Wenn die Protokollierung für Firewallregeln aktiviert ist, können Sie zur Fehlerbehebung die Protokolle der Firewallpakete durchsehen.

Die Protokolldatei für ESXi-Hosts lautet /var/log/dfwpktlogs.log.

Tabelle 1. Firewall-Protokolldateivariablen
Variable Mögliche Werte
Filter-Hash Eine Zahl, mit der der Filtername und andere Informationen abgerufen werden können.
AF-Wert INET, INET6
Grund
  • match: Paket stimmt mit einer Regel überein.
  • bad-offset: interner Datenpfadfehler beim Erhalt des Pakets.
  • fragment: die nicht-ersten Fragmente, nachdem sie zum ersten Fragment zusammengesetzt wurden.
  • short: Paket zu kurz (z. B. unvollständig, IP-Header oder TCP/UDP-Header fehlt).
  • normalize: falsch formatierte Pakete ohne korrekten Header oder Payload.
  • memory: Datenpfad ohne Speicher.
  • bad-timestamp: ungültiger TCP-Zeitstempel.
  • proto-cksum: falsche Protokollprüfsumme.
  • state-mismatch: TCP-Pakete, die die TCP-Status-Maschinenprüfung nicht bestehen.
  • state-insert: doppelte Verbindung gefunden.
  • state-limit: maximale Anzahl an Status erreicht, die ein Datenpfad nachverfolgen kann.
  • SpoofGuard: Paket von SpoofGuard verworfen.
  • TERM: Eine Verbindung wird beendet.
Aktion
  • PASS: Paket wird angenommen.
  • DROP: Paket wird verworfen.
  • NAT: SNAT-Regel.
  • NONAT: Stimmt mit SNAT-Regel überein, kann die Adresse aber nicht übersetzen.
  • RDR: DNAT-Regel.
  • NORDR: Stimmt mit DNAT-Regel überein, kann die Adresse aber nicht übersetzen.
  • PUNT: Sendet das Paket zu einer Dienst-VM, die auf demselben Hypervisor der aktuellen virtuellen Maschine ausgeführt wird.
  • REDIRECT: Sendet das Paket zu einem Netzwerkdienst, der auf einem anderen Hypervisor als der der aktuellen virtuellen Maschine ausgeführt wird.
  • COPY: Nimmt das Paket an und sendet eine Kopie davon zu einer Dienst-VM, die auf demselben Hypervisor der aktuellen virtuellen Maschine ausgeführt wird.
  • GOTO_FILTER: Gestattet, dass der Datenverkehr, der mit den Regeln der Kategorie „Umgebung“ übereinstimmt, weitergeleitet wird, damit die Regeln der Kategorie „Anwendung“ angewendet werden.
  • REJECT: Weist das Paket zurück.
Regelsatz und Regel-ID Regelsatz/Regel-ID
Richtung IN, OUT
Paketlänge length
Protokoll TCP, UDP, ICMP oder PROTO (Protokollnummer)

Bei TCP-Verbindungen wird der tatsächliche Grund für das Beenden einer Verbindung nach dem Schlüsselwort TCP angezeigt.

Wenn TERM der Grund für eine TCP-Sitzung ist, wird in der Zeile PROTO eine zusätzliche Erläuterung angezeigt. Zu möglichen Gründen für das Beenden einer TCP-Verbindung gehören: RST (TCP-RST-Paket), FIN (TCP-FIN-Paket) und TIMEOUT (zu lange inaktiv).

Im o. g. Beispiel ist es RST. Das bedeutet, dass in der Verbindung ein RST -Paket vorhanden ist, das zurückgesetzt werden muss.

Bei anderen Verbindungen als TCP-Verbindungen (UDP, ICMP oder andere Protokolle) gibt es als Grund für das Beenden einer Verbindung nur TIMEOUT.

Quell-IP-Adresse und -Port IP address/port
Ziel-IP-Adresse und -Port IP address/port
TCP-Flags S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET)
Anzahl an Paketen Anzahl an Paketen.

22/14 – eingehende Pakete/ausgehende Pakete

Anzahl an Bytes Anzahl an Bytes.

