Detalles de los logs de Network Firewall
Detalles de registro para logs de Network Firewall. Hay dos tipos de registros de clientes disponibles: registros de amenazas y tráfico.
Recursos
- NGFW
Categorías de log
Valor de API (ID): | Consola (nombre mostrado) | Descripción |
---|---|---|
registro de amenazas | Registro de amenazas | Proporciona detalles sobre las amenazas de firewall recibidas. |
registro de tráfico | Log de tráfico | Proporciona detalles sobre el tráfico que pasa a través del firewall. |
Disponibilidad
El registro de Network Firewall está disponible en todas las regiones de los dominios comerciales.
Comentarios
Los logs de amenazas y los logs de tráfico están disponibles. Los logs se emiten a los clientes en función de un intervalo de cinco minutos desde el plano de datos. El plano de datos también registra los logs a medida que se reciben.
Contenido de un log de amenazas de Network Firewall
Propiedad | Descripción |
---|---|
datetime | Registro de hora en que se recibió el log. |
action |
Acción realizada para la sesión. Los valores son: permitir, denegar, borrar.
|
device_name | Nombre de host del firewall en el que se ha registrado la sesión. |
dirección |
Indica la dirección del ataque, ya sea de cliente a servidor o de servidor a cliente:
|
dst | Dirección IP de destino de la sesión original. |
dstloc | País o región interna de destino para direcciones privadas. La longitud máxima es de 32 bytes. |
dstuser | Nombre de usuario del usuario al que se ha destinado la sesión. |
ID de firewall | OCID del firewall. |
prototipo | Protocolo IP asociado a la sesión. |
receive_time | Hora a la que se recibió el registro en el plano de gestión. |
regla | Nombre de la regla con la que coincide la sesión. |
ID de sesión | Identificador numérico interno aplicado a cada sesión. |
gravedad | Severidad asociada a la amenaza. Los valores son informativo, bajo, medio, alto y crítico. |
origen | Dirección IP de origen de sesión original. |
srcloc | País de origen o región interna para direcciones privadas. La longitud máxima es de 32 bytes. |
srcuser | Nombre del usuario que inició la sesión. |
subtipo |
Subtipo de registro de amenazas. Puede tener los siguientes valores:
|
thr_category | Describe las categorías de amenazas utilizadas para clasificar diferentes tipos de firmas de amenazas. |
tetratiforme |
Identificador de Palo Alto Networks para la amenaza. Una cadena de descripción seguida de un identificador numérico de 64 bits entre paréntesis para algunos subtipos:
|
id | UUID del mensaje de log. |
compartmentid | OCID del compartimento. |
tiempo de ingestión | Registro de hora cuando el servicio Logging recibió el log. |
loggroupid | OCID del grupo de logs. |
logid | OCID del objeto de log. |
tenantid | OCID del arrendatario. |
source | OCID del firewall. |
specversion | Versión de la especificación CloudEvents que utiliza el evento. Permite la interpretación del contexto. |
time | Registro de hora al escribir el log. |
type | Tipo de logs. |
regionId | OCID de la región de firewall. |
Contenido de un log de tráfico de Network Firewall
Propiedad | Descripción |
---|---|
datetime | Registro de hora al recibir el log. |
action |
Acción realizada para la sesión. Los valores posibles son los siguientes:
|
bytes | Número total de bytes (transmitir y recibir) para la sesión. |
bytes_received | Número de bytes en la dirección de servidor a cliente de la sesión. |
bytes_sent | Número de bytes en la dirección de cliente a servidor de la sesión. |
fragmentos | Suma de fragmentos SCTP enviados y recibidos para una asociación. |
chunks_received | Número de fragmentos SCTP enviados para una asociación. |
chunks_sent | Número de fragmentos SCTP recibidos para una asociación. |
config_ver | Versión de configuración. |
device_name | Nombre de host del firewall en el que se ha registrado la sesión. |
dp | Puerto de destino utilizado por la sesión. |
dst | Dirección IP de destino de la sesión original. |
