Dettagli per i log del firewall di rete

Dettagli di log per i log di Network Firewall. Sono disponibili tre tipi di log dei clienti: i log di ispezione delle minacce, del traffico e dei tunnel.

Risorse

  • NGFW

Categorie di log

Valore API (ID): Console (nome visualizzato) descrizione;
log delle minacce Registro minacce Fornisce dettagli sulle minacce firewall ricevute.
log del traffico Log traffico Fornisce dettagli sul traffico che passa attraverso il firewall.
tunnel log Log ispezione tunnel Fornisce i dettagli sui log di ispezione del tunnel del firewall ricevuti.

Disponibilità

La registrazione del firewall di rete è disponibile in tutte le aree dei regimi commerciali.

commenti

Sono disponibili log di ispezione di minacce, traffico e tunnel. I log vengono emessi ai clienti in base a un intervallo di cinque minuti dal piano dati. Il dataplane registra anche i log man mano che vengono ricevuti.

Contenuto di un log delle minacce del firewall di rete

Proprietà descrizione;
datetime Indicatore orario di ricezione del log.
azione
Azione eseguita per la sessione. I valori sono, Consenti, Rifiuta, Elimina.
  • Consentire: allarme di rilevazione delle inondazioni.
  • Nega: meccanismo di rilevamento delle inondazioni attivato e nega il traffico in base alla configurazione.
  • drop: Minaccia rilevata e sessione associata eliminata.
device_name Il nome host del firewall su cui è stata registrata la sessione.
direzione
Indica la direzione dell'attacco, da client a server o da server a client:
  • 0: La direzione della minaccia è client-to-server.
  • 1: La direzione della minaccia è server-to-client.
dst Indirizzo IP di destinazione della sessione originale.
dstloc Paese di destinazione o area interna per indirizzi privati. La lunghezza massima è di 32 byte.
dstuser Nome utente dell'utente a cui era destinata la sessione.
ID firewall OCID del firewall.
prototipo Protocollo IP associato alla sessione.
receive_time Ora di ricezione del log nel piano di gestione.
regola Nome della regola abbinata alla sessione.
sessionid Identificativo numerico interno applicato a ogni sessione.
gravità Severità associata alla minaccia. I valori sono informativi, bassi, medi, alti e critici.
origine Indirizzo IP di origine sessione originale.
srcloc Paese di origine o area interna per indirizzi privati. La lunghezza massima è di 32 byte.
srcuser Nome dell'utente che ha avviato la sessione.
tipo secondario
Sottotipo di log delle minacce. I valori disponibili sono i seguenti:
  • dati: pattern di dati corrispondente a un profilo di filtro dati.
  • file: tipo file corrispondente a un profilo di blocco file.
  • inondazione: Inondazione rilevata tramite un profilo di protezione delle zone.
  • packet: protezione dagli attacchi basata su pacchetti attivata da un profilo Zone Protection.
  • scansione: scansione rilevata tramite un profilo di protezione delle zone.
  • spyware: Spyware rilevato attraverso un profilo anti-spyware.
  • URL: log di filtro URL.
  • virus: virus rilevato attraverso un profilo antivirus.
  • vulnerabilità: exploit di vulnerabilità rilevato tramite un profilo di protezione delle vulnerabilità.
thr_category Descrive le categorie di minacce utilizzate per classificare diversi tipi di firme di minacce.
minaccia
Identificatore di Palo Alto Networks per la minaccia. Una stringa di descrizione seguita da un identificatore numerico a 64 bit tra parentesi per alcuni sottotipi:
  • 8000-8099: Rilevamento di scansione.
  • 8500-8599: Rilevamento delle inondazioni.
  • 9999: log di filtro URL.
  • 10000-19999: Rilevamento della casa del telefono dello spyware.
  • 20000-29999: Rilevamento del download di spyware.
  • 30000-44999: Rilevamento degli exploit di vulnerabilità.
  • 52000-52999: Rilevamento del tipo di file.
  • 60000-69999: Rilevamento del filtro dei dati.
id UUID del messaggio di log.
compartmentid OCID del compartimento.
tempo di inclusione Indicatore orario in cui il log è stato ricevuto dal servizio di log.
loggroupid OCID del gruppo di log.
logid OCID dell'oggetto log.
tenantid OCID del tenant.
origine OCID del firewall.
specversione La versione della specifica CloudEvents utilizzata dall'evento. Consente l'interpretazione del contesto.
tempo Indicatore orario al momento della scrittura del log.
Tipo Tipo di log.
regionId OCID dell'area firewall.

