분산 방화벽 패킷 로그

로깅이 방화벽 규칙에 대해 사용되도록 설정된 경우 문제를 해결하기 위해 방화벽 패킷 로그를 살펴볼 수 있습니다.

로그 파일은 ESXi 호스트와 KVM 호스트에 대해 /var/log/dfwpktlogs.log입니다.

표 1. 방화벽 로그 파일 변수
변수	가능한 값
필터 해시	필터 이름 및 기타 정보를 가져오는 데 사용할 수 있는 숫자입니다.
AF 값	INET, INET6
이유	match: 패킷이 규칙과 일치하는지 확인합니다. bad-offset: 패킷을 가져오는 동안 데이터 경로 내부 오류가 발생했습니다. fragment: 첫 번째 조각으로 어셈블된 후 첫 번째가 아닌 조각입니다. short: 패킷이 너무 짧습니다(예를 들어 IP 헤더 또는 TCP/UDP 헤더를 포함하는 데 완전하지 않은 경우도 포함). normalize: 올바른 헤더 또는 페이로드가 없는 잘못된 형식의 패킷입니다. memory: 데이터 경로의 메모리가 부족합니다. bad-timestamp: 잘못된 TCP 타임 스탬프입니다. proto cksum: 잘못된 프로토콜 체크섬입니다. state-mismatch: TCP 상태 시스템 확인을 통과하지 못한 TCP 패킷입니다. state-insert: 중복된 연결이 발견되었습니다. state-limit: 데이터 경로에서 추적할 수 있는 최대 상태 수에 도달했습니다. SpoofGuard: SpoofGuard에서 패킷을 삭제했습니다. TERM: 연결이 종료됩니다.
작업	PASS: 패킷을 수락합니다. DROP: 패킷을 삭제합니다. NAT: SNAT 규칙입니다. NONAT: SNAT 규칙과 일치하는 항목을 찾았으나 주소를 변환할 수 없습니다. RDR: DNAT 규칙입니다. NORDR: DNAT 규칙과 일치하는 항목을 찾았으나 주소를 변환할 수 없습니다. PUNT: 현재 VM의 동일한 하이퍼바이저에서 실행되는 서비스 VM으로 패킷을 보냅니다. REDIRECT: 현재 VM의 하이퍼바이저 외부에서 실행되는 네트워크 서비스에 패킷을 보냅니다. COPY: 패킷을 수락하고 현재 VM의 동일한 하이퍼바이저에서 실행되는 서비스 VM을 복사합니다. REJECT: 패킷을 거부합니다.
규칙 집합 및 규칙 ID	`규칙 집합`/`규칙 ID`
방향	IN, OUT
패킷 길이	`길이`
프로토콜	TCP, UDP, ICMP 또는 PROTO(프로토콜 번호) TCP 연결의 경우 연결이 종료되는 실제 이유는 키워드 TCP 다음에 표시됩니다. TERM이 TCP 세션의 원인인 경우 PROTO 행에 추가 설명이 표시됩니다. TCP 연결 종료의 가능한 원인에는 RST(TCP RST 패킷), FIN(FIN TCP 패킷) 및 TIMEOUT(너무 오랫동안 유휴 상태임)이 포함됩니다. 위 예제에서는 `RST`입니다. 따라서 재설정해야 하는 연결에 `RST` 패킷이 있음을 의미합니다. TCP 이외의 연결(UDP, ICMP 또는 다른 프로토콜)에서는 연결 종료 이유가 TIMEOUT뿐입니다.
소스 IP 주소 및 포트	`IP 주소`/`포트`
대상 IP 주소 및 포트	`IP 주소`/`포트`
TCP 플래그	S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET)
패킷 수	패킷의 수입니다. 22/14 - 수신 패킷/송신 패킷
바이트 수	바이트의 수입니다. 7684/1070 - 수신 바이트/송신 바이트

다음은 분산 방화벽 규칙에 대한 일반 로그 샘플입니다.

