Si la journalisation est activée pour les règles de pare-feu, vous pouvez consulter les journaux de paquet de pare-feu pour résoudre les problèmes.

Le fichier journal est /var/log/dfwpktlogs.log sur les hôtes ESXi.

Tableau 1. Variables du fichier journal de pare-feu
Variable Valeurs possibles
Hachage de filtre Numéro permettant d'obtenir le nom du filtre et d'autres informations.
Valeur AF INET, INET6
Motif
  • match : le paquet correspond à une règle.
  • bad-offset : erreur interne de chemin de données lors de l'obtention du paquet.
  • fragment : fragments qui ne sont pas en premier après leur assemblage pour former le premier fragment.
  • short : paquet trop court (par exemple, pas encore terminé pour inclure un en-tête Adresse IP ou un en-tête TCP/UDP).
  • normalize : paquets mal formés sans en-tête correct ou sans section de configuration.
  • memory : mémoire insuffisante du chemin de données.
  • bad-timestamp : horodatage TCP incorrect.
  • proto-cksum : total de contrôle de protocole incorrect.
  • state-mismatch : paquets TCP qui ne transmettent pas la vérification de machine d'état TCP.
  • state-insert : une connexion en double est détectée.
  • state-limit : le nombre maximal d'états qu'un chemin de données peut suivre a été atteint.
  • SpoofGuard : paquets abandonnés par SpoofGuard.
  • TERM : une connexion est terminée.
Action
  • PASS : acceptez le paquet.
  • DROP : abandonnez le paquet.
  • NAT : règle SNAT.
  • NONAT : correspond à la règle SNAT, mais ne peut pas convertir l'adresse.
  • RDR : règle DNAT.
  • NORDR : correspond à la règle DNAT, mais ne peut pas convertir l'adresse.
  • PUNT : envoyez le paquet à une VM de service en cours d'exécution sur le même hyperviseur que la VM actuelle.
  • REDIRECT : envoyez le paquet au service réseau en cours d'exécution sur l'hyperviseur de la VM actuelle.
  • COPY : acceptez le paquet et faites une copie sur une VM de service en cours d'exécution sur le même hyperviseur que la VM actuelle.
  • GOTO_FILTER : permet au trafic qui correspond aux règles de catégorie d'environnement de continuer pour que les règles de catégorie d'application s'appliquent.
  • REJECT : refusez le paquet.
Ensemble de règles et ID de règle rule set/rule ID
Direction IN, OUT
Longueur de paquet length
Protocole TCP, UDP, ICMP ou PROTO (numéro de protocole)

Pour les connexions TCP, la raison réelle pour laquelle une connexion est terminée est indiquée après le mot-clé TCP.

Si TERM est la raison d'une session TCP, une explication supplémentaire s'affiche sur la ligne PROTO. Les raisons possibles de l'arrêt d'une connexion TCP sont : RST (paquet TCP RST), FIN (paquet TCP FIN) et TIMEOUT (inactif depuis trop longtemps)

Dans l'exemple ci-dessus, il s'agit de RST. Par conséquent, cela signifie qu'il existe un paquet RST dans la connexion qui doit être réinitialisée.

Pour les connexions non-TCP (UDP, ICMP ou autres protocoles), la raison de l'arrêt d'une connexion est uniquement TIMEOUT.

Adresse IP et port sources IP address/port
Adresse IP et port de destination IP address/port
Indicateurs TCP. S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET)
Nombre de paquets Nombre de paquets.

22/14 : paquets entrants/paquets sortants

Nombre d'octets Nombre d'octets.

