Documentación de Oracle Cloud Infrastructure

Detalles de logs de firewall de red

Detalles de registro para logs de Network Firewall. Hay tres tipos de logs de cliente disponibles: logs de inspección de amenazas, tráfico y túnel.

Recursos

  • NGFW

Categorías de log

Valor de API (ID): Consola (nombre mostrado) Descripción
registro de amenazas Registro de amenazas Proporciona detalles sobre las amenazas de firewall recibidas.
registro de tráfico Log de tráfico Proporciona detalles sobre el tráfico que pasa a través del firewall.
registro de túneles Registro de inspección de túnel Proporciona detalles sobre los logs de inspección de túnel de firewall recibidos.

Disponibilidad

El registro de Network Firewall está disponible en todas las regiones de los dominios comerciales.

Comentarios

Hay logs de inspección de amenazas, tráfico y túneles disponibles. Los logs se emiten a los clientes en función de un intervalo de cinco minutos desde la placa de datos. El plano de datos también registra los logs a medida que se reciben.

Contenido de un log de amenazas de Network Firewall

Propiedad Descripción
datetime Registro de hora en que se recibió el log.
action
Acción realizada para la sesión. Los valores son: permitir, denegar, borrar.
  • permitir: Alerta de detección de inundaciones.
  • denegar: Mecanismo de detección de inundaciones activado y denegado el tráfico en función de la configuración.
  • drop: se detectó una amenaza y se eliminó la sesión asociada.
device_name Nombre de host del firewall en el que se ha registrado la sesión.
dirección
Indica la dirección del ataque, ya sea de cliente a servidor o de servidor a cliente:
  • 0: La dirección de la amenaza es de cliente a servidor.
  • 1: La dirección de la amenaza es de servidor a cliente.
dst Dirección IP de destino de la sesión original.
dstloc País o región interna de destino para direcciones privadas. La longitud máxima es de 32 bytes.
dstuser Nombre de usuario del usuario al que se ha destinado la sesión.
ID de firewall OCID del firewall.
prototipo Protocolo IP asociado a la sesión.
receive_time Hora a la que se recibió el registro en el plano de gestión.
regla Nombre de la regla con la que coincide la sesión.
ID de sesión Identificador numérico interno aplicado a cada sesión.
gravedad Severidad asociada a la amenaza. Los valores son informativo, bajo, medio, alto y crítico.
origen Dirección IP de origen de sesión original.
srcloc País de origen o región interna para direcciones privadas. La longitud máxima es de 32 bytes.
srcuser Nombre del usuario que inició la sesión.
subtipo
Subtipo de registro de amenazas. Puede tener los siguientes valores:
  • datos: patrón de datos que coincide con un perfil de filtrado de datos.
  • archivo: tipo de archivo que coincide con un perfil de bloqueo de archivos.
  • inundación: inundación detectada a través de un perfil de protección de zona.
  • pack: protección contra ataques basada en paquetes disparada por un perfil de protección de zona.
  • scan (Analizar): escaneo detectado mediante un perfil de protección de zona.
  • spyware: spyware detectado a través de un perfil anti-spyware.
  • url: log de filtrado de URL.
  • virus: virus detectado a través de un perfil antivirus.
  • vulnerabilidad: Explotación de vulnerabilidades detectada a través de un perfil de protección de vulnerabilidades.
thr_category Describe las categorías de amenazas utilizadas para clasificar diferentes tipos de firmas de amenazas.
tetratiforme
Identificador de Palo Alto Networks para la amenaza. Una cadena de descripción seguida de un identificador numérico de 64 bits entre paréntesis para algunos subtipos:
  • 8000-8099: Detección de exploración.
  • 8500-8599: Detección de inundaciones.
  • 9999: log de filtrado de URL.
  • 10000-19999: Detección de la casa de teléfono Spyware.
  • 20000-29999: Detección de descargas de spyware.
  • 30000-44999: Detección de vulnerabilidades.
  • 52000-52999: Detección de tipo de archivo.
  • 60000-69999: Detección de filtrado de datos.
id UUID del mensaje de log.
compartmentid OCID del compartimento.
tiempo de ingestión Registro de hora cuando el servicio Logging recibió el log.
loggroupid OCID del grupo de logs.
logid OCID del objeto de log.
tenantid OCID del arrendatario.
source OCID del firewall.
specversion Versión de la especificación CloudEvents que utiliza el evento. Permite la interpretación del contexto.
time Registro de hora al escribir el log.
type Tipo de logs.
regionId OCID de la región de firewall.

