Oracle Cloud Infrastructure-Dokumentation

Details für Netzwerkfirewalllogs

Loggingdetails für Netzwerkfirewalllogs. Drei Typen von Kundenlogs sind verfügbar: Bedrohungs-, Traffic- und Tunnelinspektionslogs.

Ressourcen

  • NGFW

Logkategorien

API-Wert (ID): Konsole (Anzeigename) Beschreibung
Bedrohungslog Bedrohungsprotokoll Enthält Details zu empfangenen Firewall-Bedrohungen.
Verkehrslog Verkehrslog Stellt Details zum Datenverkehr bereit, der durch die Firewall geleitet wird.
Tunnellog Tunnelinspektionsprotokoll Enthält Details zu den erhaltenen Firewalltunnelprüfungslogs.

Verfügbarkeit

Die Netzwerkfirewall-Protokollierung ist in allen Regionen der kommerziellen Realms verfügbar.

Kommentare

Bedrohungs-, Verkehrs- und Tunnelinspektionslogs sind verfügbar. Logs werden basierend auf einem Fünf-Minuten-Intervall vom Datenbereich an Kunden ausgegeben. Der Datenbereich registriert auch Logs beim Empfang.

Inhalt eines Netzwerkfirewall-Bedrohungslogs

Eigenschaft Beschreibung
datetime Zeitstempel, wann das Log empfangen wurde.
action
Für die Session ausgeführte Aktion. Mögliche Werte sind: Zulassen, Ablehnen, Ablegen.
  • allow: Alarm für Fluterkennung.
  • deny: Mechanismus zur Erkennung von Hochwasser aktiviert und verweigert den Datenverkehr basierend auf der Konfiguration.
  • drop: Bedrohungen erkannt und verknüpfte Sitzung gelöscht.
device_name Der Hostname der Firewall, auf der die Session protokolliert wurde.
Richtung
Gibt die Richtung des Angriffs an, ob Client-zu-Server oder Server-zu-Client:
  • 0: Richtung der Bedrohung ist Client-zu-Server.
  • 1: Richtung der Bedrohung ist Server-zu-Client.
Dez IP-Adresse des ursprünglichen Sitzungsziels.
dstloc Zielland oder interne Region für private Adressen. Die maximale Länge beträgt 32 Byte.
dstuser Benutzername des Benutzers, für den die Session bestimmt war.
Firewall-ID OCID der Firewall.
Proto Mit der Session verknüpftes IP-Protokoll.
receive_time Zeitpunkt, zu dem das Log in der Managementebene empfangen wurde.
Regel Name der Regel, mit der die Session übereinstimmt.
Session-ID Ein interner numerischer Bezeichner, der auf jede Session angewendet wird.
Schweregrad Schweregrad der Bedrohung. Werte sind Informations-, niedrige, mittlere, hohe und kritische Werte.
Quelle Ursprüngliche Quell-IP-Adresse der Session.
Quellcode Ursprungsland oder interne Region für private Adressen. Die maximale Länge beträgt 32 Byte.
Quellbenutzer Benutzername des Benutzers, der die Session gestartet hat.
Subtyp
Subtyp des Bedrohungslogs. Die Werte umfassen:
  • Daten: Datenmuster, das einem Datenfilterprofil entspricht.
  • file: Dateityp, der mit einem Dateiblocking-Profil übereinstimmt.
  • Überschwemmung: Überschwemmung über ein Zonenschutzprofil ermittelt.
  • Paket: Paketbasierter Schutz vor Angriffen, der durch ein Zonenschutzprofil ausgelöst wird.
  • Scan: Scan über ein Zonenschutzprofil ermittelt.
  • Spyware über ein Anti-Spyware-Profil erkannt.
  • URL: URL-Filterungsprotokoll.
  • Virus: Virus wird über ein Antivirenprofil erkannt.
  • Sicherheitslücke: Sicherheitslückenausnutzung über ein Sicherheitslückenschutzprofil ermittelt.
thr_category Beschreibt Bedrohungskategorien, mit denen verschiedene Typen von Bedrohungssignaturen klassifiziert werden.
Bedrohung
Palo Alto Networks-ID für die Bedrohung. Eine Beschreibungszeichenfolge gefolgt von einem 64-Bit-Zahlenbezeichner in Klammern für einige Subtypen:
  • 8000-8099: Scan-Erkennung.
  • 8500-8599: Flutdetektion.
  • 9999: URL-Filterungsprotokoll.
  • 10000-19999: Spyware Telefon Home Detection.
  • 20000-29999: Spyware-Downloaderkennung.
  • 30000-44999: Vulnerability Exploit Detection.
  • 52000-52999: Dateityperkennung.
  • 60000-69999: Datenfiltererkennung.
id UUID der Logmeldung.
compartmentid OCID des Compartments.
Aufnahmezeit Zeitstempel, wann das Log vom Logging-Service empfangen wurde.
loggroupid OCID der Loggruppe.
logid OCID des Logobjekts.
tenantid OCID des Mandanten.
source OCID der Firewall.
specversion Die Version der CloudEvents-Spezifikation, die das Ereignis verwendet. Aktiviert die Interpretation des Kontexts.
time Zeitstempel, zu dem das Log geschrieben wurde.
type Typ der Logs.
regionId OCID der Firewallregion.

