ファイアウォール ルールのログが有効な場合は、ファイアウォール パケット ログを確認して問題のトラブルシューティングを行うことができます。
ESXi ホストと KVM ホストのログ ファイルはいずれも /var/log/dfwpktlogs.log です。
変数 | 利用可能な値 |
---|---|
フィルタ ハッシュ | フィルタ名およびその他の情報の取得に使用できる数値。 |
AF 値 | INET、INET6 |
原因 |
|
アクション |
|
ルール セットとルール ID | rule set/rule ID |
方向 | IN、OUT |
パケット長 | length |
プロトコル | TCP、UDP、ICMP または PROTO(プロトコル番号) TCP 接続の場合、接続が終了する実際の原因が TCP キーワードの後に示されます。 TCP セッションの原因が TERM の場合、追加の説明が PROTO 行に表示されます。TCP 接続の終了で考えられる原因は、RST(TCP RST パケット)、FIN(TCP FIN パケット)、TIMEOUT(長時間のアイドル状態)です。 上の例では、RST になっています。これは、接続のリセットを要求する RST パケットがあることを意味します。 TCP 以外の接続(UDP、ICMP または他のプロトコル)の場合、接続の終了原因は TIMEOUT だけです。 |
送信元の IP アドレスおよびポート | IP address/port |
宛先の IP アドレスおよびポート | IP address/port |
TCP フラグ | S (SYN)、SA (SYN-ACK)、A (ACK)、P (PUSH)、U (URGENT)、F (FIN)、R (RESET) |
パケット数 | パケット数。 22/14: 受信パケット数/送信パケット数 |
バイト数 | バイト数。 7684/1070:受信バイト数/送信バイト数 |
以下に、分散ファイアウォール ルールの通常ログのサンプルを示します。
2018-07-03T19:44:09.749Z b6507827 INET match PASS mainrs/1024 IN 52 TCP 192.168.4.3/49627->192.168.4.4/49153 SEW 2018-07-03T19:46:02.338Z 7396c504 INET match DROP mainrs/1024 OUT 52 TCP 192.168.4.3/49676->192.168.4.4/135 SEW 2018-07-06T18:15:49.647Z 028cd586 INET match DROP mainrs/1027 IN 36 PROTO 2 0.0.0.0->224.0.0.1 2018-07-06T18:19:54.764Z 028cd586 INET6 match DROP mainrs/1027 OUT 143 UDP fe80:0:0:0:68c2:8472:2364:9be/546->ff02:0:0:0:0:0:1:2/547DFW ログ ファイルには次の要素が含まれます。各要素はスペースで区切られます。
- タイムスタンプ:
- インターフェイスの VIF ID の最後の 8 桁
- INET タイプ(v4 または v6)
- 理由(match)
- アクション(PASS、DROP、REJECT)
- ルール セット名/ルール ID
- パケットの方向(IN/OUT)
- パケット サイズ
- プロトコル(TCP、UDP、または PROTO #)
- netx ルール ヒットの SVM 方向
- 送信元 IP アドレス/送信元ポート > 宛先 IP アドレス/宛先ポート
- TCP フラグ(SEW)
渡された TCP パケットの場合、セッション終了時に終了ログが記録されます。
2018-07-03T19:44:30.585Z 7396c504 INET TERM mainrs/1024 OUT TCP RST 192.168.4.3/49627->192.168.4.4/49153 20/16 1718/76308
TCP 終了ログには次の要素が含まれます。各要素はスペースで区切られます。
- タイムスタンプ:
- インターフェイスの VIF ID の最後の 8 桁
- INET タイプ(v4 または v6)
- アクション(TERM)
- ルールセット名/ルール ID
- パケットの方向(IN/OUT)
- プロトコル(TCP、UDP、または PROTO #)
- TCP RST フラグ
- netx ルール ヒットの SVM 方向
- 送信元 IP アドレス/送信元ポート > 宛先 IP アドレス/宛先ポート
- 受信パケット数/送信パケット数(すべて累計)
- 受信パケット サイズ/送信パケット サイズ
以下に、分散ファイアウォール ルールの FQDN ログ ファイルのサンプルを示します。
2019-01-15T00:34:45.903Z 7c607b29 INET match PASS 1031 OUT 48 TCP 10.172.178.226/32808->23.72.199.234/80 S www.sway.com(034fe78d-5857-0680-81e4-d8da6b28d1b4)
FQDN ログには次の要素が含まれます。各要素はスペースで区切られます。
- タイムスタンプ:
- インターフェイスの VIF ID の最後の 8 桁
- INET タイプ(v4 または v6)
- 理由(match)
- アクション(PASS、DROP、REJECT)
- ルールセット名/ルール ID
- パケットの方向(IN/OUT)
- パケット サイズ
- プロトコル(TCP、UDP、または PROTO #):TCP 接続の場合、接続が終了した実際の理由は、次の IP アドレスの後に表示されます。
- 送信元 IP アドレス/送信元ポート > 宛先 IP アドレス/宛先ポート
- TCP フラグ:S (SYN)、SA (SYN-ACK)、A (ACK)、P (PUSH)、U (URGENT)、F (FIN)、R (RESET)
- ドメイン名/UUID。UUID はドメイン名のバイナリ内部表現です。
以下に、分散ファイアウォール ルールのレイヤー 7 ログ ファイルのサンプルを示します。
2019-01-15T00:35:07.221Z 82f365ae INET match REJECT 1034 OUT 48 TCP 10.172.179.6/49818->23.214.173.202/80 S APP_HTTP 2019-01-15T00:34:46.486Z 7c607b29 INET match PASS 1030 OUT 48 UDP 10.172.178.226/42035->10.172.40.1/53 APP_DNS
レイヤー 7 ログには次の要素が含まれます。各要素はスペースで区切られます。
- タイムスタンプ:
- インターフェイスの VIF ID の最後の 8 桁
- INET タイプ(v4 または v6)
- 理由(match)
- アクション(PASS、DROP、REJECT)
- ルールセット名/ルール ID
- パケットの方向(IN/OUT)
- パケット サイズ
- プロトコル(TCP、UDP、または PROTO #):TCP 接続の場合、接続が終了した実際の理由は、次の IP アドレスの後に表示されます。
- 送信元 IP アドレス/送信元ポート > 宛先 IP アドレス/宛先ポート
- TCP フラグ:S (SYN)、SA (SYN-ACK)、A (ACK)、P (PUSH)、U (URGENT)、F (FIN)、R (RESET)
- APP_XXX は、検出されたアプリケーションです。