Beschreibt das Syslog-Meldungsformat für Firewallprotokolle mit einem Beispiel.

IETF-Syslog-Meldungsformat (RFC 3164)

<%PRI%>%timegenerated% %HOSTNAME% %syslogtag%%msg

Im Folgenden finden Sie eine Syslog-Beispielmeldung.

<158>Dec 17 07:21:16 b1-edge1 velocloud.sdwan: ACTION=VCF Deny SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x TYPE=8 FW_POLICY_NAME=test SEGMENT_NAME=Global Segment
Die Meldung enthält die folgenden Teile:
  • Priorität - Anlage * 8 + Schweregrad (local3 & Info) - 158
  • Datum - 17. Dez
  • Uhrzeit - 07:21:16
  • Hostname - b1-edge1
  • Syslog-Tag - velocloud.sdwan
  • Message - ACTION=VCF Deny SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x TYPE=8 FW_POLICY_NAME=test SEGMENT_NAME=Global Segment
VMware unterstützt die folgenden Firewallprotokollmeldungen:
  • Mit aktivierter statusbehafteten Firewall:
    • Öffnen – Die Datenverkehrssitzung wurde gestartet.
    • Schließen – Die Datenverkehrssitzung wurde aufgrund einer Zeitüberschreitung der Sitzung beendet oder die Sitzung wird durch den Orchestrator geleert.
    • Verweigern – Wenn die Sitzung mit der Verweigern-Regel übereinstimmt, wird die Verweigern-Protokollnachricht angezeigt und das Paket wird gelöscht. Im Fall von TCP wird das Zurücksetzen an die Quelle gesendet.
    • Update – Für alle laufenden Sitzungen wird die Update-Protokollnachricht angezeigt, wenn die Firewallregel entweder hinzugefügt oder über Orchestrator geändert wird.
  • Bei deaktivierter statusbehafteter Firewall:
    • Zulassen
    • Verweigern
Tabelle 1. Felder für Firewallprotokollmeldungen
Feld Beschreibung
SID Die eindeutige Identifikationsnummer, die auf jede Sitzung angewendet wird.
SVLAN Die VLAN-ID des Quellgeräts.
DVLAN Die VLAN-ID des Zielgeräts.
IN Der Schnittstellenname, auf dem das erste Paket der Sitzung empfangen wurde. Im Falle von empfangenen Overlay-Paketen enthält dieses Feld VPN. Bei allen anderen Paketen (durch Underlay empfangen) wird in diesem Feld der Name der Schnittstelle im Edge angezeigt.
PROTO Der Typ des von der Sitzung verwendeten IP-Protokolls. Die möglichen Werte sind TCP, UDP, GRE, ESP und ICMP.
SRC: Die Quell-IP-Adresse der Sitzung in punktierter Dezimalnotation.
DST Die Ziel-IP-Adresse der Sitzung in punktierter Dezimalnotation.
Typ (Type) Der Typ der ICMP-Nachricht.
Hinweis: Der Parameter Type wird in Protokollen nur für ICMP-Pakete angezeigt.
Einige wichtige ICMP-Typen, die häufig verwendet werden, sind:
  • Echoantwort (0)
  • Echoanforderung (8)
  • Umleiten (5)
  • Ziel nicht erreichbar (3)
  • Traceroute (30)
  • Zeit überschritten (11)

Eine vollständige Liste der ICMP-Nachrichtentypen finden Sie unter ICMP-Parametertypen.
SPT Die Quellportnummer der Sitzung. Dieses Feld ist nur anwendbar, wenn der zugrunde liegende Transport UDP/TCP ist.
DPT Die Zielportnummer der Sitzung. Dieses Feld ist nur anwendbar, wenn der zugrunde liegende Transport UDP/TCP ist.
FW_POLICY_NAME Der Name der Firewallrichtlinie, die auf die Sitzung angewendet wurde.
SEGMENT_NAME Der Name des Segments, zu dem die Sitzung gehört.
DEST_NAME Der Name des Remote-Endgeräts der Sitzung. Die möglichen Werte lauten:
  • CSS-Backhaul – Für Datenverkehr, der für den Cloud-Security-Service aus dem Edge bestimmt ist.
  • Internet-via-<egress-iface-name> – Für Cloud-Datenverkehr, der direkt vom Edge mithilfe einer Business Policy weitergeleitet wird.
  • Internet-BH-via-<backhaul hub name> – Für Cloud-gebundenen Datenverkehr, der über einen Backhaul-Hub unter Verwendung einer Business Policy ins Internet weitergeleitet wird.
  • <Remote edge name>-via-Hub – Für VPN-Datenverkehr, der über den Hub weitergeleitet wird.
  • <Remote edge name>-via-DE2E – Für VPN-Datenverkehr, der zwischen den Edges über einen direkten VCMP-Tunnel weitergeleitet wird.
  • <Remote edge name>-via-Gateway – Für VPN-Datenverkehr, der über ein Cloud-Gateway weitergeleitet wird.
  • NVS-via-<gateway name> – Für Nicht-SD-WAN-Ziel-Datenverkehr, der über ein Cloud-Gateway weitergeleitet wird.
  • Internet-via-<gateway name> – Für Internetdatenverkehr, der über ein Cloud-Gateway weitergeleitet wird.
NAT_SRC Die IP-Adresse der Quelle, die für die Adressübersetzung der Quelle des direkten Internetdatenverkehrs verwendet wird.
NAT_SPT Der Quellport, der für die Portübersetzung des direkten Internetdatenverkehrs verwendet wird.
APPLICATION Der Anwendungsname, zu dem die Sitzung von der DPI-Engine klassifiziert wurde. Dieses Feld ist nur für Meldungen für das Schließen des Protokolls verfügbar.
BYTES_SENT Die Menge an Daten, die in Byte in der Sitzung gesendet werden. Dieses Feld ist nur für Meldungen für das Schließen des Protokolls verfügbar.
BYTES_RECEIVED Die Menge der Daten, die in Byte in der Sitzung empfangen werden. Dieses Feld ist nur für Meldungen für das Schließen des Protokolls verfügbar.
DURATION_SECS Die Dauer, für die die Sitzung aktiv war. Dieses Feld ist nur für Meldungen für das Schließen des Protokolls verfügbar.
REASON Der Grund für den Abschluss oder die Ablehnung der Sitzung. Die möglichen Werte lauten:
  • State Violation
  • Reset
  • Purged
  • Aged-out
  • Fin-Received
  • RST-Received
  • Error
Dieses Feld ist für die Protokollmeldungen „Schließen (Close)“ und „Ablehnen (Deny)“ verfügbar.