Décrit le format de message Syslog pour les journaux de pare-feu avec un exemple.

Format de message Syslog d'IETF (RFC 3164)

<%PRI%>%timegenerated% %HOSTNAME% %syslogtag%%msg

Voici un exemple de message Syslog.

<158>Dec 17 07:21:16 b1-edge1 velocloud.sdwan: VCF Open xR6FveSQT220kZiTmoYJHA SID=12278 SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3
Le message comporte les éléments suivants :
  • Priorité - Installation * 8 + Gravité (local4 & critical) - 158
  • Date - Dec 17
  • Heure - 07:21:16
  • Nom d'hôte - b1-edge1
  • Balise Syslog - velocloud.sdwan
  • Message - VCF Open xR6FveSQT220kZiTmoYJHA SID=12278 SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3
VMware prend en charge les messages de journal de pare-feu suivants :
  • Avec le pare-feu avec état activé :
    • Ouvrir (Open) : la session de flux de trafic a démarré.
    • Fermer (Close) : la session de flux de trafic est terminée en raison d'un délai d'expiration de la session ou de vidage de la session via Orchestrator.
    • Refuser (Deny) : si la session correspond à la règle de refus, le message de journal de refus s'affiche et le paquet est abandonné. Dans le cas de TCP, la réinitialisation est envoyée à la source.
    • Mettre à jour : pour toutes les sessions en cours, le message de journal de mise à jour s'affiche si la règle de pare-feu est ajoutée ou modifiée via Orchestrator.
  • Avec le pare-feu avec état désactivé :
    • Autoriser
    • Refuser
Tableau 1. Champs de message de journal de pare-feu
Champ Description
SID Numéro d'identification unique appliqué à chaque session.
SVLAN ID VLAN du périphérique source.
DVLAN ID VLAN du périphérique de destination.
SEGMENT Segment auquel la session appartient. La plage autorisée est comprise entre 0 et 255.
IN Nom de l'interface sur laquelle le premier paquet de la session a été reçu. Dans le cas de paquets de superposition reçus, ce champ contiendra VPN. Pour les autres paquets (reçus via la sous-couche), ce champ affichera le nom de l'interface dans le dispositif Edge.
PROTO Type de protocole IP utilisé par la session. Les valeurs possibles sont TCP, UDP, GRE, ESP et ICMP.
SRC Adresse IP source de la session en notation décimale séparée par des points.
DST Adresse IP de destination de la session en notation décimale séparée par des points.
SPT Numéro de port source de la session. Ce champ s'applique uniquement si le transport sous-jacent est UDP/TCP.
DPT Numéro de port de destination de la session. Ce champ s'applique uniquement si le transport sous-jacent est UDP/TCP.
DEST_NAME Nom du périphérique distant de la session. Les valeurs possibles sont les suivantes :
  • CSS-Liaison (CSS-Backhaul) : pour le trafic destiné au service de sécurité cloud à partir du dispositif Edge.
  • Internet-via-<nom-iface-sortie> : pour le trafic cloud sortant directement du dispositif Edge à l'aide de la stratégie d'entreprise.
  • Internet-BH-via-<nom du Hub de liaison> : pour le trafic lié au cloud accédant à Internet via le Hub de liaison à l'aide de la stratégie d'entreprise.
  • <Nom du dispositif Edge distant>-via-Hub : pour le trafic VPN circulant via le Hub.
  • <Nom du dispositif Edge distant>-via-DE2E : pour le trafic VPN circulant entre les dispositifs Edge via le tunnel VCMP direct.
  • <Nom du dispositif Edge distant>-via-Gateway : pour le trafic VPN passant par la passerelle cloud.
  • NVS-via-<nom de la passerelle> : pour le trafic de Non VMware SD-WAN Site passant par la passerelle cloud.
  • Internet-via-<nom de la passerelle> : pour le trafic Internet passant par la passerelle cloud.
NAT-SRC Adresse IP source utilisée pour la configuration NAT source du trafic Internet direct.
NAT-SPT Port source utilisé pour la configuration PAT du trafic Internet direct.
APPLICATION Nom de l'application à laquelle la session a été classée par le moteur DPI. Ce champ est disponible uniquement pour les messages de journal Fermer (Close).
BYTES_SENT Quantité de données envoyées en octets dans la session. Ce champ est disponible uniquement pour les messages de journal Fermer (Close).
BYTES_RECEIVED Quantité de données reçues en octets dans la session. Ce champ est disponible uniquement pour les messages de journal Fermer (Close).
DURATION_SECS Durée pendant laquelle la session a été active. Ce champ est disponible uniquement pour les messages de journal Fermer (Close).
REASON Raison de la fermeture ou du refus de la session. Les valeurs possibles sont les suivantes :
  • Violation d'état
  • Réinitialiser
  • Purgé
  • Obsolète
  • Fin - reçu
  • RST - Reçu
  • Erreur
Ce champ est disponible pour les messages de journal Fermer (Close) et Refuser (Deny).