로깅이 방화벽 규칙에 대해 사용되도록 설정된 경우 문제를 해결하기 위해 방화벽 패킷 로그를 살펴볼 수 있습니다.
로그 파일은 ESXi 호스트와 KVM 호스트에 대해 /var/log/dfwpktlogs.log입니다.
변수 | 가능한 값 |
---|---|
필터 해시 | 필터 이름 및 기타 정보를 가져오는 데 사용할 수 있는 숫자입니다. |
AF 값 | INET, INET6 |
이유 |
|
작업 |
|
규칙 집합 및 규칙 ID | 규칙 집합/규칙 ID |
방향 | IN, OUT |
패킷 길이 | 길이 |
프로토콜 | TCP, UDP, ICMP 또는 PROTO(프로토콜 번호) TCP 연결의 경우 연결이 종료되는 실제 이유는 키워드 TCP 다음에 표시됩니다. TERM이 TCP 세션의 원인인 경우 PROTO 행에 추가 설명이 표시됩니다. TCP 연결 종료의 가능한 원인에는 RST(TCP RST 패킷), FIN(FIN TCP 패킷) 및 TIMEOUT(너무 오랫동안 유휴 상태임)이 포함됩니다. 위 예제에서는 RST입니다. 따라서 재설정해야 하는 연결에 RST 패킷이 있음을 의미합니다. TCP 이외의 연결(UDP, ICMP 또는 다른 프로토콜)에서는 연결 종료 이유가 TIMEOUT뿐입니다. |
소스 IP 주소 및 포트 | IP 주소/포트 |
대상 IP 주소 및 포트 | IP 주소/포트 |
TCP 플래그 | S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET) |
패킷 수 | 패킷의 수입니다. 22/14 - 수신 패킷/송신 패킷 |
바이트 수 | 바이트의 수입니다. 7684/1070 - 수신 바이트/송신 바이트 |
다음은 분산 방화벽 규칙에 대한 일반 로그 샘플입니다.
2018-07-03T19:44:09.749Z b6507827 INET match PASS mainrs/1024 IN 52 TCP 192.168.4.3/49627->192.168.4.4/49153 SEW 2018-07-03T19:46:02.338Z 7396c504 INET match DROP mainrs/1024 OUT 52 TCP 192.168.4.3/49676->192.168.4.4/135 SEW 2018-07-06T18:15:49.647Z 028cd586 INET match DROP mainrs/1027 IN 36 PROTO 2 0.0.0.0->224.0.0.1 2018-07-06T18:19:54.764Z 028cd586 INET6 match DROP mainrs/1027 OUT 143 UDP fe80:0:0:0:68c2:8472:2364:9be/546->ff02:0:0:0:0:0:1:2/547DFW 로그 파일 형식의 요소에는 공백으로 구분된 다음 항목이 포함됩니다.
- 타임 스탬프:
- 인터페이스의 VIF ID의 마지막 8자리 숫자
- INET 유형(v4 또는 v6)
- 이유(일치)
- 작업(PASS, DROP, REJECT)
- 규칙 집합 이름/규칙 ID
- 패킷 방향(IN/OUT)
- 패킷 크기
- 프로토콜(TCP, UDP 또는 PROTO #)
- netx 규칙 적중에 대한 SVM 방향
- 소스 IP 주소/소스 포트>대상 IP 주소/대상 포트
- TCP 플래그(SEW)
통과한 TCP 패킷의 경우 세션이 종료되면 종료 로그가 생성합니다.
2018-07-03T19:44:30.585Z 7396c504 INET TERM mainrs/1024 OUT TCP RST 192.168.4.3/49627->192.168.4.4/49153 20/16 1718/76308
TCP 종료 로그의 요소에는 공백으로 구분된 다음 항목이 포함됩니다.
- 타임 스탬프:
- 인터페이스 VIF ID의 마지막 8자리 숫자
- INET 유형(v4 또는 v6)
- 작업(TERM)
- 규칙 집합 이름/규칙 ID
- 패킷 방향(IN/OUT)
- 프로토콜(TCP, UDP 또는 PROTO #)
- TCP RST 플래그
- netx 규칙 적중에 대한 SVM 방향
- 소스 IP 주소/소스 포트>대상 IP 주소/대상 포트
- IN 패킷 수/OUT 패킷 수(모두 누적됨)
- IN 패킷 크기/OUT 패킷 크기
다음은 분산 방화벽 규칙에 대한 FQDN 로그 파일 예입니다.
2019-01-15T00:34:45.903Z 7c607b29 INET match PASS 1031 OUT 48 TCP 10.172.178.226/32808->23.72.199.234/80 S www.sway.com(034fe78d-5857-0680-81e4-d8da6b28d1b4)
FQDN 로그의 요소에는 공백으로 구분된 다음 항목이 포함됩니다.
- 타임 스탬프:
- 인터페이스의 VIF ID의 마지막 8자리 숫자
- INET 유형(v4 또는 v6)
- 이유(일치)
- 작업(PASS, DROP, REJECT)
- 규칙 집합 이름/규칙 ID
- 패킷 방향(IN/OUT)
- 패킷 크기
- 프로토콜(TCP, UDP 또는 PROTO #) - TCP 연결의 경우 연결이 종료되는 실제 이유는 다음 IP 주소 뒤에 표시됩니다.
- 소스 IP 주소/소스 포트>대상 IP 주소/대상 포트
- TCP 플래그 - S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET
- 도메인 이름/UUID. 여기서 UUID는 도메인 이름의 바이너리 내부 표현입니다.
다음은 분산 방화벽 규칙에 대한 계층 7 로그 파일 샘플입니다.
2019-01-15T00:35:07.221Z 82f365ae INET match REJECT 1034 OUT 48 TCP 10.172.179.6/49818->23.214.173.202/80 S APP_HTTP 2019-01-15T00:34:46.486Z 7c607b29 INET match PASS 1030 OUT 48 UDP 10.172.178.226/42035->10.172.40.1/53 APP_DNS
계층 7 로그의 요소에는 공백으로 구분된 다음 항목이 포함됩니다.
- 타임 스탬프:
- 인터페이스의 VIF ID의 마지막 8자리 숫자
- INET 유형(v4 또는 v6)
- 이유(일치)
- 작업(PASS, DROP, REJECT)
- 규칙 집합 이름/규칙 ID
- 패킷 방향(IN/OUT)
- 패킷 크기
- 프로토콜(TCP, UDP 또는 PROTO #) - TCP 연결의 경우 연결이 종료되는 실제 이유는 다음 IP 주소 뒤에 표시됩니다.
- 소스 IP 주소/소스 포트>대상 IP 주소/대상 포트
- TCP 플래그 - S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET
- APP_XXX는 검색된 애플리케이션입니다.