Detalhes dos Logs do Serviço Network Firewall

Detalhes do log de logs do serviço Network Firewall. Três tipos de logs de clientes estão disponíveis: logs de ameaça, tráfego e inspeção de túnel.

Recursos

NGFW

Categoria de Log


Valor da API (ID):	Console (Nome para Exibição)	Descrição
registro de ameaças	Log de Ameaças	Fornece detalhes sobre ameaças de firewall recebidas.
tráfego-log	Log de Tráfego	Fornece detalhes sobre o tráfego que passa pelo firewall.
túneis	Log de Inspeção de Túnel	Fornece detalhes sobre logs de inspeção de túnel de firewall recebidos.

Disponibilidade

O log do Firewall de Rede está disponível em todas as regiões dos realms comerciais.

Comentários

Os logs de inspeção de ameaças, tráfego e túnel estão disponíveis. Os logs são emitidos para os clientes com base em um intervalo de cinco minutos do plano de dados. O plano de dados também registra logs à medida que são recebidos.

Conteúdo de um Log de Ameaças do Firewall de Rede


Propriedade	Descrição
datetime	Timestamp em que o log foi recebido.
action	Ação executada para a sessão. Os valores são, permitir, negar, eliminar. permitir: Alerta de detecção de inundação. negar: mecanismo de detecção de inundação ativado e negar tráfego com base na configuração. drop: Ameaça detectada e a sessão associada foi eliminada.
device_name	O nome do host do firewall no qual a sessão foi registrada.
direção	Indica a direção do ataque, seja cliente para servidor ou servidor para cliente: 0: A direção da ameaça é cliente para servidor. 1: A direção da ameaça é servidor para cliente.
dst	Endereço IP de destino da sessão original.
dstloc	País de destino ou região interna para endereços privados. O tamanho máximo é 32 bytes.
dstuser	O nome do usuário para o qual a sessão foi destinada.
id do firewall	OCID do firewall.
proto	Protocolo IP associado à sessão.
receive_time	Hora em que o registro foi recebido no plano de gerenciamento.
regra	Nome da regra que a sessão correspondeu.
id da sessão	Um identificador numérico interno aplicado a cada sessão.
gravidade	Severidade associada à ameaça. Os valores são informativo, baixo, médio, alto e crítico.
src	Endereço IP de origem da sessão original.
srcloc	País de origem ou região interna para endereços privados. O tamanho máximo é 32 bytes.
srcuser	Nome do usuário que iniciou a sessão.
subtipo	Subtipo de log de ameaças. Os valores incluem: dados: Padrão de dados correspondente a um perfil de Filtragem de Dados. arquivo: Tipo de arquivo correspondente a um perfil de Bloqueio de Arquivo. inundação: inundação detectada através de um perfil de Proteção de Zona. pacote: Proteção contra ataques baseada em pacotes acionada por um perfil de Proteção de Zona. scan: Verificação detectada através de um perfil de Proteção de Zona. spyware: Spyware detectado através de um perfil antispyware. url: log de filtragem de URL. vírus: vírus detectado através de um perfil antivírus. vulnerabilidade: exploração da vulnerabilidade detectada através de um perfil de Proteção da Vulnerabilidade.
thr_category	Descreve as categorias de ameaça usadas para classificar diferentes tipos de assinaturas de ameaça.
id ameaça	Identificador de Redes Palo Alto para a ameaça. Uma string de descrição seguida de um identificador numérico de 64 bits entre parênteses para alguns subtipos: 8000-8099: Detecção de varredura. 8500-8599: Detecção de inundação. 9999: Log de filtragem de URL. 10000-19999: Detecção de casa de telefone Spyware. 20000-29999: Detecção de download do Spyware. 30000-44999: Detecção de exploração de vulnerabilidade. 52000-52999: Detecção de tipo de arquivo. 60000-69999: Detecção de filtragem de dados.
id	UUID da mensagem de log.
compartmentid	OCID do compartimento.
tempo ingerido	Timestamp quando o log foi recebido pelo serviço Logging.
loggroupid	OCID do grupo de logs.
logid	OCID do objeto de log.
tenantid	OCID do tenant.
source	OCID do firewall.
specversion	A versão da especificação CloudEvents que o evento usa. Permite a interpretação do contexto.
time	Timestamp em que o log foi gravado.
type	Tipo de logs.
regionId	OCID da região do firewall.

