방화벽 필터 로깅 동작

IPv4 및 IPv6 방화벽 필터의 경우, 또는 작업을 지정하여 일치하는 패킷 헤더의 요약을 로그 또는 syslog에 기록하도록 필터를 구성할 수 있습니다.sysloglog 이 둘의 주요 차이점은 기록의 영속성입니다. 로그는 메모리에만 버퍼링되며, 해당 버퍼가 가득 차면 가장 오래된 레코드가 들어올 때 새 레코드로 대체됩니다. 반면 Syslog는 디스크에 저장하거나 원격 syslog 서버로 전달할 수 있습니다. 두 경우 모두 패킷 헤더의 요약이 기록됩니다(패킷 자체의 복사본이 아님). 서비스 필터 및 단순 필터는 또는 작업을 지원하지 않습니다.logsyslog

Syslog

언급했듯이 시스템 로그는 디스크에 기록되거나 원격 서버로 전송될 수 있습니다. 저장된 로그는 디렉터리에 기록됩니다 ./var/log 옵션 없이 명령을 실행하여 디바이스에서 사용 가능한 모든 로그 파일 목록을 볼 수 있습니다.show log 지정된 로그 파일 내에서 방화벽 작업 로그가 이벤트 메시지와 함께 산재되어 있을 수 있습니다.

다음 구성은 시스템 로그가 172.27.1.1의 원격 서버로 전송되고 로컬 디바이스의 "firewall"이라는 파일에 저장되는 것을 보여줍니다.syslog

시스템 로그를 보려면 명령을 실행합니다 .show syslog message

지정된 시스템 로그 파일의 내용을 보려면 또는 명령을 실행합니다.show log filenamefile show /var/log/filename

시스템 로그 파일 내용을 지우려면 명령을 실행합니다 .clear log filename 현재 로그 파일에 기록 중인 레코드를 포함하여 저장된 모든 로그를 삭제하는 옵션을 포함할 수 있습니다.all

구성 세부 정보는 다음과 같습니다.

로그

이 작업은 로그 정보를 버퍼에 씁니다.log 원격 서버에 로그를 쓰거나 디스크에 쓰는 옵션은 없습니다. 사용 가능한 버퍼가 가득 차면 새 로그가 가장 오래된 로그를 대체하므로 기록 레코드가 유지되지 않습니다. 디바이스 또는 PFE가 다시 시작될 때마다 로그가 지워집니다.

구성 세부 정보는 다음과 같습니다.

로그를 보려면 명령을 실행합니다 .show firewall log

로그 세부 정보

다음은 syslog 및 로그 항목에 일반적으로 포함되는 정보의 종류를 보여줍니다.

필드는 여기에 설명되어 있습니다.

• Date and Time- 패킷이 수신된 날짜 및 시간입니다(기본값에는 표시되지 않음).

  Hostname- 일치가 발생한 디바이스의 이름입니다.

  Interface- 패킷이 통과한 물리적 인터페이스입니다.

• 필터 동작. 위의 예에서는 A입니다.

  • A- 수락(또는 다음 기간)

  • D- 폐기

  • R- 거부

• Protocol- 패킷 프로토콜. 이름 또는 번호일 수 있으며, 소스 및 목적지 포트를 포함할 수도 있습니다. 위의 예에서 프로토콜은 ICMP이며 ICMP 유형 및 코드를 포함할 수 있습니다.

• Source address- 패킷의 소스 IP 주소입니다.

• Destination address- 패킷의 대상 IP 주소입니다.

• Source port- 패킷의 소스 포트입니다(TCP 및 UDP 패킷만 해당). 위의 예에서 포트는 0입니다.

• Destination port- 패킷의 대상 포트입니다(TCP 및 UDP 패킷만 해당). 위의 예에서 포트는 0입니다.

• Packets in sample interval- 이 예에서는 샘플 간격(약 1초)에서 일치하는 패킷이 하나만 감지되었음을 보여줍니다. 패킷이 더 빠른 속도로 도착하면 시스템 로그가 자동으로 정보를 압축하여 더 적은 출력이 생성됩니다.