Dettagli per i log del firewall di rete
Dettagli di log per i log di Network Firewall. Sono disponibili tre tipi di log dei clienti: i log di ispezione delle minacce, del traffico e dei tunnel.
Risorse
- NGFW
Categorie di log
Valore API (ID): | Console (nome visualizzato) | descrizione; |
---|---|---|
log delle minacce | Registro minacce | Fornisce dettagli sulle minacce firewall ricevute. |
log del traffico | Log traffico | Fornisce dettagli sul traffico che passa attraverso il firewall. |
tunnel log | Log ispezione tunnel | Fornisce i dettagli sui log di ispezione del tunnel del firewall ricevuti. |
Disponibilità
La registrazione del firewall di rete è disponibile in tutte le aree dei regimi commerciali.
commenti
Sono disponibili log di ispezione di minacce, traffico e tunnel. I log vengono emessi ai clienti in base a un intervallo di cinque minuti dal piano dati. Il dataplane registra anche i log man mano che vengono ricevuti.
Contenuto di un log delle minacce del firewall di rete
Proprietà | descrizione; |
---|---|
datetime | Indicatore orario di ricezione del log. |
azione |
Azione eseguita per la sessione. I valori sono, Consenti, Rifiuta, Elimina.
|
device_name | Il nome host del firewall su cui è stata registrata la sessione. |
direzione |
Indica la direzione dell'attacco, da client a server o da server a client:
|
dst | Indirizzo IP di destinazione della sessione originale. |
dstloc | Paese di destinazione o area interna per indirizzi privati. La lunghezza massima è di 32 byte. |
dstuser | Nome utente dell'utente a cui era destinata la sessione. |
ID firewall | OCID del firewall. |
prototipo | Protocollo IP associato alla sessione. |
receive_time | Ora di ricezione del log nel piano di gestione. |
regola | Nome della regola abbinata alla sessione. |
sessionid | Identificativo numerico interno applicato a ogni sessione. |
gravità | Severità associata alla minaccia. I valori sono informativi, bassi, medi, alti e critici. |
origine | Indirizzo IP di origine sessione originale. |
srcloc | Paese di origine o area interna per indirizzi privati. La lunghezza massima è di 32 byte. |
srcuser | Nome dell'utente che ha avviato la sessione. |
tipo secondario |
Sottotipo di log delle minacce. I valori disponibili sono i seguenti:
|
thr_category | Descrive le categorie di minacce utilizzate per classificare diversi tipi di firme di minacce. |
minaccia |
Identificatore di Palo Alto Networks per la minaccia. Una stringa di descrizione seguita da un identificatore numerico a 64 bit tra parentesi per alcuni sottotipi:
|
id | UUID del messaggio di log. |
compartmentid | OCID del compartimento. |
tempo di inclusione | Indicatore orario in cui il log è stato ricevuto dal servizio di log. |
loggroupid | OCID del gruppo di log. |
logid | OCID dell'oggetto log. |
tenantid | OCID del tenant. |
origine | OCID del firewall. |
specversione | La versione della specifica CloudEvents utilizzata dall'evento. Consente l'interpretazione del contesto. |
tempo | Indicatore orario al momento della scrittura del log. |
Tipo | Tipo di log. |
regionId | OCID dell'area firewall. |
Esempio di log delle minacce del firewall di rete
{
"datetime": 1684255949000,
"logContent": {
"data": {
"action": "reset-both",
"device_name": "<device_name>",
"direction": "server-to-client",
"dst": "192.0.1.168",
"dstloc": "192.0.0.10-192.0.0.11",
"dstuser": "no-value",
"firewall-id": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
"proto": "tcp",
"receive_time": "2023/05/16 16:52:29",
"rule": "<rule_name>",
"sessionid": "11804",
"severity": "medium",
"src": "192.0.2.168",
"srcloc": "192.0.0.1-192.0.0.2",
"srcuser": "no-value",
"subtype": "vulnerability",
"thr_category": "code-execution",
"threatid": "Eicar File Detected"
},
"id": "<unique_ID>",
"oracle": {
"compartmentid": "ocid1.compartment.oc1..<unique_ID>",
"ingestedtime": "2023-05-16T16:56:27.373Z",
"loggroupid": "ocid1.loggroup.oc1.me-jeddah-1.<unique_ID>",
"logid": "ocid1.log.oc1.me-jeddah-1.<unique_ID>",
"tenantid": "ocid1.tenancy.oc1..<unique_ID>"
},
"source": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
"specversion": "1.0",
"time": "2023-05-16T16:52:29.000Z",
"type": "com.oraclecloud.networkfirewall.threat"
},
"regionId": "me-jeddah-1"
}
Contenuto di un log del traffico firewall di rete
Proprietà | descrizione; |
---|---|
datetime | Indicatore orario alla ricezione del log. |