7684/1070 – eingehende Bytes/ausgehende Bytes

Im Folgenden finden Sie ein reguläres Protokollbeispiel für Regeln für verteilte Firewalls:
2018-07-03T19:44:09.749Z b6507827 INET match PASS mainrs/1024 IN 52 TCP 192.168.4.3/49627->192.168.4.4/49153 SEW

2018-07-03T19:46:02.338Z 7396c504 INET match DROP mainrs/1024 OUT 52 TCP 192.168.4.3/49676->192.168.4.4/135 SEW

2018-07-06T18:15:49.647Z 028cd586 INET match DROP mainrs/1027 IN 36 PROTO 2 0.0.0.0->224.0.0.1

2018-07-06T18:19:54.764Z 028cd586 INET6 match DROP mainrs/1027 OUT 143 UDP fe80:0:0:0:68c2:8472:2364:9be/546->ff02:0:0:0:0:0:1:2/547
Die Elemente eines DFW-Protokolldateiformats enthalten Folgendes, getrennt durch ein Leerzeichen:
  • Zeitstempel:
  • die letzten acht Ziffern der VIF-ID der Schnittstelle
  • INET-Typ (v4 oder V6)
  • Grund (Übereinstimmung)
  • Aktion (ÜBERGEBEN, ABLEGEN, ABLEHNEN)
  • Regelsatzname/-ID
  • Paketrichtung (EIN-/AUSGEHEND)
  • Paketgröße
  • Protokoll (TCP, UDP oder PROTO #)
  • SVM-Richtung für netX-Regeltreffer
  • IP-Adresse/Port der Quelle > IP-Adresse/Port des Ziels
  • TCP-Flags (SEW)
Für übergebene TCP-Pakete gibt es ein Beendigungsprotokoll, wenn die Sitzung beendet ist:
2018-07-03T19:44:30.585Z 7396c504 INET TERM mainrs/1024 OUT TCP RST 192.168.4.3/49627->192.168.4.4/49153 20/16 1718/76308
Die Elemente eines TCP-Beendigungsprotokolls enthalten Folgendes, getrennt durch einen Leerzeichen:
  • Zeitstempel:
  • die letzten 8 Ziffern der VIF-ID der Schnittstelle
  • INET-Typ (v4 oder V6)
  • Aktion (LAUFZEIT)
  • Regelsatzname/Regel-ID
  • Paketrichtung (EIN-/AUSGEHEND)
  • Protokoll (TCP, UDP oder PROTO #)
  • TCP RST-Flag
  • SVM-Richtung für netX-Regeltreffer
  • IP-Adresse/Port der Quelle > IP-Adresse/Port des Ziels
  • Anzahl EINGEHENDER/AUSGEHENDER Pakete (insgesamt)
  • Größe des EINGEHENDEN/AUSGEHENDEN Pakets
Im Folgenden finden Sie ein Beispiel für eine FQDN-Protokolldatei für Regeln verteilter Firewalls:
2019-01-15T00:34:45.903Z 7c607b29 INET match PASS 1031 OUT 48 TCP 10.172.178.226/32808->23.72.199.234/80 S www.sway.com(034fe78d-5857-0680-81e4-d8da6b28d1b4)
Die Elemente eines FQDN-Protokolls enthalten Folgendes, getrennt durch einen Leerzeichen:
  • Zeitstempel:
  • die letzten acht Ziffern der VIF-ID der Schnittstelle
  • INET-Typ (v4 oder V6)
  • Grund (Übereinstimmung)
  • Aktion (ÜBERGEBEN, ABLEGEN, ABLEHNEN)
  • Regelsatzname/Regel-ID
  • Paketrichtung (EIN-/AUSGEHEND)
  • Paketgröße
  • Protokoll (TCP, UDP oder PROTO #) – bei TCP-Verbindungen wird nach der folgenden IP-Adresse der eigentliche Grund für den Verbindungsabbruch angegeben
  • IP-Adresse/Port der Quelle > IP-Adresse/Port des Ziels
  • TCP-Flags – S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET
  • Domänenname/UUID, wobei die UUID die binäre interne Darstellung für den Domänennamen ist
Im Folgenden finden Sie ein Beispiel für eine Schicht-7-Protokolldatei für Regeln verteilter Firewalls:
2019-01-15T00:35:07.221Z 82f365ae INET match REJECT 1034 OUT 48 TCP 10.172.179.6/49818->23.214.173.202/80 S APP_HTTP

2019-01-15T00:34:46.486Z 7c607b29 INET match PASS 1030 OUT 48 UDP 10.172.178.226/42035->10.172.40.1/53 APP_DNS
Die Elemente eines Schicht-7-Protokolls enthalten Folgendes, getrennt durch ein Leerzeichen:
  • Zeitstempel:
  • die letzten acht Ziffern der VIF-ID der Schnittstelle
  • INET-Typ (v4 oder V6)
  • Grund (Übereinstimmung)
  • Aktion (ÜBERGEBEN, ABLEGEN, ABLEHNEN)
  • Regelsatzname/Regel-ID
  • Paketrichtung (EIN-/AUSGEHEND)
  • Paketgröße
  • Protokoll (TCP, UDP oder PROTO #) – bei TCP-Verbindungen wird nach der folgenden IP-Adresse der eigentliche Grund für den Verbindungsabbruch angegeben
  • IP-Adresse/Port der Quelle > IP-Adresse/Port des Ziels
  • TCP-Flags – S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET
  • APP_XXX ist die erkannte Anwendung