Détails relatifs aux journaux Network Firewall

Détails de journalisation pour les journaux Network Firewall. Trois types de journaux client sont disponibles : les journaux de menaces, de trafic et d'inspection de tunnel.

Ressources

  • NGFW

Catégories de journal

Valeur d'API (ID) : Console (nom d'affichage) Description
journal des menaces Journal des menaces Fournit des détails sur les menaces de pare-feu reçues.
journal de trafic Journal de trafic Fournit des détails sur le trafic passant par le pare-feu.
crevette Journal d'inspection de tunnel Fournit des détails sur les journaux d'inspection de tunnel de pare-feu reçus.

Disponibilité

La journalisation Network Firewall est disponible dans toutes les régions des domaines commerciaux.

Commentaires

Des journaux d'inspection des menaces, du trafic et des tunnels sont disponibles. Les journaux sont émis aux clients sur la base d'un intervalle de cinq minutes à partir du plan de données. Le plan de données enregistre également les journaux à leur réception.

Contenu d'un journal de menaces de pare-feu réseau

Propriété Description
datetime Horodatage de réception du journal.
action
Action effectuée pour la session. Les valeurs sont : autoriser, refuser, supprimer.
  • allow : alerte de détection des inondations.
  • nier : mécanisme de détection des inondations activé et refuser le trafic en fonction de la configuration.
  • drop : menace détectée et session associée supprimée.
device_name Nom d'hôte du pare-feu sur lequel la session a été consignée.
direction
Indique la direction de l'attaque, que ce soit du client au serveur ou du serveur au client :
  • 0 : La direction de la menace est client-serveur.
  • 1 : La direction de la menace est serveur-client.
dst Adresse IP de destination de la session d'origine.
Emplacement dst Pays ou région interne de destination pour les adresses privées. La longueur maximale est de 32 octets.
utilisateur dst Nom de l'utilisateur de la session.
ID de pare-feu OCID du pare-feu.
proto Protocole IP associé à la session.
receive_time Heure de réception du journal au niveau du plan de gestion.
règle Nom de la règle correspondant à la session.
ID de session Identificateur numérique interne appliqué à chaque session.
gravité Gravité associée à la menace. Les valeurs disponibles sont les suivantes : informationnel, bas, moyen, haut et critique.
Source Adresse IP source de la session d'origine.
Srcloc Pays ou région interne d'origine pour les adresses privées. La longueur maximale est de 32 octets.
Utilisateur srcuser Nom de l'utilisateur qui a démarré la session.
sous-type
Sous-type de journal des menaces. Les valeurs sont les suivantes :
  • data : Modèle de données correspondant à un profil Data Filtering.
  • fichier : type de fichier correspondant à un profil de blocage de fichier.
  • Inondation : Inondation détectée via un profil de protection de zone.
  • paquet : protection contre les attaques basée sur les paquets déclenchée par un profil de protection de zone.
  • scan : analyse détectée via un profil de protection de zone.
  • logiciel espion : logiciel espion détecté via un profil anti-spyware.
  • url : journal de filtrage d'URL.
  • virus : virus détecté par un profil antivirus.
  • vulnérabilité : Exploitation de vulnérabilité détectée via un profil de protection de vulnérabilité.
thr_category Décrit les catégories de menaces utilisées pour classer les différents types de signatures de menaces.
trois
Identifiant Palo Alto Networks pour la menace. Chaîne de description suivie d'un identificateur numérique 64 bits entre parenthèses pour certains sous-types :
  • 8000-8099 : Détection par balayage.
  • 8500-8599 : Détection des inondations.
  • 9999 : journal de filtrage d'URL.
  • 10000-19999 : détection de la maison du téléphone Spyware.
  • 20000-29999 : détection de téléchargement de logiciels espions.
  • 30000-44999 : détection d'exploitation de vulnérabilité.
  • 52000-52999 : détection du type de fichier.
  • 60000-69999 : Détection du filtrage des données.
id UUID du message de journal.
compartmentid OCID du compartiment.
temps d'inclusion Horodatage de réception du journal par le service Logging.
loggroupid OCID du groupe de journaux.
logid OCID de l'objet journal.
tenantid OCID du locataire.
source OCID du pare-feu.
specversion Version de la spécification CloudEvents utilisée par l'événement. Permet l'interprétation du contexte.
time Horodatage de l'écriture du journal.
type Type des journaux.
regionId OCID de la région de pare-feu.

