Si se habilita el registro de reglas de firewall, puede consultar los registros de paquetes de firewall para solucionar los problemas.
El archivo de registro es /var/log/dfwpktlogs.log para los hosts ESXi y de KVM.
Variable | Valores posibles |
---|---|
Hash del filtro | Es un número que puede utilizarse para obtener el nombre del filtro y otra información. |
Valor AF | INET, INET6 |
Motivo |
|
Acción |
|
Regla establecida e ID | rule set/rule ID |
Dirección | IN, OUT |
Longitud de paquetes | length |
Protocolo | TCP, UDP, ICMP o PROTO (número de protocolo) En las conexiones TCP, la razón real por la que una conexión finaliza aparece tras la palabra clave TCP. Si TERM es la razón de una sesión TCP, aparece una explicación extra en la fila PROTO. Entre las posibles razones para que una conexión TCP finalice se incluyen: RST (paquete RST de TCP), FIN (paquete FIN de TCP) y TIMEOUT (inactividad prolongada). En el ejemplo anterior es RST. Esto significa que existe un paquete RST en la conexión que se debe restablecer. Para conexiones que no sean TCP (UDP, ICMP u otros protocolos), la razón por la que finaliza una conexión es únicamente TIMEOUT. |
Puerto y dirección IP de origen | IP address/port |
Puerto y dirección IP de destino | IP address/port |
Marcas TCP | S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET) |
Número de paquetes | Número de paquetes. 22/14 - paquetes de entrada/paquetes de salida |
Número de bytes | Número de bytes. 7684/1070 - bytes de entrada/bytes de salida |
2018-07-03T19:44:09.749Z b6507827 INET match PASS mainrs/1024 IN 52 TCP 192.168.4.3/49627->192.168.4.4/49153 SEW 2018-07-03T19:46:02.338Z 7396c504 INET match DROP mainrs/1024 OUT 52 TCP 192.168.4.3/49676->192.168.4.4/135 SEW 2018-07-06T18:15:49.647Z 028cd586 INET match DROP mainrs/1027 IN 36 PROTO 2 0.0.0.0->224.0.0.1 2018-07-06T18:19:54.764Z 028cd586 INET6 match DROP mainrs/1027 OUT 143 UDP fe80:0:0:0:68c2:8472:2364:9be/546->ff02:0:0:0:0:0:1:2/547Los elementos de un formato de archivo de registro de DFW incluyen los siguientes (separados por un espacio):
- marca de tiempo:
- últimos ocho dígitos del identificador de VIF de la interfaz
- Tipo de INET (v4 o v6)
- motivo (coincidencia)
- acción (PASS, DROP, REJECT)
- nombre de conjunto de reglas/ID de regla
- dirección del paquete (IN/OUT)
- tamaño del paquete
- protocolo (TCP, UDP o PROTO #)
- dirección de SVM para el acierto de regla de NETX
- dirección IP de origen/puerto de origen>dirección IP de destino/puerto de destino
- marcas TCP (SEW)
2018-07-03T19:44:30.585Z 7396c504 INET TERM mainrs/1024 OUT TCP RST 192.168.4.3/49627->192.168.4.4/49153 20/16 1718/76308
- marca de tiempo:
- últimos 8 dígitos del identificador de VIF de la interfaz
- Tipo de INET (v4 o v6)
- acción (TERM)
- nombre de conjunto de reglas/ID de regla
- dirección del paquete (IN/OUT)
- protocolo (TCP, UDP o PROTO #)
- marca RST de TCP
- dirección de SVM para el acierto de regla de NETX
- dirección IP de origen/puerto de origen>dirección IP de destino/puerto de destino
- número de paquetes de salida o entrada (todos acumulados)
- tamaño de paquete de salida o de entrada
2019-01-15T00:34:45.903Z 7c607b29 INET match PASS 1031 OUT 48 TCP 10.172.178.226/32808->23.72.199.234/80 S www.sway.com(034fe78d-5857-0680-81e4-d8da6b28d1b4)
- marca de tiempo:
- últimos ocho dígitos del identificador de VIF de la interfaz
- Tipo de INET (v4 o v6)
- motivo (coincidencia)
- acción (PASS, DROP, REJECT)
- nombre de conjunto de reglas/ID de regla
- dirección del paquete (IN/OUT)
- tamaño del paquete
- Protocolo (TCP, UDP o PROTO #): para las conexiones TCP, el motivo real por el que se interrumpe una conexión se indica después de la siguiente dirección IP.
- dirección IP de origen/puerto de origen>dirección IP de destino/puerto de destino
- Marcas TCP: S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET
- nombre de dominio/UUID donde UUID es la representación interna binaria del nombre de dominio
2019-01-15T00:35:07.221Z 82f365ae INET match REJECT 1034 OUT 48 TCP 10.172.179.6/49818->23.214.173.202/80 S APP_HTTP 2019-01-15T00:34:46.486Z 7c607b29 INET match PASS 1030 OUT 48 UDP 10.172.178.226/42035->10.172.40.1/53 APP_DNS
- marca de tiempo:
- últimos ocho dígitos del identificador de VIF de la interfaz
- Tipo de INET (v4 o v6)
- motivo (coincidencia)
- acción (PASS, DROP, REJECT)
- nombre de conjunto de reglas/ID de regla
- dirección del paquete (IN/OUT)
- tamaño del paquete
- Protocolo (TCP, UDP o PROTO #): para las conexiones TCP, el motivo real por el que se interrumpe una conexión se indica después de la siguiente dirección IP.
- dirección IP de origen/puerto de origen>dirección IP de destino/puerto de destino
- Marcas TCP: S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET
- APP_XXX es la aplicación detectada