Esempio di log delle minacce del firewall di rete

{
  "datetime": 1684255949000,
  "logContent": {
    "data": {
      "action": "reset-both",
      "device_name": "<device_name>",
      "direction": "server-to-client",
      "dst": "192.0.1.168",
      "dstloc": "192.0.0.10-192.0.0.11",
      "dstuser": "no-value",
      "firewall-id": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
      "proto": "tcp",
      "receive_time": "2023/05/16 16:52:29",
      "rule": "<rule_name>",
      "sessionid": "11804",
      "severity": "medium",
      "src": "192.0.2.168",
      "srcloc": "192.0.0.1-192.0.0.2",
      "srcuser": "no-value",
      "subtype": "vulnerability",
      "thr_category": "code-execution",
      "threatid": "Eicar File Detected"
    },
    "id": "<unique_ID>",
    "oracle": {
      "compartmentid": "ocid1.compartment.oc1..<unique_ID>",
      "ingestedtime": "2023-05-16T16:56:27.373Z",
      "loggroupid": "ocid1.loggroup.oc1.me-jeddah-1.<unique_ID>",
      "logid": "ocid1.log.oc1.me-jeddah-1.<unique_ID>",
      "tenantid": "ocid1.tenancy.oc1..<unique_ID>"
    },
    "source": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
    "specversion": "1.0",
    "time": "2023-05-16T16:52:29.000Z",
    "type": "com.oraclecloud.networkfirewall.threat"
  },
  "regionId": "me-jeddah-1"
}

Contenuto di un log del traffico firewall di rete

Proprietà descrizione;
datetime Indicatore orario alla ricezione del log.
azione
Azione eseguita per la sessione. I valori possibili sono:
  • allow: sessione consentita dai criteri.
  • deny: sessione negata dal criterio.
  • drop: La sessione è caduta in silenzio.
  • drop ICMP: sessione eliminata in background con un messaggio ICMP irraggiungibile all'host o all'applicazione.
  • reimpostare entrambi: la sessione è terminata e viene inviata una reimpostazione TCP su entrambi i lati della connessione.
byte Numero totale di byte (trasmetti e ricevi) per la sessione.
bytes_received Numero di byte nella direzione server-to-client della sessione.
bytes_sent Numero di byte nella direzione client-server della sessione.
chunk Somma dei chunk SCTP inviati e ricevuti per un'associazione.
chunks_received Numero di chunk SCTP inviati per un'associazione.
chunks_sent Numero di chunk SCTP ricevuti per un'associazione.
config_ver Versione configurazione.
device_name Il nome host del firewall su cui è stata registrata la sessione.
porta dd Porta di destinazione utilizzata dalla sessione.
dst Indirizzo IP di destinazione della sessione originale.
dstloc Paese di destinazione o area interna per indirizzi privati. La lunghezza massima è di 32 byte.
ID firewall OCID del firewall.
pacchetti Numero totale di pacchetti (trasmetti e ricevi) per la sessione.
pkts_received Numero di pacchetti da server a client per la sessione.
pkts_sent Numero di pacchetti client-to-server per la sessione.
prototipo Protocollo IP associato alla sessione.
receive_time Ora di ricezione del log nel piano di gestione.
regola Nome della regola abbinata alla sessione.
rule_uuid L'UUID che identifica definitivamente la regola.
seriale Numero di serie del firewall che ha generato il log.
sessionid Identificativo numerico interno applicato a ogni sessione.
sport Porta di origine utilizzata dalla sessione.
origine Indirizzo IP di origine sessione originale.
srcloc Paese di origine o area interna per indirizzi privati. La lunghezza massima è di 32 byte.
time_received Ora di ricezione del log nel piano di gestione.
id UUID del messaggio di log.
compartmentid OCID del compartimento.
tempo di inclusione Indicatore orario in cui il log è stato ricevuto dal servizio di log.
loggroupid OCID del gruppo di log.
logid OCID dell'oggetto log.
tenantid OCID del tenant.
origine OCID del firewall.
specversione La versione della specifica CloudEvents utilizzata dall'evento. Consente l'interpretazione del contesto.
tempo Indicatore orario in cui è stato scritto il log.
Tipo Tipo di log.
regionId OCID dell'area firewall.