Exemple de journal de menaces de pare-feu réseau

{
  "datetime": 1684255949000,
  "logContent": {
    "data": {
      "action": "reset-both",
      "device_name": "<device_name>",
      "direction": "server-to-client",
      "dst": "192.0.1.168",
      "dstloc": "192.0.0.10-192.0.0.11",
      "dstuser": "no-value",
      "firewall-id": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
      "proto": "tcp",
      "receive_time": "2023/05/16 16:52:29",
      "rule": "<rule_name>",
      "sessionid": "11804",
      "severity": "medium",
      "src": "192.0.2.168",
      "srcloc": "192.0.0.1-192.0.0.2",
      "srcuser": "no-value",
      "subtype": "vulnerability",
      "thr_category": "code-execution",
      "threatid": "Eicar File Detected"
    },
    "id": "<unique_ID>",
    "oracle": {
      "compartmentid": "ocid1.compartment.oc1..<unique_ID>",
      "ingestedtime": "2023-05-16T16:56:27.373Z",
      "loggroupid": "ocid1.loggroup.oc1.me-jeddah-1.<unique_ID>",
      "logid": "ocid1.log.oc1.me-jeddah-1.<unique_ID>",
      "tenantid": "ocid1.tenancy.oc1..<unique_ID>"
    },
    "source": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
    "specversion": "1.0",
    "time": "2023-05-16T16:52:29.000Z",
    "type": "com.oraclecloud.networkfirewall.threat"
  },
  "regionId": "me-jeddah-1"
}

Contenu d'un journal de trafic de pare-feu réseau

Propriété Description
datetime Horodatage de réception du journal.
action
Action effectuée pour la session. Les valeurs possibles sont les suivantes :
  • allow : session autorisée par la stratégie.
  • refuser : session refusée par la stratégie.
  • drop : Session abandonnée silencieusement.
  • drop ICMP : Session supprimée en mode silencieux avec un message ICMP inaccessible à l'hôte ou à l'application.
  • réinitialiser les deux : la session est terminée et une réinitialisation TCP est envoyée aux deux côtés de la connexion.
octets Nombre total d'octets (transmission et réception) pour la session.
bytes_received Nombre d'octets dans la direction serveur-client de la session.
bytes_sent Nombre d'octets dans la direction client-serveur de la session.
blocs Somme des blocs SCTP envoyés et reçus pour une association.
chunks_received Nombre de blocs SCTP envoyés pour une association.
chunks_sent Nombre de blocs SCTP reçus pour une association.
config_ver Version de configuration.
device_name Nom d'hôte du pare-feu sur lequel la session a été consignée.
dport Port de destination utilisé par la session.
dst Adresse IP de destination de la session d'origine.
Emplacement dst Pays ou région interne de destination pour les adresses privées. La longueur maximale est de 32 octets.
ID de pare-feu OCID du pare-feu.
paquets Nombre total de paquets (transmission et réception) pour la session.
pkts_received Nombre de paquets serveur-client pour la session.
pkts_sent Nombre de paquets client-serveur pour la session.
proto Protocole IP associé à la session.
receive_time Heure de réception du journal au niveau du plan de gestion.
règle Nom de la règle correspondant à la session.
rule_uuid UUID qui identifie définitivement la règle.
série Numéro de série du pare-feu qui a généré le journal.
ID de session Identificateur numérique interne appliqué à chaque session.
Sport Port source utilisé par la session.
Source Adresse IP source de la session d'origine.
Srcloc Pays ou région interne d'origine pour les adresses privées. La longueur maximale est de 32 octets.
time_received Heure de réception du journal au niveau du plan de gestion.
id UUID du message de journal.
compartmentid OCID du compartiment.
temps d'inclusion Horodatage de réception du journal par le service Logging.
loggroupid OCID du groupe de journaux.
logid OCID de l'objet journal.
tenantid OCID du locataire.
source OCID du pare-feu.
specversion Version de la spécification CloudEvents utilisée par l'événement. Permet l'interprétation du contexte.
time Horodatage de l'écriture du journal.
type Type des journaux.
regionId OCID de la région de pare-feu.

