Documentación de Oracle Cloud Infrastructure

Detalles de los logs de Network Firewall

Detalles de registro para logs de Network Firewall. Hay dos tipos de registros de clientes disponibles: registros de amenazas y tráfico.

Recursos

  • NGFW

Categorías de log

Valor de API (ID): Consola (nombre mostrado) Descripción
registro de amenazas Registro de amenazas Proporciona detalles sobre las amenazas de firewall recibidas.
registro de tráfico Log de tráfico Proporciona detalles sobre el tráfico que pasa a través del firewall.

Disponibilidad

El registro de Network Firewall está disponible en todas las regiones de los dominios comerciales.

Comentarios

Los logs de amenazas y los logs de tráfico están disponibles. Los logs se emiten a los clientes en función de un intervalo de cinco minutos desde el plano de datos. El plano de datos también registra los logs a medida que se reciben.

Contenido de un log de amenazas de Network Firewall

Propiedad Descripción
datetime Registro de hora en que se recibió el log.
action
Acción realizada para la sesión. Los valores son: permitir, denegar, borrar.
  • permitir: Alerta de detección de inundaciones.
  • denegar: Mecanismo de detección de inundaciones activado y denegado el tráfico en función de la configuración.
  • drop: se detectó una amenaza y se eliminó la sesión asociada.
device_name Nombre de host del firewall en el que se ha registrado la sesión.
dirección
Indica la dirección del ataque, ya sea de cliente a servidor o de servidor a cliente:
  • 0: La dirección de la amenaza es de cliente a servidor.
  • 1: La dirección de la amenaza es de servidor a cliente.
dst Dirección IP de destino de la sesión original.
dstloc País o región interna de destino para direcciones privadas. La longitud máxima es de 32 bytes.
dstuser Nombre de usuario del usuario al que se ha destinado la sesión.
ID de firewall OCID del firewall.
prototipo Protocolo IP asociado a la sesión.
receive_time Hora a la que se recibió el registro en el plano de gestión.
regla Nombre de la regla con la que coincide la sesión.
ID de sesión Identificador numérico interno aplicado a cada sesión.
gravedad Severidad asociada a la amenaza. Los valores son informativo, bajo, medio, alto y crítico.
origen Dirección IP de origen de sesión original.
srcloc País de origen o región interna para direcciones privadas. La longitud máxima es de 32 bytes.
srcuser Nombre del usuario que inició la sesión.
subtipo
Subtipo de registro de amenazas. Puede tener los siguientes valores:
  • datos: patrón de datos que coincide con un perfil de filtrado de datos.
  • archivo: tipo de archivo que coincide con un perfil de bloqueo de archivos.
  • inundación: inundación detectada a través de un perfil de protección de zona.
  • pack: protección contra ataques basada en paquetes disparada por un perfil de protección de zona.
  • scan (Analizar): escaneo detectado mediante un perfil de protección de zona.
  • spyware: spyware detectado a través de un perfil anti-spyware.
  • url: log de filtrado de URL.
  • virus: virus detectado a través de un perfil antivirus.
  • vulnerabilidad: Explotación de vulnerabilidades detectada a través de un perfil de protección de vulnerabilidades.
thr_category Describe las categorías de amenazas utilizadas para clasificar diferentes tipos de firmas de amenazas.
tetratiforme
Identificador de Palo Alto Networks para la amenaza. Una cadena de descripción seguida de un identificador numérico de 64 bits entre paréntesis para algunos subtipos:
  • 8000-8099: Detección de exploración.
  • 8500-8599: Detección de inundaciones.
  • 9999: log de filtrado de URL.
  • 10000-19999: Detección de la casa de teléfono Spyware.
  • 20000-29999: Detección de descargas de spyware.
  • 30000-44999: Detección de vulnerabilidades.
  • 52000-52999: Detección de tipo de archivo.
  • 60000-69999: Detección de filtrado de datos.
id UUID del mensaje de log.
compartmentid OCID del compartimento.
tiempo de ingestión Registro de hora cuando el servicio Logging recibió el log.
loggroupid OCID del grupo de logs.
logid OCID del objeto de log.
tenantid OCID del arrendatario.
source OCID del firewall.
specversion Versión de la especificación CloudEvents que utiliza el evento. Permite la interpretación del contexto.
time Registro de hora al escribir el log.
type Tipo de logs.
regionId OCID de la región de firewall.

