Descreve o formato de mensagem syslog para registos de firewall com um exemplo.

Formato de mensagem syslog IETF (RFC 3164)

<%PRI%>%timegenerated% %HOSTNAME% %syslogtag%%msg

Segue-se uma amostra de uma mensagem syslog.

<158>Dec 17 07:21:16 b1-edge1 velocloud.sdwan: ACTION=VCF Deny SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x TYPE=8 FW_POLICY_NAME=test SEGMENT_NAME=Global Segment
A mensagem tem as seguintes partes:
  • Prioridade – Instalação * 8 + Gravidade (local3 e informação) – 158
  • Data – 17 dez
  • Hora – 07:21:16
  • Nome do anfitrião – b1-edge1
  • Etiqueta syslog - velocloud.sdwan
  • Mensagem – ACTION=VCF Deny SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x TYPE=8 FW_POLICY_NAME=test SEGMENT_NAME=Global Segment
O VMware suporta as seguintes mensagens de registo de firewall:
  • Com o firewall com estado ativado:
    • Aberto – A sessão de fluxo de tráfego já começou.
    • Fechado – A sessão de fluxo de tráfego terminou devido ao tempo limite da sessão ou a sessão é descarregada através do Orchestrator.
    • Recusar – Se a sessão corresponder à regra Recusar, será apresentada a mensagem de registo Recusar (Deny) e o pacote será retirado. No caso de TCP, a reposição será enviada para a origem.
    • Atualizar – Para todas as sessões em curso, será apresentada a mensagem de registo de atualizar se a regra de firewall for adicionada ou modificada através do Orchestrator.
  • Com a firewall com estado desativada:
    • Permitir
    • Recusar
Tabela 1. Campos de mensagem de registo de firewall
Campo Descrição
SID O número de identificação exclusivo aplicado a cada sessão.
SVLAN O ID de VLAN do dispositivo de origem.
DVLAN O ID de VLAN do dispositivo de destino.
ENTRADA (IN) O nome da interface em que foi recebido o primeiro pacote da sessão. No caso de pacotes de overlay recebidos, este campo apresentará VPN. Para quaisquer outros pacotes (recebidos através de underlay), este campo apresentará o nome da interface no Edge.
PROTO O tipo de protocolo de IP utilizado pela sessão. Os valores possíveis são TCP, UDP, GRE, ESP e ICMP.
SRC O endereço IP de origem da sessão em notação decimal separada por pontos.
DST O endereço IP de destino da sessão em notação decimal separada por pontos.
Tipo (Type) O tipo de mensagem ICMP.
Nota: O parâmetro Type é apresentado apenas nos registos para pacotes ICMP.
Alguns tipos de ICMP importantes que são amplamente utilizados incluem:
  • Resposta de eco (0)
  • Pedido de eco (8)
  • Redirecionamento (5)
  • Destino inalcançável (3)
  • Traceroute (30)
  • Tempo excedido (11)

Para obter uma lista completa dos tipos de mensagens ICMP, consulte Tipos de parâmetros ICMP.
SPT O número da porta de origem da sessão. Este campo só será aplicável se o transporte de underlay for UDP/TCP.
DPT O número da porta de destino da sessão. Este campo só será aplicável se o transporte de underlay for UDP/TCP.
FW_POLICY_NAME O nome da política de firewall aplicada à sessão.
SEGMENT_NAME O nome do segmento ao qual pertence a sessão.
DEST_NAME O nome do dispositivo de extremidade remota da sessão. Os valores possíveis são:
  • CSS-Backhaul – Para o tráfego destinado ao Serviço de Segurança na Cloud a partir do Edge.
  • Internet-via-<egress-iface-name> - Para o tráfego da cloud que vai diretamente do Edge utilizando a política empresarial.
  • Internet-BH-via-<nome do hub de backhaul> – Para o tráfego vinculado à cloud que vai para a Internet através do hub de backhaul utilizando a política empresarial.
  • <Nome do Edge remoto>-via-Hub – Para o tráfego VPN que flui através do Hub.
  • <Nome do Edge remoto>-via-DE2E – Para o tráfego VPN que flui entre os Edges através do túnel VCMP direto.
  • <Nome do Edge remoto>-via-gateway – Para o tráfego VPN que flui através do gateway de cloud.
  • NVS-via-<nome do gateway> – Para o tráfego de Destino Não-SD-WAN que flui através do gateway de cloud.
  • Internet-via-<nome do gateway> – Para o tráfego de Internet que flui através do gateway de cloud.
NAT_SRC O endereço IP de origem utilizado para obter a origem do tráfego de Internet direto.
NAT_SPT A porta de origem utilizada para realizar o PAT do tráfego de Internet direto.
APLICAÇÃO (APPLICATION) O nome de aplicação para o qual a sessão foi classificada pelo motor DPI. Este campo só está disponível para mensagens de registo Fechar.
BYTES_ENVIADOS (BYTES_SENT) A quantidade de dados enviados em bytes na sessão. Este campo só está disponível para mensagens de registo Fechar.
BYTES_RECEBIDOS (BYTES_RECEIVED) A quantidade de dados recebidos em bytes na sessão. Este campo só está disponível para mensagens de registo Fechar.
DURAÇÃO_SEG (DURATION_SECS) O período durante o qual a sessão tem estado ativa. Este campo só está disponível para mensagens de registo Fechar.
MOTIVO (REASON) O motivo do encerramento ou recusa da sessão. Os valores possíveis são:
  • Violação do estado
  • Repor
  • Removido
  • Eliminado por antiguidade
  • Fin-Recebido
  • RST-Recebido
  • Erro
Este campo está disponível para mensagens de registo Fechar e Recusar.