Journaux de pare-feu

Le pare-feu génère et conserve des fichiers journaux, tels que des journaux d'audit, des journaux de messages relatifs aux règles et des journaux des événements système. Vous devez configurer un serveur Syslog pour chaque cluster ayant activé le pare-feu. Le serveur Syslog est spécifié dans l'attribut Syslog.global.logHost.

Recommandation : Pour collecter des journaux d'audit de pare-feu sur un serveur Syslog, assurez-vous d'avoir mis à niveau celui-ci vers la version la plus récente. De préférence, configurez un serveur syslog-ng distant pour collecter les journaux d'audit de pare-feu.

Le pare-feu génère des journaux comme décrit dans le tableau suivant.

Tableau 1. Journaux de pare-feu
Type de journal	Description	Emplacement
Journaux de messages relatifs aux règles	Incluent toutes les décisions d'accès (comme le trafic autorisé ou refusé) pour chaque règle si la journalisation a été activée pour cette règle. Contient des journaux de paquet DFW pour les règles pour lesquelles la journalisation a été activée.	/var/log/dfwpktlogs.log
Journaux d'audit	Incluent les journaux d'administration et les modifications apportées à la configuration du pare-feu distribué.	/home/secureall/secureall/logs/vsm.log
Journaux des événements système	Incluent la configuration appliquée au pare-feu distribué, les filtres créés, supprimés ou en échec et les machines virtuelles ajoutées aux groupes de sécurité, etc.	/home/secureall/secureall/logs/vsm.log
Journaux de plan de données/VMKernel	Capturent les activités liées à un module de noyau de pare-feu (VSIP). Il inclut les entrées de journal pour les messages générés par le système.	/var/log/vmkernel.log
Journaux du client du bus de messages/VSFWD	Capturent les activités d'un agent de pare-feu.	/var/log/vsfwd.log

Note : Le fichier vsm.log est accessible en exécutant la commande show log manager à partir de l'interface de ligne de commande de NSX Manager et en effectuant grep pour le mot-clé vsm.log. Seul l'utilisateur ou le groupe d'utilisateurs disposant du privilège racine peut accéder à ce fichier.

Journaux de messages relatifs aux règles

Les journaux de messages relatifs aux règles incluent toutes les décisions d'accès (comme le trafic autorisé et celui refusé) pour chaque règle si la journalisation a été activée pour cette règle. Ces journaux sont stockés sur chaque hôte dans /var/log/dfwpktlogs.log.

Voici des exemples de messages de journal de pare-feu :

 # more /var/log/dfwpktlogs.log
2015-03-10T03:22:22.671Z INET match DROP domain-c7/1002 IN 242 UDP 192.168.110.10/138->192.168.110.255/138

# more /var/log/dfwpktlogs.log
2017-04-11T21:09:59.877Z ESXi_FQDN dfwpktlogs: 50047 INET TERM domain-c1/1001 IN TCP RST 10.1.2.3/33491->10.4.5.6/10001 22/14 7684/1070

Autres exemples :

2017-10-19T22:38:05.586Z 58734 INET match PASS domain-c8/1006 OUT 84 ICMP 172.18.8.121->172.18.8.119 RULE_TAG
2017-10-19T22:38:08.723Z 58734 INET match PASS domain-c8/1006 OUT 60 TCP 172.18.8.121/36485->172.18.8.119/22 S RULE_TAG
2017-10-19T22:38:18.785Z 58734 INET TERM domain-c8/1006 OUT ICMP 8 0 172.18.8.121->172.18.8.119 2/2 168/168 RULE_TAG
2017-10-19T22:38:20.789Z 58734 INET TERM domain-c8/1006 OUT TCP FIN 172.18.8.121/36484->172.18.8.119/22 44/33 4965/5009 RULE_TAG

Dans l'exemple suivant :

1002 correspond à l'ID de la règle du pare-feu distribué.
domain-c7 correspond à l'ID du cluster dans le MOB (Managed Object Browser) de vCenter.
192.168.110.10/138 correspond à l'adresse IP source.
192.168.110.255/138 correspond à l'adresse IP de destination.
RULE_TAG est un exemple du texte que vous ajoutez dans la zone de texte Balise (Tag) lors de l'ajout ou de la modification de la règle de pare-feu.

L'exemple suivant présente le résultat d'un test ping entre 192.168.110.10 et 172.16.10.12.

 # tail -f /var/log/dfwpktlogs.log | grep 192.168.110.10

2015-03-10T03:20:31.274Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12
2015-03-10T03:20:35.794Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12

Les tableaux suivants expliquent les zones de texte incluses dans le message de journal de pare-feu.

