說明防火牆記錄的 Syslog 訊息格式,並提供範例。

IETF Syslog 訊息格式 (RFC 3164)

<%PRI%>%timegenerated% %HOSTNAME% %syslogtag%%msg

以下是 Syslog 訊息的範例。

<158>Dec 17 07:21:16 b1-edge1 velocloud.sdwan: ACTION=VCF Open FW_POLICY_NAME=test SID=0000012278 SEGMENT_NAME=Global Segment IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3
該訊息包含下列部分:
  • 優先順序 - 設施 * 8 + 嚴重性 (local3 & info) - 158
  • 日期 - Dec 17
  • 時間 - 07:21:16
  • 主機名稱 - b1-edge1
  • Syslog 標籤 - velocloud.sdwan
  • Message - ACTION=VCF Open FW_POLICY_NAME=test SID=0000012278 SEGMENT_NAME=Global Segment IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3
VMware 支援下列防火牆記錄訊息:
  • 啟用可設定狀態的防火牆:
    • 開啟 (Open) - 流量工作階段已啟動。
    • 關閉 (Close) - 由於工作階段逾時或透過 Orchestrator 排清工作階段,流量工作階段已結束。
    • 拒絕 (Deny) - 如果工作階段符合拒絕規則,則會出現拒絕記錄訊息,並且會捨棄封包。在此情況下的 TCP,重設將會傳送至來源。
    • 更新 (Update) - 對於所有進行中的工作階段,如果透過 Orchestrator 新增或修改防火牆規則,則會顯示更新記錄訊息。
  • 停用可設定狀態的防火牆:
    • 允許
    • 拒絕
表 1. 防火牆記錄訊息欄位
欄位 說明
FW_POLICY_NAME 套用至工作階段的防火牆原則名稱。
SID 套用至每個工作階段的唯一識別編號。
SVLAN 來源裝置的 VLAN 識別碼。
DVLAN 目的地裝置的 VLAN 識別碼。
SEGMENT_NAME 工作階段所屬區段的名稱。
傳入 已接收工作階段之第一個封包的介面名稱。如果是覆疊接收的封包,此欄位將包含 VPN。若是任何其他封包 (透過底層接收),此欄位將顯示 Edge 中的介面名稱。
PROTO 工作階段所使用的 IP 通訊協定類型。可能的值包括 TCP、UDP、GRE、ESP 和 ICMP。
SRC 工作階段的來源 IP 位址 (採用小數點十進位表示法)。
DST 工作階段的目的地 IP 位址 (採用小數點十進位表示法)。
SPT 工作階段的來源連接埠號碼。只有在基礎傳輸為 UDP/TCP 時,此欄位才適用。
DPT 工作階段的目的地連接埠號碼。只有在基礎傳輸為 UDP/TCP 時,此欄位才適用。
DEST_NAME 工作階段的遠端裝置名稱。可能的值為:
  • CSS-Backhaul - 用於從 Edge 到雲端安全服務的流量。
  • Internet-via-<egress-iface-name> - 用於使用商務原則直接來自 Edge 的雲端流量。
  • Internet-BH-via-<backhaul hub name> - 用於使用商務原則透過回傳中樞進入網際網路的雲端繫結流量。
  • <Remote edge name>-via-Hub - 用於流經中樞的 VPN 流量。
  • <Remote edge name>-via-DE2E - 用於透過直接 VCMP 通道在 Edge 之間流動的 VPN 流量。
  • <Remote edge name>-via-Gateway - 用於流經雲端閘道的 VPN 流量。
  • NVS-via-<gateway name> - 用於流經雲端閘道的非 SD-WAN 目的地流量。
  • Internet-via-<gateway name> - 用於流經雲端閘道的網際網路流量。
NAT_SRC 用於將直接網際網路流量進行來源 NAT 的來源 IP 位址。
NAT_SPT 用於將直接網際網路流量進行 PAT 的來源連接埠。
APPLICATION 工作階段被 DPI 引擎分類到的應用程式名稱。此欄位僅適用於「關閉」記錄訊息。
BYTES_SENT 工作階段中傳送的資料量 (以位元組為單位)。此欄位僅適用於「關閉」記錄訊息。
BYTES_RECEIVED 工作階段中接收的資料量 (以位元組為單位)。此欄位僅適用於「關閉」記錄訊息。
DURATION_SECS 工作階段處於作用中狀態的持續時間。此欄位僅適用於「關閉」記錄訊息。
REASON 結束或拒絕工作階段的原因。可能的值為:
  • 狀態違規
  • 重設
  • 已清除
  • 已逾期
  • 已接收 Fin
  • 已接收 RST
  • 錯誤
此欄位可用於「關閉」和「拒絕」記錄訊息。