7 684/1 070 : octets entrants/octets sortants

Voici un exemple de journal standard pour des règles de pare-feu distribué :
2018-07-03T19:44:09.749Z b6507827 INET match PASS mainrs/1024 IN 52 TCP 192.168.4.3/49627->192.168.4.4/49153 SEW

2018-07-03T19:46:02.338Z 7396c504 INET match DROP mainrs/1024 OUT 52 TCP 192.168.4.3/49676->192.168.4.4/135 SEW

2018-07-06T18:15:49.647Z 028cd586 INET match DROP mainrs/1027 IN 36 PROTO 2 0.0.0.0->224.0.0.1

2018-07-06T18:19:54.764Z 028cd586 INET6 match DROP mainrs/1027 OUT 143 UDP fe80:0:0:0:68c2:8472:2364:9be/546->ff02:0:0:0:0:0:1:2/547
Les éléments d'un format de fichier journal DFW sont les suivants, séparés par un espace :
  • horodatage :
  • huit derniers chiffres de l'ID VIF d'interface
  • type INET (v4 ou v6)
  • motif (correspondance)
  • action (PASSER, ANNULER, REJETER)
  • ensemble de règles/ID de règle
  • direction du paquet (ENTRANT/SORTANT)
  • taille du paquet
  • protocole (TCP, UDP ou PROTO #)
  • direction SVM pour la prochaine correspondance de règle
  • adresse IP source/port de destination>adresse IP/port de destination
  • indicateurs TCP (SEW)
Pour les paquets TCP transmis, il existe un journal de résiliation lorsque la session est terminée :
2018-07-03T19:44:30.585Z 7396c504 INET TERM mainrs/1024 OUT TCP RST 192.168.4.3/49627->192.168.4.4/49153 20/16 1718/76308
Les éléments d'un journal de terminaison TCP sont les suivants, séparés par un espace :
  • horodatage :
  • 8 derniers chiffres de l'ID VIF d'interface
  • type INET (v4 ou v6)
  • action (DURÉE)
  • nom de l'ensemble de règles/ID de règle
  • direction du paquet (ENTRANT/SORTANT)
  • protocole (TCP, UDP ou PROTO #)
  • Indicateur RST TCP
  • direction SVM pour la prochaine correspondance de règle
  • adresse IP source/port de destination>adresse IP/port de destination
  • nombre de paquets ENTRANTS/SORTANTS (tous cumulés)
  • taille du paquet ENTRANT/taille du paquet SORTANT
Voici un exemple de fichier journal de nom de domaine complet pour les règles de pare-feu distribué :
2019-01-15T00:34:45.903Z 7c607b29 INET match PASS 1031 OUT 48 TCP 10.172.178.226/32808->23.72.199.234/80 S www.sway.com(034fe78d-5857-0680-81e4-d8da6b28d1b4)
Les éléments d'un journal de nom de domaine complet sont les suivants, séparés par un espace :
  • horodatage :
  • huit derniers chiffres de l'ID VIF d'interface
  • type INET (v4 ou v6)
  • motif (correspondance)
  • action (PASSER, ANNULER, REJETER)
  • nom de l'ensemble de règles/ID de règle
  • direction du paquet (ENTRANT/SORTANT)
  • taille du paquet
  • Protocole (TCP, UDP ou PROTO #) : pour les connexions TCP, la raison réelle de l'arrêt d'une connexion est indiquée après l'adresse IP suivante
  • adresse IP source/port de destination>adresse IP/port de destination
  • Indicateurs TCP : S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET)
  • nom de domaine/UUID où UUID est la représentation interne binaire du nom de domaine
Voici un exemple de fichier journal de couche 7 pour les règles de pare-feu distribué :
2019-01-15T00:35:07.221Z 82f365ae INET match REJECT 1034 OUT 48 TCP 10.172.179.6/49818->23.214.173.202/80 S APP_HTTP

2019-01-15T00:34:46.486Z 7c607b29 INET match PASS 1030 OUT 48 UDP 10.172.178.226/42035->10.172.40.1/53 APP_DNS
Les éléments d'un journal de couche 7 sont les suivants, séparés par un espace :
  • horodatage :
  • huit derniers chiffres de l'ID VIF d'interface
  • type INET (v4 ou v6)
  • motif (correspondance)
  • action (PASSER, ANNULER, REJETER)
  • nom de l'ensemble de règles/ID de règle
  • direction du paquet (ENTRANT/SORTANT)
  • taille du paquet
  • Protocole (TCP, UDP ou PROTO #) : pour les connexions TCP, la raison réelle de l'arrêt d'une connexion est indiquée après l'adresse IP suivante
  • adresse IP source/port de destination>adresse IP/port de destination
  • Indicateurs TCP : S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET)
  • APP_XXX est l'application détectée