ファイアウォールは、監査ログ、ルール メッセージ ログ、システム イベント ログなどのログ ファイルを生成して保存します。ファイアウォールが有効になっている各クラスタに対して、Syslog サーバを設定する必要があります。Syslog サーバは Syslog.global.logHost 属性で指定します。

推奨 Syslog サーバでファイアウォール監査ログを収集するには、Syslog サーバが最新バージョンにアップグレードされていることを確認します。可能であれば、ファイアウォール監査ログを収集するように、リモートの syslog-ng サーバを設定します。

ファイアウォールは、次の表にあるログを生成します。

表 1. ファイアウォールのログ
ログ タイプ 説明 場所
ルール メッセージ ログ ルールでログ作成が有効な場合、各ルールで許可されるトラフィックや拒否されるトラフィックなどの、すべてのアクセスに関する決定事項が含まれます。ログ作成が有効なルールの分散ファイアウォール パケットのログが含まれます。 /var/log/dfwpktlogs.log
監査ログ 管理ログと分散ファイアウォールの設定の変更が含まれます。 /home/secureall/secureall/logs/vsm.log
システム イベント ログ 適用された分散ファイアウォールの設定のほか、作成、削除、または失敗したフィルタ、セキュリティ グループに追加された仮想マシンなどの情報が含まれます。 /home/secureall/secureall/logs/vsm.log
データ プレーン/VMkernel のログ ファイアウォール カーネル モジュール (VSIP) に関連するアクティビティをキャプチャします。システムによって生成されるメッセージのログ エントリが含まれます。 /var/log/vmkernel.log
メッセージ バス クライアント/VSFWD のログ ファイアウォール エージェントのアクティビティをキャプチャします。 /var/log/vsfwd.log
注: vsm.log ファイルにアクセスするには、 NSX Manager コマンド ライン インターフェイス (CLI) から show log manager コマンドを実行し、 vsm.log をキーワードに指定して grep を実行します。このファイルにアクセスできるのは、 root 権限を持つユーザーまたはユーザー グループのみです。

ルール メッセージ ログ

ルールのログ作成が有効な場合、許可されたトラフィックや拒否されたトラフィックなど、ルールによって決定されたアクセスに関するすべての情報がログに含まれます。これらのログは、各ホストの /var/log/dfwpktlogs.log に保存されます。

ファイアウォールのログ メッセージの例: 
 # more /var/log/dfwpktlogs.log
2015-03-10T03:22:22.671Z INET match DROP domain-c7/1002 IN 242 UDP 192.168.110.10/138->192.168.110.255/138

# more /var/log/dfwpktlogs.log
2017-04-11T21:09:59.877Z ESXi_FQDN dfwpktlogs: 50047 INET TERM domain-c1/1001 IN TCP RST 10.1.2.3/33491->10.4.5.6/10001 22/14 7684/1070

その他の例: 

2017-10-19T22:38:05.586Z 58734 INET match PASS domain-c8/1006 OUT 84 ICMP 172.18.8.121->172.18.8.119 RULE_TAG
2017-10-19T22:38:08.723Z 58734 INET match PASS domain-c8/1006 OUT 60 TCP 172.18.8.121/36485->172.18.8.119/22 S RULE_TAG
2017-10-19T22:38:18.785Z 58734 INET TERM domain-c8/1006 OUT ICMP 8 0 172.18.8.121->172.18.8.119 2/2 168/168 RULE_TAG
2017-10-19T22:38:20.789Z 58734 INET TERM domain-c8/1006 OUT TCP FIN 172.18.8.121/36484->172.18.8.119/22 44/33 4965/5009 RULE_TAG
次の例では、
  • 1002 は分散ファイアウォールのルール ID です。
  • domain-c7 は vCenter 管理対象オブジェクト ブラウザ (MOB) のクラスタ ID です。
  • 192.168.110.10/138 は送信元 IP アドレスです。
  • 192.168.110.255/138 は宛先 IP アドレスです。
  • RULE_TAG は、ファイアウォール ルールの追加または編集で [タグ (Tag)]テキスト ボックスに追加するテキストの例です。
次の例は、192.168.110.10 を 172.16.10.12 に ping した結果を示しています。 
 # tail -f /var/log/dfwpktlogs.log | grep 192.168.110.10

2015-03-10T03:20:31.274Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12
2015-03-10T03:20:35.794Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12