Esempio di log del traffico firewall di rete

{
  "datetime": 1684257454000,
  "logContent": {
    "data": {
      "action": "allow",
      "bytes": "6264",
      "bytes_received": "4411",
      "bytes_sent": "1853",
      "chunks": "0",
      "chunks_received": "0",
      "chunks_sent": "0",
      "config_ver": "2561",
      "device_name": "<device_name>",
      "dport": "<port_number>",
      "dst": "192.0.1.168",
      "dstloc": "192.0.0.1-192.0.0.2",
      "firewall-id": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
      "packets": "28",
      "pkts_received": "12",
      "pkts_sent": "16",
      "proto": "tcp",
      "receive_time": "2023/05/16 17:17:34",
      "rule": "<rule_name>",
      "rule_uuid": "<rule_unique_ID>",
      "serial": "<serial_number>",
      "sessionid": "<session_ID>",
      "sport": "<port_number>",
      "src": "192.0.2.168",
      "srcloc": "192.0.0.10-192.0.0.11",
      "time_received": "2023/05/16 17:17:34"
    },
    "id": "<unique_ID>",
    "oracle": {
      "compartmentid": "ocid1.compartment.oc1..<unique_ID>",
      "ingestedtime": "2023-05-16T17:17:58.493Z",
      "loggroupid": "ocid1.loggroup.oc1.me-jeddah-1.<unique_ID>",
      "logid": "ocid1.log.oc1.me-jeddah-1.<unique_ID>",
      "tenantid": "ocid1.tenancy.oc1..<unique_ID>"
    },
    "source": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
    "specversion": "1.0",
    "time": "2023-05-16T17:17:34.000Z",
    "type": "com.oraclecloud.networkfirewall.traffic"
  },
  "regionId": "me-jeddah-1"
}

