ファイアウォール ルールのログが有効な場合は、ファイアウォール パケット ログを確認して問題のトラブルシューティングを行うことができます。

ESXi ホストと KVM ホストのログ ファイルはいずれも /var/log/dfwpktlogs.log です。

表 1. ファイアウォール ログ ファイルの変数
変数 利用可能な値
フィルタ ハッシュ フィルタ名およびその他の情報の取得に使用できる数値。
AF 値 INET、INET6
原因
  • match: パケットがルールと一致します。
  • bad-offset: パケットの取得中にデータパスで内部エラーが発生しました。
  • fragment: 先頭のフラグメントにリアセンブルした後の先頭以外のフラグメントです。
  • short: パケットが短すぎます。たとえば、IP ヘッダーまたは TCP/UDP ヘッダーが含まれていません。
  • normalize: 正しいヘッダーまたはペイロードなしの不正なパケットです。
  • memory: データパスでメモリが不足しています。
  • bad-timestamp: 不正な TCP タイムスタンプです。
  • proto-cksum: 不正なプロトコル チェックサムです。
  • state-mismatch: TCP 状態マシン チェックを通過していない TCP パケットです。
  • state-insert: 重複する接続が見つかりました。
  • state-limit:状態の数が、データパスで追跡可能な最大数に達しました。
  • SpoofGuard: SpoofGuard がドロップしたパケットです。
  • TERM: 接続が切断されました。
アクション
  • PASS: パケットを受け入れます。
  • DROP: パケットをドロップします。
  • NAT: SNAT ルールです。
  • NONAT:SNAT ルールに一致しましたが、アドレス変換はできません。
  • RDR: DNAT ルールです。
  • NORDR: DNAT ルールに一致しましたが、アドレス変換はできません。
  • PUNT: この仮想マシンと同じハイパーバイザーで実行しているサービス仮想マシンにパケットを送信します。
  • REDIRECT: この仮想マシンのハイパーバイザー以外で実行しているネットワーク サービスにパケットを送信します。
  • COPY: パケットを受け入れ、現在の仮想マシンと同じハイパーバイザーで実行されているサービス仮想マシンにコピーします。
  • REJECT: パケットを拒否します。
ルール セットとルール ID rule set/rule ID
方向 IN、OUT
パケット長 length
プロトコル TCP、UDP、ICMP または PROTO(プロトコル番号)

TCP 接続の場合、接続が終了する実際の原因が TCP キーワードの後に示されます。

TCP セッションの原因が TERM の場合、追加の説明が PROTO 行に表示されます。TCP 接続の終了で考えられる原因は、RST(TCP RST パケット)、FIN(TCP FIN パケット)、TIMEOUT(長時間のアイドル状態)です。

上の例では、RST になっています。これは、接続のリセットを要求する RST パケットがあることを意味します。

TCP 以外の接続(UDP、ICMP または他のプロトコル)の場合、接続の終了原因は TIMEOUT だけです。

送信元の IP アドレスおよびポート IP address/port
宛先の IP アドレスおよびポート IP address/port
TCP フラグ S (SYN)、SA (SYN-ACK)、A (ACK)、P (PUSH)、U (URGENT)、F (FIN)、R (RESET)
パケット数 パケット数。

22/14: 受信パケット数/送信パケット数

バイト数 バイト数。

7684/1070:受信バイト数/送信バイト数

以下に、分散ファイアウォール ルールの通常ログのサンプルを示します。
2018-07-03T19:44:09.749Z b6507827 INET match PASS mainrs/1024 IN 52 TCP 192.168.4.3/49627->192.168.4.4/49153 SEW

2018-07-03T19:46:02.338Z 7396c504 INET match DROP mainrs/1024 OUT 52 TCP 192.168.4.3/49676->192.168.4.4/135 SEW

2018-07-06T18:15:49.647Z 028cd586 INET match DROP mainrs/1027 IN 36 PROTO 2 0.0.0.0->224.0.0.1