Exemplo de Log de Ameaças do Firewall de Rede

{
  "datetime": 1684255949000,
  "logContent": {
    "data": {
      "action": "reset-both",
      "device_name": "<device_name>",
      "direction": "server-to-client",
      "dst": "192.0.1.168",
      "dstloc": "192.0.0.10-192.0.0.11",
      "dstuser": "no-value",
      "firewall-id": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
      "proto": "tcp",
      "receive_time": "2023/05/16 16:52:29",
      "rule": "<rule_name>",
      "sessionid": "11804",
      "severity": "medium",
      "src": "192.0.2.168",
      "srcloc": "192.0.0.1-192.0.0.2",
      "srcuser": "no-value",
      "subtype": "vulnerability",
      "thr_category": "code-execution",
      "threatid": "Eicar File Detected"
    },
    "id": "<unique_ID>",
    "oracle": {
      "compartmentid": "ocid1.compartment.oc1..<unique_ID>",
      "ingestedtime": "2023-05-16T16:56:27.373Z",
      "loggroupid": "ocid1.loggroup.oc1.me-jeddah-1.<unique_ID>",
      "logid": "ocid1.log.oc1.me-jeddah-1.<unique_ID>",
      "tenantid": "ocid1.tenancy.oc1..<unique_ID>"
    },
    "source": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
    "specversion": "1.0",
    "time": "2023-05-16T16:52:29.000Z",
    "type": "com.oraclecloud.networkfirewall.threat"
  },
  "regionId": "me-jeddah-1"
}

Conteúdo de um Log de Tráfego do Firewall de Rede


Propriedade	Descrição
datetime	Timestamp em que o log foi recebido.
action	Ação executada para a sessão. Os possíveis valores são: allow: Sessão permitida pela política. negar: Sessão negada pela política. drop: Sessão eliminada silenciosamente. eliminar ICMP: Sessão eliminada silenciosamente com uma mensagem de ICMP inacessível para o host ou aplicativo. redefinir ambos: Sessão encerrada e uma redefinição TCP é enviada para ambos os lados da conexão.
bytes	Número total de bytes (transmitir e receber) da sessão.
bytes_received	Número de bytes na direção do servidor para o cliente da sessão.
bytes_sent	Número de bytes na direção cliente-a-servidor da sessão.
Trechos	Soma dos blocos SCTP enviados e recebidos para uma associação.
chunks_received	Número de blocos SCTP enviados para uma associação.
chunks_sent	Número de blocos SCTP recebidos para uma associação.
config_ver	Versão da configuração.
device_name	O nome do host do firewall no qual a sessão foi registrada.
dport	Porta de destino usada pela sessão.
dst	Endereço IP de destino da sessão original.
dstloc	País de destino ou região interna para endereços privados. O tamanho máximo é 32 bytes.
id do firewall	OCID do firewall.
pacotes	Número total de pacotes (transmissão e recebimento) da sessão.
pkts_received	Número de pacotes do servidor para o cliente da sessão.
pkts_sent	Número de pacotes cliente para servidor da sessão.
proto	Protocolo IP associado à sessão.
receive_time	Hora em que o registro foi recebido no plano de gerenciamento.
regra	Nome da regra que a sessão correspondeu.
rule_uuid	O UUID que identifica permanentemente a regra.
série	Número de série do firewall que gerou o log.
id da sessão	Um identificador numérico interno aplicado a cada sessão.
esporte	Porta de origem usada pela sessão.
src	Endereço IP de origem da sessão original.
srcloc	País de origem ou região interna para endereços privados. O tamanho máximo é 32 bytes.
time_received	Hora em que o registro foi recebido no plano de gerenciamento.
id	UUID da mensagem de log.
compartmentid	OCID do compartimento.
tempo ingerido	Timestamp quando o log foi recebido pelo serviço Logging.
loggroupid	OCID do grupo de logs.
logid	OCID do objeto de log.
tenantid	OCID do tenant.
source	OCID do firewall.
specversion	A versão da especificação CloudEvents que o evento usa. Permite a interpretação do contexto.
time	Timestamp em que o log foi gravado.
type	Tipo de logs.
regionId	OCID da região do firewall.