Exemple de journal de trafic de pare-feu réseau

{
  "datetime": 1684257454000,
  "logContent": {
    "data": {
      "action": "allow",
      "bytes": "6264",
      "bytes_received": "4411",
      "bytes_sent": "1853",
      "chunks": "0",
      "chunks_received": "0",
      "chunks_sent": "0",
      "config_ver": "2561",
      "device_name": "<device_name>",
      "dport": "<port_number>",
      "dst": "192.0.1.168",
      "dstloc": "192.0.0.1-192.0.0.2",
      "firewall-id": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
      "packets": "28",
      "pkts_received": "12",
      "pkts_sent": "16",
      "proto": "tcp",
      "receive_time": "2023/05/16 17:17:34",
      "rule": "<rule_name>",
      "rule_uuid": "<rule_unique_ID>",
      "serial": "<serial_number>",
      "sessionid": "<session_ID>",
      "sport": "<port_number>",
      "src": "192.0.2.168",
      "srcloc": "192.0.0.10-192.0.0.11",
      "time_received": "2023/05/16 17:17:34"
    },
    "id": "<unique_ID>",
    "oracle": {
      "compartmentid": "ocid1.compartment.oc1..<unique_ID>",
      "ingestedtime": "2023-05-16T17:17:58.493Z",
      "loggroupid": "ocid1.loggroup.oc1.me-jeddah-1.<unique_ID>",
      "logid": "ocid1.log.oc1.me-jeddah-1.<unique_ID>",
      "tenantid": "ocid1.tenancy.oc1..<unique_ID>"
    },
    "source": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
    "specversion": "1.0",
    "time": "2023-05-16T17:17:34.000Z",
    "type": "com.oraclecloud.networkfirewall.traffic"
  },
  "regionId": "me-jeddah-1"
}