azione |
Azione eseguita per la sessione. I valori possibili sono:
|
byte | Numero totale di byte (trasmetti e ricevi) per la sessione. |
bytes_received | Numero di byte nella direzione server-to-client della sessione. |
bytes_sent | Numero di byte nella direzione client-server della sessione. |
chunk | Somma dei chunk SCTP inviati e ricevuti per un'associazione. |
chunks_received | Numero di chunk SCTP inviati per un'associazione. |
chunks_sent | Numero di chunk SCTP ricevuti per un'associazione. |
config_ver | Versione configurazione. |
device_name | Il nome host del firewall su cui è stata registrata la sessione. |
porta dd | Porta di destinazione utilizzata dalla sessione. |
dst | Indirizzo IP di destinazione della sessione originale. |
dstloc | Paese di destinazione o area interna per indirizzi privati. La lunghezza massima è di 32 byte. |
ID firewall | OCID del firewall. |
pacchetti | Numero totale di pacchetti (trasmetti e ricevi) per la sessione. |
pkts_received | Numero di pacchetti da server a client per la sessione. |
pkts_sent | Numero di pacchetti client-to-server per la sessione. |
prototipo | Protocollo IP associato alla sessione. |
receive_time | Ora di ricezione del log nel piano di gestione. |
regola | Nome della regola abbinata alla sessione. |
rule_uuid | L'UUID che identifica definitivamente la regola. |
seriale | Numero di serie del firewall che ha generato il log. |
sessionid | Identificativo numerico interno applicato a ogni sessione. |
sport | Porta di origine utilizzata dalla sessione. |
origine | Indirizzo IP di origine sessione originale. |
srcloc | Paese di origine o area interna per indirizzi privati. La lunghezza massima è di 32 byte. |
time_received | Ora di ricezione del log nel piano di gestione. |
id | UUID del messaggio di log. |
compartmentid | OCID del compartimento. |
tempo di inclusione | Indicatore orario in cui il log è stato ricevuto dal servizio di log. |
loggroupid | OCID del gruppo di log. |
logid | OCID dell'oggetto log. |
tenantid | OCID del tenant. |
origine | OCID del firewall. |
specversione | La versione della specifica CloudEvents utilizzata dall'evento. Consente l'interpretazione del contesto. |
tempo | Indicatore orario in cui è stato scritto il log. |
Tipo | Tipo di log. |
regionId | OCID dell'area firewall. |
Esempio di log del traffico firewall di rete
{
"datetime": 1684257454000,
"logContent": {
"data": {
"action": "allow",
"bytes": "6264",
"bytes_received": "4411",
"bytes_sent": "1853",
"chunks": "0",
"chunks_received": "0",
"chunks_sent": "0",
"config_ver": "2561",
"device_name": "<device_name>",
"dport": "<port_number>",
"dst": "192.0.1.168",
"dstloc": "192.0.0.1-192.0.0.2",
"firewall-id": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
"packets": "28",
"pkts_received": "12",
"pkts_sent": "16",
"proto": "tcp",
"receive_time": "2023/05/16 17:17:34",
"rule": "<rule_name>",
"rule_uuid": "<rule_unique_ID>",
"serial": "<serial_number>",
"sessionid": "<session_ID>",
"sport": "<port_number>",
"src": "192.0.2.168",
"srcloc": "192.0.0.10-192.0.0.11",
"time_received": "2023/05/16 17:17:34"
},
"id": "<unique_ID>",
"oracle": {
"compartmentid": "ocid1.compartment.oc1..<unique_ID>",
"ingestedtime": "2023-05-16T17:17:58.493Z",
"loggroupid": "ocid1.loggroup.oc1.me-jeddah-1.<unique_ID>",
"logid": "ocid1.log.oc1.me-jeddah-1.<unique_ID>",
"tenantid": "ocid1.tenancy.oc1..<unique_ID>"
},
"source": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
"specversion": "1.0",
"time": "2023-05-16T17:17:34.000Z",
"type": "com.oraclecloud.networkfirewall.traffic"
},
"regionId": "me-jeddah-1"
}
Contenuto di un log di ispezione tunnel firewall di rete
Property | descrizione; |
---|---|
origine | Indirizzo IP di origine dei pacchetti nella sessione. |
dst | Indirizzo IP di destinazione dei pacchetti nella sessione. |
receive_time | Mese, giorno e ora di ricezione del log nel piano di gestione. |
regola | Nome della regola dei criteri di sicurezza attiva nella sessione. |
srcloc | Paese di origine o area interna per indirizzi privati. La lunghezza massima è 32 byte. |
dstloc | Paese di destinazione o area interna per indirizzi privati. La lunghezza massima è 32 byte. |
sessionid | ID sessione della sessione da registrare. |
prototipo | Protocollo IP associato alla sessione. |
action | Azione eseguita per la sessione. I possibili valori sono riportati di seguito.