Exemplo de Log de Tráfego de Firewall de Rede

{
  "datetime": 1684257454000,
  "logContent": {
    "data": {
      "action": "allow",
      "bytes": "6264",
      "bytes_received": "4411",
      "bytes_sent": "1853",
      "chunks": "0",
      "chunks_received": "0",
      "chunks_sent": "0",
      "config_ver": "2561",
      "device_name": "<device_name>",
      "dport": "<port_number>",
      "dst": "192.0.1.168",
      "dstloc": "192.0.0.1-192.0.0.2",
      "firewall-id": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
      "packets": "28",
      "pkts_received": "12",
      "pkts_sent": "16",
      "proto": "tcp",
      "receive_time": "2023/05/16 17:17:34",
      "rule": "<rule_name>",
      "rule_uuid": "<rule_unique_ID>",
      "serial": "<serial_number>",
      "sessionid": "<session_ID>",
      "sport": "<port_number>",
      "src": "192.0.2.168",
      "srcloc": "192.0.0.10-192.0.0.11",
      "time_received": "2023/05/16 17:17:34"
    },
    "id": "<unique_ID>",
    "oracle": {
      "compartmentid": "ocid1.compartment.oc1..<unique_ID>",
      "ingestedtime": "2023-05-16T17:17:58.493Z",
      "loggroupid": "ocid1.loggroup.oc1.me-jeddah-1.<unique_ID>",
      "logid": "ocid1.log.oc1.me-jeddah-1.<unique_ID>",
      "tenantid": "ocid1.tenancy.oc1..<unique_ID>"
    },
    "source": "ocid1.networkfirewall.oc1.me-jeddah-1.<unique_ID>",
    "specversion": "1.0",
    "time": "2023-05-16T17:17:34.000Z",
    "type": "com.oraclecloud.networkfirewall.traffic"
  },
  "regionId": "me-jeddah-1"
}