Ejemplo de log de amenazas de firewall de red

{
  "datetime": 1684255949000,
  "logContent": {
    "data": {
      "action": "reset-both",
      "device_name": "<device_name>",
      "direction": "server-to-client",
      "dst": "192.0.1.168",
      "dstloc": "192.0.0.10-192.0.0.11",
      "dstuser": "no-value",
      "firewall-id": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
      "proto": "tcp",
      "receive_time": "2023/05/16 16:52:29",
      "rule": "<rule_name>",
      "sessionid": "11804",
      "severity": "medium",
      "src": "192.0.2.168",
      "srcloc": "192.0.0.1-192.0.0.2",
      "srcuser": "no-value",
      "subtype": "vulnerability",
      "thr_category": "code-execution",
      "threatid": "Eicar File Detected"
    },
    "id": "<unique_ID>",
    "oracle": {
      "compartmentid": "ocid1.compartment.oc1..<unique_ID>",
      "ingestedtime": "2023-05-16T16:56:27.373Z",
      "loggroupid": "ocid1.loggroup.oc1.me-jeddah-1.<unique_ID>",
      "logid": "ocid1.log.oc1.me-jeddah-1.<unique_ID>",
      "tenantid": "ocid1.tenancy.oc1..<unique_ID>"
    },
    "source": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
    "specversion": "1.0",
    "time": "2023-05-16T16:52:29.000Z",
    "type": "com.oraclecloud.networkfirewall.threat"
  },
  "regionId": "me-jeddah-1"
}

Contenido de un log de tráfico de Network Firewall

Propiedad Descripción
datetime Registro de hora al recibir el log.
action
Acción realizada para la sesión. Los valores posibles son los siguientes:
  • allow: Sesión permitida por la política.
  • denegar: sesión denegada por la política.
  • drop: la sesión se ha borrado de forma silenciosa.
  • Borrar ICMP: la sesión se borra de forma silenciosa con un mensaje ICMP inaccesible en el host o la aplicación.
  • Restablecer ambos: la sesión ha finalizado y se envía un restablecimiento de TCP a ambos lados de la conexión.
bytes Número total de bytes (transmitir y recibir) para la sesión.
bytes_received Número de bytes en la dirección de servidor a cliente de la sesión.
bytes_sent Número de bytes en la dirección de cliente a servidor de la sesión.
fragmentos Suma de fragmentos SCTP enviados y recibidos para una asociación.
chunks_received Número de fragmentos SCTP enviados para una asociación.
chunks_sent Número de fragmentos SCTP recibidos para una asociación.
config_ver Versión de configuración.
device_name Nombre de host del firewall en el que se ha registrado la sesión.
dp Puerto de destino utilizado por la sesión.
dst Dirección IP de destino de la sesión original.
dstloc País o región interna de destino para direcciones privadas. La longitud máxima es de 32 bytes.
ID de firewall OCID del firewall.
paquetes Número total de paquetes (transmitir y recibir) para la sesión.
pkts_received Número de paquetes de servidor a cliente para la sesión.
pkts_sent Número de paquetes de cliente a servidor para la sesión.
prototipo Protocolo IP asociado a la sesión.
receive_time Hora a la que se recibió el registro en el plano de gestión.
regla Nombre de la regla con la que coincide la sesión.
rule_uuid UUID que identifica permanentemente la regla.
serie Número de serie del firewall que generó el log.
ID de sesión Identificador numérico interno aplicado a cada sesión.
deporte Puerto de origen utilizado por la sesión.
origen Dirección IP de origen de sesión original.
srcloc País de origen o región interna para direcciones privadas. La longitud máxima es de 32 bytes.
time_received Hora a la que se recibió el registro en el plano de gestión.
id UUID del mensaje de log.
compartmentid OCID del compartimento.
tiempo de ingestión Registro de hora cuando el servicio Logging recibió el log.
loggroupid OCID del grupo de logs.
logid OCID del objeto de log.
tenantid OCID del arrendatario.
source OCID del firewall.
specversion Versión de la especificación CloudEvents que utiliza el evento. Permite la interpretación del contexto.
time Registro de hora cuando se escribió el log.
type Tipo de logs.
regionId OCID de la región de firewall.

