原文網址
https://www.draytek.com/support/knowledge-base/5023#drayos_section
Knowledge Base
Syslog about Firewall and Content Security Management
DrayOS 系列的 syslog 格式說明
過濾規則
<129> VPN紀錄 Lan to Lan IKE
<134> IP過濾器紀錄
<141> VPN紀錄
<150> USER使用者存取紀錄
<158> 連線紀錄
<166> Wan statistic
<181> 其他連線紀錄 WebUI login,System Reboot
<190> ippbx syslog
DrayTek [FILTER][Block][LAN/RT/VPN->WAN, 0:10:22 ][@S:R=2:2, 192.168.1.11->8.8.8.8][ICMP][HLen=20, TLen=60, Type=8, Code=0]
[Filter] 表示它與過濾規則相關。
[Block] 表示資料包被丟棄。
@S:R=2:2 表示該操作由 Filter Set#2、Rule#2
192.168.1.11->8.8.8.8 表示封包是從 192.168.1.11 到 8.8.8.8
[ICMP] 表示封包格式 ICMP
HLen=20 Header Length 封包表頭長度
TLen=60 Total Lenth 封包總長
Type=8 0代表response,8代表request
0 Echo Reply(回應答覆)
3 Destination Unreachable(目的地無法到達)
4 Source Quench(來源抑制)
5 Redirect(改變傳輸路徑)
8 Echo Request(回應要求)
9 Router Advertisement(路由器宣傳)
10 Router Solicitation(路由器懇請)
11 Time Exceeded for a Datagram(溢時傳輸)
12 Parameter Problem on a Datagram(參數問題)
13 Timestamp Request(時間標籤要求)
14 Timestamp Reply(時間標籤回覆)
15 Information Request(資訊要求)
16 Information Reply(資訊回覆)
17 Address Mask Request(位址遮罩要求)
18 Address Mask Reply(位址遮罩回覆)
Code=0
0: Network Unreachable(無法到達目的網路)
1: Host Unreachable(無法到達目的主機)
2: Protocol Unreachable(通訊協定不存在)
3: Port Unreachable(無法到達連接埠)
4: Fragmentation Needed and DF set(資料需分割並設定不可分割位元)
5: Source Route Failed(來源路徑選擇失敗)
6: Destination Network Unknown(無法識別目的地網路)
7: Destination Host Unknown(無法識別目的地主機)
8: Source Host Isolated(來源主機被隔離)
9: Communication with Destination Network Administratively Prohibited(管理上禁止和目的地網路通訊)
10: Communication with Destination Host Administratively Prohibited(管理上禁止和目的地主機通訊)
11: Network Unreachable for Type of Service(無法到達此型態的網路服務)
12: Host Unreachable for Type of Service(無法到達此型態的主機服務)
APP執行
DrayTek [CSM_AE][Block][FTP][@S:R=13:1, 111.251.207.21:34730->192.168.29.14:50337][TCP][HLen=20, TLen=1061, Flag=AP, Seq=3406493667, Ack=527650905, Win=2904]
[CSM_AE] 表示與CSM的APP執行相關。
[FTP]是在 APPE 設定檔中選擇的 APP。
@S:R=13:1表示該操作是由過濾器集#13、規則#1(防火牆的預設規則)中選擇的 APPE 設定檔執行的。
Seq= TCP序列號碼
Ack= TCP應答號碼
Win= IP包頭內窗口大小 / bytes,Calculated window size
URL內容過濾器
DrayTek [CSM_UF][Block][Type=KW(G:O=0:1)][@S:R=2:3, 192.168.1.11:50345->http://tw.yahoo.com/:80][HTTP][HLen=20, TLen=1465, Flag=AP, Seq=2495239783, Ack=1500601792, Win=260]
[CSM_UF]表示它與 CSM 的 URL 內容過濾器相關
[Type=KW(G:O=0:1)],表示它不符合任何關鍵字組,但符合關鍵字物件#1。
192.168.1.11:50345->http://tw.yahoo.com/:80表示封包是從 192.168.1.11 到 http://tw.yahoo.com
Flag=AP 旗標值=AP
Seq= TCP序列號碼
Ack= TCP應答號碼
Win= IP包頭內窗口大小 / bytes,Calculated window size
網頁內容過濾器
