Se è abilitata la registrazione per le regole firewall, è possibile esaminare i registri dei pacchetti del firewall per risolvere i problemi.
Il file di registro è /var/log/dfwpktlogs.log per entrambi gli host, ESXi e KVM.
Variabile | Valori possibili |
---|---|
Hash filtro | Numero che può essere utilizzato per recuperare il nome del filtro e altre informazioni. |
Valore AF | INET, INET6 |
Motivo |
|
Azione |
|
Set di regole e ID regola | rule set/rule ID |
Direzione | IN, OUT |
Lunghezza pacchetto | length |
Protocollo | TCP, UDP, ICMP o PROTO (numero di protocollo) Per le connessioni TCP, il motivo effettivo per cui una connessione viene terminata viene indicato dopo la parola chiave TCP. Se TERM è il motivo di una sessione TCP, nella riga PROTO viene visualizzata una spiegazione aggiuntiva. I possibili motivi per cui una connessione TCP viene terminata includono: RST (pacchetto TCP RST), FIN (pacchetto TCP FIN) e TIMEOUT (inattività prolungata) Nell'esempio precedente, è RST. Quindi significa che nella connessione è presente un pacchetto RST che deve essere reimpostato. Per le connessioni non TCP (UDP, ICMP o altri protocolli), il motivo per cui una connessione viene terminata è solo TIMEOUT. |
Indirizzo e porta IP di origine | IP address/port |
Indirizzo e porta IP di destinazione | IP address/port |
Flag TCP | S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET) |
Numero di pacchetti | Numero di pacchetti. 22/14 - pacchetti in/pacchetti out |
Numero di byte | Numero di byte. 7684/1070 - byte in/byte out |
2018-07-03T19:44:09.749Z b6507827 INET match PASS mainrs/1024 IN 52 TCP 192.168.4.3/49627->192.168.4.4/49153 SEW 2018-07-03T19:46:02.338Z 7396c504 INET match DROP mainrs/1024 OUT 52 TCP 192.168.4.3/49676->192.168.4.4/135 SEW 2018-07-06T18:15:49.647Z 028cd586 INET match DROP mainrs/1027 IN 36 PROTO 2 0.0.0.0->224.0.0.1 2018-07-06T18:19:54.764Z 028cd586 INET6 match DROP mainrs/1027 OUT 143 UDP fe80:0:0:0:68c2:8472:2364:9be/546->ff02:0:0:0:0:0:1:2/547Il formato di un file di registro DFW include i seguenti elementi, separati da uno spazio:
- timestamp:
- ultime otto cifre dell'ID VIF dell'interfaccia
- tipo di INET (v4 o v6)
- motivo (corrispondenza)
- azione (PASS, DROP, REJECT)
- ID regola/nome set di regole
- direzione pacchetto (ENTRATA/USCITA)
- dimensione pacchetto
- protocollo (TCP, UDP o PROTO #)
- Direzione SVM per il successivo riscontro regola
- indirizzo IP di origine/porta di origine>Indirizzo IP di destinazione/porta di destinazione
- flag TCP (SEW)
2018-07-03T19:44:30.585Z 7396c504 INET TERM mainrs/1024 OUT TCP RST 192.168.4.3/49627->192.168.4.4/49153 20/16 1718/76308
- timestamp:
- ultime 8 cifre dell'ID VIF dell'interfaccia
- tipo di INET (v4 o v6)
- azione (TERM)
- nome set di regole/ID regola
- direzione pacchetto (ENTRATA/USCITA)
- protocollo (TCP, UDP o PROTO #)
- flag RST TCP
- Direzione SVM per il successivo riscontro regola
- indirizzo IP di origine/porta di origine>Indirizzo IP di destinazione/porta di destinazione
- Numero di pacchetti in ENTRATA/numero di pacchetti in USCITA (tutti accumulati)
- dimensione pacchetto in ENTRATA/dimensione pacchetto in USCITA
2019-01-15T00:34:45.903Z 7c607b29 INET match PASS 1031 OUT 48 TCP 10.172.178.226/32808->23.72.199.234/80 S www.sway.com(034fe78d-5857-0680-81e4-d8da6b28d1b4)
- timestamp:
- ultime otto cifre dell'ID VIF dell'interfaccia
- tipo di INET (v4 o v6)
- motivo (corrispondenza)
- azione (PASS, DROP, REJECT)
- nome set di regole/ID regola
- direzione pacchetto (ENTRATA/USCITA)
- dimensione pacchetto
- protocollo (TCP, UDP o PROTO #): per le connessioni TCP, il motivo effettivo per cui una connessione viene terminata è indicato dopo il seguente indirizzo IP
- indirizzo IP di origine/porta di origine>Indirizzo IP di destinazione/porta di destinazione
- flag TCP - S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET
- nome di dominio/UUID, dove UUID è la rappresentazione interna binaria del nome del dominio
2019-01-15T00:35:07.221Z 82f365ae INET match REJECT 1034 OUT 48 TCP 10.172.179.6/49818->23.214.173.202/80 S APP_HTTP 2019-01-15T00:34:46.486Z 7c607b29 INET match PASS 1030 OUT 48 UDP 10.172.178.226/42035->10.172.40.1/53 APP_DNS
- timestamp:
- ultime otto cifre dell'ID VIF dell'interfaccia
- tipo di INET (v4 o v6)
- motivo (corrispondenza)
- azione (PASS, DROP, REJECT)
- nome set di regole/ID regola
- direzione pacchetto (ENTRATA/USCITA)
- dimensione pacchetto
- protocollo (TCP, UDP o PROTO #): per le connessioni TCP, il motivo effettivo per cui una connessione viene terminata è indicato dopo il seguente indirizzo IP
- indirizzo IP di origine/porta di origine>Indirizzo IP di destinazione/porta di destinazione
- flag TCP - S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET
- APP_XXX è l'applicazione rilevata