Firewall은 감사 로그, 규칙 메시지 로그 및 시스템 이벤트 로그와 같은 로그 파일을 생성하고 저장합니다. 방화벽을 사용하도록 설정된 각 클러스터에 대해 syslog 서버를 구성해야 합니다. syslog 서버는 Syslog.global.logHost 특성에 지정되어 있습니다.

권장 사항: syslog 서버에서 방화벽 감사 로그를 수집하려면 syslog 서버를 최신 버전으로 업그레이드했는지 확인합니다. 가능하면 방화벽 감사 로그를 수집하도록 원격 syslog-ng 서버를 구성합니다.

방화벽은 다음 표에 설명된 대로 로그를 생성합니다.

표 1. Firewall 로그
로그 유형 설명 위치
규칙 메시지 로그 각 규칙에 대해 허용 또는 거부된 트래픽 같은 모든 액세스 결정 사항이 포함됩니다(해당 규칙에 대한 로깅이 사용하도록 설정된 경우). 로깅이 사용되도록 설정된 규칙에 대한 DFW 패킷 로그를 포함합니다. /var/log/dfwpktlogs.log
감사 로그 관리 로그 및 분산 방화벽 구성 변경 사항이 포함됩니다. /home/secureall/secureall/logs/vsm.log
시스템 이벤트 로그 적용된 분산 방화벽 구성, 생성 또는 삭제되거나 실패한 필터, 보안 그룹에 추가된 가상 시스템 등이 포함됩니다. /home/secureall/secureall/logs/vsm.log
데이터부/VMKernel 로그 방화벽 커널 모듈(VSIP)과 관련된 작업을 캡처합니다. 시스템에서 생성된 메시지에 대한 로그 항목이 포함됩니다. /var/log/vmkernel.log
메시지 버스 클라이언트/VSFWD 로그 방화벽 에이전트의 활동을 캡처합니다. /var/log/vsfwd.log
참고: vsm.log 파일은 NSX Manager CLI(명령줄 인터페이스)에서 show log manager 명령을 실행하고 키워드 vsm.log에 대해 grep를 수행하여 액세스할 수 있습니다. 이 파일은 루트 권한이 있는 사용자 또는 사용자 그룹에서만 액세스할 수 있습니다.

규칙 메시지 로그

규칙 메시지 로그에는 각 규칙에 대해 허용 또는 거부된 트래픽 같은 모든 액세스 결정 사항이 포함됩니다(해당 규칙에 대한 로깅이 사용하도록 설정된 경우). 이러한 로그는 각 호스트의 /var/log/dfwpktlogs.log에 저장됩니다.

방화벽 로그 메시지의 예는 다음과 같습니다. 
 # more /var/log/dfwpktlogs.log
2015-03-10T03:22:22.671Z INET match DROP domain-c7/1002 IN 242 UDP 192.168.110.10/138->192.168.110.255/138

# more /var/log/dfwpktlogs.log
2017-04-11T21:09:59.877Z ESXi_FQDN dfwpktlogs: 50047 INET TERM domain-c1/1001 IN TCP RST 10.1.2.3/33491->10.4.5.6/10001 22/14 7684/1070

자세한 예: 

2017-10-19T22:38:05.586Z 58734 INET match PASS domain-c8/1006 OUT 84 ICMP 172.18.8.121->172.18.8.119 RULE_TAG
2017-10-19T22:38:08.723Z 58734 INET match PASS domain-c8/1006 OUT 60 TCP 172.18.8.121/36485->172.18.8.119/22 S RULE_TAG
2017-10-19T22:38:18.785Z 58734 INET TERM domain-c8/1006 OUT ICMP 8 0 172.18.8.121->172.18.8.119 2/2 168/168 RULE_TAG
2017-10-19T22:38:20.789Z 58734 INET TERM domain-c8/1006 OUT TCP FIN 172.18.8.121/36484->172.18.8.119/22 44/33 4965/5009 RULE_TAG
다음 예에서 각각의 의미는 다음과 같습니다.
  • 1002는 분산 방화벽 규칙 ID입니다.
  • domain-c7은 vCenter MOB(Managed Object Browser)에서의 클러스터 ID입니다.
  • 192.168.110.10/138은 소스 IP 주소입니다.
  • 192.168.110.255/138은 대상 IP 주소입니다.
  • RULE_TAG는 방화벽 규칙을 추가 또는 편집하는 동안 태그 (Tag) 텍스트 상자에 추가하는 텍스트의 예입니다.
다음 예에서는 192.168.110.10에서 172.16.10.12로의 ping 결과를 보여 줍니다. 
 # tail -f /var/log/dfwpktlogs.log | grep 192.168.110.10

2015-03-10T03:20:31.274Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12
2015-03-10T03:20:35.794Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12

다음 표에서는 방화벽 로그 메시지의 텍스트 상자에 대해 설명합니다.

