ここでは、ファイアウォール ログの Syslog メッセージ形式を例とともに説明します。

IETF Syslog メッセージ形式 (RFC 3164)

<%PRI%>%timegenerated% %HOSTNAME% %syslogtag%%msg

次に、Syslog のサンプル メッセージを示します。

<158>Dec 17 07:21:16 b1-edge1 velocloud.sdwan: ACTION=VCF Deny SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x TYPE=8 FW_POLICY_NAME=test SEGMENT_NAME=Global Segment
メッセージには、次の要素が含まれています。
  • 優先度 - ファシリティ * 8 + Severity (local3 & info) - 158
  • 日付 - Dec 17
  • 時刻 - 07:21:16
  • ホスト名 - b1-edge1
  • Syslog タグ - velocloud.sdwan
  • Message-ACTION = VCF Deny SEGMENT = 0 IN = "IFNAME" PROTO = ICMP SRC = x.x.x.x DST = x.x.x.x TYPE = 8 FW_POLICY_NAME = test SEGMENT_NAME = Global Segment
VMware は、次のファイアウォール ログ メッセージをサポートしています。
  • ステートフル ファイアウォールが有効になっている場合:
    • [開く (Open)]:トラフィック フロー セッションが開始されました。
    • [閉じる (Close)]:セッションがタイムアウトになったか、Orchestrator を介してセッションがフラッシュされたため、トラフィック フロー セッションが終了しました。
    • [拒否 (Deny)]:セッションが拒否ルールに一致すると、拒否ログ メッセージが表示され、パケットがドロップされます。TCP の場合、送信元にリセットが送信されます。
    • 更新:進行中のすべてのセッションで、ファイアウォール ルールが Orchestrator を介して追加または変更された場合、更新ログメッセージが表示されます。
  • ステートフル ファイアウォールが無効になっている場合:
    • 許可
    • 拒否
表 1. ファイアウォール ログ メッセージのフィールド
フィールド 説明
SID 各セッションに適用される一意の識別番号。
SVLAN 送信元デバイスの VLAN ID。
DVLAN 宛先デバイスの VLAN ID。
IN セッションの最初のパケットを受信したインターフェイスの名前。オーバーレイ受信パケットの場合、このフィールドには [VPN] が含まれます。その他のパケット(アンダーレイを介して受信)の場合、このフィールドには Edge 内のインターフェイスの名前が表示されます。
PROTO セッションで使用される IP プロトコルのタイプ。指定できる値は、TCP、UDP、GRE、ESP、ICMP です。
SRC ドット区切りの 10 進表記によるセッションの送信元 IP アドレス。
DST ドット区切りの 10 進表記によるセッションの宛先 IP アドレス。
タイプ (Type) ICMP メッセージのタイプ。
注: ICMP パケットの場合のみ、 Type パラメータがログに表示されます。
広く使用されている重要な ICMP タイプは次のとおりです。
  • エコー応答 (0)
  • エコー要求 (8)
  • リダイレクト (5)
  • 宛先到達不能 (3)
  • Traceroute (30)
  • 時間超過 (11)

ICMP メッセージ タイプの完全なリストについては、ICMP パラメータ タイプを参照してください。

SPT セッションの送信元ポート番号。このフィールドは、アンダーレイ転送が UDP/TCP である場合にのみ適用されます。
DPT セッションの宛先ポート番号。このフィールドは、アンダーレイ転送が UDP/TCP である場合にのみ適用されます。
FW_POLICY_NAME セッションに適用されるファイアウォール ポリシーの名前。
SEGMENT_NAME セッションが属するセグメントの名前。
DEST_NAME セッションのリモートエンド デバイスの名前。使用可能な値は次のとおりです。
  • CSS-Backhaul:Edge からクラウド セキュリティ サービスに送信されるトラフィックの場合に使用します。
  • Internet-via-<出力方向インターフェイス名>:ビジネス ポリシーを使用して Edge から直接送信されるクラウド トラフィックの場合に使用します。
  • Internet-BH-via-<バックホール ハブ名>:ビジネス ポリシーを使用してバックホール ハブ経由でインターネットに送信される、クラウド向けトラフィックの場合に使用します。
  • <リモート Edge 名>-via-Hub:ハブを通過する VPN トラフィックの場合に使用します。
  • <リモート Edge 名>-via-DE2E:ダイレクト VCMP トンネルを経由して Edge 間を流れる VPN トラフィックの場合に使用します。
  • <リモート Edge 名>-via-Gateway:Cloud Gateway を通過する VPN トラフィックの場合に使用します。
  • NVS-via-<Gateway 名>:Cloud Gateway を通過する Non SD-WAN Destination トラフィックの場合に使用します。
  • Internet-via-<Gateway 名>:Cloud Gateway を通過するインターネット トラフィックの場合に使用します。
NAT_SRC ダイレクト インターネット トラフィックの送信元 NAT に使用される送信元の IP アドレス。
NAT_SPT ダイレクト インターネット トラフィックの PAT に使用される送信元のポート。
APPLICATION セッションが DPI エンジンによって分類されたアプリケーション名。このフィールドは、終了ログ メッセージでのみ使用できます。
BYTES_SENT セッションで送信されたデータ量(バイト単位)。このフィールドは、終了ログ メッセージでのみ使用できます。
BYTES_RECEIVED セッションで受信されたデータ量(バイト単位)。このフィールドは、終了ログ メッセージでのみ使用できます。
DURATION_SECS セッションがアクティブになっている期間。このフィールドは、終了ログ メッセージでのみ使用できます。
REASON セッションの終了または拒否の理由。使用可能な値は次のとおりです。
  • 状態違反
  • リセット
  • 削除済み
  • 期限切れ
  • Fin-受信済み
  • RST-受信済み
  • エラー
このフィールドは、終了および拒否ログ メッセージに使用できます。