Beschreibt das Syslog-Meldungsformat für Firewallprotokolle mit einem Beispiel.

IETF-Syslog-Meldungsformat (RFC 3164)

<%PRI%>%timegenerated% %HOSTNAME% %syslogtag%%msg

Im Folgenden finden Sie eine Syslog-Beispielmeldung.

<158>Dec 17 07:21:16 b1-edge1 velocloud.sdwan: VCF Open xR6FveSQT220kZiTmoYJHA SID=12278 SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3
Die Meldung enthält die folgenden Teile:
  • Priorität - Anlage * 8 + Schweregrad (local4 & kritisch) - 158
  • Datum - 17. Dez
  • Uhrzeit - 07:21:16
  • Hostname - b1-edge1
  • Syslog-Tag - velocloud.sdwan
  • Meldung - VCF Open xR6FveSQT220kZiTmoYJHA SID=12278 SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3
VMware unterstützt die folgenden Firewallprotokollmeldungen:
  • Mit aktivierter statusbehafteten Firewall:
    • Öffnen – Die Datenverkehrssitzung wurde gestartet.
    • Schließen – Die Datenverkehrssitzung wurde aufgrund einer Zeitüberschreitung der Sitzung beendet oder die Sitzung wird durch den Orchestrator geleert.
    • Verweigern – Wenn die Sitzung mit der Verweigern-Regel übereinstimmt, wird die Verweigern-Protokollnachricht angezeigt und das Paket wird gelöscht. Im Fall von TCP wird das Zurücksetzen an die Quelle gesendet.
    • Update – Für alle laufenden Sitzungen wird die Update-Protokollnachricht angezeigt, wenn die Firewallregel entweder hinzugefügt oder über Orchestrator geändert wird.
  • Bei deaktivierter statusbehafteter Firewall:
    • Zulassen
    • Verweigern
Tabelle 1. Felder für Firewallprotokollmeldungen
Feld Beschreibung
SID Die eindeutige Identifikationsnummer, die auf jede Sitzung angewendet wird.
SVLAN Die VLAN-ID des Quellgeräts.
DVLAN Die VLAN-ID des Zielgeräts.
SEGMENT Das Segment, zu dem die Sitzung gehört. Der zulässige Bereich liegt zwischen 0 und 255.
IN Der Schnittstellenname, auf dem das erste Paket der Sitzung empfangen wurde. Im Falle von empfangenen Overlay-Paketen enthält dieses Feld VPN. Bei allen anderen Paketen (durch Underlay empfangen) wird in diesem Feld der Name der Schnittstelle im Edge angezeigt.
PROTO Der Typ des von der Sitzung verwendeten IP-Protokolls. Die möglichen Werte sind TCP, UDP, GRE, ESP und ICMP.
SRC: Die Quell-IP-Adresse der Sitzung in punktierter Dezimalnotation.
DST Die Ziel-IP-Adresse der Sitzung in punktierter Dezimalnotation.
SPT Die Quellportnummer der Sitzung. Dieses Feld ist nur anwendbar, wenn der zugrunde liegende Transport UDP/TCP ist.
DPT Die Zielportnummer der Sitzung. Dieses Feld ist nur anwendbar, wenn der zugrunde liegende Transport UDP/TCP ist.
DEST_NAME Der Name des Remote-Endgeräts der Sitzung. Die möglichen Werte lauten:
  • CSS-Backhaul – Für Datenverkehr, der für den Cloud-Sicherheitsdienst aus dem Edge bestimmt ist.
  • Internet-via-<egress-iface-name> – Für Cloud-Datenverkehr, der direkt vom Edge mithilfe einer Unternehmensrichtlinie weitergeleitet wird.
  • Internet-BH-via-<backhaul hub name> – Für Cloud-gebundenen Datenverkehr, der über einen Backhaul-Hub unter Verwendung einer Unternehmensrichtlinie ins Internet weitergeleitet wird.
  • <Remote edge name>-via-Hub – Für VPN-Datenverkehr, der über den Hub weitergeleitet wird.
  • <Remote edge name>-via-DE2E – Für VPN-Datenverkehr, der zwischen den Edges über einen direkten VCMP-Tunnel weitergeleitet wird.
  • <Remote edge name>-via-Gateway – Für VPN-Datenverkehr, der über ein Cloud-Gateway weitergeleitet wird.
  • NVS-via-<gateway name> – Für Non VMware SD-WAN Site-Datenverkehr, der über ein Cloud-Gateway weitergeleitet wird.
  • Internet-via-<gateway name> – Für Internetdatenverkehr, der über ein Cloud-Gateway weitergeleitet wird.
NAT-SRC Die IP-Adresse der Quelle, die für die Adressübersetzung der Quelle des direkten Internetdatenverkehrs verwendet wird.
NAT-SPT Der Quellport, der für die Portübersetzung des direkten Internetdatenverkehrs verwendet wird.
APPLICATION Der Anwendungsname, zu dem die Sitzung von der DPI-Engine klassifiziert wurde. Dieses Feld ist nur für Meldungen für das Schließen des Protokolls verfügbar.
BYTES_SENT Die Menge an Daten, die in Byte in der Sitzung gesendet werden. Dieses Feld ist nur für Meldungen für das Schließen des Protokolls verfügbar.
BYTES_RECEIVED Die Menge der Daten, die in Byte in der Sitzung empfangen werden. Dieses Feld ist nur für Meldungen für das Schließen des Protokolls verfügbar.
DURATION_SECS Die Dauer, für die die Sitzung aktiv war. Dieses Feld ist nur für Meldungen für das Schließen des Protokolls verfügbar.
REASON Der Grund für den Abschluss oder die Ablehnung der Sitzung. Die möglichen Werte lauten:
  • State Violation
  • Reset
  • Purged
  • Aged-out
  • Fin-Received
  • RST-Received
  • Error
Dieses Feld ist für die Protokollmeldungen „Schließen (Close)“ und „Ablehnen (Deny)“ verfügbar.