2018-07-06T18:19:54.764Z 028cd586 INET6 match DROP mainrs/1027 OUT 143 UDP fe80:0:0:0:68c2:8472:2364:9be/546->ff02:0:0:0:0:0:1:2/547
DFW ログ ファイルには次の要素が含まれます。各要素はスペースで区切られます。
  • タイムスタンプ:
  • インターフェイスの VIF ID の最後の 8 桁
  • INET タイプ(v4 または v6)
  • 理由(match)
  • アクション(PASS、DROP、REJECT)
  • ルール セット名/ルール ID
  • パケットの方向(IN/OUT)
  • パケット サイズ
  • プロトコル(TCP、UDP、または PROTO #)
  • netx ルール ヒットの SVM 方向
  • 送信元 IP アドレス/送信元ポート > 宛先 IP アドレス/宛先ポート
  • TCP フラグ(SEW)
渡された TCP パケットの場合、セッション終了時に終了ログが記録されます。
2018-07-03T19:44:30.585Z 7396c504 INET TERM mainrs/1024 OUT TCP RST 192.168.4.3/49627->192.168.4.4/49153 20/16 1718/76308
TCP 終了ログには次の要素が含まれます。各要素はスペースで区切られます。
  • タイムスタンプ:
  • インターフェイスの VIF ID の最後の 8 桁
  • INET タイプ(v4 または v6)
  • アクション(TERM)
  • ルールセット名/ルール ID
  • パケットの方向(IN/OUT)
  • プロトコル(TCP、UDP、または PROTO #)
  • TCP RST フラグ
  • netx ルール ヒットの SVM 方向
  • 送信元 IP アドレス/送信元ポート > 宛先 IP アドレス/宛先ポート
  • 受信パケット数/送信パケット数(すべて累計)
  • 受信パケット サイズ/送信パケット サイズ
以下に、分散ファイアウォール ルールの FQDN ログ ファイルのサンプルを示します。
2019-01-15T00:34:45.903Z 7c607b29 INET match PASS 1031 OUT 48 TCP 10.172.178.226/32808->23.72.199.234/80 S www.sway.com(034fe78d-5857-0680-81e4-d8da6b28d1b4)
FQDN ログには次の要素が含まれます。各要素はスペースで区切られます。
  • タイムスタンプ:
  • インターフェイスの VIF ID の最後の 8 桁
  • INET タイプ(v4 または v6)
  • 理由(match)
  • アクション(PASS、DROP、REJECT)
  • ルールセット名/ルール ID
  • パケットの方向(IN/OUT)
  • パケット サイズ
  • プロトコル(TCP、UDP、または PROTO #):TCP 接続の場合、接続が終了した実際の理由は、次の IP アドレスの後に表示されます。
  • 送信元 IP アドレス/送信元ポート > 宛先 IP アドレス/宛先ポート
  • TCP フラグ:S (SYN)、SA (SYN-ACK)、A (ACK)、P (PUSH)、U (URGENT)、F (FIN)、R (RESET)
  • ドメイン名/UUID。UUID はドメイン名のバイナリ内部表現です。
以下に、分散ファイアウォール ルールのレイヤー 7 ログ ファイルのサンプルを示します。
2019-01-15T00:35:07.221Z 82f365ae INET match REJECT 1034 OUT 48 TCP 10.172.179.6/49818->23.214.173.202/80 S APP_HTTP

2019-01-15T00:34:46.486Z 7c607b29 INET match PASS 1030 OUT 48 UDP 10.172.178.226/42035->10.172.40.1/53 APP_DNS
レイヤー 7 ログには次の要素が含まれます。各要素はスペースで区切られます。
  • タイムスタンプ:
  • インターフェイスの VIF ID の最後の 8 桁
  • INET タイプ(v4 または v6)
  • 理由(match)
  • アクション(PASS、DROP、REJECT)
  • ルールセット名/ルール ID
  • パケットの方向(IN/OUT)
  • パケット サイズ
  • プロトコル(TCP、UDP、または PROTO #):TCP 接続の場合、接続が終了した実際の理由は、次の IP アドレスの後に表示されます。
  • 送信元 IP アドレス/送信元ポート > 宛先 IP アドレス/宛先ポート
  • TCP フラグ:S (SYN)、SA (SYN-ACK)、A (ACK)、P (PUSH)、U (URGENT)、F (FIN)、R (RESET)
  • APP_XXX は、検出されたアプリケーションです。