Descrive il formato del messaggio di syslog per i registri del firewall con un esempio.
Formato del messaggio di syslog IETF (RFC 3164)
<%PRI%>%timegenerated% %HOSTNAME% %syslogtag%%msg
Di seguito è disponibile un messaggio di syslog di esempio.
<158>Dec 17 07:21:16 b1-edge1 velocloud.sdwan: ACTION=VCF Open FW_POLICY_NAME=test SID=0000012278 SEGMENT_NAME=Global Segment IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3
Il messaggio include le parti seguenti:
- Priority - Facility * 8 + Severity (local3 & info) - 158
- Data - Dec 17
- Ora - 07:21:16
- Nome host - b1-edge1
- Tag syslog - velocloud.sdwan
- Message - ACTION=VCF Open FW_POLICY_NAME=test SID=0000012278 SEGMENT_NAME=Global Segment IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3
VMware supporta i seguenti messaggi del registro del firewall:
- Con il firewall stateful abilitato:
- Apri (Open): la sessione del flusso del traffico è iniziata.
- Chiudi (Close): la sessione del flusso del traffico è terminata a causa del timeout della sessione o la sessione è stata svuotata tramite Orchestrator.
- Nega (Deny): se la sessione corrisponde alla regola Nega (Deny), verrà visualizzato il messaggio del registro Nega (Deny) e il pacchetto verrà eliminato. Nel caso di TCP, la reimpostazione verrà inviata all'origine.
- Aggiorna (Update): per tutte le sessioni in corso, verrà visualizzato il messaggio del registro Aggiorna (Update) se la regola del firewall viene aggiunta o modificata tramite Orchestrator.
- Con il firewall di tipo stateful disattivato:
- Consenti (Allow)
- Nega (Deny)
Campo | Descrizione |
---|---|
FW_POLICY_NAME | Nome del criterio del firewall applicato alla sessione. |
SID | Numero identificativo univoco applicato a ciascuna sessione. |
SVLAN | ID VLAN del dispositivo di origine. |
DVLAN | ID VLAN del dispositivo di destinazione. |
SEGMENT_NAME | Nome del segmento a cui la sessione appartiene. |
IN | Nome dell'interfaccia in cui è stato ricevuto il primo pacchetto della sessione. Nel caso di pacchetti ricevuti dall'overlay, questo campo conterrà VPN. Per tutti gli altri pacchetti (ricevuti tramite underlay), questo campo includerà il nome dell'interfaccia nell'Edge. |
PROTO | Tipo di protocollo IP utilizzato dalla sessione. I valori possibili sono TCP, UDP, GRE, ESP e ICMP. |
SRC | Indirizzo IP di origine della sessione nella notazione decimale con punti. |
DST | Indirizzo IP di destinazione della sessione nella notazione decimale con punti. |
SPT | Numero della porta di origine della sessione. Questo campo si applica solo se il trasporto di underlay è UDP/TCP. |
DPT | Numero della porta di destinazione della sessione. Questo campo si applica solo se il trasporto di underlay è UDP/TCP. |
DEST_NAME | Nome del dispositivo dell'estremità remota della sessione. I valori possibili sono:
|
NAT_SRC | L'indirizzo IP di origine utilizzato per l'origine eseguendo il NAT del traffico Internet diretto. |
NAT_SPT | Porta di origine utilizzata per eseguire il PAT del traffico Internet diretto. |
APPLICATION | Nome dell'applicazione in cui è stata classificata la sessione dal motore DPI. Questo campo è disponibile solo per i messaggi del registro di tipo Chiudi (Close). |
BYTES_SENT | Quantità di dati inviati in byte nella sessione. Questo campo è disponibile solo per i messaggi del registro di tipo Chiudi (Close). |
BYTES_RECEIVED | Quantità di dati ricevuti in byte nella sessione. Questo campo è disponibile solo per i messaggi del registro di tipo Chiudi (Close). |
DURATION_SECS | Periodo di tempo per cui la sessione è stata attiva. Questo campo è disponibile solo per i messaggi del registro di tipo Chiudi (Close). |
REASON | Motivo della chiusura o della negazione della sessione. I valori possibili sono:
|