방화벽 로그의 Syslog 메시지 형식을 예제와 함께 설명합니다.

IETF Syslog 메시지 형식(RFC 3164)

<%PRI%>%timegenerated% %HOSTNAME% %syslogtag%%msg

다음은 샘플 syslog 메시지입니다.

<158>Dec 17 07:21:16 b1-edge1 velocloud.sdwan: ACTION=VCF Deny SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x TYPE=8 FW_POLICY_NAME=test SEGMENT_NAME=Global Segment
메시지는 다음과 같은 부분으로 구성됩니다.
  • 우선순위 - 기능 * 8 + 심각도(local3 및 정보) - 158
  • 날짜 - Dec 17
  • 시간 - 07:21:16
  • 호스트 이름 - b1-edge1
  • Syslog 태그 - velocloud.sdwan
  • Message - ACTION=VCF Deny SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x TYPE=8 FW_POLICY_NAME=test SEGMENT_NAME=Global Segment
VMware은 다음과 같은 방화벽 로그 메시지를 지원합니다.
  • 상태 저장 방화벽 사용:
    • 열기(Open) - 트래픽 흐름 세션이 시작되었습니다.
    • 닫기(Close) - 세션 시간 초과로 인해 트래픽 흐름 세션이 종료되었거나, Orchestrator를 통해 세션이 플러시되었습니다.
    • 거부(Deny) - 세션이 거부 규칙과 일치하는 경우 거부 로그 메시지가 표시되고 패킷이 삭제됩니다. TCP의 경우 재설정이 소스에 전송됩니다.
    • 업데이트(Update) - 진행 중인 모든 세션에 대해 방화벽 규칙을 Orchestrator를 통해 추가하거나 수정하는 경우 업데이트 로그 메시지가 표시됩니다.
  • 상태 저장 방화벽 비활성화:
    • 허용(Allow)
    • 거부
표 1. 방화벽 로그 메시지 필드
필드 설명
SID 각 세션에 적용되는 고유 ID 번호입니다.
SVLAN 소스 디바이스의 VLAN ID입니다.
DVLAN 대상 디바이스의 VLAN ID입니다.
IN 세션의 첫 번째 패킷이 수신된 인터페이스의 이름입니다. 오버레이 수신 패킷의 경우 이 필드에는 VPN이 포함됩니다. 언더레이를 통해 수신되는 다른 패킷의 경우 이 필드에는 Edge의 인터페이스 이름이 표시됩니다.
PROTO 세션에서 사용하는 IP 프로토콜 유형입니다. 가능한 값은 TCP, UDP, GRE, ESP 및 ICMP입니다.
SRC 점으로 구분된 십진수 표기법으로 표시되는 세션의 소스 IP 주소입니다.
DST 점으로 구분된 십진수 표기법으로 표시되는 세션의 대상 IP 주소입니다.
유형 ICMP 메시지의 유형입니다.
참고: Type 매개 변수는 ICMP 패킷을 대상으로만 로그에 나타납니다.
널리 사용되는 중요한 ICMP 유형 몇 가지는 다음과 같습니다.
  • 에코 응답(0)
  • 에코 요청(8)
  • 리디렉션(5)
  • 대상 연결 불가(3)
  • Traceroute(30)
  • 시간 초과됨(11)

ICMP 메시지 유형의 전체 목록은 ICMP 매개 변수 유형을 참조하십시오.

SPT 세션의 소스 포트 번호입니다. 이 필드는 언더레이 전송이 UDP/TCP인 경우에만 적용됩니다.
DPT 세션의 대상 포트 번호입니다. 이 필드는 언더레이 전송이 UDP/TCP인 경우에만 적용됩니다.
FW_POLICY_NAME 세션에 적용된 방화벽 정책의 이름입니다.
SEGMENT_NAME 세션이 속하는 세그먼트의 이름입니다.
DEST_NAME 세션의 원격 종료 디바이스 이름입니다. 가능한 값은 다음과 같습니다.
  • CSS-백홀- Edge에서 클라우드 보안 서비스로 향하는 트래픽에 해당합니다.
  • Internet-via-<egress-iface-name> - 비즈니스 정책을 사용하여 Edge에서 직접 이동하는 클라우드 트래픽에 해당합니다.
  • Internet-BH-via-<백홀 허브 이름> - 비즈니스 정책을 사용하여 백홀 허브를 통해 인터넷으로 이동하는 클라우드 바인딩 트래픽에 해당합니다.
  • <원격 Edge 이름>-via-Hub - 허브를 통과해서 흐르는 VPN 트래픽에 해당합니다.
  • <원격 Edge 이름>-via-DE2E - 직접 VCMP 터널을 통해 Edge 간 흐르는 VPN 트래픽에 해당합니다.
  • <원격 Edge 이름>-via-Gateway - 클라우드 게이트웨이를 통과해서 흐르는 VPN 트래픽에 해당합니다.
  • NVS-via-<게이트웨이 이름> - 클라우드 게이트웨이를 통과해서 흐르는 비 SD-WAN 대상 트래픽에 해당합니다.
  • Internet-via-<게이트웨이 이름> - 클라우드 게이트웨이를 통과해서 흐르는 인터넷 트래픽에 해당합니다.
NAT_SRC 직접 인터넷 트래픽을 NET하는 소스에 사용되는 소스 IP 주소입니다.
NAT_SPT 직접 인터넷 트래픽을 PAT하는 데 사용되는 소스 포트입니다.
APPLICATION 세션이 DPI 엔진으로 분류된 애플리케이션 이름입니다. 이 필드는 종료 로그 메시지에만 사용할 수 있습니다.
BYTES_SENT 세션에서 전송된 데이터의 크기(바이트)입니다. 이 필드는 종료 로그 메시지에만 사용할 수 있습니다.
BYTES_RECEIVED 세션에서 수신된 데이터의 크기(바이트)입니다. 이 필드는 종료 로그 메시지에만 사용할 수 있습니다.
DURATION_SECS 세션이 활성 상태에 있는 기간입니다. 이 필드는 종료 로그 메시지에만 사용할 수 있습니다.
REASON 세션의 종료 또는 거부 이유입니다. 가능한 값은 다음과 같습니다.
  • 상태 위반
  • 재설정
  • 제거됨
  • 오래됨
  • Fin-수신
  • RST-수신
  • 오류
이 필드는 종료 및 거부 로그 메시지에 사용할 수 있습니다.