dstloc | País o región interna de destino para direcciones privadas. La longitud máxima es de 32 bytes. |
ID de firewall | OCID del firewall. |
paquetes | Número total de paquetes (transmitir y recibir) para la sesión. |
pkts_received | Número de paquetes de servidor a cliente para la sesión. |
pkts_sent | Número de paquetes de cliente a servidor para la sesión. |
prototipo | Protocolo IP asociado a la sesión. |
receive_time | Hora a la que se recibió el registro en el plano de gestión. |
regla | Nombre de la regla con la que coincide la sesión. |
rule_uuid | UUID que identifica permanentemente la regla. |
serie | Número de serie del firewall que generó el log. |
ID de sesión | Identificador numérico interno aplicado a cada sesión. |
deporte | Puerto de origen utilizado por la sesión. |
origen | Dirección IP de origen de sesión original. |
srcloc | País de origen o región interna para direcciones privadas. La longitud máxima es de 32 bytes. |
time_received | Hora a la que se recibió el registro en el plano de gestión. |
id | UUID del mensaje de log. |
compartmentid | OCID del compartimento. |
tiempo de ingestión | Registro de hora cuando el servicio Logging recibió el log. |
loggroupid | OCID del grupo de logs. |
logid | OCID del objeto de log. |
tenantid | OCID del arrendatario. |
source | OCID del firewall. |
specversion | Versión de la especificación CloudEvents que utiliza el evento. Permite la interpretación del contexto. |
time | Registro de hora cuando se escribió el log. |
type | Tipo de logs. |
regionId | OCID de la región de firewall. |
Ejemplo de log de amenazas de Network Firewall
{
"datetime": 1684255949000,
"logContent": {
"data": {
"action": "reset-both",
"device_name": "<device_name>",
"direction": "server-to-client",
"dst": "192.0.1.168",
"dstloc": "192.0.0.10-192.0.0.11",
"dstuser": "no-value",
"firewall-id": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
"proto": "tcp",
"receive_time": "2023/05/16 16:52:29",
"rule": "<rule_name>",
"sessionid": "11804",
"severity": "medium",
"src": "192.0.2.168",
"srcloc": "192.0.0.1-192.0.0.2",
"srcuser": "no-value",
"subtype": "vulnerability",
"thr_category": "code-execution",
"threatid": "Eicar File Detected"
},
"id": "<unique_ID>",
"oracle": {
"compartmentid": "ocid1.compartment.oc1..<unique_ID>",
"ingestedtime": "2023-05-16T16:56:27.373Z",
"loggroupid": "ocid1.loggroup.oc1.me-jeddah-1.<unique_ID>",
"logid": "ocid1.log.oc1.me-jeddah-1.<unique_ID>",
"tenantid": "ocid1.tenancy.oc1..<unique_ID>"
},
"source": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
"specversion": "1.0",
"time": "2023-05-16T16:52:29.000Z",
"type": "com.oraclecloud.networkfirewall.threat"
},
"regionId": "me-jeddah-1"
}
Ejemplo de log de tráfico de Network Firewall
{
"datetime": 1684257454000,
"logContent": {
"data": {
"action": "allow",
"bytes": "6264",
"bytes_received": "4411",
"bytes_sent": "1853",
"chunks": "0",
"chunks_received": "0",
"chunks_sent": "0",
"config_ver": "2561",
"device_name": "<device_name>",
"dport": "<port_number>",
"dst": "192.0.1.168",
"dstloc": "192.0.0.1-192.0.0.2",
"firewall-id": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
"packets": "28",
"pkts_received": "12",
"pkts_sent": "16",
"proto": "tcp",
"receive_time": "2023/05/16 17:17:34",
"rule": "<rule_name>",
"rule_uuid": "<rule_unique_ID>",
"serial": "<serial_number>",
"sessionid": "<session_ID>",
"sport": "<port_number>",
"src": "192.0.2.168",
"srcloc": "192.0.0.10-192.0.0.11",
"time_received": "2023/05/16 17:17:34"
},
"id": "<unique_ID>",
"oracle": {
"compartmentid": "ocid1.compartment.oc1..<unique_ID>",
"ingestedtime": "2023-05-16T17:17:58.493Z",
"loggroupid": "ocid1.loggroup.oc1.me-jeddah-1.<unique_ID>",
"logid": "ocid1.log.oc1.me-jeddah-1.<unique_ID>",
"tenantid": "ocid1.tenancy.oc1..<unique_ID>"
},
"source": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
"specversion": "1.0",
"time": "2023-05-16T17:17:34.000Z",
"type": "com.oraclecloud.networkfirewall.traffic"
},
"regionId": "me-jeddah-1"
}