Si la journalisation est activée pour les règles de pare-feu, vous pouvez consulter les journaux de paquet de pare-feu pour résoudre les problèmes.
Le fichier journal est /var/log/dfwpktlogs.log pour les hôtes ESXi et KVM.
Variable | Valeurs possibles |
---|---|
Hachage de filtre | Numéro permettant d'obtenir le nom du filtre et d'autres informations. |
Valeur AF | INET, INET6 |
Motif |
|
Action |
|
Ensemble de règles et ID de règle | rule set/rule ID |
Direction | IN, OUT |
Longueur de paquet | length |
Protocole | TCP, UDP, ICMP ou PROTO (numéro de protocole) Pour les connexions TCP, la raison réelle pour laquelle une connexion est terminée est indiquée après le mot-clé TCP. Si TERM est la raison d'une session TCP, une explication supplémentaire s'affiche sur la ligne PROTO. Les raisons possibles de l'arrêt d'une connexion TCP sont : RST (paquet TCP RST), FIN (paquet TCP FIN) et TIMEOUT (inactif depuis trop longtemps) Dans l'exemple ci-dessus, il s'agit de RST. Par conséquent, cela signifie qu'il existe un paquet RST dans la connexion qui doit être réinitialisée. Pour les connexions non-TCP (UDP, ICMP ou autres protocoles), la raison de l'arrêt d'une connexion est uniquement TIMEOUT. |
Adresse IP et port sources | IP address/port |
Adresse IP et port de destination | IP address/port |
Indicateurs TCP. | S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET) |
Nombre de paquets | Nombre de paquets. 22/14 : paquets entrants/paquets sortants |
Nombre d'octets | Nombre d'octets. 7 684/1 070 : octets entrants/octets sortants |
2018-07-03T19:44:09.749Z b6507827 INET match PASS mainrs/1024 IN 52 TCP 192.168.4.3/49627->192.168.4.4/49153 SEW 2018-07-03T19:46:02.338Z 7396c504 INET match DROP mainrs/1024 OUT 52 TCP 192.168.4.3/49676->192.168.4.4/135 SEW 2018-07-06T18:15:49.647Z 028cd586 INET match DROP mainrs/1027 IN 36 PROTO 2 0.0.0.0->224.0.0.1 2018-07-06T18:19:54.764Z 028cd586 INET6 match DROP mainrs/1027 OUT 143 UDP fe80:0:0:0:68c2:8472:2364:9be/546->ff02:0:0:0:0:0:1:2/547Les éléments d'un format de fichier journal DFW sont les suivants, séparés par un espace :
- horodatage :
- huit derniers chiffres de l'ID VIF d'interface
- type INET (v4 ou v6)
- motif (correspondance)
- action (PASSER, ANNULER, REJETER)
- ensemble de règles/ID de règle
- direction du paquet (ENTRANT/SORTANT)
- taille du paquet
- protocole (TCP, UDP ou PROTO #)
- direction SVM pour la prochaine correspondance de règle
- adresse IP source/port de destination>adresse IP/port de destination
- indicateurs TCP (SEW)
2018-07-03T19:44:30.585Z 7396c504 INET TERM mainrs/1024 OUT TCP RST 192.168.4.3/49627->192.168.4.4/49153 20/16 1718/76308
- horodatage :
- 8 derniers chiffres de l'ID VIF d'interface
- type INET (v4 ou v6)
- action (DURÉE)
- nom de l'ensemble de règles/ID de règle
- direction du paquet (ENTRANT/SORTANT)
- protocole (TCP, UDP ou PROTO #)
- Indicateur RST TCP
- direction SVM pour la prochaine correspondance de règle
- adresse IP source/port de destination>adresse IP/port de destination
- nombre de paquets ENTRANTS/SORTANTS (tous cumulés)
- taille du paquet ENTRANT/taille du paquet SORTANT
2019-01-15T00:34:45.903Z 7c607b29 INET match PASS 1031 OUT 48 TCP 10.172.178.226/32808->23.72.199.234/80 S www.sway.com(034fe78d-5857-0680-81e4-d8da6b28d1b4)
- horodatage :
- huit derniers chiffres de l'ID VIF d'interface
- type INET (v4 ou v6)
- motif (correspondance)
- action (PASSER, ANNULER, REJETER)
- nom de l'ensemble de règles/ID de règle
- direction du paquet (ENTRANT/SORTANT)
- taille du paquet
- Protocole (TCP, UDP ou PROTO #) : pour les connexions TCP, la raison réelle de l'arrêt d'une connexion est indiquée après l'adresse IP suivante
- adresse IP source/port de destination>adresse IP/port de destination
- Indicateurs TCP : S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET)
- nom de domaine/UUID où UUID est la représentation interne binaire du nom de domaine
2019-01-15T00:35:07.221Z 82f365ae INET match REJECT 1034 OUT 48 TCP 10.172.179.6/49818->23.214.173.202/80 S APP_HTTP 2019-01-15T00:34:46.486Z 7c607b29 INET match PASS 1030 OUT 48 UDP 10.172.178.226/42035->10.172.40.1/53 APP_DNS
- horodatage :
- huit derniers chiffres de l'ID VIF d'interface
- type INET (v4 ou v6)
- motif (correspondance)
- action (PASSER, ANNULER, REJETER)
- nom de l'ensemble de règles/ID de règle
- direction du paquet (ENTRANT/SORTANT)
- taille du paquet
- Protocole (TCP, UDP ou PROTO #) : pour les connexions TCP, la raison réelle de l'arrêt d'une connexion est indiquée après l'adresse IP suivante
- adresse IP source/port de destination>adresse IP/port de destination
- Indicateurs TCP : S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET)
- APP_XXX est l'application détectée