Describe el formato de mensaje de syslog para registros de firewall con un ejemplo.

Formato de mensaje de Syslog de IETF (RFC 3164)

<%PRI%>%timegenerated% %HOSTNAME% %syslogtag%%msg

El siguiente es un mensaje de Syslog de muestra.

<158>Dec 17 07:21:16 b1-edge1 velocloud.sdwan: ACTION=VCF Open FW_POLICY_NAME=test SID=0000012278 SEGMENT_NAME=Global Segment IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3
El mensaje tiene las siguientes partes:
  • Prioridad - Recurso * 8 + Gravedad (local3 e información) - 158
  • Fecha: 17 de diciembre
  • Hora: 07:21:16
  • Nombre de host: b1-edge1
  • Etiqueta de Syslog: velocloud.sdwan
  • Mensaje: ACTION=VCF Open FW_POLICY_NAME=test SID=0000012278 SEGMENT_NAME=Global Segment IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3
VMware admite los siguientes mensajes de registro de firewall:
  • Con el firewall con estado habilitado:
    • Abrir: se ha iniciado la sesión de flujo de tráfico.
    • Cerrar: la sesión de flujo de tráfico ha finalizado debido al tiempo de espera de la sesión o la sesión se ha purgado a través de Orchestrator.
    • Denegar: si la sesión coincide con la regla de denegación, se mostrará el mensaje de registro de denegación y se descartará el paquete. En el caso de TCP, el restablecimiento se enviará al origen.
    • Actualizar: para todas las sesiones en curso, el mensaje de registro de actualización aparecerá si la regla de firewall se agrega o se modifica a través de Orchestrator.
  • Con el firewall con estado desactivado:
    • Permitir (Allow)
    • Denegar (Deny)
Tabla 1. Campos en un mensaje de registro de firewall
Campo Descripción
FW_POLICY_NAME El nombre de la directiva de firewall aplicada a la sesión.
SID El número de identificación único que se aplica a cada sesión.
SVLAN El identificador de VLAN del dispositivo de origen.
DVLAN El identificador de VLAN del dispositivo de destino.
SEGMENT_NAME El nombre del segmento al que pertenece la sesión.
IN El nombre de la interfaz en la que se recibió el primer paquete de la sesión. En el caso de los paquetes recibidos por superposición, este campo contendrá VPN. En el caso de otros paquetes (recibidos por transporte subyacente), este campo mostrará el nombre de la interfaz en la instancia de Edge.
PROTO El tipo de protocolo IP que utiliza la sesión. Los valores posibles son TCP, UDP, GRE, ESP e ICMP.
SRC La dirección IP de origen de la sesión en notación decimal con puntos.
DST La dirección IP de destino de la sesión en notación decimal con puntos.
SPT El número de puerto de origen de la sesión. Este campo solo se aplica si el transporte subyacente es UDP/TCP.
DPT El número de puerto de destino de la sesión. Este campo solo se aplica si el transporte subyacente es UDP/TCP.
DEST_NAME El nombre del dispositivo final remoto de la sesión. Los valores posibles son:
  • CSS-Red de retorno (CSS-Backhaul): para el tráfico destinado al servicio de seguridad de nube desde Edge.
  • Internet-via-<egress-iface-name>: para el tráfico de nube que se dirige directamente desde Edge mediante una directiva empresarial.
  • Internet-BH-via-<backhaul hub name>: para el tráfico enlazado a la nube que se dirige hacia Internet a través de un hub de red retorno mediante la directiva empresarial.
  • <Remote edge name>-via-Hub: para el tráfico de VPN que fluye a través del hub.
  • <Remote edge name>-via-DE2E: para el tráfico de VPN que fluye entre las instancias de Edge a través de un túnel VCMP directo.
  • <Remote edge name>-via-Gateway: para el tráfico de VPN que fluye a través de la puerta de enlace de nube.
  • NVS-via-<gateway name>: para el tráfico de Destino que no es de SD-WAN que fluye a través de la puerta de enlace de nube.
  • Internet-via<gateway name>: para el tráfico de Internet que fluye a través de la puerta de enlace de nube.
NAT_SRC La dirección IP de origen que se utiliza para aplicar NAT de origen al tráfico de Internet directo.
NAT_SPT El puerto de origen que se utiliza para aplicar PAT al tráfico de Internet directo.
APPLICATION El nombre de la aplicación a la que el motor DPI clasificó la sesión. Este campo solo está disponible para los mensajes de registro de cierre.
BYTES_SENT La cantidad de datos enviados en bytes en la sesión. Este campo solo está disponible para los mensajes de registro de cierre.
BYTES_RECEIVED La cantidad de datos recibidos en bytes en la sesión. Este campo solo está disponible para los mensajes de registro de cierre.
DURATION_SECS Tiempo durante el cual la sesión estuvo activa. Este campo solo está disponible para los mensajes de registro de cierre.
REASON El motivo de la denegación o del cierre de la sesión. Los valores posibles son:
  • Infracción de estado (State Violation)
  • Restablecimiento (Reset)
  • Purgado (Purged)
  • Antiguo (Aged-out)
  • FIN recibido (Fin-Received)
  • RST recibido (RST-Received)
  • Error
Este campo se encuentra disponible para los mensajes de registro de cierre y denegación.