방화벽 로그의 Syslog 메시지 형식을 예제와 함께 설명합니다.
IETF Syslog 메시지 형식(RFC 3164)
<%PRI%>%timegenerated% %HOSTNAME% %syslogtag%%msg
다음은 샘플 syslog 메시지입니다.
<158>Dec 17 07:21:16 b1-edge1 velocloud.sdwan: ACTION=VCF Deny SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x TYPE=8 FW_POLICY_NAME=test SEGMENT_NAME=Global Segment
메시지는 다음과 같은 부분으로 구성됩니다.
- 우선순위 - 기능 * 8 + 심각도(local3 및 정보) - 158
- 날짜 - Dec 17
- 시간 - 07:21:16
- 호스트 이름 - b1-edge1
- Syslog 태그 - velocloud.sdwan
- Message - ACTION=VCF Deny SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x TYPE=8 FW_POLICY_NAME=test SEGMENT_NAME=Global Segment
VMware은 다음과 같은 방화벽 로그 메시지를 지원합니다.
- 상태 저장 방화벽 사용:
- 열기(Open) - 트래픽 흐름 세션이 시작되었습니다.
- 닫기(Close) - 세션 시간 초과로 인해 트래픽 흐름 세션이 종료되었거나, Orchestrator를 통해 세션이 플러시되었습니다.
- 거부(Deny) - 세션이 거부 규칙과 일치하는 경우 거부 로그 메시지가 표시되고 패킷이 삭제됩니다. TCP의 경우 재설정이 소스에 전송됩니다.
- 업데이트(Update) - 진행 중인 모든 세션에 대해 방화벽 규칙을 Orchestrator를 통해 추가하거나 수정하는 경우 업데이트 로그 메시지가 표시됩니다.
- 상태 저장 방화벽 비활성화:
- 허용
- 거부
필드 | 설명 |
---|---|
SID | 각 세션에 적용되는 고유 ID 번호입니다. |
SVLAN | 소스 디바이스의 VLAN ID입니다. |
DVLAN | 대상 디바이스의 VLAN ID입니다. |
IN | 세션의 첫 번째 패킷이 수신된 인터페이스의 이름입니다. 오버레이 수신 패킷의 경우 이 필드에는 VPN이 포함됩니다. 언더레이를 통해 수신되는 다른 패킷의 경우 이 필드에는 Edge의 인터페이스 이름이 표시됩니다. |
PROTO | 세션에서 사용하는 IP 프로토콜 유형입니다. 가능한 값은 TCP, UDP, GRE, ESP 및 ICMP입니다. |
SRC | 점으로 구분된 십진수 표기법으로 표시되는 세션의 소스 IP 주소입니다. |
DST | 점으로 구분된 십진수 표기법으로 표시되는 세션의 대상 IP 주소입니다. |
유형 | ICMP 메시지의 유형입니다.
참고:
널리 사용되는 중요한 ICMP 유형 몇 가지는 다음과 같습니다.
Type 매개 변수는 ICMP 패킷을 대상으로만 로그에 나타납니다.
ICMP 메시지 유형의 전체 목록은 ICMP 매개 변수 유형을 참조하십시오. |
SPT | 세션의 소스 포트 번호입니다. 이 필드는 언더레이 전송이 UDP/TCP인 경우에만 적용됩니다. |
DPT | 세션의 대상 포트 번호입니다. 이 필드는 언더레이 전송이 UDP/TCP인 경우에만 적용됩니다. |
FW_POLICY_NAME | 세션에 적용된 방화벽 정책의 이름입니다. |
SEGMENT_NAME | 세션이 속하는 세그먼트의 이름입니다. |
DEST_NAME | 세션의 원격 종료 디바이스 이름입니다. 가능한 값은 다음과 같습니다.
|
NAT_SRC | 직접 인터넷 트래픽을 NAT하는 소스에 사용되는 소스 IP 주소입니다. |
NAT_SPT | 직접 인터넷 트래픽을 PAT하는 데 사용되는 소스 포트입니다. |
APPLICATION | 세션이 DPI 엔진으로 분류된 애플리케이션 이름입니다. 이 필드는 종료 로그 메시지에만 사용할 수 있습니다. |
BYTES_SENT | 세션에서 전송된 데이터의 크기(바이트)입니다. 이 필드는 종료 로그 메시지에만 사용할 수 있습니다. |
BYTES_RECEIVED | 세션에서 수신된 데이터의 크기(바이트)입니다. 이 필드는 종료 로그 메시지에만 사용할 수 있습니다. |
DURATION_SECS | 세션이 활성 상태에 있는 기간입니다. 이 필드는 종료 로그 메시지에만 사용할 수 있습니다. |
REASON | 세션의 종료 또는 거부 이유입니다. 가능한 값은 다음과 같습니다.
|