Descrive il formato del messaggio di syslog per i registri del firewall con un esempio.

Formato del messaggio di syslog IETF (RFC 3164)

<%PRI%>%timegenerated% %HOSTNAME% %syslogtag%%msg

Di seguito è disponibile un messaggio di syslog di esempio.

<158>Dec 17 07:21:16 b1-edge1 velocloud.sdwan: ACTION=VCF Deny SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x TYPE=8 FW_POLICY_NAME=test SEGMENT_NAME=Global Segment
Il messaggio include le parti seguenti:
  • Priority - Facility * 8 + Severity (local3 & info) - 158
  • Data - Dec 17
  • Ora - 07:21:16
  • Nome host - b1-edge1
  • Tag syslog - velocloud.sdwan
  • Messaggio - ACTION=VCF Deny SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x TYPE=8 FW_POLICY_NAME=test SEGMENT_NAME=Global Segment
VMware supporta i seguenti messaggi del registro del firewall:
  • Con il firewall stateful abilitato:
    • Apri (Open): la sessione del flusso del traffico è iniziata.
    • Chiudi (Close): la sessione del flusso del traffico è terminata a causa del timeout della sessione o la sessione è stata svuotata tramite Orchestrator.
    • Nega (Deny): se la sessione corrisponde alla regola Nega (Deny), verrà visualizzato il messaggio del registro Nega (Deny) e il pacchetto verrà eliminato. Nel caso di TCP, la reimpostazione verrà inviata all'origine.
    • Aggiorna (Update): per tutte le sessioni in corso, verrà visualizzato il messaggio del registro Aggiorna (Update) se la regola del firewall viene aggiunta o modificata tramite Orchestrator.
  • Con il firewall di tipo stateful disattivato:
    • Consenti (Allow)
    • Nega (Deny)
Tabella 1. Campi del messaggio del registro del firewall
Campo Descrizione
SID Numero identificativo univoco applicato a ciascuna sessione.
SVLAN ID VLAN del dispositivo di origine.
DVLAN ID VLAN del dispositivo di destinazione.
IN Nome dell'interfaccia in cui è stato ricevuto il primo pacchetto della sessione. Nel caso di pacchetti ricevuti dall'overlay, questo campo conterrà VPN. Per tutti gli altri pacchetti (ricevuti tramite underlay), questo campo includerà il nome dell'interfaccia nell'Edge.
PROTO Tipo di protocollo IP utilizzato dalla sessione. I valori possibili sono TCP, UDP, GRE, ESP e ICMP.
SRC Indirizzo IP di origine della sessione nella notazione decimale con punti.
DST Indirizzo IP di destinazione della sessione nella notazione decimale con punti.
Tipo Il tipo di messaggio ICMP.
Nota: Il parametro Type viene visualizzato nei registri solo per i pacchetti ICMP.
Alcuni importanti tipi di ICMP ampiamente utilizzati includono:
  • Risposta echo (0)
  • Richiesta echo (8)
  • Reindirizza (5)
  • Destinazione non raggiungibile (3)
  • Traceroute (30)
  • Tempo superato (11)

Per un elenco completo dei tipi di messaggio ICMP, vedere Tipi di parametri ICMP.
SPT Numero della porta di origine della sessione. Questo campo si applica solo se il trasporto di underlay è UDP/TCP.
DPT Numero della porta di destinazione della sessione. Questo campo si applica solo se il trasporto di underlay è UDP/TCP.
FW_POLICY_NAME Nome del criterio del firewall applicato alla sessione.
SEGMENT_NAME Nome del segmento a cui la sessione appartiene.
DEST_NAME Nome del dispositivo dell'estremità remota della sessione. I valori possibili sono:
  • CSS-Backhaul: per il traffico destinato al servizio di sicurezza cloud da Edge.
  • Internet-via-<nome-egress-iface>: per il traffico cloud che va direttamente dall'Edge utilizzando il criterio di business.
  • Internet-BH-via-<nome hub backhaul>: per il traffico associato al cloud verso Internet tramite l'hub backhaul utilizzando il criterio di business.
  • <Nome edge remoto>-via-Hub: per il traffico VPN che scorre attraverso l'hub.
  • <Nome edge remoto>-via-DE2E: per il traffico VPN che scorre tra gli Edge attraverso il tunnel VCMP diretto.
  • <Nome edge remoto>-via-Gateway: per il traffico VPN che scorre attraverso cloud gateway.
  • NVS-via-<nome gateway>: per il traffico di destinazione non SD-WAN che scorre attraverso gateway cloud.
  • Internet-via-<nome gateway>: per il traffico Internet che scorre attraverso il gateway cloud.
NAT_SRC L'indirizzo IP di origine utilizzato per l'origine eseguendo il NAT del traffico Internet diretto.
NAT_SPT Porta di origine utilizzata per eseguire il PAT del traffico Internet diretto.
APPLICATION Nome dell'applicazione in cui è stata classificata la sessione dal motore DPI. Questo campo è disponibile solo per i messaggi del registro di tipo Chiudi (Close).
BYTES_SENT Quantità di dati inviati in byte nella sessione. Questo campo è disponibile solo per i messaggi del registro di tipo Chiudi (Close).
BYTES_RECEIVED Quantità di dati ricevuti in byte nella sessione. Questo campo è disponibile solo per i messaggi del registro di tipo Chiudi (Close).
DURATION_SECS Periodo di tempo per cui la sessione è stata attiva. Questo campo è disponibile solo per i messaggi del registro di tipo Chiudi (Close).
REASON Motivo della chiusura o della negazione della sessione. I valori possibili sono:
  • State Violation
  • Reset
  • Purged
  • Aged-out
  • Fin-Received
  • RST-Received
  • Error
Questo campo è disponibile per i messaggi del registro di tipo Chiudi (Close) e Nega (Deny).