說明防火牆記錄的 Syslog 訊息格式,並提供範例。
IETF Syslog 訊息格式 (RFC 3164)
<%PRI%>%timegenerated% %HOSTNAME% %syslogtag%%msg
以下是 Syslog 訊息的範例。
<158>Dec 17 07:21:16 b1-edge1 velocloud.sdwan: ACTION=VCF Open FW_POLICY_NAME=test SID=0000012278 SEGMENT_NAME=Global Segment IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3
該訊息包含下列部分:
- 優先順序 - 設施 * 8 + 嚴重性 (local3 & info) - 158
- 日期 - Dec 17
- 時間 - 07:21:16
- 主機名稱 - b1-edge1
- Syslog 標籤 - velocloud.sdwan
- Message - ACTION=VCF Open FW_POLICY_NAME=test SID=0000012278 SEGMENT_NAME=Global Segment IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3
VMware 支援下列防火牆記錄訊息:
- 啟用可設定狀態的防火牆:
- 開啟 (Open) - 流量工作階段已啟動。
- 關閉 (Close) - 由於工作階段逾時或透過 Orchestrator 排清工作階段,流量工作階段已結束。
- 拒絕 (Deny) - 如果工作階段符合拒絕規則,則會出現拒絕記錄訊息,並且會捨棄封包。在此情況下的 TCP,重設將會傳送至來源。
- 更新 (Update) - 對於所有進行中的工作階段,如果透過 Orchestrator 新增或修改防火牆規則,則會顯示更新記錄訊息。
- 停用可設定狀態的防火牆:
- 允許
- 拒絕
欄位 | 說明 |
---|---|
FW_POLICY_NAME | 套用至工作階段的防火牆原則名稱。 |
SID | 套用至每個工作階段的唯一識別編號。 |
SVLAN | 來源裝置的 VLAN 識別碼。 |
DVLAN | 目的地裝置的 VLAN 識別碼。 |
SEGMENT_NAME | 工作階段所屬區段的名稱。 |
傳入 | 已接收工作階段之第一個封包的介面名稱。如果是覆疊接收的封包,此欄位將包含 VPN。若是任何其他封包 (透過底層接收),此欄位將顯示 Edge 中的介面名稱。 |
PROTO | 工作階段所使用的 IP 通訊協定類型。可能的值包括 TCP、UDP、GRE、ESP 和 ICMP。 |
SRC | 工作階段的來源 IP 位址 (採用小數點十進位表示法)。 |
DST | 工作階段的目的地 IP 位址 (採用小數點十進位表示法)。 |
SPT | 工作階段的來源連接埠號碼。只有在基礎傳輸為 UDP/TCP 時,此欄位才適用。 |
DPT | 工作階段的目的地連接埠號碼。只有在基礎傳輸為 UDP/TCP 時,此欄位才適用。 |
DEST_NAME | 工作階段的遠端裝置名稱。可能的值為:
|
NAT_SRC | 用於將直接網際網路流量進行來源 NAT 的來源 IP 位址。 |
NAT_SPT | 用於將直接網際網路流量進行 PAT 的來源連接埠。 |
APPLICATION | 工作階段被 DPI 引擎分類到的應用程式名稱。此欄位僅適用於「關閉」記錄訊息。 |
BYTES_SENT | 工作階段中傳送的資料量 (以位元組為單位)。此欄位僅適用於「關閉」記錄訊息。 |
BYTES_RECEIVED | 工作階段中接收的資料量 (以位元組為單位)。此欄位僅適用於「關閉」記錄訊息。 |
DURATION_SECS | 工作階段處於作用中狀態的持續時間。此欄位僅適用於「關閉」記錄訊息。 |
REASON | 結束或拒絕工作階段的原因。可能的值為:
|