El firewall genera y almacena archivos de registro, como los registros de auditoría, los registros de mensajes de reglas y los registros de eventos del sistema. Debe configurar un servidor syslog por cada clúster que tenga habilitado el firewall. El servidor syslog está especificado en el atributo Syslog.global.logHost.

Recomendación: Para recopilar los registros de auditoría del firewall en un servidor syslog, asegúrese de haber actualizado el servidor syslog a la versión más reciente. Preferiblemente, configure un servidor syslog-ng remoto para recopilar los registros de auditoría del firewall.

En la siguiente tabla se describe cómo genera el firewall los registros.

Tabla 1. Registros de firewall
Tipo de registro Descripción Ubicación
Registros de mensajes de reglas Incluyen todas las decisiones de acceso, como el tráfico permitido y el no permitido para cada regla, si el registro estaba habilitado para esa regla. Contienen los registros de paquetes DFW para las reglas en las que el registro se habilitó. /var/log/dfwpktlogs.log
Registros de auditoría Incluyen registros de administración y cambios en la configuración de Distributed Firewall. /home/secureall/secureall/logs/vsm.log
Registros de eventos del sistema Incluye la configuración aplicada de Distributed Firewall, el filtro creado, eliminado o con errores, y las máquinas virtuales que se agregaron a los grupos de seguridad, entre otros. /home/secureall/secureall/logs/vsm.log
Registros de VMKernel o del plano de datos Captura las actividades relacionadas con un módulo de kernel del firewall (VSIP). Incluye entradas de registro para los mensajes generados por el sistema. /var/log/vmkernel.log
Registros VSFWD o del cliente del bus de mensajería Captura las actividades de un agente del firewall. /var/log/vsfwd.log
Nota: Se puede acceder al archivo vsm.log ejecutando el comando show log manager desde la interfaz de línea de comandos (CLI) de NSX Manager y ejecutando grep para la palabra clave vsm.log. Solo el usuario o el grupo de usuario que tengan el privilegio raíz pueden acceder al archivo.

Registros de mensajes de reglas

Los registros de mensajes de reglas incluyen todas las decisiones de acceso, como el tráfico permitido y el no permitido para cada regla, si el registro estaba habilitado para esa regla. Estos registros se almacenan en cada host de /var/log/dfwpktlogs.log.

A continuación aparecen ejemplos de mensajes de registro del firewall: 
 # more /var/log/dfwpktlogs.log
2015-03-10T03:22:22.671Z INET match DROP domain-c7/1002 IN 242 UDP 192.168.110.10/138->192.168.110.255/138

# more /var/log/dfwpktlogs.log
2017-04-11T21:09:59.877Z ESXi_FQDN dfwpktlogs: 50047 INET TERM domain-c1/1001 IN TCP RST 10.1.2.3/33491->10.4.5.6/10001 22/14 7684/1070

Más ejemplos: 

2017-10-19T22:38:05.586Z 58734 INET match PASS domain-c8/1006 OUT 84 ICMP 172.18.8.121->172.18.8.119 RULE_TAG
2017-10-19T22:38:08.723Z 58734 INET match PASS domain-c8/1006 OUT 60 TCP 172.18.8.121/36485->172.18.8.119/22 S RULE_TAG
2017-10-19T22:38:18.785Z 58734 INET TERM domain-c8/1006 OUT ICMP 8 0 172.18.8.121->172.18.8.119 2/2 168/168 RULE_TAG
2017-10-19T22:38:20.789Z 58734 INET TERM domain-c8/1006 OUT TCP FIN 172.18.8.121/36484->172.18.8.119/22 44/33 4965/5009 RULE_TAG
En el ejemplo siguiente:
  • 1002 es el identificador de regla de Distributed Firewall.
  • domain-c7 es el identificador de clúster en el explorador de objetos administrados (MOB) de vCenter.
  • 192.168.110.10/138 es la dirección IP de origen.
  • 192.168.110.255/138 es la dirección IP de destino.
  • ETIQUETA_REGLA (RULE_TAG) es un ejemplo del texto que escribe en el cuadro de texto Etiqueta (Tag) al agregar o editar la regla del firewall.
El ejemplo siguiente muestra los resultados de un ping 192.168.110.10 a 172.16.10.12. 
 # tail -f /var/log/dfwpktlogs.log | grep 192.168.110.10

2015-03-10T03:20:31.274Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12
2015-03-10T03:20:35.794Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12

Las siguientes tablas explican los cuadros de texto del mensaje de registro del firewall.

