Documentation sur Oracle Cloud Infrastructure

Informations détaillées sur les journaux de pare-feu de réseau

Détails de journalisation pour les journaux de pare-feu de réseau. Trois types de journaux de client sont disponibles : les journaux de menace, de trafic et d'inspection de tunnel.

Ressources

  • Palette NGFW

Catégories de journaux

Valeur d'API (ID) : Console (Nom d'affichage) Description
journal des menaces Journal des menaces Fournit des détails sur les menaces reçues du pare-feu.
journal de trafic Journal de trafic Fournit des détails sur le trafic passant par le pare-feu.
Connexion Journal d'inspection de tunnel Fournit des détails sur les journaux d'inspection de tunnel de pare-feu reçus.

Disponibilité

La journalisation du pare-feu de réseau est disponible dans toutes les régions des domaines commerciaux.

Commentaires

Les journaux d'inspection des menaces, du trafic et des tunnels sont disponibles. Les journaux sont émis aux clients selon un intervalle de cinq minutes à partir du plan de données. Le plan de données enregistre également les journaux à mesure qu'ils sont reçus.

Contenu d'un journal de menaces du pare-feu de réseau

Propriété Description
datetime Horodatage de la réception du journal.
action
Action effectuée pour la session. Les valeurs sont : Permettre, Refuser, Abandonner.
  • allow : Alerte de détection d'inondation.
  • mécanisme de détection d'inondation activé et refus du trafic basé sur la configuration.
  • drop : menace détectée et session associée abandonnée.
device_name Nom d'hôte du pare-feu sur lequel la session a été enregistrée.
direction
Indique la direction de l'attaque, que ce soit du client au serveur ou du serveur au client :
  • 0 : La direction de la menace est client-serveur.
  • 1 : La direction de la menace est serveur à client.
st Adresse IP de destination de la session initiale.
dstloc Pays de destination ou région interne pour les adresses privées. La longueur maximale est de 32 octets.
dstuser Nom d'utilisateur de l'utilisateur auquel la session était destinée.
ID pare-feu OCID du pare-feu.
proto Protocole IP associé à la session.
receive_time Heure à laquelle le journal a été reçu dans le plan de gestion.
règle Nom de la règle correspondante à la session.
ID session Identificateur numérique interne appliqué à chaque session.
gravité Gravité associée à la menace. Les valeurs sont informatives, faibles, moyennes, élevées et critiques.
source Adresse IP de la source de la session initiale.
srcloc Pays source ou région interne pour les adresses privées. La longueur maximale est de 32 octets.
utilisateur src Nom d'utilisateur de l'utilisateur qui a lancé la session.
sous-type
Sous-type de journal des menaces. Les valeurs valides sont les suivantes :
  • data : Modèle de données correspondant à un profil de filtrage de données.
  • file : Type de fichier correspondant à un profil File Blocking.
  • inondation : inondation détectée par un profil de protection de zone.
  • paquet : Protection contre les attaques basée sur des paquets déclenchée par un profil Zone Protection.
  • scan : Scan détecté via un profil de protection de zone.
  • spyware : Spyware détecté par un profil anti-spyware.
  • url : journal de filtrage d'URL.
  • virus : virus détecté via un profil antivirus.
  • vulnérabilité : Exploitation de la vulnérabilité détectée par un profil de protection de la vulnérabilité.
thr_category Décrit les catégories de menaces utilisées pour classer différents types de signatures de menaces.
merci
Identificateur Palo Alto Networks de la menace. Chaîne de description suivie d'un identificateur numérique de 64 bits entre parenthèses pour certains sous-types :
  • 8000-8099 : Détection de balayage.
  • 8500-8599 : Détection des inondations.
  • 9999 : Journal de filtrage d'URL.
  • 10000-19999 : Détection de la maison de téléphone de logiciel espion.
  • 20000-29999 : Détection de téléchargement de logiciels espions.
  • 30000-44999 : Détection d'exploits de vulnérabilité.
  • 52000-52999 : Détection de type de fichier.
  • 60000-69999 : Détection de filtrage de données.
id UUID du message du journal.
compartmentid OCID du compartiment.
temps ingéré Horodatage auquel le journal a été reçu par le service de journalisation.
loggroupid OCID du groupe de journaux.
logid OCID de l'objet de journal.
tenantid OCID du locataire.
source OCID du pare-feu.
specversion Version de la spécification CloudEvents utilisée par l'événement. Active l'interprétation du contexte.
time Horodatage lors de l'écriture du journal.
type Type des journaux.
regionId OCID de la région de pare-feu.