Conteúdo de um Log de Inspeção do Túnel do Firewall de Rede


Propriedade	Descrição
src	Endereço IP de origem dos pacotes na sessão.
dst	Endereço IP de destino dos pacotes na sessão.
receive_time	Mês, dia e hora em que o registro foi recebido no plano de gerenciamento.
regra	Nome da regra de política de segurança em vigor na sessão.
srcloc	País de origem ou região interna para endereços privados. O tamanho máximo é 32 bytes.
dstloc	País ou região interna de destino para endereços privados. O tamanho máximo é 32 bytes.
sessionid	ID da sessão que está sendo registrada.
proto	Protocolo IP associado à sessão.
action	Ação executada para a sessão. Os valores possíveis são: PERMITIR NEGAR DROP ELIMINAR ICMP REDEFINIR AMBOS REDEFINIR CLIENTE REDEFINIR SERVIDOR
número de série	Número de série do firewall que gerou o log.
esporte	Porta de origem usada pela sessão.
dport	Porta de destino usada pela sessão.
device_name	O nome do host do firewall no qual a sessão foi registrada.
bytes	Número de bytes na sessão.
bytes_sent	Número de bytes na direção cliente-servidor da sessão.
bytes_received	Número de bytes na direção servidor-cliente da sessão.
pacotes	Número total de pacotes (enviar e receber) para a sessão.
pkts_sent	Número de pacotes cliente-servidor para a sessão.
pkts_received	Número de pacotes servidor-cliente para a sessão.
apl	Aplicativo identificado para a sessão.
túnel	ID do túnel que está sendo inspecionado ou o ID da Identidade Internacional de Assinante Móvel (IMSI) do usuário móvel.
tag de monitor	Nome do monitor configurado para a regra de política de Inspeção de Túnel ou o ID de Identidade de Equipamento Móvel Internacional (IMEI) do dispositivo móvel.
parent_session_id	ID da Sessão na qual a sessão específica é ajustada. Aplica-se apenas ao túnel interno (se dois níveis de tunelamento) ou ao conteúdo interno (se um nível de tunelamento).
parent_start_time	Horas de ano/mês/dia:minutos:segundos que a sessão do túnel pai começou.
túnel	O tipo de túnel, como VXLAN.
max_encap	Número de pacotes que o firewall eliminou porque o pacote excedeu o número máximo de níveis de encapsulamento configurados na regra de política de Inspeção de Túnel (elimina o pacote se o nível máximo de inspeção de túnel for excedido).
unknown_proto	Número de pacotes que o firewall eliminou porque o pacote contém um protocolo desconhecido, conforme ativado na regra de política de Inspeção de Túnel (solta o pacote se o protocolo desconhecido estiver dentro do túnel).
strict_check	Número de pacotes que o firewall eliminou porque o cabeçalho do protocolo do túnel no pacote não cumpriu a RFC do protocolo do túnel, conforme ativado na regra de política de Inspeção do Túnel (eliminará o pacote se o protocolo do túnel falhar na verificação estrita do cabeçalho).
tunnel_fragment	Número de pacotes que o firewall eliminou devido a erros de fragmentação.
tunnel_insp_rule	Nome da regra de inspeção do túnel correspondente ao tráfego do túnel de texto não criptografado.

Exemplo de Log de Inspeção de Túnel de Firewall de Rede

{
  "datetime": 1729056482000,
  "logContent": {
    "data": {
      "action": "allow",
      "app": "vxlan",
      "bytes": "58385",
      "bytes_received": "0",
      "bytes_sent": "58385",
      "device_name": "PA-VM",
      "dport": "<destination_port>",
      "dst": "<destination_IP>",
      "dstloc": "10.0.0.0-10.255.255.255",
      "firewall-id": "ocid1.networkfirewall.oc1.us-sanjose-1.<unique_ID>",
      "max_encap": "0",
      "monitortag": "<unique_ID>",
      "packets": "31",
      "parent_session_id": "0",
      "parent_start_time": "no-value",
      "pkts_received": "0",
      "pkts_sent": "31",
      "proto": "udp",
      "receive_time": "2024/10/16 05:28:02",
      "rule": "<rule_name>",
      "serial": "<unique_ID>",
      "sessionid": "10",
      "sport": "0",
      "src": "<source_IP>",
      "srcloc": "10.0.0.0-10.255.255.255",
      "strict_check": "0",
      "tunnel": "tunnel",
      "tunnel_fragment": "0",
      "tunnel_insp_rule": "allow-tunnel-inspect-rule",
      "tunnelid": "<unique_ID>",
      "unknown_proto": "0"
    },
    "id": "<unique_ID>",
    "oracle": {
      "compartmentid": "ocid1.compartment.oc1..<unique_ID>",
      "ingestedtime": "2024-10-16T05:29:28.543Z",
      "loggroupid": "ocid1.loggroup.oc1.us-sanjose-1.<unique_ID>",
      "logid": "ocid1.log.oc1.us-sanjose-1.<unique_ID>",
      "tenantid": "ocid1.tenancy.oc1..<unique_ID>"
    },
    "source": "ocid1.networkfirewall.oc1.us-sanjose-1.<unique_ID>",
    "specversion": "1.0",
    "time": "2024-10-16T05:28:02.000Z",
    "type": "com.oraclecloud.networkfirewall.tunnel"
  },
  "regionId": "us-sanjose-1"
}

Documentação do Oracle Cloud Infrastructure