Περιγράφει τη μορφή μηνύματος Syslog για αρχεία καταγραφής τείχους προστασίας με ένα παράδειγμα.

Μορφή μηνύματος IETF Syslog (RFC 3164)

<%PRI%>%timegenerated% %HOSTNAME% %syslogtag%%msg

Ακολουθεί ένα δείγμα μηνύματος syslog.

<158>Dec 17 07:21:16 b1-edge1 velocloud.sdwan: ACTION=VCF Deny SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x TYPE=8 FW_POLICY_NAME=test SEGMENT_NAME=Global Segment
Το μήνυμα έχει τα ακόλουθα μέρη:
  • Προτεραιότητα - Υπηρεσία * 8 + Σοβαρότητα (local3 & πληροφορίες) - 158
  • Ημερομηνία - Δεκ 17
  • Ώρα - 07:21:16
  • Όνομα κεντρικού υπολογιστή - b1-edge1
  • Ετικέτα Syslog - velocloud.sdwan
  • Message - ACTION=VCF Deny SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x TYPE=8 FW_POLICY_NAME=test SEGMENT_NAME=Global Segment
Το VMware υποστηρίζει τα ακόλουθα μηνύματα καταγραφής τείχους προστασίας:
  • Με ενεργοποιημένο το τείχος προστασίας κατάστασης:
    • Ανοικτό - Η περίοδος λειτουργίας ροής κυκλοφορίας έχει ξεκινήσει.
    • Κλειστό - Η περίοδος λειτουργίας ροής κυκλοφορίας έχει λήξει λόγω λήξης χρονικού ορίου ή έχει γίνει εκκαθάριση της περίοδος λειτουργίας μέσω του Orchestrator.
    • Άρνηση - Εάν η περίοδος λειτουργίας ταιριάζει με τον κανόνα άρνησης, εμφανίζεται το μήνυμα αρχείου καταγραφής Άρνηση και το πακέτο απορρίπτεται. Στην περίπτωση αυτή, αποστέλλεται στην προέλευση Επαναφορά TCP.
    • Ενημέρωση - Για όλες τις τρέχουσες περιόδους λειτουργίας, εμφανίζεται το μήνυμα αρχείου καταγραφής Ενημέρωση εάν ο κανόνας τείχους προστασίας έχει είτε προστεθεί είτε τροποποιηθεί μέσω του Orchestrator.
  • Με απενεργοποιημένο το Τείχος προστασίας κατάστασης:
    • Αποδοχή
    • Άρνηση
Πίνακας 1. Πεδία μηνυμάτων καταγραφής τείχους προστασίας
Πεδίο Περιγραφή
SID Ο μοναδικός αριθμός αναγνώρισης που εφαρμόζεται σε κάθε περίοδο λειτουργίας.
SVLAN Το αναγνωριστικό VLAN της συσκευής προέλευσης.
DVLAN Το αναγνωριστικό VLAN της συσκευής προορισμού.
IN Το όνομα της διασύνδεσης στην οποία ελήφθη το πρώτο πακέτο της περιόδου λειτουργίας. Στην περίπτωση των πακέτων που λαμβάνονται με overlay, αυτό το πεδίο περιέχει το VPN. Για οποιαδήποτε άλλα πακέτα (που λαμβάνονται μέσω underlay), αυτό το πεδίο εμφανίζει το όνομα της διασύνδεσης στο Edge.
PROTO Ο τύπος πρωτοκόλλου IP που χρησιμοποιείται από την περίοδο λειτουργίας. Οι πιθανές τιμές είναι TCP, UDP, GRE, ESP και ICMP.
SRC Η διεύθυνση IP προέλευσης της περιόδου λειτουργίας σε δεκαδική σημειογραφία με τελείες.
DST Η διεύθυνση IP προορισμού της περιόδου λειτουργίας σε δεκαδική σημειογραφία με τελείες.
Τύπος (Type) Ο τύπος του μηνύματος ICMP.
Σημείωση: Η παράμετρος Type εμφανίζεται σε αρχεία καταγραφής μόνο για πακέτα ICMP.
Μερικοί σημαντικοί τύποι ICMP που χρησιμοποιούνται ευρέως περιλαμβάνουν:
  • Απάντηση Echo (0)
  • Αίτημα Echo (8)
  • Ανακατεύθυνση (5)
  • Μη προσβάσιμος προορισμός (3)
  • Traceroute (30)
  • Υπέρβαση χρόνου (11)

