Détails relatifs aux journaux Network Firewall
Détails de journalisation pour les journaux Network Firewall. Trois types de journaux client sont disponibles : les journaux de menaces, de trafic et d'inspection de tunnel.
Ressources
- NGFW
Catégories de journal
Valeur d'API (ID) : | Console (nom d'affichage) | Description |
---|---|---|
journal des menaces | Journal des menaces | Fournit des détails sur les menaces de pare-feu reçues. |
journal de trafic | Journal de trafic | Fournit des détails sur le trafic passant par le pare-feu. |
crevette | Journal d'inspection de tunnel | Fournit des détails sur les journaux d'inspection de tunnel de pare-feu reçus. |
Disponibilité
La journalisation Network Firewall est disponible dans toutes les régions des domaines commerciaux.
Commentaires
Des journaux d'inspection des menaces, du trafic et des tunnels sont disponibles. Les journaux sont émis aux clients sur la base d'un intervalle de cinq minutes à partir du plan de données. Le plan de données enregistre également les journaux à leur réception.
Contenu d'un journal de menaces de pare-feu réseau
Propriété | Description |
---|---|
datetime | Horodatage de réception du journal. |
action |
Action effectuée pour la session. Les valeurs sont : autoriser, refuser, supprimer.
|
device_name | Nom d'hôte du pare-feu sur lequel la session a été consignée. |
direction |
Indique la direction de l'attaque, que ce soit du client au serveur ou du serveur au client :
|
dst | Adresse IP de destination de la session d'origine. |
Emplacement dst | Pays ou région interne de destination pour les adresses privées. La longueur maximale est de 32 octets. |
utilisateur dst | Nom de l'utilisateur de la session. |
ID de pare-feu | OCID du pare-feu. |
proto | Protocole IP associé à la session. |
receive_time | Heure de réception du journal au niveau du plan de gestion. |
règle | Nom de la règle correspondant à la session. |
ID de session | Identificateur numérique interne appliqué à chaque session. |
gravité | Gravité associée à la menace. Les valeurs disponibles sont les suivantes : informationnel, bas, moyen, haut et critique. |
Source | Adresse IP source de la session d'origine. |
Srcloc | Pays ou région interne d'origine pour les adresses privées. La longueur maximale est de 32 octets. |
Utilisateur srcuser | Nom de l'utilisateur qui a démarré la session. |
sous-type |
Sous-type de journal des menaces. Les valeurs sont les suivantes :
|
thr_category | Décrit les catégories de menaces utilisées pour classer les différents types de signatures de menaces. |
trois |
Identifiant Palo Alto Networks pour la menace. Chaîne de description suivie d'un identificateur numérique 64 bits entre parenthèses pour certains sous-types :
|
id | UUID du message de journal. |
compartmentid | OCID du compartiment. |
temps d'inclusion | Horodatage de réception du journal par le service Logging. |
loggroupid | OCID du groupe de journaux. |
logid | OCID de l'objet journal. |
tenantid | OCID du locataire. |
source | OCID du pare-feu. |
specversion | Version de la spécification CloudEvents utilisée par l'événement. Permet l'interprétation du contexte. |
time | Horodatage de l'écriture du journal. |
type | Type des journaux. |
regionId | OCID de la région de pare-feu. |
Exemple de journal de menaces de pare-feu réseau
{
"datetime": 1684255949000,
"logContent": {
"data": {
"action": "reset-both",
"device_name": "<device_name>",
"direction": "server-to-client",
"dst": "192.0.1.168",
"dstloc": "192.0.0.10-192.0.0.11",
"dstuser": "no-value",
"firewall-id": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
"proto": "tcp",
"receive_time": "2023/05/16 16:52:29",
"rule": "<rule_name>",
"sessionid": "11804",
"severity": "medium",
"src": "192.0.2.168",
"srcloc": "192.0.0.1-192.0.0.2",
"srcuser": "no-value",
"subtype": "vulnerability",
"thr_category": "code-execution",
"threatid": "Eicar File Detected"
},
"id": "<unique_ID>",
"oracle": {
"compartmentid": "ocid1.compartment.oc1..<unique_ID>",
"ingestedtime": "2023-05-16T16:56:27.373Z",
"loggroupid": "ocid1.loggroup.oc1.me-jeddah-1.<unique_ID>",
"logid": "ocid1.log.oc1.me-jeddah-1.<unique_ID>",
"tenantid": "ocid1.tenancy.oc1..<unique_ID>"
},
"source": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