Exemple de journal des menaces du pare-feu de réseau

{
  "datetime": 1684255949000,
  "logContent": {
    "data": {
      "action": "reset-both",
      "device_name": "<device_name>",
      "direction": "server-to-client",
      "dst": "192.0.1.168",
      "dstloc": "192.0.0.10-192.0.0.11",
      "dstuser": "no-value",
      "firewall-id": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
      "proto": "tcp",
      "receive_time": "2023/05/16 16:52:29",
      "rule": "<rule_name>",
      "sessionid": "11804",
      "severity": "medium",
      "src": "192.0.2.168",
      "srcloc": "192.0.0.1-192.0.0.2",
      "srcuser": "no-value",
      "subtype": "vulnerability",
      "thr_category": "code-execution",
      "threatid": "Eicar File Detected"
    },
    "id": "<unique_ID>",
    "oracle": {
      "compartmentid": "ocid1.compartment.oc1..<unique_ID>",
      "ingestedtime": "2023-05-16T16:56:27.373Z",
      "loggroupid": "ocid1.loggroup.oc1.me-jeddah-1.<unique_ID>",
      "logid": "ocid1.log.oc1.me-jeddah-1.<unique_ID>",
      "tenantid": "ocid1.tenancy.oc1..<unique_ID>"
    },
    "source": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
    "specversion": "1.0",
    "time": "2023-05-16T16:52:29.000Z",
    "type": "com.oraclecloud.networkfirewall.threat"
  },
  "regionId": "me-jeddah-1"
}

Contenu d'un journal de trafic de pare-feu de réseau

Propriété Description
datetime Horodatage de la réception du journal.
action
Action effectuée pour la session. Les valeurs possibles sont :
  • allow : Session autorisée par une politique.
  • refus : session refusée par la politique.
  • Drop : Session abandonnée silencieusement.
  • Déposer ICMP : Session abandonnée silencieusement avec un message ICMP inaccessible à l'hôte ou à l'application.
  • Réinitialiser les deux : La session s'est terminée et une réinitialisation TCP est envoyée aux deux côtés de la connexion.
octets Nombre total d'octets (transmission et réception) pour la session.
bytes_received Nombre d'octets dans la direction serveur-client de la session.
bytes_sent Nombre d'octets dans la direction client-serveur de la session.
fragments Somme des fragments SCTP envoyés et reçus pour une association.
chunks_received Nombre de fragments SCTP envoyés pour une association.
chunks_sent Nombre de fragments SCTP reçus pour une association.
config_ver Version de configuration.
device_name Nom d'hôte du pare-feu sur lequel la session a été enregistrée.
port Port de destination utilisé par la session.
st Adresse IP de destination de la session initiale.
dstloc Pays de destination ou région interne pour les adresses privées. La longueur maximale est de 32 octets.
ID pare-feu OCID du pare-feu.
paquets Nombre total de paquets (transmission et réception) pour la session.
pkts_received Nombre de paquets serveur à client pour la session.
pkts_sent Nombre de paquets client-serveur pour la session.
proto Protocole IP associé à la session.
receive_time Heure à laquelle le journal a été reçu dans le plan de gestion.
règle Nom de la règle correspondante à la session.
rule_uuid UUID qui identifie définitivement la règle.
série Numéro de série du pare-feu qui a généré le journal.
ID session Identificateur numérique interne appliqué à chaque session.
sport Port source utilisé par la session.
source Adresse IP de la source de la session initiale.
srcloc Pays source ou région interne pour les adresses privées. La longueur maximale est de 32 octets.
time_received Heure à laquelle le journal a été reçu dans le plan de gestion.
id UUID du message du journal.
compartmentid OCID du compartiment.
temps ingéré Horodatage auquel le journal a été reçu par le service de journalisation.
loggroupid OCID du groupe de journaux.
logid OCID de l'objet de journal.
tenantid OCID du locataire.
source OCID du pare-feu.
specversion Version de la spécification CloudEvents utilisée par l'événement. Active l'interprétation du contexte.
time Horodatage de l'écriture du journal.
type Type des journaux.
regionId OCID de la région de pare-feu.