Για πλήρη λίστα τύπων μηνυμάτων ICMP, ανατρέξτε στο θέμα Τύποι παραμέτρων ICMP.
SPT Ο αριθμός θύρας προέλευσης της περιόδου λειτουργίας. Αυτό το πεδίο ισχύει μόνο εάν το υποκείμενο επίπεδο μεταφοράς είναι UDP/TCP.
DPT Ο αριθμός θύρας προορισμού της περιόδου λειτουργίας. Αυτό το πεδίο ισχύει μόνο εάν το υποκείμενο επίπεδο μεταφοράς είναι UDP/TCP.
FW_POLICY_NAME Το όνομα της πολιτικής τείχους προστασίας που εφαρμόζεται στην περίοδο λειτουργίας.
SEGMENT_NAME Το όνομα του τμήματος στο οποίο ανήκει η περίοδος λειτουργίας.
DEST_NAME Το όνομα της συσκευής απομακρυσμένου άκρου της περιόδου λειτουργίας. Οι πιθανές τιμές είναι:
  • CSS-Backhaul - Για κυκλοφορία που προορίζεται για την Υπηρεσία ασφαλείας Cloud από το Edge.
  • Internet-via-<όνομα εξερχόμενης διασύνδεσης> - Για κυκλοφορία Cloud που πηγαίνει απευθείας από το Edge χρησιμοποιώντας επιχειρηματική πολιτική.
  • Internet-BH-via-<όνομα διανομέα backhaul> - Για κυκλοφορία που προορίζεται για το Cloud και πηγαίνει στο Διαδίκτυο μέσω του διανομέα backhaul χρησιμοποιώντας επιχειρηματική πολιτική.
  • <Όνομα απομακρυσμένου Edge>-via-Hub - Για την κυκλοφορία VPN που ρέει μέσω του διανομέα.
  • <Όνομα απομακρυσμένου Edge>-via-DE2E - Για την κυκλοφορία VPN που ρέει μεταξύ των άκρων μέσω απευθείας διοχέτευσης VCMP.
  • <Όνομα απομακρυσμένου Edge>-via-Gateway - Για την κυκλοφορία VPN που ρέει μέσω της πύλης Cloud.
  • NVS-via-<όνομα πύλης> - Για Προορισμός μη SD-WAN κυκλοφορία που ρέει μέσω της πύλης cloud.
  • Internet-via-<όνομα πύλης> - Για την κυκλοφορία Internet που ρέει μέσω της πύλης Cloud.
NAT_SRC Η διεύθυνση IP προέλευσης που χρησιμοποιείται για τη δικτύωση της προέλευσης της απευθείας κυκλοφορίας Internet.
NAT_SPT Η θύρα προέλευσης που χρησιμοποιείται για την επεξεργασία PAT της απευθείας κυκλοφορίας Internet.
APPLICATION Το όνομα εφαρμογής στο οποίο ταξινομήθηκε η περίοδος λειτουργίας με τη μηχανή DPI. Αυτό το πεδίο είναι διαθέσιμο μόνο για μηνύματα Κλεισίματος αρχείου καταγραφής.
BYTES_SENT Η ποσότητα των δεδομένων που αποστέλλονται σε byte κατά την περίοδο λειτουργίας. Αυτό το πεδίο είναι διαθέσιμο μόνο για μηνύματα Κλεισίματος αρχείου καταγραφής.
BYTES_RECEIVED Η ποσότητα των δεδομένων που λαμβάνονται σε byte κατά την περίοδο λειτουργίας. Αυτό το πεδίο είναι διαθέσιμο μόνο για μηνύματα Κλεισίματος αρχείου καταγραφής.
DURATION_SECS Η διάρκεια για την οποία ήταν ενεργή η περίοδος λειτουργίας. Αυτό το πεδίο είναι διαθέσιμο μόνο για μηνύματα Κλεισίματος αρχείου καταγραφής.
REASON Ο λόγος για το κλείσιμο ή την άρνηση της περιόδου λειτουργίας. Οι πιθανές τιμές είναι:
  • Παραβίαση κατάστασης
  • Επαναφορά
  • Εκκαθάριση
  • Αποκλεισμός λόγω ηλικίας
  • Ελήφθη Fin
  • Ελήφθη RST
  • Σφάλμα
Αυτό το πεδίο είναι διαθέσιμο για μηνύματα κλεισίματος και άρνησης αρχείου καταγραφής.