표 2. 로그 파일 항목의 구성 요소
구성 요소 예제 값
타임 스탬프 2017-04-11T21:09:59
방화벽 관련 부분 877Z ESXi_FQDN dfwpktlogs: 50047 INET TERM domain-c1/1001 IN TCP RST 10.1.2.3/33491->10.4.5.6/10001 22/14 7684/1070
표 3. 로그 파일 항목의 방화벽 특정 부분
엔티티 가능한 값
필터 해시 필터 이름 및 기타 정보를 가져오는 데 사용할 수 있는 숫자입니다.
AF 값 INET, INET6
이유
  • match: 패킷이 규칙과 일치하는지 확인합니다.
  • bad-offset: 패킷을 가져오는 동안 데이터 경로 내부 오류가 발생했습니다.
  • fragment: 첫 번째 조각으로 어셈블된 후 첫 번째가 아닌 조각입니다.
  • short: 패킷이 너무 짧습니다(예를 들어 IP 헤더 또는 TCP/UDP 헤더를 포함하는 데 완전하지 않은 경우도 포함).
  • normalize: 올바른 헤더 또는 페이로드가 없는 잘못된 형식의 패킷입니다.
  • memory: 데이터 경로의 메모리가 부족합니다.
  • bad-timestamp: 잘못된 TCP 타임 스탬프입니다.
  • proto cksum: 잘못된 프로토콜 체크섬입니다.
  • state-mismatch: TCP 상태 시스템 확인을 통과하지 못한 TCP 패킷입니다.
  • state-insert: 중복된 연결이 발견되었습니다.
  • state-limit: 데이터 경로에서 추적할 수 있는 최대 상태 수에 도달했습니다.
  • SpoofGuard: SpoofGuard에서 패킷을 삭제했습니다.
  • TERM: 연결이 종료됩니다.
작업
  • PASS: 패킷을 수락합니다.
  • DROP: 패킷을 삭제합니다.
  • NAT: SNAT 규칙입니다.
  • NONAT: SNAT 규칙과 일치하는 항목을 찾았으나 주소를 변환할 수 없습니다.
  • RDR: DNAT 규칙입니다.
  • NORDR: DNAT 규칙과 일치하는 항목을 찾았으나 주소를 변환할 수 없습니다.
  • PUNT: 현재 VM의 동일한 하이퍼바이저에서 실행되는 서비스 VM으로 패킷을 보냅니다.
  • REDIRECT: 현재 VM의 하이퍼바이저 외부에서 실행되는 네트워크 서비스에 패킷을 보냅니다.
  • COPY: 패킷을 수락하고 현재 VM의 동일한 하이퍼바이저에서 실행되는 서비스 VM을 복사합니다.
  • REJECT: 패킷을 거부합니다.
규칙 집합 및 규칙 ID 규칙 집합/규칙 ID
방향 IN, OUT
패킷 길이 길이
프로토콜 TCP, UDP, ICMP 또는 PROTO(프로토콜 번호)

TCP 연결의 경우 연결이 종료되는 실제 이유는 키워드 TCP 다음에 표시됩니다.

TERM이 TCP 세션의 원인인 경우 PROTO 행에 추가 설명이 표시됩니다. TCP 연결 종료의 가능한 원인에는 RST(TCP RST 패킷), FIN(FIN TCP 패킷) 및 TIMEOUT(너무 오랫동안 유휴 상태임)이 포함됩니다.

위 예제에서는 RST입니다. 따라서 재설정해야 하는 연결에 RST 패킷이 있음을 의미합니다.

TCP 이외의 연결(UDP, ICMP 또는 다른 프로토콜)에서는 연결 종료 이유가 TIMEOUT뿐입니다.

소스 IP 주소 및 포트 IP 주소/포트
대상 IP 주소 및 포트 IP 주소/포트
TCP 플래그 S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET)
패킷 수 패킷의 수입니다.

22/14 - 수신 패킷/송신 패킷

바이트 수 바이트의 수입니다.

7684/1070 - 수신 바이트/송신 바이트

규칙 메시지를 사용하도록 설정하려면 vSphere Web Client에 로그인합니다.
  1. 네트워킹 및 보안 (Networking & Security) > 보안 (Security) > 방화벽 (Firewall)으로 이동합니다.
  2. 일반 (General) 탭으로 이동합니다.
  3. 로깅을 사용하도록 설정합니다.
    NSX 버전 절차
    NSX 6.4.1 이상 추가 (More)>사용 (Enable)>규칙 로그 사용 (Enable Rule Logs)을 클릭합니다.
    NSX 6.4.0
    1. 페이지에서 로그 (Log) 열을 사용하도록 설정합니다.
    2. [로그] 테이블 셀 위로 마우스를 이동하고 연필 아이콘을 클릭하여 로깅을 사용하도록 규칙을 설정합니다.
참고: 사용자 지정된 텍스트를 방화벽 로그 메시지에 표시하려는 경우 태그 (Tag) 열을 사용하도록 설정하고 연필 아이콘을 클릭하여 필요한 텍스트를 추가할 수 있습니다.

감사 및 시스템 이벤트 로그

감사 로그에는 관리 로그 및 분산 방화벽 구성 변경 사항이 포함됩니다. 이 로그는 /home/secureall/secureall/logs/vsm.log에 저장됩니다.

시스템 이벤트 로그에는 적용된 분산 방화벽 구성, 생성 또는 삭제되거나 실패한 필터, 보안 그룹에 추가된 가상 시스템 등이 포함됩니다. 이러한 로그는 /home/secureall/secureall/logs/vsm.log에 저장됩니다.

vSphere Web Client에서 감사 및 시스템 이벤트 로그를 보려면 네트워킹 및 보안 (Networking & Security) > 시스템 (System) > 이벤트 (Events)로 이동합니다. 모니터링 (Monitor) 탭에서 NSX Manager의 IP 주소를 선택합니다.