Contenido de un log de tráfico de Network Firewall

Propiedad Descripción
datetime Registro de hora al recibir el log.
action
Acción realizada para la sesión. Los valores posibles son los siguientes:
  • allow: Sesión permitida por la política.
  • denegar: sesión denegada por la política.
  • drop: la sesión se ha borrado de forma silenciosa.
  • Borrar ICMP: la sesión se borra de forma silenciosa con un mensaje ICMP inaccesible en el host o la aplicación.
  • Restablecer ambos: la sesión ha finalizado y se envía un restablecimiento de TCP a ambos lados de la conexión.
bytes Número total de bytes (transmitir y recibir) para la sesión.
bytes_received Número de bytes en la dirección de servidor a cliente de la sesión.
bytes_sent Número de bytes en la dirección de cliente a servidor de la sesión.
fragmentos Suma de fragmentos SCTP enviados y recibidos para una asociación.
chunks_received Número de fragmentos SCTP enviados para una asociación.
chunks_sent Número de fragmentos SCTP recibidos para una asociación.
config_ver Versión de configuración.
device_name Nombre de host del firewall en el que se ha registrado la sesión.
dp Puerto de destino utilizado por la sesión.
dst Dirección IP de destino de la sesión original.
dstloc País o región interna de destino para direcciones privadas. La longitud máxima es de 32 bytes.
ID de firewall OCID del firewall.
paquetes Número total de paquetes (transmitir y recibir) para la sesión.
pkts_received Número de paquetes de servidor a cliente para la sesión.
pkts_sent Número de paquetes de cliente a servidor para la sesión.
prototipo Protocolo IP asociado a la sesión.
receive_time Hora a la que se recibió el registro en el plano de gestión.
regla Nombre de la regla con la que coincide la sesión.
rule_uuid UUID que identifica permanentemente la regla.
serie Número de serie del firewall que generó el log.
ID de sesión Identificador numérico interno aplicado a cada sesión.
deporte Puerto de origen utilizado por la sesión.
origen Dirección IP de origen de sesión original.
srcloc País de origen o región interna para direcciones privadas. La longitud máxima es de 32 bytes.
time_received Hora a la que se recibió el registro en el plano de gestión.
id UUID del mensaje de log.
compartmentid OCID del compartimento.
tiempo de ingestión Registro de hora cuando el servicio Logging recibió el log.
loggroupid OCID del grupo de logs.
logid OCID del objeto de log.
tenantid OCID del arrendatario.
source OCID del firewall.
specversion Versión de la especificación CloudEvents que utiliza el evento. Permite la interpretación del contexto.
time Registro de hora cuando se escribió el log.
type Tipo de logs.
regionId OCID de la región de firewall.

Ejemplo de log de amenazas de Network Firewall

{
  "datetime": 1684255949000,
  "logContent": {
    "data": {
      "action": "reset-both",
      "device_name": "<device_name>",
      "direction": "server-to-client",
      "dst": "192.0.1.168",
      "dstloc": "192.0.0.10-192.0.0.11",
      "dstuser": "no-value",
      "firewall-id": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
      "proto": "tcp",
      "receive_time": "2023/05/16 16:52:29",
      "rule": "<rule_name>",
      "sessionid": "11804",
      "severity": "medium",
      "src": "192.0.2.168",
      "srcloc": "192.0.0.1-192.0.0.2",
      "srcuser": "no-value",
      "subtype": "vulnerability",
      "thr_category": "code-execution",
      "threatid": "Eicar File Detected"
    },
    "id": "<unique_ID>",
    "oracle": {
      "compartmentid": "ocid1.compartment.oc1..<unique_ID>",
      "ingestedtime": "2023-05-16T16:56:27.373Z",
      "loggroupid": "ocid1.loggroup.oc1.me-jeddah-1.<unique_ID>",
      "logid": "ocid1.log.oc1.me-jeddah-1.<unique_ID>",
      "tenantid": "ocid1.tenancy.oc1..<unique_ID>"
    },
    "source": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
    "specversion": "1.0",
    "time": "2023-05-16T16:52:29.000Z",
    "type": "com.oraclecloud.networkfirewall.threat"
  },
  "regionId": "me-jeddah-1"
}

Ejemplo de log de tráfico de Network Firewall

{
  "datetime": 1684257454000,
  "logContent": {
    "data": {
      "action": "allow",
      "bytes": "6264",
      "bytes_received": "4411",
      "bytes_sent": "1853",
      "chunks": "0",
      "chunks_received": "0",
      "chunks_sent": "0",
      "config_ver": "2561",
      "device_name": "<device_name>",
      "dport": "<port_number>",
      "dst": "192.0.1.168",
      "dstloc": "192.0.0.1-192.0.0.2",
      "firewall-id": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
      "packets": "28",
      "pkts_received": "12",
      "pkts_sent": "16",
      "proto": "tcp",
      "receive_time": "2023/05/16 17:17:34",
      "rule": "<rule_name>",
      "rule_uuid": "<rule_unique_ID>",
      "serial": "<serial_number>",
      "sessionid": "<session_ID>",
      "sport": "<port_number>",
      "src": "192.0.2.168",
      "srcloc": "192.0.0.10-192.0.0.11",
      "time_received": "2023/05/16 17:17:34"
    },
    "id": "<unique_ID>",
    "oracle": {
      "compartmentid": "ocid1.compartment.oc1..<unique_ID>",
      "ingestedtime": "2023-05-16T17:17:58.493Z",
      "loggroupid": "ocid1.loggroup.oc1.me-jeddah-1.<unique_ID>",
      "logid": "ocid1.log.oc1.me-jeddah-1.<unique_ID>",
      "tenantid": "ocid1.tenancy.oc1..<unique_ID>"
    },
    "source": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
    "specversion": "1.0",
    "time": "2023-05-16T17:17:34.000Z",
    "type": "com.oraclecloud.networkfirewall.traffic"
  },
  "regionId": "me-jeddah-1"
}