Descreve o formato de mensagem syslog para registos de firewall com um exemplo.
Formato de mensagem syslog IETF (RFC 3164)
<%PRI%>%timegenerated% %HOSTNAME% %syslogtag%%msg
Segue-se uma amostra de uma mensagem syslog.
<158>Dec 17 07:21:16 b1-edge1 velocloud.sdwan: ACTION=VCF Open FW_POLICY_NAME=test SID=0000012278 SEGMENT_NAME=Global Segment IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3
A mensagem tem as seguintes partes:
- Prioridade – Instalação * 8 + Gravidade (local3 e informação) – 158
- Data – 17 dez
- Hora – 07:21:16
- Nome do anfitrião – b1-edge1
- Etiqueta syslog - velocloud.sdwan
- Mensagem - ACTION=VCF Open FW_POLICY_NAME=test SID=0000012278 SEGMENT_NAME=Global Segment IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3
O
VMware suporta as seguintes mensagens de registo de firewall:
- Com o firewall com estado ativado:
- Aberto – A sessão de fluxo de tráfego já começou.
- Fechado – A sessão de fluxo de tráfego terminou devido ao tempo limite da sessão ou a sessão é descarregada através do Orchestrator.
- Recusar – Se a sessão corresponder à regra Recusar, será apresentada a mensagem de registo Recusar (Deny) e o pacote será retirado. No caso de TCP, a reposição será enviada para a origem.
- Atualizar – Para todas as sessões em curso, será apresentada a mensagem de registo de atualizar se a regra de firewall for adicionada ou modificada através do Orchestrator.
- Com a firewall com estado desativada:
- Permitir
- Recusar
Campo | Descrição |
---|---|
FW_POLICY_NAME | O nome da política de firewall aplicada à sessão. |
SID | O número de identificação exclusivo aplicado a cada sessão. |
SVLAN | O ID de VLAN do dispositivo de origem. |
DVLAN | O ID de VLAN do dispositivo de destino. |
SEGMENT_NAME | O nome do segmento ao qual pertence a sessão. |
ENTRADA (IN) | O nome da interface em que foi recebido o primeiro pacote da sessão. No caso de pacotes de overlay recebidos, este campo apresentará VPN. Para quaisquer outros pacotes (recebidos através de underlay), este campo apresentará o nome da interface no Edge. |
PROTO | O tipo de protocolo de IP utilizado pela sessão. Os valores possíveis são TCP, UDP, GRE, ESP e ICMP. |
SRC | O endereço IP de origem da sessão em notação decimal separada por pontos. |
DST | O endereço IP de destino da sessão em notação decimal separada por pontos. |
SPT | O número da porta de origem da sessão. Este campo só será aplicável se o transporte de underlay for UDP/TCP. |
DPT | O número da porta de destino da sessão. Este campo só será aplicável se o transporte de underlay for UDP/TCP. |
DEST_NAME | O nome do dispositivo de extremidade remota da sessão. Os valores possíveis são:
|
NAT_SRC | O endereço IP de origem utilizado para a origem que realiza o NAT do tráfego de Internet direto. |
NAT_SPT | A porta de origem utilizada para realizar o PAT do tráfego de Internet direto. |
APLICAÇÃO (APPLICATION) | O nome de aplicação para o qual a sessão foi classificada pelo motor DPI. Este campo só está disponível para mensagens de registo Fechar. |
BYTES_ENVIADOS (BYTES_SENT) | A quantidade de dados enviados em bytes na sessão. Este campo só está disponível para mensagens de registo Fechar. |
BYTES_RECEBIDOS (BYTES_RECEIVED) | A quantidade de dados recebidos em bytes na sessão. Este campo só está disponível para mensagens de registo Fechar. |
DURAÇÃO_SEG (DURATION_SECS) | O período durante o qual a sessão tem estado ativa. Este campo só está disponível para mensagens de registo Fechar. |
MOTIVO (REASON) | O motivo do encerramento ou recusa da sessão. Os valores possíveis são:
|