Décrit le format de message Syslog pour les journaux de pare-feu avec un exemple.
Format de message Syslog d'IETF (RFC 3164)
<%PRI%>%timegenerated% %HOSTNAME% %syslogtag%%msg
Voici un exemple de message Syslog.
<158>Dec 17 07:21:16 b1-edge1 velocloud.sdwan: ACTION=VCF Open FW_POLICY_NAME=test SID=0000012278 SEGMENT_NAME=Global Segment IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3
Le message comporte les éléments suivants :
- Priorité - Installation * 8 + Gravité (local3 et infos) - 158
- Date - Dec 17
- Heure - 07:21:16
- Nom d'hôte - b1-edge1
- Balise Syslog - velocloud.sdwan
- Message - ACTION=VCF Open FW_POLICY_NAME=test SID=0000012278 SEGMENT_NAME=Global Segment IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3
VMware prend en charge les messages de journal de pare-feu suivants :
- Avec le pare-feu avec état activé :
- Ouvrir (Open) : la session de flux de trafic a démarré.
- Fermer (Close) : la session de flux de trafic est terminée en raison d'un délai d'expiration de la session ou de vidage de la session via Orchestrator.
- Refuser (Deny) : si la session correspond à la règle de refus, le message de journal de refus s'affiche et le paquet est abandonné. Dans le cas de TCP, la réinitialisation est envoyée à la source.
- Mettre à jour : pour toutes les sessions en cours, le message de journal de mise à jour s'affiche si la règle de pare-feu est ajoutée ou modifiée via Orchestrator.
- Avec le pare-feu avec état désactivé :
- Autoriser
- Refuser
| Champ | Description |
|---|---|
| FW_POLICY_NAME | Nom de la stratégie de pare-feu appliquée à la session. |
| SID | Numéro d'identification unique appliqué à chaque session. |
| SVLAN | ID VLAN du périphérique source. |
| DVLAN | ID VLAN du périphérique de destination. |
| SEGMENT_NAME | Nom du segment auquel la session appartient. |
| IN | Nom de l'interface sur laquelle le premier paquet de la session a été reçu. Dans le cas de paquets de superposition reçus, ce champ contiendra VPN. Pour les autres paquets (reçus via la sous-couche), ce champ affichera le nom de l'interface dans le dispositif Edge. |
| PROTO | Type de protocole IP utilisé par la session. Les valeurs possibles sont TCP, UDP, GRE, ESP et ICMP. |
| SRC | Adresse IP source de la session en notation décimale séparée par des points. |
| DST | Adresse IP de destination de la session en notation décimale séparée par des points. |
| SPT | Numéro de port source de la session. Ce champ s'applique uniquement si le transport sous-jacent est UDP/TCP. |
| DPT | Numéro de port de destination de la session. Ce champ s'applique uniquement si le transport sous-jacent est UDP/TCP. |
| DEST_NAME | Nom du périphérique distant de la session. Les valeurs possibles sont les suivantes :
|
| NAT_SRC | Adresse IP source utilisée pour la configuration NAT source du trafic Internet direct. |
| NAT_SPT | Port source utilisé pour la configuration PAT du trafic Internet direct. |
| APPLICATION | Nom de l'application à laquelle la session a été classée par le moteur DPI. Ce champ est disponible uniquement pour les messages de journal Fermer (Close). |
| BYTES_SENT | Quantité de données envoyées en octets dans la session. Ce champ est disponible uniquement pour les messages de journal Fermer (Close). |
| BYTES_RECEIVED | Quantité de données reçues en octets dans la session. Ce champ est disponible uniquement pour les messages de journal Fermer (Close). |
| DURATION_SECS | Durée pendant laquelle la session a été active. Ce champ est disponible uniquement pour les messages de journal Fermer (Close). |
| REASON | Raison de la fermeture ou du refus de la session. Les valeurs possibles sont les suivantes :
|