Ejemplo de log de tráfico de Network Firewall

{
  "datetime": 1684257454000,
  "logContent": {
    "data": {
      "action": "allow",
      "bytes": "6264",
      "bytes_received": "4411",
      "bytes_sent": "1853",
      "chunks": "0",
      "chunks_received": "0",
      "chunks_sent": "0",
      "config_ver": "2561",
      "device_name": "<device_name>",
      "dport": "<port_number>",
      "dst": "192.0.1.168",
      "dstloc": "192.0.0.1-192.0.0.2",
      "firewall-id": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
      "packets": "28",
      "pkts_received": "12",
      "pkts_sent": "16",
      "proto": "tcp",
      "receive_time": "2023/05/16 17:17:34",
      "rule": "<rule_name>",
      "rule_uuid": "<rule_unique_ID>",
      "serial": "<serial_number>",
      "sessionid": "<session_ID>",
      "sport": "<port_number>",
      "src": "192.0.2.168",
      "srcloc": "192.0.0.10-192.0.0.11",
      "time_received": "2023/05/16 17:17:34"
    },
    "id": "<unique_ID>",
    "oracle": {
      "compartmentid": "ocid1.compartment.oc1..<unique_ID>",
      "ingestedtime": "2023-05-16T17:17:58.493Z",
      "loggroupid": "ocid1.loggroup.oc1.me-jeddah-1.<unique_ID>",
      "logid": "ocid1.log.oc1.me-jeddah-1.<unique_ID>",
      "tenantid": "ocid1.tenancy.oc1..<unique_ID>"
    },
    "source": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
    "specversion": "1.0",
    "time": "2023-05-16T17:17:34.000Z",
    "type": "com.oraclecloud.networkfirewall.traffic"
  },
  "regionId": "me-jeddah-1"
}