Tabla 2. Componentes de una entrada de archivo de registro
Componente Valor en el ejemplo
Marca de tiempo 2017-04-11T21:09:59
Porción específica del firewall 877Z ESXi_FQDN dfwpktlogs: 50047 INET TERM domain-c1/1001 IN TCP RST 10.1.2.3/33491->10.4.5.6/10001 22/14 7684/1070
Tabla 3. Porción específica del firewall de una entrada del archivo de registro
Entidad Valores posibles
Hash del filtro Es un número que puede utilizarse para obtener el nombre del filtro y otra información.
Valor AF INET, INET6
Motivo
  • match: el paquete coincide con una regla.
  • bad-offset: error interno en la ruta de acceso a los datos al obtener el paquete.
  • fragment: fragmentos que no son el primario tras ensamblarse a este.
  • short: paquete demasiado pequeño (por ejemplo, no incluye encabezados IP ni TCP/UDP).
  • normalize: paquetes con formato incorrecto que no tienen una carga útil o un encabezado correctos.
  • memory: ruta de acceso a los datos sin memoria.
  • bad-timestamp: marca de tiempo TCP incorrecta.
  • proto-cksum: suma de comprobación incorrecta del protocolo.
  • state-mismatch: paquetes TCP que no envían la comprobación de la máquina del estado TCP.
  • state-insert: se encontró una conexión duplicada.
  • state-limit: se alcanzó el número máximo de estados de los que una ruta de acceso a los datos puede hacer un seguimiento.
  • SpoofGuard: paquetes que SpoofGuard descarta.
  • TERM: la conexión finaliza.
Acción
  • PASS: se acepta el paquete.
  • DROP: se descarta el paquete.
  • NAT: regla SNAT.
  • NONAT: coincide con la regla SNAT, pero no se puede traducir la dirección.
  • RDR: regla DNAT.
  • NORDR: coincide con la regla DNAT, pero no se puede traducir la dirección.
  • PUNT: envía el paquete a una máquina virtual de servicio que se ejecuta en el mismo hipervisor de la máquina virtual actual.
  • REDIRECT: envía el paquete a un servicio de redes que se ejecuta fuera del hipervisor de la máquina virtual actual.
  • COPY: acepta el paquete y copia una máquina virtual de servicio que se ejecuta en el mismo hipervisor de la máquina virtual actual.
  • REJECT: rechaza el paquete.
Regla establecida e ID rule set/rule ID
Dirección IN, OUT
Longitud de paquetes length
Protocolo (Protocol) TCP, UDP, ICMP o PROTO (número de protocolo)

En las conexiones TCP, la razón real por la que una conexión finaliza aparece tras la palabra clave TCP.

Si TERM es la razón de una sesión TCP, aparece una explicación extra en la fila PROTO. Entre las posibles razones para que una conexión TCP finalice se incluyen: RST (paquete RST de TCP), FIN (paquete FIN de TCP) y TIMEOUT (inactividad prolongada).

En el ejemplo anterior es RST. Esto significa que existe un paquete RST en la conexión que se debe restablecer.

Para conexiones que no sean TCP (UDP, ICMP u otros protocolos), la razón por la que finaliza una conexión es únicamente TIMEOUT.

Puerto y dirección IP de origen IP address/port
Puerto y dirección IP de destino IP address/port
Marcas TCP S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET)
Número de paquetes Número de paquetes.

22/14 - paquetes de entrada/paquetes de salida

Número de bytes Número de bytes.

7684/1070 - bytes de entrada/bytes de salida

Para habilitar un mensaje de reglas, inicie sesión en vSphere Web Client:
  1. Acceda a Redes y seguridad (Networking & Security) > Seguridad (Security) > Firewall.
  2. Asegúrese de estar en la pestaña General.
  3. Habilite los registros.
    Versión de NSX Procedimiento
    NSX 6.4.1 y versiones posteriores Haga clic en Más (More)>Habilitar (Enable)>Habilitar registros de regla (Enable Rule Logs)
    NSX 6.4.0
    1. Habilite la columna Registro (Log) en la página.
    2. Habilite el registro para una regla. Para hacerlo, pase el cursor sobre la celda de la tabla Registro (Log) y haga clic en el icono de lápiz.
Nota: Si desea personalizar el texto que aparece en el mensaje de registro del firewall, puede habilitar la columna Etiqueta (Tag) y escribir el texto deseado haciendo clic en el icono del lápiz.

Registros de eventos del sistema y de auditoría

Los registros de auditoría incluyen registros de administración y cambios en la configuración del Distributed Firewall. Se almacenan en /home/secureall/secureall/logs/vsm.log.

Los registros de eventos del sistema incluyen la configuración aplicada de Distributed Firewall, los filtros creados, eliminados o con errores, y las máquinas virtuales agregadas a los grupos de seguridad, entre otros. Estos registros se almacenan en /home/secureall/secureall/logs/vsm.log.

Para ver los registros de eventos de sistema y de auditoría del vSphere Web Client, acceda a Redes y seguridad (Networking & Security) > Sistema (System) > Eventos (Events). En la pestaña Supervisar (Monitor), seleccione la dirección IP de NSX Manager.