Exemple de journal de trafic du pare-feu de réseau

{
  "datetime": 1684257454000,
  "logContent": {
    "data": {
      "action": "allow",
      "bytes": "6264",
      "bytes_received": "4411",
      "bytes_sent": "1853",
      "chunks": "0",
      "chunks_received": "0",
      "chunks_sent": "0",
      "config_ver": "2561",
      "device_name": "<device_name>",
      "dport": "<port_number>",
      "dst": "192.0.1.168",
      "dstloc": "192.0.0.1-192.0.0.2",
      "firewall-id": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
      "packets": "28",
      "pkts_received": "12",
      "pkts_sent": "16",
      "proto": "tcp",
      "receive_time": "2023/05/16 17:17:34",
      "rule": "<rule_name>",
      "rule_uuid": "<rule_unique_ID>",
      "serial": "<serial_number>",
      "sessionid": "<session_ID>",
      "sport": "<port_number>",
      "src": "192.0.2.168",
      "srcloc": "192.0.0.10-192.0.0.11",
      "time_received": "2023/05/16 17:17:34"
    },
    "id": "<unique_ID>",
    "oracle": {
      "compartmentid": "ocid1.compartment.oc1..<unique_ID>",
      "ingestedtime": "2023-05-16T17:17:58.493Z",
      "loggroupid": "ocid1.loggroup.oc1.me-jeddah-1.<unique_ID>",
      "logid": "ocid1.log.oc1.me-jeddah-1.<unique_ID>",
      "tenantid": "ocid1.tenancy.oc1..<unique_ID>"
    },
    "source": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
    "specversion": "1.0",
    "time": "2023-05-16T17:17:34.000Z",
    "type": "com.oraclecloud.networkfirewall.traffic"
  },
  "regionId": "me-jeddah-1"
}