Contenido de un log de inspección de túnel de Network Firewall

Propiedad Descripción
src Dirección IP de origen de los paquetes de la sesión.
dst Dirección IP de destino de los paquetes de la sesión.
receive_time Mes, día y hora en que se recibió el registro en el plano de gestión.
Regla Nombre de la regla de política de seguridad vigente en la sesión.
srcloc País de origen o región interna para direcciones privadas. La longitud máxima es de 32 bytes.
dstloc País de destino o región interna para direcciones privadas. La longitud máxima es de 32 bytes.
sessionid ID de sesión de la sesión que se está registrando.
prototipo Protocolo IP asociado a la sesión.
action Medidas adoptadas para la sesión. Los valores posibles son los siguientes:
  • Permitir
  • NEGAR
  • BORRAR
  • BORRAR ICMP
  • RESTABLECER AMBOS
  • CLIENTE DE RESTABLECIMIENTO
  • REINICIAR SERVIDOR
serie Número de serie del firewall que generó el log.
deporte Puerto de origen utilizado por la sesión.
dport Puerto de destino utilizado por la sesión.
device_name Nombre de host de firewall en el que se registró la sesión.
bytes Número de bytes en la sesión.
bytes_sent Número de bytes en la dirección de cliente a servidor de la sesión.
bytes_received Número de bytes en la dirección de servidor a cliente de la sesión.
paquetes Número total de paquetes (enviar y recibir) para la sesión.
pkts_sent Número de paquetes de cliente a servidor para la sesión.
pkts_received Número de paquetes de servidor a cliente para la sesión.
aplicación Aplicación identificada para la sesión.
tunelino ID de túnel que se está inspeccionando o ID de identidad de suscriptor móvil internacional (IMSI) del usuario móvil.
etiqueta de supervisión Nombre de supervisión configurado para la regla de política de inspección de túnel o el ID de identidad de equipo móvil internacional (IMEI) del dispositivo móvil.
parent_session_id ID de sesión en el que se realiza el túnel de la sesión concreta. Solo se aplica al túnel interno (si hay dos niveles de túnel) o al contenido interno (si hay un nivel de túnel).
parent_start_time Horas de año/mes/día:minutos:segundos que comenzó la sesión de túnel principal.
tunnel El tipo de túnel, como VXLAN.
max_encap Número de paquetes que el firewall eliminó porque el paquete superó el número máximo de niveles de encapsulación configurados en la regla de política de inspección de túnel (se elimina el paquete si se supera el nivel máximo de inspección de túnel).
unknown_proto Número de paquetes que el firewall ha borrado porque el paquete contiene un protocolo desconocido, tal como está activado en la regla de política de inspección de túneles (borra el paquete si el protocolo desconocido está dentro del túnel).
strict_check Número de paquetes que el firewall ha borrado porque el encabezado del protocolo de túnel en el paquete no ha cumplido con la RFC para el protocolo de túnel, como está activado en la regla de política de inspección de túnel (borra el paquete si el protocolo de túnel no cumple con la comprobación de cabecera estricta).
tunnel_fragment Número de paquetes que el firewall ha borrado debido a errores de fragmentación.
tunnel_insp_rule Nombre de la regla de inspección de túnel que coincide con el tráfico de túnel de texto no cifrado.

Ejemplo de log de inspección de túnel de Network Firewall

{
  "datetime": 1729056482000,
  "logContent": {
    "data": {
      "action": "allow",
      "app": "vxlan",
      "bytes": "58385",
      "bytes_received": "0",
      "bytes_sent": "58385",
      "device_name": "PA-VM",
      "dport": "<destination_port>",
      "dst": "<destination_IP>",
      "dstloc": "10.0.0.0-10.255.255.255",
      "firewall-id": "ocid1.networkfirewall.oc1.us-sanjose-1.<unique_ID>",
      "max_encap": "0",
      "monitortag": "<unique_ID>",
      "packets": "31",
      "parent_session_id": "0",
      "parent_start_time": "no-value",
      "pkts_received": "0",
      "pkts_sent": "31",
      "proto": "udp",
      "receive_time": "2024/10/16 05:28:02",
      "rule": "<rule_name>",
      "serial": "<unique_ID>",
      "sessionid": "10",
      "sport": "0",
      "src": "<source_IP>",
      "srcloc": "10.0.0.0-10.255.255.255",
      "strict_check": "0",
      "tunnel": "tunnel",
      "tunnel_fragment": "0",
      "tunnel_insp_rule": "allow-tunnel-inspect-rule",
      "tunnelid": "<unique_ID>",
      "unknown_proto": "0"
    },
    "id": "<unique_ID>",
    "oracle": {
      "compartmentid": "ocid1.compartment.oc1..<unique_ID>",
      "ingestedtime": "2024-10-16T05:29:28.543Z",
      "loggroupid": "ocid1.loggroup.oc1.us-sanjose-1.<unique_ID>",
      "logid": "ocid1.log.oc1.us-sanjose-1.<unique_ID>",
      "tenantid": "ocid1.tenancy.oc1..<unique_ID>"
    },
    "source": "ocid1.networkfirewall.oc1.us-sanjose-1.<unique_ID>",
    "specversion": "1.0",
    "time": "2024-10-16T05:28:02.000Z",
    "type": "com.oraclecloud.networkfirewall.tunnel"
  },
  "regionId": "us-sanjose-1"
}