DrayTek [CSM_WF][Block][Service_Provider=CYREN][Category=News][@S:R=2:3, 192.168.1.11:50426->http://www.bbc.co.uk:80/news][HTTP][HLen=20, TLen=1492, Flag=A, Seq=1965422587, Ack=29701415, Win=65340]
[CSM_WF]表示與 CSM 的 Web 內容過濾器相關
[Category=News]表示封包與新聞類別相符。
DNS過濾器
DrayTek [CSM_DNSF][Block][Type=KW(G:O=0:1)][@S:R=2:3, 192.168.1.10:49316->http://www.facebook.com:53][DNS][HLen=20, TLen=62]
[CSM_DNSF] 表示與CSM 的DNS Filter 相關
[DNS],表示該封包是DNS 查詢。
VPN
DrayTek: IKE_RELEASE VPN : L2L Dial-out, Profile index = 1, Name = to2962, ifno = 26
DrayTek: DropVPN() VPN : L2L Dial-out, Profile index = 1, Name = to2962, ifno = 27
DrayTek: Drop VPN ifno:27 because of WAN ifno:3 is down
L2L Dial-out Lan to Lan 撥出
Profile index = 1 VPN索引編號 1
Name = to2962 VPN名稱
ifno = 26 VPN通
Drop VPN ifno:27 VPN掉線
because of WAN ifno:3 is down 因為 WAN 斷線
WebUI
DrayTek: [Web]WebUI login success from IP 192.168.1.10, authenticating using local admin account [admin]
admin 從 192.168.1.10 登入
Linux 系列 syslog 格式說明
IP過濾規則
以“IPF”開頭的日誌是IP過濾規則日誌。例如:
[IPF-pass-rule_11] PASS src ip 192.168.239.11 mac 60:a4:4c:05:ab:9c dst ip 5.96.88.133 proto tcp DPT=443, skbmark=10000000/0, c
其中「pass」是IP 過濾群組的名稱,「rule_11」是IP 過濾規則的名稱。上述日誌表示,由於防火牆 IP 過濾群組“pass”規則“rule_11”,路由器在 TCP 連接埠 443 上通過了從 IP 192.168.239.11 到 IP 5.96.88.133 的連線。
應用過濾器
以“[CSM] APPF”開頭的日誌是應用程式過濾器日誌。例如:
[CSM] APPF Block MISC-HTTP Proxy connection, Local user 192.168.239.11
其中「MISC-HTTP Proxy」是APP物件中的HTTP代理選項。上述日誌表示路由器由於偵測到 HTTP 代理事件而阻止了來自 IP 192.168.239.11 的連線。
網址過濾器
包含「[URLF]」和關鍵字的日誌是 URL 內容過濾日誌。例如:
[CSM] Blocking [www.catho.com.br/favicon.ico] by keyword [catho], Local user 192.168.239.11 [URLF-catho] BLOCK src ip 192.168.239.11 mac 60:a4:4c:05:ab:9c dst ip 186.234.214.60 proto tcp DPT=80, skbmark=0/0, ctmark=0/0
其中 [URLF-catho] 表示名為「catho」的 URL/Web 內容過濾器設定檔。上述日誌表示路由器根據 URL 過濾設定檔「catho」阻止了從 IP 192.168.239.11 到 IP 16.234.214.60 的連線。
WCF過濾器
包含“[URLF]”和類別的日誌是 Web 內容過濾日誌,其中“黑名單阻止”表示按 Web 類別策略進行阻止,策略操作為“阻止”,“白名單阻止”表示操作為“接受”。例如:
[CSM][URLF-Geral] Black List Blocking 192.168.0.94 -> www.catho.com.br that is categorized with [Job_search] commtouch_server_resolver: [WCF] Set WCF query server to ctwsd1.ctmail.com !
[URLF-Geral] 表示名為「Geral」的URL/Web 類別過濾器設定檔上述日誌表示從IP 192.168.0.94 到www.catho.com.br 的連線已被URLF-General 設定檔阻止,因為它被分類為 [工作搜尋]。
WCF 查詢逾時
當我們看到「[WCF] WCF 查詢伺服器逾時」時,這表示 Vigor 路由器無法從 WCF 伺服器取得回應。例如:
commtouch_server_resolver: [WCF] WCF query server timeout
當看到這樣的日誌時,我們可能:
檢查Vigor Router前面的防火牆是否攔截了查詢封包。
嘗試連線到不同的 WCF 查詢伺服器。 (韌體版本1.3.0起支援此功能)
預設策略日誌
以[FILTER]開頭的日誌與預設策略相關,例如:
[FILTER] BLOCK src ip 192.168.0.94 mac 00:1b:fc:f8:11:40 dst ip 8.8.8.8 proto icmp DPT=,skbmark=0/0, ctmark=0/0
上述日誌表示防火牆預設政策已封鎖從 IP 192.168.0.94 到 IP 8.8.8.8 的 ICMP 連線。