El firewall genera y almacena archivos de registro, como el registro de auditoría, el registro de mensajes de reglas y el archivo de eventos del sistema. Debe configurar un servidor syslog por cada clúster que tenga habilitado el firewall. El servidor syslog está especificado en el atributo Syslog.global.logHost.

En la siguiente tabla se describe cómo genera el firewall los registros.

Tabla 1. Registros de firewall

Tipo de registro

Descripción

Ubicación

Registros de mensajes de reglas

Incluyen todas las decisiones de acceso, como el tráfico permitido y el no permitido para cada regla, si el registro estaba habilitado para esa regla. Contienen los registros de paquetes DFW para las reglas en las que el registro se habilitó.

/var/log/dfwpktlogs.log

Registros de auditoría

Incluyen registros de administración y cambios en la configuración de Distributed Firewall.

/home/secureall/secureall/logs/vsm.log

Registros de eventos del sistema

Incluye la configuración aplicada de Distributed Firewall, el filtro creado, eliminado o con errores, y las máquinas virtuales que se agregaron a los grupos de seguridad, entre otros.

/home/secureall/secureall/logs/vsm.log

Registros de VMKernel o del plano de datos

Captura las actividades relacionadas con un módulo de kernel del firewall (VSIP). Incluye entradas de registro para los mensajes generados por el sistema.

/var/log/vmkernel.log

Registros VSFWD o del cliente del bus de mensajería

Captura las actividades de un agente del firewall.

/var/log/vsfwd.log

Nota:

Se puede acceder al archivo vsm.log ejecutando el comando show log manager desde la interfaz de línea de comandos (CLI) de NSX Manager y ejecutando grep para la palabra clave vsm.log. Solo el usuario o el grupo de usuario que tengan el privilegio raíz pueden acceder al archivo.

Registros de mensajes de reglas

Los registros de mensajes de reglas incluyen todas las decisiones de acceso, como el tráfico permitido y el no permitido para cada regla, si el registro estaba habilitado para esa regla. Estos registros se almacenan en cada host de /var/log/dfwpktlogs.log.

A continuación aparecen ejemplos de mensajes de registro del firewall:

 # more /var/log/dfwpktlogs.log
2015-03-10T03:22:22.671Z INET match DROP domain-c7/1002 IN 242 UDP 192.168.110.10/138->192.168.110.255/138

# more /var/log/dfwpktlogs.log
2017-04-11T21:09:59.877Z ESXi_FQDN dfwpktlogs: 50047 INET TERM domain-c1/1001 IN TCP RST 10.1.2.3/33491->10.4.5.6/10001 22/14 7684/1070

Más ejemplos:

2017-10-19T22:38:05.586Z 58734 INET match PASS domain-c8/1006 OUT 84 ICMP 172.18.8.121->172.18.8.119 RULE_TAG
2017-10-19T22:38:08.723Z 58734 INET match PASS domain-c8/1006 OUT 60 TCP 172.18.8.121/36485->172.18.8.119/22 S RULE_TAG
2017-10-19T22:38:18.785Z 58734 INET TERM domain-c8/1006 OUT ICMP 8 0 172.18.8.121->172.18.8.119 2/2 168/168 RULE_TAG
2017-10-19T22:38:20.789Z 58734 INET TERM domain-c8/1006 OUT TCP FIN 172.18.8.121/36484->172.18.8.119/22 44/33 4965/5009 RULE_TAG

En el ejemplo siguiente:

  • 1002 es el identificador de regla de Distributed Firewall.

  • domain-c7 es el identificador de clúster en el explorador de objetos administrados (MOB) de vCenter.

  • 192.168.110.10/138 es la dirección IP de origen.

  • 192.168.110.255/138 es la dirección IP de destino.

  • ETIQUETA_REGLA (RULE_TAG) es un ejemplo del texto que escribe en el cuadro de texto Etiqueta (Tag) al agregar o editar la regla del firewall.

El ejemplo siguiente muestra los resultados de un ping 192.168.110.10 a 172.16.10.12.

 # tail -f /var/log/dfwpktlogs.log | grep 192.168.110.10

2015-03-10T03:20:31.274Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12
2015-03-10T03:20:35.794Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12

Las siguientes tablas explican los cuadros de texto del mensaje de registro del firewall.

Tabla 2. Componentes de una entrada de archivo de registro

Componente

Valor en el ejemplo

Marca de tiempo

2017-04-11T21:09:59

Porción específica del firewall

877Z ESXi_FQDN dfwpktlogs: 50047 INET TERM domain-c1/1001 IN TCP RST 10.1.2.3/33491->10.4.5.6/10001 22/14 7684/1070

Tabla 3. Porción específica del firewall de una entrada del archivo de registro

Entidad

Valores posibles

Hash del filtro

Es un número que puede utilizarse para obtener el nombre del filtro y otra información.

