La página Firewall Logs (Registros de firewall) muestra los detalles del registro del firewall que se originó en Instancias de VMware SD-WAN Edge. Anteriormente, un cliente solo podía almacenar y ver registros de firewall mediante el reenvío a un servidor syslog. Con la versión 5.2.0, el cliente tiene la opción de almacenar los registros de firewall en Orchestrator, donde se pueden ver, ordenar y buscar en la interfaz de usuario de Orchestrator. De forma predeterminada, las instancias de Edge no pueden enviar sus registros de firewall a Orchestrator. Para que una instancia de Edge envíe los registros de firewall a Orchestrator, asegúrese de que la función del cliente Habilitar el registro de firewall en Orchestrator (Enable Firewall Logging to Orchestrator) esté activada a nivel del cliente en la página de la interfaz de usuario “Configuración global” (Global Settings). Los clientes deben ponerse en contacto con su operador si desean activar la función de Registro de firewall (Firewall Logging). De forma predeterminada, Orchestrator conserva los registros de firewall hasta que alcanza el tiempo de retención máximo de 7 días o el tamaño máximo de registro de 15 GB por arrendatario de cliente en función de la rotación.
- En el servicio SD-WAN del portal de empresas, navegue a Supervisar (Monitor) > Registros de firewall (Firewall Logs). Aparecerá la página Registros de firewall.
La página muestra los siguientes detalles del registro del firewall de Edge: tiempo, segmento, instancia de Edge, acción, interfaz, protocolo, IP de origen, puerto de origen, IP de destino, puerto de destino, encabezados de extensión, regla, motivo, bytes recibidos, bytes enviados, duración, aplicación, dominio de destino, nombre de destino, identificador de sesión, firma, alerta de IPS, alerta de IDS, identificador de firma, categoría, origen del ataque, objetivo del ataque y gravedad.
Nota: No todos los campos se completan para todos los registros de firewall. Por ejemplo, los campos de Motivo (Reason), Bytes recibidos/enviados (Bytes Received/Sent) y Duración (Duration) se incluyen en los registros cuando se cierran las sesiones. Los campos de firma, alerta de IPS, alerta de IDS, identificador de firma, categoría, origen del ataque, objetivo del ataque y gravedad solo se rellenan para las alertas de los servicios de firewall mejorados (EFS), no para los registros de firewall.Se generan registros de firewall:- Cuando se crea un flujo (con la condición de que se acepte el flujo);
- Cuando se cierra el flujo;
- Cuando se deniega un nuevo flujo;
- Cuando se actualiza un flujo existente (debido a un cambio en la configuración del firewall).
Se generan las alertas de EFS:- Cada vez que el tráfico de flujo coincide con cualquier firma suricata configurada en el motor de EFS.
- Si la regla de firewall solo tiene activado el sistema de detección de intrusiones (IDS), las instancias de Edge detectan si el flujo de tráfico es malintencionado o no se basa en ciertas firmas configuradas en el motor. Si se detecta un ataque, el motor EFS genera una alerta y envía el mensaje de alerta al servidor SASE Orchestrator/Syslog si el registro de firewall está activado en Orchestrator y no descartará ningún paquete.
- Si la regla de firewall tiene activado el sistema de prevención de intrusiones (IPS), las instancias de Edge detectan si el flujo de tráfico es malintencionado o no se basa en ciertas firmas configuradas en el motor. Si se detecta un ataque, el motor EFS genera una alerta y bloquea el flujo de tráfico hacia el cliente solo si la regla de firma tiene la acción establedica como "Rechazar" (Reject), coincidente con el tráfico malintencionado. Si la acción en la regla de firma está establecida como "Alerta" (Alert), se permitirá el tráfico sin descartar ningún paquete, incluso si configura IPS.
- Puede utilizar las opciones Filtro (Filter) y seleccionar un filtro en el menú desplegable para consultar los registros de firewall.
- Haga clic en la opción CSV para descargar un informe de los registros de firewall de Edge en formato CSV.