Beispiellog für Netzwerkfirewall-Bedrohungen

{
  "datetime": 1684255949000,
  "logContent": {
    "data": {
      "action": "reset-both",
      "device_name": "<device_name>",
      "direction": "server-to-client",
      "dst": "192.0.1.168",
      "dstloc": "192.0.0.10-192.0.0.11",
      "dstuser": "no-value",
      "firewall-id": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
      "proto": "tcp",
      "receive_time": "2023/05/16 16:52:29",
      "rule": "<rule_name>",
      "sessionid": "11804",
      "severity": "medium",
      "src": "192.0.2.168",
      "srcloc": "192.0.0.1-192.0.0.2",
      "srcuser": "no-value",
      "subtype": "vulnerability",
      "thr_category": "code-execution",
      "threatid": "Eicar File Detected"
    },
    "id": "<unique_ID>",
    "oracle": {
      "compartmentid": "ocid1.compartment.oc1..<unique_ID>",
      "ingestedtime": "2023-05-16T16:56:27.373Z",
      "loggroupid": "ocid1.loggroup.oc1.me-jeddah-1.<unique_ID>",
      "logid": "ocid1.log.oc1.me-jeddah-1.<unique_ID>",
      "tenantid": "ocid1.tenancy.oc1..<unique_ID>"
    },
    "source": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
    "specversion": "1.0",
    "time": "2023-05-16T16:52:29.000Z",
    "type": "com.oraclecloud.networkfirewall.threat"
  },
  "regionId": "me-jeddah-1"
}

Inhalt eines Netzwerkfirewall-Verkehrsprotokolls

Eigenschaft Beschreibung
datetime Zeitstempel, zu dem das Log empfangen wurde.
action
Für die Session ausgeführte Aktion. Mögliche Werte sind:
  • allow: Von Policy zulässige Session.
  • deny: Session durch Policy abgelehnt.
  • drop: Session stillgelegt.
  • Löschen von ICMP: Sitzung mit einer nicht erreichbaren ICMP-Nachricht an den Host oder die Anwendung stillschweigend gelöscht.
  • Beide zurücksetzen: Session beendet, und ein TCP-Reset wird an beide Seiten der Verbindung gesendet.
Byte Gesamtanzahl der Byte (Senden und Empfangen) für die Session.
bytes_received Anzahl der Byte in Server-zu-Client-Richtung der Session.
bytes_sent Anzahl der Byte in Richtung Client/Server der Session.
Blöcke Summe der gesendeten und für eine Verknüpfung erhaltenen SCTP-Chunks.
chunks_received Anzahl der SCTP-Chunks, die für eine Zuordnung gesendet wurden.
chunks_sent Anzahl der für eine Zuordnung erhaltenen SCTP-Chunks.
config_ver Konfigurationsversion.
device_name Der Hostname der Firewall, auf der die Session protokolliert wurde.
Port Von der Session verwendeter Zielport.
Dez IP-Adresse des ursprünglichen Sitzungsziels.
dstloc Zielland oder interne Region für private Adressen. Die maximale Länge beträgt 32 Byte.
Firewall-ID OCID der Firewall.
Pakete Gesamtanzahl der Pakete (Senden und Empfangen) für die Sitzung.
pkts_received Anzahl der Server-zu-Client-Pakete für die Sitzung.
pkts_sent Anzahl der Client-zu-Server-Pakete für die Session.
Proto Mit der Session verknüpftes IP-Protokoll.
receive_time Zeitpunkt, zu dem das Log in der Managementebene empfangen wurde.
Regel Name der Regel, mit der die Session übereinstimmt.
rule_uuid Die UUID, die die Regel endgültig identifiziert.
Seriennummer Seriennummer der Firewall, die das Protokoll generiert hat.
Session-ID Ein interner numerischer Bezeichner, der auf jede Session angewendet wird.
Sport Von der Session verwendeter Quellport.
Quelle Ursprüngliche Quell-IP-Adresse der Session.
Quellcode Ursprungsland oder interne Region für private Adressen. Die maximale Länge beträgt 32 Byte.
time_received Zeitpunkt, zu dem das Log in der Managementebene empfangen wurde.
id UUID der Logmeldung.
compartmentid OCID des Compartments.
Aufnahmezeit Zeitstempel, wann das Log vom Logging-Service empfangen wurde.
loggroupid OCID der Loggruppe.
logid OCID des Logobjekts.
tenantid OCID des Mandanten.
source OCID der Firewall.
specversion Die Version der CloudEvents-Spezifikation, die das Ereignis verwendet. Aktiviert die Interpretation des Kontexts.
time Zeitstempel, zu dem das Log geschrieben wurde.
type Typ der Logs.
regionId OCID der Firewallregion.