|
seriale | Numero di serie del firewall che ha generato il log. |
sport | Porta di origine utilizzata dalla sessione. |
porta dd | Porta di destinazione utilizzata dalla sessione. |
device_name | Il nome host del firewall in cui è stata registrata la sessione. |
byte | Numero di byte nella sessione. |
bytes_sent | Numero di byte nella direzione client-server della sessione. |
bytes_received | Numero di byte nella direzione server-to-client della sessione. |
pacchetti | Numero totale di pacchetti (invio e ricezione) per la sessione. |
pkts_sent | Numero di pacchetti client-to-server per la sessione. |
pkts_received | Numero di pacchetti da server a client per la sessione. |
applicazione | Applicazione identificata per la sessione. |
tunnelid | ID tunnel da ispezionare o ID IMSI (International Mobile Subscriber Identity) dell'utente mobile. |
tag di monitoraggio | Nome di monitoraggio configurato per la regola dei criteri di ispezione tunnel o per l'ID IMEI (International Mobile Equipment Identity) del dispositivo mobile. |
parent_session_id | ID sessione in cui viene eseguito il tunneling della sessione specifica. Si applica solo al tunnel interno (se due livelli di tunneling) o al contenuto interno (se un livello di tunneling). |
parent_start_time | Ore anno/mese/giorno:minuti:secondi iniziati dalla sessione del tunnel padre. |
tunnel | Tipo di tunnel, ad esempio VXLAN. |
max_encap | Numero di pacchetti eliminati dal firewall perché il pacchetto ha superato il numero massimo di livelli di incapsulamento configurati nella regola dei criteri di ispezione tunnel (elimina il pacchetto se viene superato il livello massimo di ispezione tunnel). |
unknown_proto | Numero di pacchetti eliminati dal firewall perché il pacchetto contiene un protocollo sconosciuto, come abilitato nella regola dei criteri di ispezione tunnel (elimina il pacchetto se il protocollo sconosciuto si trova all'interno del tunnel). |
strict_check | Numero di pacchetti eliminati dal firewall perché l'intestazione del protocollo del tunnel nel pacchetto non è riuscita a rispettare la RFC per il protocollo del tunnel, come abilitato nella regola dei criteri di ispezione del tunnel (elimina il pacchetto se il protocollo del tunnel non supera la verifica dell'intestazione rigorosa). |
tunnel_fragment | Numero di pacchetti eliminati dal firewall a causa di errori di frammentazione. |
tunnel_insp_rule | Nome della regola di ispezione del tunnel corrispondente al traffico del tunnel con testo in chiaro. |
Esempio di log di ispezione tunnel del firewall di rete
{
"datetime": 1729056482000,
"logContent": {
"data": {
"action": "allow",
"app": "vxlan",
"bytes": "58385",
"bytes_received": "0",
"bytes_sent": "58385",
"device_name": "PA-VM",
"dport": "<destination_port>",
"dst": "<destination_IP>",
"dstloc": "10.0.0.0-10.255.255.255",
"firewall-id": "ocid1.networkfirewall.oc1.us-sanjose-1.<unique_ID>",
"max_encap": "0",
"monitortag": "<unique_ID>",
"packets": "31",
"parent_session_id": "0",
"parent_start_time": "no-value",
"pkts_received": "0",
"pkts_sent": "31",
"proto": "udp",
"receive_time": "2024/10/16 05:28:02",
"rule": "<rule_name>",
"serial": "<unique_ID>",
"sessionid": "10",
"sport": "0",
"src": "<source_IP>",
"srcloc": "10.0.0.0-10.255.255.255",
"strict_check": "0",
"tunnel": "tunnel",
"tunnel_fragment": "0",
"tunnel_insp_rule": "allow-tunnel-inspect-rule",
"tunnelid": "<unique_ID>",
"unknown_proto": "0"
},
"id": "<unique_ID>",
"oracle": {
"compartmentid": "ocid1.compartment.oc1..<unique_ID>",
"ingestedtime": "2024-10-16T05:29:28.543Z",
"loggroupid": "ocid1.loggroup.oc1.us-sanjose-1.<unique_ID>",
"logid": "ocid1.log.oc1.us-sanjose-1.<unique_ID>",
"tenantid": "ocid1.tenancy.oc1..<unique_ID>"
},
"source": "ocid1.networkfirewall.oc1.us-sanjose-1.<unique_ID>",
"specversion": "1.0",
"time": "2024-10-16T05:28:02.000Z",
"type": "com.oraclecloud.networkfirewall.tunnel"
},
"regionId": "us-sanjose-1"
}