Contenu d'un journal d'inspection de tunnel de pare-feu de réseau

Propriété Description
SRC Adresse IP source des paquets de la session.
heure d'été Adresse IP de destination des paquets dans la session.
receive_time Mois, jour et heure de réception du journal dans le plan de gestion.
règle Nom de la règle de politique de sécurité en vigueur dans la session.
srcloc Pays source ou région interne pour les adresses privées. La longueur maximale est de 32 octets.
dstloc Pays de destination ou région interne pour les adresses privées. La longueur maximale est de 32 octets.
sessionID ID session de la session en cours de journalisation.
proto Protocole IP associé à la session.
action Action effectuée pour la session. Les valeurs possibles sont :
  • ALLER
  • Refuser
  • DROP
  • SUPPRIMER ICMP
  • RÉINITIALISER LES DEUX
  • CLIENT DE RÉINITIALISATION
  • RÉINITIALISER LE SERVEUR
série Numéro de série du pare-feu qui a généré le journal.
sport Port source utilisé par la session.
dport Port de destination utilisé par la session.
device_name Nom d'hôte du pare-feu sur lequel la session a été journalisée.
octets Nombre d'octets dans la session.
bytes_sent Nombre d'octets dans la direction client-serveur de la session.
bytes_received Nombre d'octets dans la direction serveur-client de la session.
paquets Nombre total de paquets (envoyés et reçus) pour la session.
pkts_sent Nombre de paquets client-serveur pour la session.
pkts_received Nombre de paquets serveur-client pour la session.
application Application identifiée pour la session.
ID tunnel ID tunnel en cours d'inspection ou ID IMSI (International Mobile Subscriber Identity) de l'utilisateur mobile.
monitorte Nom du moniteur configuré pour la règle de politique d'inspection de tunnel ou l'ID IMEI (International Mobile Equipment Identity) de l'appareil mobile.
parent_session_id ID de session dans lequel la session particulière est réglée. S'applique uniquement au tunnel intérieur (si deux niveaux de tunnelisation) ou au contenu intérieur (si un niveau de tunnelisation).
parent_start_time Année/mois/jour heures:minutes:secondes pendant lesquelles la session de tunnel parent a commencé.
tunnel Type de tunnel, par exemple VXLAN.
max_encap Nombre de paquets abandonnés par le pare-feu, car le paquet a dépassé le nombre maximal de niveaux d'encapsulation configurés dans la règle de politique d'inspection de tunnel (supprime le paquet si le niveau d'inspection de tunnel maximal est dépassé).
unknown_proto Nombre de paquets abandonnés par le pare-feu, car le paquet contient un protocole inconnu, tel qu'activé dans la règle de politique d'inspection de tunnel (supprime le paquet si le protocole inconnu est à l'intérieur du tunnel).
strict_check Nombre de paquets abandonnés par le pare-feu, car l'en-tête de protocole de tunnel dans le paquet n'a pas été conforme à la RFC pour le protocole de tunnel, tel qu'activé dans la règle de politique d'inspection de tunnel (supprime le paquet si le protocole de tunnel échoue à la vérification stricte de l'en-tête).
tunnel_fragment Nombre de paquets abandonnés par le pare-feu en raison d'erreurs de fragmentation.
tunnel_insp_rule Nom de la règle d'inspection de tunnel correspondant au trafic de tunnel en texte clair.

Exemple de journal d'inspection de tunnel de pare-feu de réseau

{
  "datetime": 1729056482000,
  "logContent": {
    "data": {
      "action": "allow",
      "app": "vxlan",
      "bytes": "58385",
      "bytes_received": "0",
      "bytes_sent": "58385",
      "device_name": "PA-VM",
      "dport": "<destination_port>",
      "dst": "<destination_IP>",
      "dstloc": "10.0.0.0-10.255.255.255",
      "firewall-id": "ocid1.networkfirewall.oc1.us-sanjose-1.<unique_ID>",
      "max_encap": "0",
      "monitortag": "<unique_ID>",
      "packets": "31",
      "parent_session_id": "0",
      "parent_start_time": "no-value",
      "pkts_received": "0",
      "pkts_sent": "31",
      "proto": "udp",
      "receive_time": "2024/10/16 05:28:02",
      "rule": "<rule_name>",
      "serial": "<unique_ID>",
      "sessionid": "10",
      "sport": "0",
      "src": "<source_IP>",
      "srcloc": "10.0.0.0-10.255.255.255",
      "strict_check": "0",
      "tunnel": "tunnel",
      "tunnel_fragment": "0",
      "tunnel_insp_rule": "allow-tunnel-inspect-rule",
      "tunnelid": "<unique_ID>",
      "unknown_proto": "0"
    },
    "id": "<unique_ID>",
    "oracle": {
      "compartmentid": "ocid1.compartment.oc1..<unique_ID>",
      "ingestedtime": "2024-10-16T05:29:28.543Z",
      "loggroupid": "ocid1.loggroup.oc1.us-sanjose-1.<unique_ID>",
      "logid": "ocid1.log.oc1.us-sanjose-1.<unique_ID>",
      "tenantid": "ocid1.tenancy.oc1..<unique_ID>"
    },
    "source": "ocid1.networkfirewall.oc1.us-sanjose-1.<unique_ID>",
    "specversion": "1.0",
    "time": "2024-10-16T05:28:02.000Z",
    "type": "com.oraclecloud.networkfirewall.tunnel"
  },
  "regionId": "us-sanjose-1"
}