Contenu d'un journal d'inspection de tunnel de pare-feu réseau

Propriété Description
src Adresse IP source des paquets dans la session.
dst Adresse IP de destination des paquets dans la session.
receive_time Mois, jour et heure de réception du journal dans le plan de gestion.
règle Nom de la règle de stratégie de sécurité en vigueur sur la session.
srcloc Pays d'origine ou région interne pour les adresses privées. La longueur maximale est de 32 octets.
dstloc Pays de destination ou région interne pour les adresses privées. La longueur maximale est de 32 octets.
sessionid ID de session de la session en cours de journalisation.
proto Protocole IP associé à la session.
action Action réalisée pour la session. Les valeurs possibles sont les suivantes :
  • AUTORISER
  • Refuser
  • DROP
  • SUPPRIMER L'ICÔNE
  • RÉINITIALISER LES DEUX
  • CLIENT DE RÉINITIALISATION
  • RÉINITIALISER LE SERVEUR
n° de série Numéro de série du pare-feu qui a généré le journal.
sport Port source utilisé par la session.
dport Port de destination utilisé par la session.
device_name Nom d'hôte du pare-feu sur lequel la session a été journalisée.
octets Nombre d'octets dans la session.
bytes_sent Nombre d'octets dans la direction client-serveur de la session.
bytes_received Nombre d'octets dans la direction serveur-client de la session.
paquets Nombre total de paquets (envoi et réception) pour la session.
pkts_sent Nombre de paquets client-serveur pour la session.
pkts_received Nombre de paquets serveur-client pour la session.
application Application identifiée pour la session.
tunnelid ID de tunnel en cours d'inspection ou ID IMSI (International Mobile Subscriber Identity) de l'utilisateur mobile.
balise de surveillance Nom de moniteur configuré pour la règle de stratégie d'inspection de tunnel ou l'ID IMEI (International Mobile Equipment Identity) du périphérique mobile.
parent_session_id ID de session dans laquelle la session est mise en tunnel. S'applique uniquement au tunnel interne (si deux niveaux de tunneling) ou au contenu interne (si un niveau de tunneling).
parent_start_time Année/mois/jour heures:minutes:secondes de début de la session de tunnel parent.
tunnel Type de tunnel, tel que VXLAN.
max_encap Nombre de paquets supprimés par le pare-feu car le paquet dépasse le nombre maximal de niveaux d'encapsulation configuré dans la règle de stratégie d'inspection de tunnel (supprime le paquet si le niveau maximal d'inspection de tunnel est dépassé).
unknown_proto Nombre de paquets supprimés par le pare-feu car le paquet contient un protocole inconnu, comme activé dans la règle de stratégie d'inspection de tunnel (supprime le paquet si le protocole inconnu se trouve dans le tunnel).
strict_check Nombre de paquets supprimés par le pare-feu car l'en-tête du protocole de tunnel dans le paquet n'est pas conforme à la RFC du protocole de tunnel, comme activé dans la règle de stratégie d'inspection de tunnel (supprime le paquet si le protocole de tunnel échoue à la vérification stricte de l'en-tête).
tunnel_fragment Nombre de paquets supprimés par le pare-feu en raison d'erreurs de fragmentation.
tunnel_insp_rule Nom de la règle d'inspection de tunnel correspondant au trafic de tunnel en texte clair.

Exemple de journal d'inspection de tunnel de pare-feu réseau

{
  "datetime": 1729056482000,
  "logContent": {
    "data": {
      "action": "allow",
      "app": "vxlan",
      "bytes": "58385",
      "bytes_received": "0",
      "bytes_sent": "58385",
      "device_name": "PA-VM",
      "dport": "<destination_port>",
      "dst": "<destination_IP>",
      "dstloc": "10.0.0.0-10.255.255.255",
      "firewall-id": "ocid1.networkfirewall.oc1.us-sanjose-1.<unique_ID>",
      "max_encap": "0",
      "monitortag": "<unique_ID>",
      "packets": "31",
      "parent_session_id": "0",
      "parent_start_time": "no-value",
      "pkts_received": "0",
      "pkts_sent": "31",
      "proto": "udp",
      "receive_time": "2024/10/16 05:28:02",
      "rule": "<rule_name>",
      "serial": "<unique_ID>",
      "sessionid": "10",
      "sport": "0",
      "src": "<source_IP>",
      "srcloc": "10.0.0.0-10.255.255.255",
      "strict_check": "0",
      "tunnel": "tunnel",
      "tunnel_fragment": "0",
      "tunnel_insp_rule": "allow-tunnel-inspect-rule",
      "tunnelid": "<unique_ID>",
      "unknown_proto": "0"
    },
    "id": "<unique_ID>",
    "oracle": {
      "compartmentid": "ocid1.compartment.oc1..<unique_ID>",
      "ingestedtime": "2024-10-16T05:29:28.543Z",
      "loggroupid": "ocid1.loggroup.oc1.us-sanjose-1.<unique_ID>",
      "logid": "ocid1.log.oc1.us-sanjose-1.<unique_ID>",
      "tenantid": "ocid1.tenancy.oc1..<unique_ID>"
    },
    "source": "ocid1.networkfirewall.oc1.us-sanjose-1.<unique_ID>",
    "specversion": "1.0",
    "time": "2024-10-16T05:28:02.000Z",
    "type": "com.oraclecloud.networkfirewall.tunnel"
  },
  "regionId": "us-sanjose-1"
}