Beispiel für ein Netzwerkfirewall-Trafficprotokoll

{
  "datetime": 1684257454000,
  "logContent": {
    "data": {
      "action": "allow",
      "bytes": "6264",
      "bytes_received": "4411",
      "bytes_sent": "1853",
      "chunks": "0",
      "chunks_received": "0",
      "chunks_sent": "0",
      "config_ver": "2561",
      "device_name": "<device_name>",
      "dport": "<port_number>",
      "dst": "192.0.1.168",
      "dstloc": "192.0.0.1-192.0.0.2",
      "firewall-id": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
      "packets": "28",
      "pkts_received": "12",
      "pkts_sent": "16",
      "proto": "tcp",
      "receive_time": "2023/05/16 17:17:34",
      "rule": "<rule_name>",
      "rule_uuid": "<rule_unique_ID>",
      "serial": "<serial_number>",
      "sessionid": "<session_ID>",
      "sport": "<port_number>",
      "src": "192.0.2.168",
      "srcloc": "192.0.0.10-192.0.0.11",
      "time_received": "2023/05/16 17:17:34"
    },
    "id": "<unique_ID>",
    "oracle": {
      "compartmentid": "ocid1.compartment.oc1..<unique_ID>",
      "ingestedtime": "2023-05-16T17:17:58.493Z",
      "loggroupid": "ocid1.loggroup.oc1.me-jeddah-1.<unique_ID>",
      "logid": "ocid1.log.oc1.me-jeddah-1.<unique_ID>",
      "tenantid": "ocid1.tenancy.oc1..<unique_ID>"
    },
    "source": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
    "specversion": "1.0",
    "time": "2023-05-16T17:17:34.000Z",
    "type": "com.oraclecloud.networkfirewall.traffic"
  },
  "regionId": "me-jeddah-1"
}

