ファイアウォールフィルターロギングアクション

IPv4およびIPv6ファイアウォールフィルターの場合、 または アクションのいずれかを指定する ことで、一致するパケットヘッダーの概要をログまたは syslogに書き込むようにフィルターを構成できます。sysloglog 両者の主な違いは、レコードの永続性です。ログはメモリ内にのみバッファリングされ、そのバッファがいっぱいになると、最も古いレコードが入ってくると新しいレコードに置き換えられます。一方、Syslogはディスクに保存するか、リモートsyslogサーバに転送することができます。どちらの場合も、パケットヘッダーの概要が記録されます(パケット自体のコピーではありません)。サービスフィルターとシンプルフィルターは、 または アクションのいずれもサポートしていません。logsyslog

Syslog

前述のように、システムログはディスクに書き込んだり、リモートサーバーに送信したりできます。保存されたログはディレクトリ に書き込まれます。/var/log デバイス 上で使用可能なすべてのログファイルのリストを表示するには、オプションを指定せずにコマンドを実行します。show log 特定のログファイル内で、ファイアウォールアクションログにイベントメッセージが散在している可能性があることに注意してください。

次の 構成は、システムログが172.27.1.1のリモートサーバーに送信され、ローカルデバイスの「firewall」という名前のファイルに保存されていることを示しています。syslog

システムログを表示するには、次のコマンドを実行します 。show syslog message

特定のシステム・ログ・ファイルの内容を表示するには、 または コマンドを実行します。show log filenamefile show /var/log/filename

システムログファイルの内容をクリアするには、 コマンドを実行します 。clear log filename 現在のログ ファイルに書き込まれるレコードを含め、保存されているすべてのログを削除するオプションを含めることができます 。all

構成の詳細を次に示します。

Log

このアクションは 、ログ情報をバッファーに書き込みます。log ログをリモート サーバーに書き込むオプションや、ログをディスクに書き込むオプションはありません。使用可能なバッファーがいっぱいになると、新しいログが最も古いログに置き換わるため、履歴レコードは保持されません。デバイスまたはPFEが再起動されるたびに、ログは消去されます。

構成の詳細を次に示します。

ログを表示するには、次のコマンドを実行します 。show firewall log

ログの詳細

次に、syslog およびログ エントリに通常どのような情報が含まれるかを示します。

フィールドについては、以下で説明します。

• Date and Time- パケットを受信した日時(デフォルトでは表示されていません)。

  Hostname- 一致が発生したデバイスの名前。

  Interface- パケットが通過した物理インターフェイス。

• フィルター操作。上記の例では、A です。

  • A- 受諾 (または次の用語)

  • D- 破棄

  • R- 拒否

• Protocol- パケット プロトコル。は名前または番号で、送信元ポートと宛先ポートを含むこともできます。上記の例では、プロトコルはICMPであり、ICMPタイプとコードが含まれる場合があります。

• Source address- パケットの送信元 IP アドレス。

• Destination address- パケットの宛先 IP アドレス。

• Source port- パケットの送信元ポート(TCP および UDP パケットのみ)。上記の例では、ポートは 0 です。

• Destination port- パケットの宛先ポート(TCP および UDP パケットのみ)。上記の例では、ポートは 0 です。

• Packets in sample interval- この例では、サンプル間隔(約 1 秒)に一致するパケットが 1 つだけ検出されたことを示しています。パケットがより速い速度で到着すると、システムログは自動的に情報を圧縮し、生成される出力が少なくなります。