Vigor syslog format,日誌格式說明,syslog格式說明

原文網址

https://www.draytek.com/support/knowledge-base/5023#drayos_section

Knowledge Base
Syslog about Firewall and Content Security Management

DrayOS 系列的 syslog 格式說明

過濾規則

<129> VPN紀錄 Lan to Lan IKE
<134> IP過濾器紀錄
<141> VPN紀錄
<150> USER使用者存取紀錄
<158> 連線紀錄
<166> Wan statistic
<181> 其他連線紀錄 WebUI login,System Reboot
<190> ippbx syslog

DrayTek [FILTER][Block][LAN/RT/VPN->WAN, 0:10:22 ][@S:R=2:2, 192.168.1.11->8.8.8.8][ICMP][HLen=20, TLen=60, Type=8, Code=0]

[Filter] 表示它與過濾規則相關。 

[Block] 表示資料包被丟棄。 

@S:R=2:2 表示該操作由 Filter Set#2、Rule#2

192.168.1.11->8.8.8.8 表示封包是從 192.168.1.11 到 8.8.8.8

[ICMP] 表示封包格式 ICMP

HLen=20 Header Length 封包表頭長度

TLen=60  Total Lenth 封包總長

Type=8  0代表response,8代表request

0 Echo Reply(回應答覆)
3 Destination Unreachable(目的地無法到達)
4 Source Quench(來源抑制)
5 Redirect(改變傳輸路徑)
8 Echo Request(回應要求)
9 Router Advertisement(路由器宣傳)
10 Router Solicitation(路由器懇請)
11 Time Exceeded for a Datagram(溢時傳輸)
12 Parameter Problem on a Datagram(參數問題)
13 Timestamp Request(時間標籤要求)
14 Timestamp Reply(時間標籤回覆)
15 Information Request(資訊要求)
16 Information Reply(資訊回覆)
17 Address Mask Request(位址遮罩要求)
18 Address Mask Reply(位址遮罩回覆) 

Code=0

0: Network Unreachable(無法到達目的網路)
1: Host Unreachable(無法到達目的主機)
2: Protocol Unreachable(通訊協定不存在)
3: Port Unreachable(無法到達連接埠)
4: Fragmentation Needed and DF set(資料需分割並設定不可分割位元)
5: Source Route Failed(來源路徑選擇失敗)
6: Destination Network Unknown(無法識別目的地網路)
7: Destination Host Unknown(無法識別目的地主機)
8: Source Host Isolated(來源主機被隔離)
9: Communication with Destination Network Administratively Prohibited(管理上禁止和目的地網路通訊)
10: Communication with Destination Host Administratively Prohibited(管理上禁止和目的地主機通訊)
11: Network Unreachable for Type of Service(無法到達此型態的網路服務)
12: Host Unreachable for Type of Service(無法到達此型態的主機服務)

ICMP 中文翻譯參考翻轉工作室:粘添壽

APP執行

DrayTek [CSM_AE][Block][FTP][@S:R=13:1, 111.251.207.21:34730->192.168.29.14:50337][TCP][HLen=20, TLen=1061, Flag=AP, Seq=3406493667, Ack=527650905, Win=2904]

[CSM_AE] 表示與CSM的APP執行相關。

[FTP]是在 APPE 設定檔中選擇的 APP。

@S:R=13:1表示該操作是由過濾器集#13、規則#1(防火牆的預設規則)中選擇的 APPE 設定檔執行的。

Seq=  TCP序列號碼

Ack=  TCP應答號碼

Win=  IP包頭內窗口大小 / bytes,Calculated window size

URL內容過濾器

DrayTek [CSM_UF][Block][Type=KW(G:O=0:1)][@S:R=2:3, 192.168.1.11:50345->http://tw.yahoo.com/:80][HTTP][HLen=20, TLen=1465, Flag=AP, Seq=2495239783, Ack=1500601792, Win=260]

[CSM_UF]表示它與 CSM 的 URL 內容過濾器相關

[Type=KW(G:O=0:1)],表示它不符合任何關鍵字組,但符合關鍵字物件#1。

192.168.1.11:50345->http://tw.yahoo.com/:80表示封包是從 192.168.1.11 到 http://tw.yahoo.com

Flag=AP 旗標值=AP

Seq=  TCP序列號碼

Ack=  TCP應答號碼

Win=  IP包頭內窗口大小 / bytes,Calculated window size

網頁內容過濾器

DrayTek [CSM_WF][Block][Service_Provider=CYREN][Category=News][@S:R=2:3, 192.168.1.11:50426->http://www.bbc.co.uk:80/news][HTTP][HLen=20, TLen=1492, Flag=A, Seq=1965422587, Ack=29701415, Win=65340]