Tableau 2. Composants d'une entrée de fichier journal
Composant	Valeur de l'exemple
Horodatage	2017-04-11T21:09:59
Partie spécifique au pare-feu	877Z ESXi_FQDN dfwpktlogs: 50047 INET TERM domain-c1/1001 IN TCP RST 10.1.2.3/33491->10.4.5.6/10001 22/14 7684/1070

Tableau 3. Partie spécifique au pare-feu de l'entrée de fichier journal
Entité	Valeurs possibles
Hachage de filtre	Numéro permettant d'obtenir le nom du filtre et d'autres informations.
Valeur AF	INET, INET6
Raison	match : le paquet correspond à une règle. bad-offset : erreur interne de chemin de données lors de l'obtention du paquet. fragment : fragments qui ne sont pas en premier après leur assemblage pour former le premier fragment. short : paquet trop court (par exemple, pas encore terminé pour inclure un en-tête Adresse IP ou un en-tête TCP/UDP). normalize : paquets mal formés sans en-tête correct ou sans section de configuration. memory : mémoire insuffisante du chemin de données. bad-timestamp : horodatage TCP incorrect. proto-cksum : total de contrôle de protocole incorrect. state-mismatch : paquets TCP qui ne transmettent pas la vérification de machine d'état TCP. state-insert : une connexion en double est détectée. state-limit : le nombre maximal d'états qu'un chemin de données peut suivre a été atteint. SpoofGuard : paquets abandonnés par SpoofGuard. TERM : une connexion est terminée.
Action	PASS : acceptez le paquet. DROP : abandonnez le paquet. NAT : règle SNAT. NONAT : correspond à la règle SNAT, mais ne peut pas convertir l'adresse. RDR : règle DNAT. NORDR : correspond à la règle DNAT, mais ne peut pas convertir l'adresse. PUNT : envoyez le paquet à une VM de service en cours d'exécution sur le même hyperviseur que la VM actuelle. REDIRECT : envoyez le paquet au service réseau en cours d'exécution sur l'hyperviseur de la VM actuelle. COPY : acceptez le paquet et faites une copie sur une VM de service en cours d'exécution sur le même hyperviseur que la VM actuelle. REJECT : refusez le paquet.
Ensemble de règles et ID de règle	`rule set`/`rule ID`
Direction	IN, OUT
Longueur de paquet	`length`
Protocole	TCP, UDP, ICMP ou PROTO (numéro de protocole) Pour les connexions TCP, la raison réelle pour laquelle une connexion est terminée est indiquée après le mot-clé TCP. Si TERM est la raison d'une session TCP, une explication supplémentaire s'affiche sur la ligne PROTO. Les raisons possibles de l'arrêt d'une connexion TCP sont : RST (paquet TCP RST), FIN (paquet TCP FIN) et TIMEOUT (inactif depuis trop longtemps) Dans l'exemple ci-dessus, il s'agit de `RST`. Par conséquent, cela signifie qu'il existe un paquet `RST` dans la connexion qui doit être réinitialisée. Pour les connexions non-TCP (UDP, ICMP ou autres protocoles), la raison de l'arrêt d'une connexion est uniquement TIMEOUT.
Adresse IP et port sources	`IP address`/`port`
Adresse IP et port de destination	`IP address`/`port`
Indicateurs TCP.	S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET)
Nombre de paquets	Nombre de paquets. 22/14 : paquets entrants/paquets sortants
Nombre d'octets	Nombre d'octets. 7 684/1 070 : octets entrants/octets sortants

Pour activer un message relatif aux règles, connectez-vous à vSphere Web Client :

Accédez à Mise en réseau et sécurité (Networking & Security) > Sécurité (Security) > Pare-feu (Firewall).
Vérifiez que vous êtes bien dans l'onglet Général (General).

Activez la journalisation.


Version de NSX	Procédure
NSX 6.4.1 et versions ultérieures	Cliquez sur Plus (More)>Activer (Enable)>Activer les journaux de règles (Enable Rule Logs)
NSX 6.4.0	Activez la colonne Journal (Log) sur la page. Activez la journalisation pour une règle en passant votre souris au-dessus de la cellule correspondante dans le tableau de journalisation et en cliquant sur l'icône en forme de crayon.

Note : Si vous voulez que du texte personnalisé s'affiche dans le message de journal de pare-feu, vous pouvez activer la colonne Balise (Tag) et ajouter le texte requis en cliquant sur l'icône de crayon.

Journaux d'audit et journaux des événements système

Les journaux d'audit incluent les journaux d'administration et les modifications apportées à la configuration du pare-feu distribué. Ils sont stockés dans /home/secureall/secureall/logs/vsm.log.

Les journaux des événements système incluent la configuration appliquée au pare-feu distribué, les filtres créés, supprimés ou en échec et les machines virtuelles ajoutées aux groupes de sécurité, etc. Ces journaux sont stockés dans /home/secureall/secureall/logs/vsm.log.

Pour afficher les journaux d'audit et les journaux des événements système dans vSphere Web Client, accédez à Mise en réseau et sécurité (Networking & Security) > Système (System) > Événements (Events). Dans l'onglet Surveiller (Monitor), sélectionnez l'adresse IP de NSX Manager.