Inhalt eines Network Firewall Tunnel Inspect Log

Eigenschaft Beschreibung
src Quell-IP-Adresse der Pakete in der Sitzung.
Sommerzeit Ziel-IP-Adresse der Pakete in der Session.
receive_time Monat, Tag und Uhrzeit, zu der das Protokoll auf der Managementebene empfangen wurde.
Regel Name der Sicherheits-Policy-Regel, die für die Session wirksam ist.
srcloc Herkunftsland oder interne Region für private Adressen. Die maximale Länge beträgt 32 Byte.
dstloc Zielland oder interne Region für private Adressen. Die maximale Länge beträgt 32 Byte.
sessionid Session-ID der zu protokollierenden Session.
Proto Mit der Session verknüpftes IP-Protokoll.
action Aktion für die Session. Mögliche Werte sind:
  • ERLAUBEN
  • Ablehnen
  • DROP
  • ICMP ABLEGEN
  • BEIDES ZURÜCKSETZEN
  • RÜCKSETZUNGSCLIENT
  • SERVER ZURÜCKSETZEN
seriell Seriennummer der Firewall, die das Log generiert hat.
Sportarten Von der Session verwendeter Quellport.
dport Von der Session verwendeter Zielport.
device_name Der Firewallhostname, unter dem die Session protokolliert wurde.
Byte Anzahl der Byte in der Session.
bytes_sent Anzahl der Byte in Client-zu-Server-Richtung der Session.
bytes_received Anzahl der Byte in Server-zu-Client-Richtung der Session.
Pakete Anzahl der gesamten Pakete (Senden und Empfangen) für die Sitzung.
pkts_sent Anzahl der Client-zu-Server-Pakete für die Session.
pkts_received Anzahl der Server-zu-Client-Pakete für die Sitzung.
app Anwendung für die Session identifiziert.
Tunnelid Die zu prüfende Tunnel-ID oder die IMSI-ID (International Mobile Subscriber Identity) des mobilen Benutzers.
Monitortag Der für die Policy-Regel "Tunnel Inspection" (Tunnelinspektion) oder die ID (International Mobile Equipment Identity) des Mobilgeräts konfigurierte Monitorname.
parent_session_id Session-ID, in der die jeweilige Session getunnelt ist. Gilt nur für den inneren Tunnel (wenn zwei Tunnelstufen vorhanden sind) oder den inneren Inhalt (wenn eine Tunnelebene vorhanden ist).
parent_start_time Stunden Jahr/Monat/Tag: Minuten: Sekunden, an denen die übergeordnete Tunnelsession begann.
tunnel Der Tunneltyp, z.B. VXLAN.
max_encap Anzahl der Pakete, die von der Firewall verworfen wurden, weil das Paket die maximale Anzahl von Kapselungsebenen überschritten hat, die in der Policy-Regel für die Tunnelinspektion konfiguriert wurden (löscht das Paket, wenn die maximale Tunnelinspektionsebene überschritten wird).
unknown_proto Anzahl der Pakete, die von der Firewall verworfen wurden, weil das Paket ein unbekanntes Protokoll enthält, wie in der Policy-Regel für die Tunnelinspektion aktiviert (löscht das Paket, wenn sich das unbekannte Protokoll innerhalb des Tunnels befindet).
strict_check Anzahl der Pakete, die von der Firewall verworfen wurden, weil der Tunnelprotokollheader im Paket die RFC für das Tunnelprotokoll nicht erfüllen konnte, wie in der Policy-Regel für die Tunnelinspektion aktiviert (löscht das Paket, wenn das Tunnelprotokoll die strenge Headerprüfung nicht erfolgreich durchführt).
tunnel_fragment Anzahl der Pakete, die von der Firewall aufgrund von Fragmentierungsfehlern gelöscht wurden.
tunnel_insp_rule Name der Tunnelprüfungsregel, die mit dem Klartexttunnelverkehr übereinstimmt.

Beispielprotokoll zur Prüfung eines Netzwerkfirewingtunnels

{
  "datetime": 1729056482000,
  "logContent": {
    "data": {
      "action": "allow",
      "app": "vxlan",
      "bytes": "58385",
      "bytes_received": "0",
      "bytes_sent": "58385",
      "device_name": "PA-VM",
      "dport": "<destination_port>",
      "dst": "<destination_IP>",
      "dstloc": "10.0.0.0-10.255.255.255",
      "firewall-id": "ocid1.networkfirewall.oc1.us-sanjose-1.<unique_ID>",
      "max_encap": "0",
      "monitortag": "<unique_ID>",
      "packets": "31",
      "parent_session_id": "0",
      "parent_start_time": "no-value",
      "pkts_received": "0",
      "pkts_sent": "31",
      "proto": "udp",
      "receive_time": "2024/10/16 05:28:02",
      "rule": "<rule_name>",
      "serial": "<unique_ID>",
      "sessionid": "10",
      "sport": "0",
      "src": "<source_IP>",
      "srcloc": "10.0.0.0-10.255.255.255",
      "strict_check": "0",
      "tunnel": "tunnel",
      "tunnel_fragment": "0",
      "tunnel_insp_rule": "allow-tunnel-inspect-rule",
      "tunnelid": "<unique_ID>",
      "unknown_proto": "0"
    },
    "id": "<unique_ID>",
    "oracle": {
      "compartmentid": "ocid1.compartment.oc1..<unique_ID>",
      "ingestedtime": "2024-10-16T05:29:28.543Z",
      "loggroupid": "ocid1.loggroup.oc1.us-sanjose-1.<unique_ID>",
      "logid": "ocid1.log.oc1.us-sanjose-1.<unique_ID>",
      "tenantid": "ocid1.tenancy.oc1..<unique_ID>"
    },
    "source": "ocid1.networkfirewall.oc1.us-sanjose-1.<unique_ID>",
    "specversion": "1.0",
    "time": "2024-10-16T05:28:02.000Z",
    "type": "com.oraclecloud.networkfirewall.tunnel"
  },
  "regionId": "us-sanjose-1"
}