[CSM_WF]表示與 CSM 的 Web 內容過濾器相關

[Category=News]表示封包與新聞類別相符。 

DNS過濾器

DrayTek [CSM_DNSF][Block][Type=KW(G:O=0:1)][@S:R=2:3, 192.168.1.10:49316->http://www.facebook.com:53][DNS][HLen=20, TLen=62]

[CSM_DNSF] 表示與CSM 的DNS Filter 相關

[DNS],表示該封包是DNS 查詢。

VPN

DrayTek: IKE_RELEASE VPN : L2L Dial-out, Profile index = 1, Name = to2962, ifno = 26
DrayTek: DropVPN() VPN : L2L Dial-out, Profile index = 1, Name = to2962, ifno = 27
DrayTek: Drop VPN ifno:27 because of WAN ifno:3 is down

L2L Dial-out Lan to Lan 撥出

Profile index = 1  VPN索引編號 1

Name = to2962  VPN名稱

ifno = 26 VPN通

Drop VPN ifno:27  VPN掉線

because of WAN ifno:3 is down  因為 WAN 斷線

WebUI

DrayTek: [Web]WebUI login success from IP 192.168.1.10, authenticating using local admin account [admin]

admin 從 192.168.1.10 登入

 


Linux 系列 syslog 格式說明

 


IP過濾規則

以“IPF”開頭的日誌是IP過濾規則日誌。例如:

[IPF-pass-rule_11] PASS src ip 192.168.239.11 mac 60:a4:4c:05:ab:9c dst ip 5.96.88.133 proto tcp DPT=443, skbmark=10000000/0, c

其中「pass」是IP 過濾群組的名稱,「rule_11」是IP 過濾規則的名稱。上述日誌表示,由於防火牆 IP 過濾群組“pass”規則“rule_11”,路由器在 TCP 連接埠 443 上通過了從 IP 192.168.239.11 到 IP 5.96.88.133 的連線。

應用過濾器

以“[CSM] APPF”開頭的日誌是應用程式過濾器日誌。例如:

[CSM] APPF Block MISC-HTTP Proxy connection, Local user 192.168.239.11

其中「MISC-HTTP Proxy」是APP物件中的HTTP代理選項。上述日誌表示路由器由於偵測到 HTTP 代理事件而阻止了來自 IP 192.168.239.11 的連線。

網址過濾器

包含「[URLF]」和關鍵字的日誌是 URL 內容過濾日誌。例如:

[CSM] Blocking [www.catho.com.br/favicon.ico] by keyword [catho], Local user 192.168.239.11 [URLF-catho] BLOCK src ip 192.168.239.11 mac 60:a4:4c:05:ab:9c dst ip 186.234.214.60 proto tcp DPT=80, skbmark=0/0, ctmark=0/0

其中 [URLF-catho] 表示名為「catho」的 URL/Web 內容過濾器設定檔。上述日誌表示路由器根據 URL 過濾設定檔「catho」阻止了從 IP 192.168.239.11 到 IP 16.234.214.60 的連線。

WCF過濾器

包含“[URLF]”和類別的日誌是 Web 內容過濾日誌,其中“黑名單阻止”表示按 Web 類別策略進行阻止,策略操作為“阻止”,“白名單阻止”表示操作為“接受”。例如:

[CSM][URLF-Geral] Black List Blocking 192.168.0.94 -> www.catho.com.br that is categorized with [Job_search] commtouch_server_resolver: [WCF] Set WCF query server to ctwsd1.ctmail.com !

[URLF-Geral] 表示名為「Geral」的URL/Web 類別過濾器設定檔上述日誌表示從IP 192.168.0.94 到www.catho.com.br 的連線已被URLF-General 設定檔阻止,因為它被分類為 [工作搜尋]。

WCF 查詢逾時

當我們看到「[WCF] WCF 查詢伺服器逾時」時,這表示 Vigor 路由器無法從 WCF 伺服器取得回應。例如:

commtouch_server_resolver: [WCF] WCF query server timeout

當看到這樣的日誌時,我們可能:

檢查Vigor Router前面的防火牆是否攔截了查詢封包。
嘗試連線到不同的 WCF 查詢伺服器。 (韌體版本1.3.0起支援此功能)

預設策略日誌

以[FILTER]開頭的日誌與預設策略相關,例如:

[FILTER] BLOCK src ip 192.168.0.94 mac 00:1b:fc:f8:11:40 dst ip 8.8.8.8 proto icmp DPT=,skbmark=0/0, ctmark=0/0

上述日誌表示防火牆預設政策已封鎖從 IP 192.168.0.94 到 IP 8.8.8.8 的 ICMP 連線。

 

 

 

  • 文章瀏覽點擊數 3029152