ここでは、ファイアウォール ログの Syslog メッセージ形式を例とともに説明します。
IETF Syslog メッセージ形式 (RFC 3164)
<%PRI%>%timegenerated% %HOSTNAME% %syslogtag%%msg
次に、Syslog のサンプル メッセージを示します。
<158>Dec 17 07:21:16 b1-edge1 velocloud.sdwan: ACTION=VCF Open FW_POLICY_NAME=test SID=0000012278 SEGMENT_NAME=Global Segment IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3
メッセージには、次の要素が含まれています。
- 優先度 - ファシリティ * 8 + Severity (local3 & info) - 158
- 日付 - Dec 17
- 時刻 - 07:21:16
- ホスト名 - b1-edge1
- Syslog タグ - velocloud.sdwan
- メッセージ - ACTION=VCF Open FW_POLICY_NAME=test SID=0000012278 SEGMENT_NAME=Global Segment IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3
VMware は、次のファイアウォール ログ メッセージをサポートしています。
- ステートフル ファイアウォールが有効になっている場合:
- [開く (Open)]:トラフィック フロー セッションが開始されました。
- [閉じる (Close)]:セッションがタイムアウトになったか、Orchestrator を介してセッションがフラッシュされたため、トラフィック フロー セッションが終了しました。
- [拒否 (Deny)]:セッションが拒否ルールに一致すると、拒否ログ メッセージが表示され、パケットがドロップされます。TCP の場合、送信元にリセットが送信されます。
- 更新:進行中のすべてのセッションで、ファイアウォール ルールが Orchestrator を介して追加または変更された場合、更新ログメッセージが表示されます。
- ステートフル ファイアウォールが無効になっている場合:
- 許可
- 拒否
フィールド | 説明 |
---|---|
FW_POLICY_NAME | セッションに適用されるファイアウォール ポリシーの名前。 |
SID | 各セッションに適用される一意の識別番号。 |
SVLAN | 送信元デバイスの VLAN ID。 |
DVLAN | 宛先デバイスの VLAN ID。 |
SEGMENT_NAME | セッションが属するセグメントの名前。 |
IN | セッションの最初のパケットを受信したインターフェイスの名前。オーバーレイ受信パケットの場合、このフィールドには [VPN] が含まれます。その他のパケット(アンダーレイを介して受信)の場合、このフィールドには Edge 内のインターフェイスの名前が表示されます。 |
PROTO | セッションで使用される IP プロトコルのタイプ。指定できる値は、TCP、UDP、GRE、ESP、ICMP です。 |
SRC | ドット区切りの 10 進表記によるセッションの送信元 IP アドレス。 |
DST | ドット区切りの 10 進表記によるセッションの宛先 IP アドレス。 |
SPT | セッションの送信元ポート番号。このフィールドは、アンダーレイ転送が UDP/TCP である場合にのみ適用されます。 |
DPT | セッションの宛先ポート番号。このフィールドは、アンダーレイ転送が UDP/TCP である場合にのみ適用されます。 |
DEST_NAME | セッションのリモートエンド デバイスの名前。使用可能な値は次のとおりです。
|
NAT_SRC | ダイレクト インターネット トラフィックの送信元 NAT に使用される送信元の IP アドレス。 |
NAT_SPT | ダイレクト インターネット トラフィックの PAT に使用される送信元のポート。 |
APPLICATION | セッションが DPI エンジンによって分類されたアプリケーション名。このフィールドは、終了ログ メッセージでのみ使用できます。 |
BYTES_SENT | セッションで送信されたデータ量(バイト単位)。このフィールドは、終了ログ メッセージでのみ使用できます。 |
BYTES_RECEIVED | セッションで受信されたデータ量(バイト単位)。このフィールドは、終了ログ メッセージでのみ使用できます。 |
DURATION_SECS | セッションがアクティブになっている期間。このフィールドは、終了ログ メッセージでのみ使用できます。 |
REASON | セッションの終了または拒否の理由。使用可能な値は次のとおりです。
|