des Ziels
- TCP-Flags (SEW)
2018-07-03T19:44:30.585Z 7396c504 INET TERM mainrs/1024 OUT TCP RST 192.168.4.3/49627->192.168.4.4/49153 20/16 1718/76308
- Zeitstempel:
- die letzten 8 Ziffern der VIF-ID der Schnittstelle
- INET-Typ (v4 oder V6)
- Aktion (LAUFZEIT)
- Regelsatzname/Regel-ID
- Paketrichtung (EIN-/AUSGEHEND)
- Protokoll (TCP, UDP oder PROTO #)
- TCP RST-Flag
- SVM-Richtung für netX-Regeltreffer
- IP-Adresse/Port der Quelle > IP-Adresse/Port des Ziels
- Anzahl EINGEHENDER/AUSGEHENDER Pakete (insgesamt)
- Größe des EINGEHENDEN/AUSGEHENDEN Pakets
2019-01-15T00:34:45.903Z 7c607b29 INET match PASS 1031 OUT 48 TCP 10.172.178.226/32808->23.72.199.234/80 S www.sway.com(034fe78d-5857-0680-81e4-d8da6b28d1b4)
- Zeitstempel:
- die letzten acht Ziffern der VIF-ID der Schnittstelle
- INET-Typ (v4 oder V6)
- Grund (Übereinstimmung)
- Aktion (ÜBERGEBEN, ABLEGEN, ABLEHNEN)
- Regelsatzname/Regel-ID
- Paketrichtung (EIN-/AUSGEHEND)
- Paketgröße
- Protokoll (TCP, UDP oder PROTO #) – bei TCP-Verbindungen wird nach der folgenden IP-Adresse der eigentliche Grund für den Verbindungsabbruch angegeben
- IP-Adresse/Port der Quelle > IP-Adresse/Port des Ziels
- TCP-Flags – S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET
- Domänenname/UUID, wobei die UUID die binäre interne Darstellung für den Domänennamen ist
2019-01-15T00:35:07.221Z 82f365ae INET match REJECT 1034 OUT 48 TCP 10.172.179.6/49818->23.214.173.202/80 S APP_HTTP 2019-01-15T00:34:46.486Z 7c607b29 INET match PASS 1030 OUT 48 UDP 10.172.178.226/42035->10.172.40.1/53 APP_DNS
- Zeitstempel:
- die letzten acht Ziffern der VIF-ID der Schnittstelle
- INET-Typ (v4 oder V6)
- Grund (Übereinstimmung)
- Aktion (ÜBERGEBEN, ABLEGEN, ABLEHNEN)
- Regelsatzname/Regel-ID
- Paketrichtung (EIN-/AUSGEHEND)
- Paketgröße
- Protokoll (TCP, UDP oder PROTO #) – bei TCP-Verbindungen wird nach der folgenden IP-Adresse der eigentliche Grund für den Verbindungsabbruch angegeben
- IP-Adresse/Port der Quelle > IP-Adresse/Port des Ziels
- TCP-Flags – S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET
- APP_XXX ist die erkannte Anwendung