"specversion": "1.0",
"time": "2023-05-16T16:52:29.000Z",
"type": "com.oraclecloud.networkfirewall.threat"
},
"regionId": "me-jeddah-1"
}
Contenu d'un journal de trafic de pare-feu réseau
Propriété | Description |
---|---|
datetime | Horodatage de réception du journal. |
action |
Action effectuée pour la session. Les valeurs possibles sont les suivantes :
|
octets | Nombre total d'octets (transmission et réception) pour la session. |
bytes_received | Nombre d'octets dans la direction serveur-client de la session. |
bytes_sent | Nombre d'octets dans la direction client-serveur de la session. |
blocs | Somme des blocs SCTP envoyés et reçus pour une association. |
chunks_received | Nombre de blocs SCTP envoyés pour une association. |
chunks_sent | Nombre de blocs SCTP reçus pour une association. |
config_ver | Version de configuration. |
device_name | Nom d'hôte du pare-feu sur lequel la session a été consignée. |
dport | Port de destination utilisé par la session. |
dst | Adresse IP de destination de la session d'origine. |
Emplacement dst | Pays ou région interne de destination pour les adresses privées. La longueur maximale est de 32 octets. |
ID de pare-feu | OCID du pare-feu. |
paquets | Nombre total de paquets (transmission et réception) pour la session. |
pkts_received | Nombre de paquets serveur-client pour la session. |
pkts_sent | Nombre de paquets client-serveur pour la session. |
proto | Protocole IP associé à la session. |
receive_time | Heure de réception du journal au niveau du plan de gestion. |
règle | Nom de la règle correspondant à la session. |
rule_uuid | UUID qui identifie définitivement la règle. |
série | Numéro de série du pare-feu qui a généré le journal. |
ID de session | Identificateur numérique interne appliqué à chaque session. |
Sport | Port source utilisé par la session. |
Source | Adresse IP source de la session d'origine. |
Srcloc | Pays ou région interne d'origine pour les adresses privées. La longueur maximale est de 32 octets. |
time_received | Heure de réception du journal au niveau du plan de gestion. |
id | UUID du message de journal. |
compartmentid | OCID du compartiment. |
temps d'inclusion | Horodatage de réception du journal par le service Logging. |
loggroupid | OCID du groupe de journaux. |
logid | OCID de l'objet journal. |
tenantid | OCID du locataire. |
source | OCID du pare-feu. |
specversion | Version de la spécification CloudEvents utilisée par l'événement. Permet l'interprétation du contexte. |
time | Horodatage de l'écriture du journal. |
type | Type des journaux. |
regionId | OCID de la région de pare-feu. |
Exemple de journal de trafic de pare-feu réseau
{
"datetime": 1684257454000,
"logContent": {
"data": {
"action": "allow",
"bytes": "6264",
"bytes_received": "4411",
"bytes_sent": "1853",
"chunks": "0",
"chunks_received": "0",
"chunks_sent": "0",
"config_ver": "2561",
"device_name": "<device_name>",
"dport": "<port_number>",
"dst": "192.0.1.168",
"dstloc": "192.0.0.1-192.0.0.2",
"firewall-id": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
"packets": "28",
"pkts_received": "12",
"pkts_sent": "16",
"proto": "tcp",
"receive_time": "2023/05/16 17:17:34",
"rule": "<rule_name>",
"rule_uuid": "<rule_unique_ID>",
"serial": "<serial_number>",
"sessionid": "<session_ID>",
"sport": "<port_number>",
"src": "192.0.2.168",
"srcloc": "192.0.0.10-192.0.0.11",
"time_received": "2023/05/16 17:17:34"
},
"id": "<unique_ID>",
"oracle": {
"compartmentid": "ocid1.compartment.oc1..<unique_ID>",
"ingestedtime": "2023-05-16T17:17:58.493Z",
"loggroupid": "ocid1.loggroup.oc1.me-jeddah-1.<unique_ID>",
"logid": "ocid1.log.oc1.me-jeddah-1.<unique_ID>",
"tenantid": "ocid1.tenancy.oc1..<unique_ID>"
},
"source": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
"specversion": "1.0",
"time": "2023-05-16T17:17:34.000Z",
"type": "com.oraclecloud.networkfirewall.traffic"
},
"regionId": "me-jeddah-1"
}
Contenu d'un journal d'inspection de tunnel de pare-feu réseau
Propriété | Description |
---|---|
src | Adresse IP source des paquets dans la session. |
dst | Adresse IP de destination des paquets dans la session. |
receive_time | Mois, jour et heure de réception du journal dans le plan de gestion. |
règle | Nom de la règle de stratégie de sécurité en vigueur sur la session. |
