Si la journalisation est activée pour un pare-feu de passerelle, les paquets de pare-feu de passerelle seront consignés.

Le fichier journal est /var/log/syslog. Chaque message de journal est conforme au format Syslog et se compose d'un en-tête Syslog et d'informations spécifiques au pare-feu. Pour plus d'informations sur Syslog, reportez-vous à la section Messages de journal et codes d'erreur.

La partie spécifique au pare-feu d'un message de journal contient les champs suivants :

Champ Remarques
<ID VRF et UUID d'interface> Vous pouvez obtenir ces informations sur une interface en exécutant une commande d'interface de ligne de commande. Par exemple :
edge-1> get firewall interfaces 
Interface           : 55f1af2f-4875-44e9-b0e0-59132ad7753d
Type                : UPLINK
Sync enabled        : true
Name                : Uplink_40_1
VRF ID              : 1
...
Famille d'adresses Valeurs possibles : INET, INET6
Motif Valeurs possibles :
  • match : le paquet correspond à une règle.
  • fragment : fragment qui vient après le premier fragment.
  • short : paquet trop court (par exemple, aucun en-tête IP ou en-tête TCP/UDP).
  • normalize : paquets mal formés sans en-tête correct ou sans section de configuration.
  • memory : mémoire insuffisante du chemin de données.
  • ip-option : des options IP non valides sont présentes.
  • TERM : une connexion est terminée.
Action Valeurs possibles :
  • PASS : acceptez le paquet.
  • DROP : abandonnez le paquet.
  • NAT : SNAT
  • RDR : DNAT
  • PBR : insertion de services.
  • LB : équilibrage de charge.
ID de la règle ID de la règle de pare-feu.
Direction Valeurs possibles : IN, OUT
Longueur de paquet Longueur en octets.
Protocole Valeurs possibles : TCP, UDP ou PROTO (numéro de protocole)

Si TERM est la raison d'une session TCP, la raison pour laquelle une connexion est terminée est indiquée après le mot-clé TCP. Les raisons possibles sont RST (paquet TCP RST), FIN (paquet TCP FIN) et TIMEOUT (inactif depuis trop longtemps). Pour les connexions non-TCP (UDP, ICMP ou autres protocoles), la raison de l'arrêt d'une connexion peut uniquement être TIMEOUT.

Adresse IP et port sources Pour SNAT, il s'agit de l'adresse avant la traduction.
Adresse IP et port de destination Pour DNAT, il s'agit de l'adresse avant la traduction.
Exemples de messages de journal de pare-feu de passerelle pour TCP :
<181>1 2020-09-21T22:14:12.080427+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET reason-match PASS 1005 OUT 60 TCP 1.1.1.10/45120->91.189.92.38/443 S

<181>1 2020-09-21T22:14:19.963758+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET TERM PASS 1005 OUT TCP 1.1.1.10/45120->91.189.92.38/443
Exemples de messages de journal de pare-feu de passerelle pour UDP :
<181>1 2020-09-21T22:05:05.686346+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET reason-match PASS 1005 IN 328 UDP 40.40.40.10/60613->1.1.1.10/42917

<181>1 2020-09-21T22:05:48.301116+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET TERM PASS 1005 IN UDP 40.40.40.10/60613->1.1.1.10/42917
Exemples de messages de journal de pare-feu de passerelle pour PROTO :
<181>1 2020-09-21T21:54:38.047682+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET reason-match PASS 1005 IN 84 PROTO 1 40.40.40.10->1.1.1.10

<181>1 2020-09-21T21:54:45.036957+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET TERM PASS 1005 IN PROTO 1 40.40.40.10->1.1.1.10
Exemples de messages de journal de pare-feu de passerelle pour SNAT :
<181>1 2020-09-21T22:57:24.203037+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET reason-match PASS 1005 OUT 60 TCP 1.1.2.10/49974->40.40.40.10/22 S

<181>1 2020-09-21T22:57:24.203615+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET reason-match NAT 536870914 OUT 60 TCP 2.2.2.10/37305-OR 1.1.2.10/49974->40.40.40.10/22 S

<181>1 2020-09-21T22:57:32.125757+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET TERM NAT 536870914 OUT TCP 2.2.2.10/37305-OR 40.40.40.10/22->1.1.2.10/49974
Exemples de messages de journal de pare-feu de passerelle pour DNAT :
<181>1 2020-09-21T22:49:00.978192+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET reason-match RDR 536870913 IN 60 TCP 40.40.40.10/40082->10.10.10.1/22-OR 1.1.1.10/22 S

<181>1 2020-09-21T22:50:01.915154+00:00 lur-svc.nsxedge-ob-16404613-1-gdefw NSX 2802 FIREWALL [nsx@6876 comp="nsx-edge" subcomp="datapathd.firewallpkt" level="INFO"] <1 55f1af2f487544e9:b0e059132ad7753d> INET TERM RDR 536870913 IN TCP 40.40.40.10/40082->10.10.10.1/22-OR 1.1.1.10/22