次の表は、ファイアウォール ログ メッセージのテキスト ボックスの説明です。

表 2. ログ ファイル エントリのコンポーネント
コンポーネント サンプル内の値
タイムスタンプ 2017-04-11T21:09:59
ファイアウォールに関する記述 877Z ESXi_FQDN dfwpktlogs: 50047 INET TERM domain-c1/1001 IN TCP RST 10.1.2.3/33491->10.4.5.6/10001 22/14 7684/1070
表 3. ログ ファイル エントリのファイアウォールに関する記述
エンティティ 利用可能な値
フィルタ ハッシュ フィルタ名およびその他の情報の取得に使用できる数値。
AF 値 INET、INET6
原因
  • match: パケットがルールと一致します。
  • bad-offset: パケットの取得中にデータパスで内部エラーが発生しました。
  • fragment: 先頭のフラグメントにリアセンブルした後の先頭以外のフラグメントです。
  • short: パケットが短すぎます。たとえば、IP ヘッダーまたは TCP/UDP ヘッダーが含まれていません。
  • normalize: 正しいヘッダーまたはペイロードなしの不正なパケットです。
  • memory: データパスでメモリが不足しています。
  • bad-timestamp: 不正な TCP タイムスタンプです。
  • proto-cksum: 不正なプロトコル チェックサムです。
  • state-mismatch: TCP 状態マシン チェックを通過していない TCP パケットです。
  • state-insert: 重複する接続が見つかりました。
  • state-limit:状態の数が、データパスで追跡可能な最大数に達しました。
  • SpoofGuard: SpoofGuard がドロップしたパケットです。
  • TERM: 接続が切断されました。
アクション
  • PASS: パケットを受け入れます。
  • DROP: パケットをドロップします。
  • NAT: SNAT ルールです。
  • NONAT:SNAT ルールに一致しましたが、アドレス変換はできません。
  • RDR: DNAT ルールです。
  • NORDR: DNAT ルールに一致しましたが、アドレス変換はできません。
  • PUNT: この仮想マシンと同じハイパーバイザーで実行しているサービス仮想マシンにパケットを送信します。
  • REDIRECT: この仮想マシンのハイパーバイザー以外で実行しているネットワーク サービスにパケットを送信します。
  • COPY: パケットを受け入れ、現在の仮想マシンと同じハイパーバイザーで実行されているサービス仮想マシンにコピーします。
  • REJECT: パケットを拒否します。
ルール セットとルール ID rule set/rule ID
方向 IN、OUT
パケット長 length
プロトコル TCP、UDP、ICMP または PROTO(プロトコル番号)

TCP 接続の場合、接続が終了する実際の原因が TCP キーワードの後に示されます。

TCP セッションの原因が TERM の場合、追加の説明が PROTO 行に表示されます。TCP 接続の終了で考えられる原因は、RST(TCP RST パケット)、FIN(TCP FIN パケット)、TIMEOUT(長時間のアイドル状態)です。

上の例では、RST になっています。これは、接続のリセットを要求する RST パケットがあることを意味します。

TCP 以外の接続(UDP、ICMP または他のプロトコル)の場合、接続の終了原因は TIMEOUT だけです。

送信元の IP アドレスおよびポート IP address/port
宛先の IP アドレスおよびポート IP address/port
TCP フラグ S (SYN)、SA (SYN-ACK)、A (ACK)、P (PUSH)、U (URGENT)、F (FIN)、R (RESET)
パケット数 パケット数。

22/14: 受信パケット数/送信パケット数

バイト数 バイト数。

7684/1070:受信バイト数/送信バイト数

ルール メッセージを有効にするには、 vSphere Web Client にログインします。
  1. [ネットワークとセキュリティ (Networking & Security)] > [セキュリティ (Security)] > [ファイアウォール (Firewall)] の順に移動します。
  2. [全般 (General)] タブが開かれていることを確認します。
  3. ログを有効にします。
    NSX バージョン 手順
    NSX 6.4.1 以降 [詳細 (More)][有効 (Enable)][ルールの有効化のログ (Enable Rule Logs)] の順にクリックします。
    NSX 6.4.0
    1. ページで [ログ (Log)] 列を有効にします。
    2. [ログ] テーブル セルにマウスを合わせて鉛筆アイコンをクリックし、ルールのログを有効にします。
注: ファイアウォールのログ メッセージに表示されるテキストをカスタマイズするには、 [タグ (Tag)] 列を有効にし、鉛筆アイコンをクリックして必要なテキストを追加します。

監査ログとシステム イベント ログ

監査ログには、管理ログと分散ファイアウォールの設定の変更が含まれています。これらのログは、/home/secureall/secureall/logs/vsm.log に保存されます。

システム イベント ログには、適用された分散ファイアウォールの設定のほか、作成、削除、または失敗したフィルタ、セキュリティ グループに追加された仮想マシンなどの情報が含まれます。これらのログは、/home/secureall/secureall/logs/vsm.log に保存されます。

vSphere Web Client で監査ログとシステム イベント ログを表示するには、[ネットワークとセキュリティ (Networking & Security)] > [システム (System)] > [イベント (Events)] の順に移動します。[監視 (Monitor)] タブで、NSX Manager の IP アドレスを選択します。