Contenuto di un log di ispezione tunnel firewall di rete

Property descrizione;
origine Indirizzo IP di origine dei pacchetti nella sessione.
dst Indirizzo IP di destinazione dei pacchetti nella sessione.
receive_time Mese, giorno e ora di ricezione del log nel piano di gestione.
regola Nome della regola dei criteri di sicurezza attiva nella sessione.
srcloc Paese di origine o area interna per indirizzi privati. La lunghezza massima è 32 byte.
dstloc Paese di destinazione o area interna per indirizzi privati. La lunghezza massima è 32 byte.
sessionid ID sessione della sessione da registrare.
prototipo Protocollo IP associato alla sessione.
action Azione eseguita per la sessione. I possibili valori sono riportati di seguito.
  • CONSENTI
  • NEGOZIO
  • DROP
  • RIMUOVI ICMP
  • REIMPOSTA ENTRAMBI
  • CLIENT DI REIMPOSTAZIONE
  • REIMPOSTA SERVER
seriale Numero di serie del firewall che ha generato il log.
sport Porta di origine utilizzata dalla sessione.
porta dd Porta di destinazione utilizzata dalla sessione.
device_name Il nome host del firewall in cui è stata registrata la sessione.
byte Numero di byte nella sessione.
bytes_sent Numero di byte nella direzione client-server della sessione.
bytes_received Numero di byte nella direzione server-to-client della sessione.
pacchetti Numero totale di pacchetti (invio e ricezione) per la sessione.
pkts_sent Numero di pacchetti client-to-server per la sessione.
pkts_received Numero di pacchetti da server a client per la sessione.
applicazione Applicazione identificata per la sessione.
tunnelid ID tunnel da ispezionare o ID IMSI (International Mobile Subscriber Identity) dell'utente mobile.
tag di monitoraggio Nome di monitoraggio configurato per la regola dei criteri di ispezione tunnel o per l'ID IMEI (International Mobile Equipment Identity) del dispositivo mobile.
parent_session_id ID sessione in cui viene eseguito il tunneling della sessione specifica. Si applica solo al tunnel interno (se due livelli di tunneling) o al contenuto interno (se un livello di tunneling).
parent_start_time Ore anno/mese/giorno:minuti:secondi iniziati dalla sessione del tunnel padre.
tunnel Tipo di tunnel, ad esempio VXLAN.
max_encap Numero di pacchetti eliminati dal firewall perché il pacchetto ha superato il numero massimo di livelli di incapsulamento configurati nella regola dei criteri di ispezione tunnel (elimina il pacchetto se viene superato il livello massimo di ispezione tunnel).
unknown_proto Numero di pacchetti eliminati dal firewall perché il pacchetto contiene un protocollo sconosciuto, come abilitato nella regola dei criteri di ispezione tunnel (elimina il pacchetto se il protocollo sconosciuto si trova all'interno del tunnel).
strict_check Numero di pacchetti eliminati dal firewall perché l'intestazione del protocollo del tunnel nel pacchetto non è riuscita a rispettare la RFC per il protocollo del tunnel, come abilitato nella regola dei criteri di ispezione del tunnel (elimina il pacchetto se il protocollo del tunnel non supera la verifica dell'intestazione rigorosa).
tunnel_fragment Numero di pacchetti eliminati dal firewall a causa di errori di frammentazione.
tunnel_insp_rule Nome della regola di ispezione del tunnel corrispondente al traffico del tunnel con testo in chiaro.

Esempio di log di ispezione tunnel del firewall di rete

{
  "datetime": 1729056482000,
  "logContent": {
    "data": {
      "action": "allow",
      "app": "vxlan",
      "bytes": "58385",
      "bytes_received": "0",
      "bytes_sent": "58385",
      "device_name": "PA-VM",
      "dport": "<destination_port>",
      "dst": "<destination_IP>",
      "dstloc": "10.0.0.0-10.255.255.255",
      "firewall-id": "ocid1.networkfirewall.oc1.us-sanjose-1.<unique_ID>",
      "max_encap": "0",
      "monitortag": "<unique_ID>",
      "packets": "31",
      "parent_session_id": "0",
      "parent_start_time": "no-value",
      "pkts_received": "0",
      "pkts_sent": "31",
      "proto": "udp",
      "receive_time": "2024/10/16 05:28:02",
      "rule": "<rule_name>",
      "serial": "<unique_ID>",
      "sessionid": "10",
      "sport": "0",
      "src": "<source_IP>",
      "srcloc": "10.0.0.0-10.255.255.255",
      "strict_check": "0",
      "tunnel": "tunnel",
      "tunnel_fragment": "0",
      "tunnel_insp_rule": "allow-tunnel-inspect-rule",
      "tunnelid": "<unique_ID>",
      "unknown_proto": "0"
    },
    "id": "<unique_ID>",
    "oracle": {
      "compartmentid": "ocid1.compartment.oc1..<unique_ID>",
      "ingestedtime": "2024-10-16T05:29:28.543Z",
      "loggroupid": "ocid1.loggroup.oc1.us-sanjose-1.<unique_ID>",
      "logid": "ocid1.log.oc1.us-sanjose-1.<unique_ID>",
      "tenantid": "ocid1.tenancy.oc1..<unique_ID>"
    },
    "source": "ocid1.networkfirewall.oc1.us-sanjose-1.<unique_ID>",
    "specversion": "1.0",
    "time": "2024-10-16T05:28:02.000Z",
    "type": "com.oraclecloud.networkfirewall.tunnel"
  },
  "regionId": "us-sanjose-1"
}