2018-07-03T19:44:09.749Z b6507827 INET match PASS mainrs/1024 IN 52 TCP 192.168.4.3/49627->192.168.4.4/49153 SEW

2018-07-03T19:46:02.338Z 7396c504 INET match DROP mainrs/1024 OUT 52 TCP 192.168.4.3/49676->192.168.4.4/135 SEW

2018-07-06T18:15:49.647Z 028cd586 INET match DROP mainrs/1027 IN 36 PROTO 2 0.0.0.0->224.0.0.1

2018-07-06T18:19:54.764Z 028cd586 INET6 match DROP mainrs/1027 OUT 143 UDP fe80:0:0:0:68c2:8472:2364:9be/546->ff02:0:0:0:0:0:1:2/547

DFW 로그 파일 형식의 요소에는 공백으로 구분된 다음 항목이 포함됩니다.

타임 스탬프:
인터페이스의 VIF ID의 마지막 8자리 숫자
INET 유형(v4 또는 v6)
이유(일치)
작업(PASS, DROP, REJECT)
규칙 집합 이름/규칙 ID
패킷 방향(IN/OUT)
패킷 크기
프로토콜(TCP, UDP 또는 PROTO #)
netx 규칙 적중에 대한 SVM 방향
소스 IP 주소/소스 포트>대상 IP 주소/대상 포트
TCP 플래그(SEW)

통과한 TCP 패킷의 경우 세션이 종료되면 종료 로그가 생성합니다.

2018-07-03T19:44:30.585Z 7396c504 INET TERM mainrs/1024 OUT TCP RST 192.168.4.3/49627->192.168.4.4/49153 20/16 1718/76308

TCP 종료 로그의 요소에는 공백으로 구분된 다음 항목이 포함됩니다.

타임 스탬프:
인터페이스 VIF ID의 마지막 8자리 숫자
INET 유형(v4 또는 v6)
작업(TERM)
규칙 집합 이름/규칙 ID
패킷 방향(IN/OUT)
프로토콜(TCP, UDP 또는 PROTO #)
TCP RST 플래그
netx 규칙 적중에 대한 SVM 방향
소스 IP 주소/소스 포트>대상 IP 주소/대상 포트
IN 패킷 수/OUT 패킷 수(모두 누적됨)
IN 패킷 크기/OUT 패킷 크기

다음은 분산 방화벽 규칙에 대한 FQDN 로그 파일 예입니다.

2019-01-15T00:34:45.903Z 7c607b29 INET match PASS 1031 OUT 48 TCP 10.172.178.226/32808->23.72.199.234/80 S www.sway.com(034fe78d-5857-0680-81e4-d8da6b28d1b4)

FQDN 로그의 요소에는 공백으로 구분된 다음 항목이 포함됩니다.

타임 스탬프:
인터페이스의 VIF ID의 마지막 8자리 숫자
INET 유형(v4 또는 v6)
이유(일치)
작업(PASS, DROP, REJECT)
규칙 집합 이름/규칙 ID
패킷 방향(IN/OUT)
패킷 크기
프로토콜(TCP, UDP 또는 PROTO #) - TCP 연결의 경우 연결이 종료되는 실제 이유는 다음 IP 주소 뒤에 표시됩니다.
소스 IP 주소/소스 포트>대상 IP 주소/대상 포트
TCP 플래그 - S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET
도메인 이름/UUID. 여기서 UUID는 도메인 이름의 바이너리 내부 표현입니다.

다음은 분산 방화벽 규칙에 대한 계층 7 로그 파일 샘플입니다.

2019-01-15T00:35:07.221Z 82f365ae INET match REJECT 1034 OUT 48 TCP 10.172.179.6/49818->23.214.173.202/80 S APP_HTTP

2019-01-15T00:34:46.486Z 7c607b29 INET match PASS 1030 OUT 48 UDP 10.172.178.226/42035->10.172.40.1/53 APP_DNS

계층 7 로그의 요소에는 공백으로 구분된 다음 항목이 포함됩니다.

타임 스탬프:
인터페이스의 VIF ID의 마지막 8자리 숫자
INET 유형(v4 또는 v6)
이유(일치)
작업(PASS, DROP, REJECT)
규칙 집합 이름/규칙 ID
패킷 방향(IN/OUT)
패킷 크기
프로토콜(TCP, UDP 또는 PROTO #) - TCP 연결의 경우 연결이 종료되는 실제 이유는 다음 IP 주소 뒤에 표시됩니다.
소스 IP 주소/소스 포트>대상 IP 주소/대상 포트
TCP 플래그 - S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET
APP_XXX는 검색된 애플리케이션입니다.