Describe el formato de mensaje de syslog para registros de firewall con un ejemplo.
Formato de mensaje de Syslog de IETF (RFC 3164)
<%PRI%>%timegenerated% %HOSTNAME% %syslogtag%%msg
El siguiente es un mensaje de Syslog de muestra.
<158>Dec 17 07:21:16 b1-edge1 velocloud.sdwan: ACTION=VCF Deny SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x TYPE=8 FW_POLICY_NAME=test SEGMENT_NAME=Global Segment
El mensaje tiene las siguientes partes:
- Prioridad - Recurso * 8 + Gravedad (local3 e información) - 158
- Fecha: 17 de diciembre
- Hora: 07:21:16
- Nombre de host: b1-edge1
- Etiqueta de Syslog: velocloud.sdwan
- Message - ACTION=VCF Deny SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x TYPE=8 FW_POLICY_NAME=test SEGMENT_NAME=Global Segment
VMware admite los siguientes mensajes de registro de firewall:
- Con el firewall con estado habilitado:
- Abrir: se ha iniciado la sesión de flujo de tráfico.
- Cerrar: la sesión de flujo de tráfico ha finalizado debido al tiempo de espera de la sesión o la sesión se ha purgado a través de Orchestrator.
- Denegar: si la sesión coincide con la regla de denegación, se mostrará el mensaje de registro de denegación y se descartará el paquete. En el caso de TCP, el restablecimiento se enviará al origen.
- Actualizar: para todas las sesiones en curso, el mensaje de registro de actualización aparecerá si la regla de firewall se agrega o se modifica a través de Orchestrator.
- Con el firewall con estado desactivado:
- Permitir (Allow)
- Denegar (Deny)
Campo | Descripción |
---|---|
SID | El número de identificación único que se aplica a cada sesión. |
SVLAN | El identificador de VLAN del dispositivo de origen. |
DVLAN | El identificador de VLAN del dispositivo de destino. |
IN | El nombre de la interfaz en la que se recibió el primer paquete de la sesión. En el caso de los paquetes recibidos por superposición, este campo contendrá VPN. En el caso de otros paquetes (recibidos por transporte subyacente), este campo mostrará el nombre de la interfaz en la instancia de Edge. |
PROTO | El tipo de protocolo IP que utiliza la sesión. Los valores posibles son TCP, UDP, GRE, ESP e ICMP. |
SRC | La dirección IP de origen de la sesión en notación decimal con puntos. |
DST | La dirección IP de destino de la sesión en notación decimal con puntos. |
Tipo | El tipo de mensaje ICMP.
Nota: El parámetro
Algunos tipos de ICMP importantes que se utilizan ampliamente incluyen:
Type aparece en los registros solo para los paquetes ICMP.
Para obtener una lista completa de los tipos de mensajes de ICMP, consulte Tipos de parámetros de ICMP. |
SPT | El número de puerto de origen de la sesión. Este campo solo se aplica si el transporte subyacente es UDP/TCP. |
DPT | El número de puerto de destino de la sesión. Este campo solo se aplica si el transporte subyacente es UDP/TCP. |
FW_POLICY_NAME | El nombre de la directiva de firewall aplicada a la sesión. |
SEGMENT_NAME | El nombre del segmento al que pertenece la sesión. |
DEST_NAME | El nombre del dispositivo final remoto de la sesión. Los valores posibles son:
|
NAT_SRC | La dirección IP de origen que se utiliza para aplicar NAT de origen al tráfico de Internet directo. |
NAT_SPT | El puerto de origen que se utiliza para aplicar PAT al tráfico de Internet directo. |
APPLICATION | El nombre de la aplicación a la que el motor DPI clasificó la sesión. Este campo solo está disponible para los mensajes de registro de cierre. |
BYTES_SENT | La cantidad de datos enviados en bytes en la sesión. Este campo solo está disponible para los mensajes de registro de cierre. |
BYTES_RECEIVED | La cantidad de datos recibidos en bytes en la sesión. Este campo solo está disponible para los mensajes de registro de cierre. |
DURATION_SECS | Tiempo durante el cual la sesión estuvo activa. Este campo solo está disponible para los mensajes de registro de cierre. |
REASON | El motivo de la denegación o del cierre de la sesión. Los valores posibles son:
|