srcloc | Pays d'origine ou région interne pour les adresses privées. La longueur maximale est de 32 octets. |
dstloc | Pays de destination ou région interne pour les adresses privées. La longueur maximale est de 32 octets. |
sessionid | ID de session de la session en cours de journalisation. |
proto | Protocole IP associé à la session. |
action | Action réalisée pour la session. Les valeurs possibles sont les suivantes :
|
n° de série | Numéro de série du pare-feu qui a généré le journal. |
sport | Port source utilisé par la session. |
dport | Port de destination utilisé par la session. |
device_name | Nom d'hôte du pare-feu sur lequel la session a été journalisée. |
octets | Nombre d'octets dans la session. |
bytes_sent | Nombre d'octets dans la direction client-serveur de la session. |
bytes_received | Nombre d'octets dans la direction serveur-client de la session. |
paquets | Nombre total de paquets (envoi et réception) pour la session. |
pkts_sent | Nombre de paquets client-serveur pour la session. |
pkts_received | Nombre de paquets serveur-client pour la session. |
application | Application identifiée pour la session. |
tunnelid | ID de tunnel en cours d'inspection ou ID IMSI (International Mobile Subscriber Identity) de l'utilisateur mobile. |
balise de surveillance | Nom de moniteur configuré pour la règle de stratégie d'inspection de tunnel ou l'ID IMEI (International Mobile Equipment Identity) du périphérique mobile. |
parent_session_id | ID de session dans laquelle la session est mise en tunnel. S'applique uniquement au tunnel interne (si deux niveaux de tunneling) ou au contenu interne (si un niveau de tunneling). |
parent_start_time | Année/mois/jour heures:minutes:secondes de début de la session de tunnel parent. |
tunnel | Type de tunnel, tel que VXLAN. |
max_encap | Nombre de paquets supprimés par le pare-feu car le paquet dépasse le nombre maximal de niveaux d'encapsulation configuré dans la règle de stratégie d'inspection de tunnel (supprime le paquet si le niveau maximal d'inspection de tunnel est dépassé). |
unknown_proto | Nombre de paquets supprimés par le pare-feu car le paquet contient un protocole inconnu, comme activé dans la règle de stratégie d'inspection de tunnel (supprime le paquet si le protocole inconnu se trouve dans le tunnel). |
strict_check | Nombre de paquets supprimés par le pare-feu car l'en-tête du protocole de tunnel dans le paquet n'est pas conforme à la RFC du protocole de tunnel, comme activé dans la règle de stratégie d'inspection de tunnel (supprime le paquet si le protocole de tunnel échoue à la vérification stricte de l'en-tête). |
tunnel_fragment | Nombre de paquets supprimés par le pare-feu en raison d'erreurs de fragmentation. |
tunnel_insp_rule | Nom de la règle d'inspection de tunnel correspondant au trafic de tunnel en texte clair. |
Exemple de journal d'inspection de tunnel de pare-feu réseau
{
"datetime": 1729056482000,
"logContent": {
"data": {
"action": "allow",
"app": "vxlan",
"bytes": "58385",
"bytes_received": "0",
"bytes_sent": "58385",
"device_name": "PA-VM",
"dport": "<destination_port>",
"dst": "<destination_IP>",
"dstloc": "10.0.0.0-10.255.255.255",
"firewall-id": "ocid1.networkfirewall.oc1.us-sanjose-1.<unique_ID>",
"max_encap": "0",
"monitortag": "<unique_ID>",
"packets": "31",
"parent_session_id": "0",
"parent_start_time": "no-value",
"pkts_received": "0",
"pkts_sent": "31",
"proto": "udp",
"receive_time": "2024/10/16 05:28:02",
"rule": "<rule_name>",
"serial": "<unique_ID>",
"sessionid": "10",
"sport": "0",
"src": "<source_IP>",
"srcloc": "10.0.0.0-10.255.255.255",
"strict_check": "0",
"tunnel": "tunnel",
"tunnel_fragment": "0",
"tunnel_insp_rule": "allow-tunnel-inspect-rule",
"tunnelid": "<unique_ID>",
"unknown_proto": "0"
},
"id": "<unique_ID>",
"oracle": {
"compartmentid": "ocid1.compartment.oc1..<unique_ID>",
"ingestedtime": "2024-10-16T05:29:28.543Z",
"loggroupid": "ocid1.loggroup.oc1.us-sanjose-1.<unique_ID>",
"logid": "ocid1.log.oc1.us-sanjose-1.<unique_ID>",
"tenantid": "ocid1.tenancy.oc1..<unique_ID>"
},
"source": "ocid1.networkfirewall.oc1.us-sanjose-1.<unique_ID>",
"specversion": "1.0",
"time": "2024-10-16T05:28:02.000Z",
"type": "com.oraclecloud.networkfirewall.tunnel"
},
"regionId": "us-sanjose-1"
}