Valor AF

INET, INET6

Motivo

  • match: el paquete coincide con una regla.

  • bad-offset: error interno en la ruta de acceso a los datos al obtener el paquete.

  • fragment: fragmentos que no son el primario tras ensamblarse a este.

  • short: paquete demasiado pequeño (por ejemplo, no incluye encabezados IP ni TCP/UDP).

  • normalize: paquetes con formato incorrecto que no tienen una carga útil o un encabezado correctos.

  • memory: ruta de acceso a los datos sin memoria.

  • bad-timestamp: marca de tiempo TCP incorrecta.

  • proto-cksum: suma de comprobación incorrecta del protocolo.

  • state-mismatch: paquetes TCP que no envían la comprobación de la máquina del estado TCP.

  • state-insert: se encontró una conexión duplicada.

  • state-limit: se alcanzó el número máximo de estados de los que una ruta de acceso a los datos puede hacer un seguimiento.

  • SpoofGuard: paquetes que SpoofGuard descarta.

  • TERM: la conexión finaliza.

Acción

  • PASS: se acepta el paquete.

  • DROP: se descarta el paquete.

  • NAT: regla SNAT.

  • NONAT: coincide con la regla SNAT, pero no se puede traducir la dirección.

  • RDR: regla DNAT.

  • NORDR: coincide con la regla DNAT, pero no se puede traducir la dirección.

  • PUNT: envía el paquete a una máquina virtual de servicio que se ejecuta en el mismo hipervisor de la máquina virtual actual.

  • REDIRECT: envía el paquete a un servicio de redes que se ejecuta fuera del hipervisor de la máquina virtual actual.

  • COPY: acepta el paquete y copia una máquina virtual de servicio que se ejecuta en el mismo hipervisor de la máquina virtual actual.

  • REJECT: rechaza el paquete.

Regla establecida e ID

rule set/rule ID

Dirección

IN, OUT

Longitud de paquetes

length

Protocolo (Protocol)

TCP, UDP, ICMP o PROTO (número de protocolo)

En las conexiones TCP, la razón real por la que una conexión finaliza aparece tras la palabra clave TCP.

Si TERM es la razón de una sesión TCP, aparece una explicación adicional en la fila PROTO. Entre las posibles razones para que una conexión TCP finalice se incluyen: RST (paquete RST de TCP), FIN (paquete FIN de TCP) y TIMEOUT (inactividad prolongada).

En el ejemplo anterior es RST. Esto significa que existe un paquete RST en la conexión que se debe restablecer.

Para conexiones que no sean TCP (UDP, ICMP u otros protocolos), la razón por la que finaliza una conexión es únicamente TIMEOUT.

Puerto y dirección IP de origen

IP address/port

Puerto y dirección IP de destino

IP address/port

Marcas TCP

S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET)

Número de paquetes

Número de paquetes.

22/14 - paquetes de entrada/paquetes de salida

Número de bytes

Número de bytes.

7684/1070 - bytes de entrada/bytes de salida

Para habilitar un mensaje de reglas, inicie sesión en vSphere Web Client:

  1. Habilite la columna Registro (Log) en la página Redes y seguridad > Firewall (Networking & Security > Firewall).

  2. Habilite el registro para una regla. Para hacerlo, pase el cursor sobre la celda de la tabla Registro (Log) y haga clic en el icono de lápiz.

Nota:

Si desea personalizar el texto que aparece en el mensaje de registro del firewall, puede habilitar la columna Etiqueta (Tag) y escribir el texto deseado haciendo clic en el icono del lápiz.

Registros de eventos del sistema y de auditoría

Los registros de auditoría incluyen registros de administración y cambios en la configuración del Distributed Firewall. Se almacenan en /home/secureall/secureall/logs/vsm.log.

Los registros de eventos del sistema incluyen la configuración aplicada de Distributed Firewall, los filtros creados, eliminados o con errores, y las máquinas virtuales agregadas a los grupos de seguridad, entre otros. Estos registros se almacenan en /home/secureall/secureall/logs/vsm.log.

Para consultar los registros de eventos del sistema y auditoría en la interfaz de usuario, acceda a Redes y seguridad > Instalación > Administración (Networking & Security > Installation > Management) y haga doble clic en la dirección IP de NSX Manager. A continuación, haga clic en la pestaña Supervisar (Monitor).

Para obtener más información, consulte Eventos del sistema y de registro de NSX.