Décrit le format de message Syslog pour les journaux de pare-feu avec un exemple.

Format de message Syslog d'IETF (RFC 3164)

<%PRI%>%timegenerated% %HOSTNAME% %syslogtag%%msg

Voici un exemple de message Syslog.

<158>Dec 17 07:21:16 b1-edge1 velocloud.sdwan: ACTION=VCF Open FW_POLICY_NAME=test SID=0000012278 SEGMENT_NAME=Global Segment IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3
Le message comporte les éléments suivants :
  • Priorité - Installation * 8 + Gravité (local3 et infos) - 158
  • Date - Dec 17
  • Heure - 07:21:16
  • Nom d'hôte - b1-edge1
  • Balise Syslog - velocloud.sdwan
  • Message - ACTION=VCF Open FW_POLICY_NAME=test SID=0000012278 SEGMENT_NAME=Global Segment IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3
VMware prend en charge les messages de journal de pare-feu suivants :
  • Avec le pare-feu avec état activé :
    • Ouvrir (Open) : la session de flux de trafic a démarré.
    • Fermer (Close) : la session de flux de trafic est terminée en raison d'un délai d'expiration de la session ou de vidage de la session via Orchestrator.
    • Refuser (Deny) : si la session correspond à la règle de refus, le message de journal de refus s'affiche et le paquet est abandonné. Dans le cas de TCP, la réinitialisation est envoyée à la source.
    • Mettre à jour : pour toutes les sessions en cours, le message de journal de mise à jour s'affiche si la règle de pare-feu est ajoutée ou modifiée via Orchestrator.
  • Avec le pare-feu avec état désactivé :
    • Autoriser
    • Refuser
Tableau 1. Champs de message de journal de pare-feu
Champ Description
FW_POLICY_NAME Nom de la stratégie de pare-feu appliquée à la session.
SID Numéro d'identification unique appliqué à chaque session.
SVLAN ID VLAN du périphérique source.
DVLAN ID VLAN du périphérique de destination.
SEGMENT_NAME Nom du segment auquel la session appartient.
IN Nom de l'interface sur laquelle le premier paquet de la session a été reçu. Dans le cas de paquets de superposition reçus, ce champ contiendra VPN. Pour les autres paquets (reçus via la sous-couche), ce champ affichera le nom de l'interface dans le dispositif Edge.
PROTO Type de protocole IP utilisé par la session. Les valeurs possibles sont TCP, UDP, GRE, ESP et ICMP.
SRC Adresse IP source de la session en notation décimale séparée par des points.
DST Adresse IP de destination de la session en notation décimale séparée par des points.
SPT Numéro de port source de la session. Ce champ s'applique uniquement si le transport sous-jacent est UDP/TCP.
DPT Numéro de port de destination de la session. Ce champ s'applique uniquement si le transport sous-jacent est UDP/TCP.
DEST_NAME Nom du périphérique distant de la session. Les valeurs possibles sont les suivantes :
  • CSS-Liaison (CSS-Backhaul) : pour le trafic destiné au service de sécurité cloud à partir du dispositif Edge.
  • Internet-via-<nom-iface-sortie> : pour le trafic cloud sortant directement du dispositif Edge à l'aide de la stratégie d'entreprise.
  • Internet-BH-via-<nom du Hub de liaison> : pour le trafic lié au cloud accédant à Internet via le Hub de liaison à l'aide de la stratégie d'entreprise.
  • <Nom du dispositif Edge distant>-via-Hub : pour le trafic VPN circulant via le Hub.
  • <Nom du dispositif Edge distant>-via-DE2E : pour le trafic VPN circulant entre les dispositifs Edge via le tunnel VCMP direct.
  • <Nom du dispositif Edge distant>-via-Gateway : pour le trafic VPN passant par la passerelle cloud.
  • NVS-via-<nom de la passerelle> : pour le trafic de Destination non-SD-WAN passant par la passerelle cloud.
  • Internet-via-<nom de la passerelle> : pour le trafic Internet passant par la passerelle cloud.
NAT_SRC Adresse IP source utilisée pour la configuration NAT source du trafic Internet direct.
NAT_SPT Port source utilisé pour la configuration PAT du trafic Internet direct.
APPLICATION Nom de l'application à laquelle la session a été classée par le moteur DPI. Ce champ est disponible uniquement pour les messages de journal Fermer (Close).
BYTES_SENT Quantité de données envoyées en octets dans la session. Ce champ est disponible uniquement pour les messages de journal Fermer (Close).
BYTES_RECEIVED Quantité de données reçues en octets dans la session. Ce champ est disponible uniquement pour les messages de journal Fermer (Close).
DURATION_SECS Durée pendant laquelle la session a été active. Ce champ est disponible uniquement pour les messages de journal Fermer (Close).
REASON Raison de la fermeture ou du refus de la session. Les valeurs possibles sont les suivantes :
  • Violation d'état
  • Réinitialiser
  • Purgé
  • Obsolète
  • Fin - reçu
  • RST - Reçu
  • Erreur
Ce champ est disponible pour les messages de journal Fermer (Close) et Refuser (Deny).