Leer un Mensaje de Registro

Cada mensaje de registro generado por su Firebox incluye una serie de datos sobre el tráfico en el Firebox. Si revisa los mensajes de registro en Traffic Monitor, los detalles en los datos tienen diferentes colores aplicados a ellos para ayudar a distinguir visualmente cada detalle.

Este es un ejemplo de un mensaje de registro de tráfico desde Traffic Monitor:

2014-07-02 17:38:43 Member2 Allow 192.168.228.202 10.0.1.1 webcache/tcp 42973 8080 3-Trusted 1-WCI Allowed 60 63 (Outgoing-proxy-00) proc_id="firewall" rc="100" src_ip_nat="69.164.168.163" tcp_info="offset 10 S 2982213793 win 2105" msg_id="3000-0148"

Cuando uno lee los mensajes de registro, puede ver detalles acerca de cuándo se produjo la conexión para el tráfico, el origen y el destino del tráfico, así como la disposición de la conexión, y otros detalles.

Cada mensaje de registro incluye los siguientes detalles:

Marca de Tiempo

La línea de mensaje de registro comienza con una marca de tiempo que incluye la fecha y la hora en que se creó el mensaje de registro. La marca de tiempo utiliza la zona horaria y la hora actuales del Firebox.

Esta es la marca de tiempo del mensaje de registro del ejemplo anterior:

2014-07-02 17:38:43

Información del Miembro FireCluster

Si el mensaje de registro viene de un Firebox que es un miembro de un FireCluster, el mensaje de registro incluye el número del miembro del clúster para el Firebox.

Esta es la información del miembro FireCluster del mensaje de registro del ejemplo anterior:

Miembro2

Disposición

Cada mensaje de registro indica la disposición del tráfico: Permitir o Negar. Si el mensaje de registro es para el tráfico manejado por una política de proxy en vez de una política de filtrado de paquetes, el tráfico se podría marcar como Permitir a pesar de que el cuerpo del paquete fue despojado o alterado por la acción de proxy.

Esta es la disposición del ejemplo anterior de mensaje de registro:

Permitir

Direcciones de Origen y Destino

Después de la disposición, el mensaje de registro muestra las direcciones IP de origen y destino del tráfico. Si se aplicó NAT al tráfico, las direcciones NAT aparecen más tarde en el mensaje de registro.

Estas son las direcciones de origen y de destino del ejemplo anterior de mensaje de registro:

192.168.228.202 y 10.0.1.1

Servicio y Protocolo

Las siguientes entradas en el mensaje de registro son el servicio y el protocolo que manejaron el tráfico. El servicio se especifica en base al protocolo y el puerto del tráfico que se utilizó, no en el nombre de la política que manejó el tráfico. Si el servicio no se puede determinar, aparece el número de puerto en su lugar.

Este es el servicio y protocolo del ejemplo anterior de mensaje de registro:

webcache/tcp

Puertos de Origen y Destino

Los siguientes detalles en el mensaje de registro son los puertos de origen y de destino. El puerto de origen identifica el tráfico de retorno. El puerto de destino determina el servicio que se usa para el tráfico.

Estos son los puertos de origen y de destino del ejemplo anterior de mensaje de registro:

42973 y 8080

Interfaces de Origen y Destino

Las interfaces de origen y de destino aparecen después del Destination Port (Puerto de destino). Estas son las interfaces físicas o virtuales que manejan la conexión para este tráfico.

Estas son las interfaces de origen y de destino del ejemplo anterior de mensaje de registro:

3-De confianza y 1-WCI

Acción de Conexión

Esta es la acción aplicada a la conexión del tráfico. Para las acciones de proxy, esto indica si se permite el contenido del paquete, se descarta o se filtra.

Esta es la acción de conexión del ejemplo anterior de mensaje de registro:

Permitido

Longitud del Paquete

Los dos números de longitud del paquete indican la longitud del paquete (en bytes) y el valor de TTL (Time to Live). TTL es una métrica utilizada para prevenir la congestión de la red, permitiéndose solo que el paquete pase a través de un número determinado de dispositivos de enrutamiento antes de que se descarte.

Estos son los números de la longitud del paquete del ejemplo anterior de mensaje de registro:

60 (longitud del paquete) y 63 (TTL)

Nombre de la Política

Este es el nombre de la política en su Firebox que maneja el tráfico. El número (-00) se añade de forma automática a los nombres de la política, y es parte del sistema de referencia interno en el Firebox.

Este es el nombre de la política del ejemplo anterior de mensaje de registro:

(Saliente-proxy-00)

Procesar

Esta sección del mensaje de registro muestra el proceso que maneja el tráfico.

Este es el proceso del mensaje de registro del ejemplo anterior:

proc_id="firewall"

Código de Retorno

Este es el código de retorno para el paquete, que se utiliza en los informes.

Este es el código de retorno del mensaje de registro del ejemplo anterior:

rc="100"

Dirección NAT

Esta es la dirección IP que aparece en lugar de la dirección IP de origen real del tráfico después de que sale de la interfaz del Firebox y que se han aplicado las reglas de NAT. También podría incluirse una dirección IP de destino NAT.

Esta es la dirección NAT del ejemplo anterior de mensaje de registro:

src_ip_nat="69.164.168.163"

Tamaño del Paquete

El detalle tcp_info incluye valores para la compensación, la secuencia y el tamaño de la ventana para el paquete que inicia la conexión. Los detalles del tamaño de paquete que se incluyen dependen del tipo de protocolo.

Este es el tamaño de paquete del mensaje de registro del ejemplo anterior:

tcp_info="offset 10 S 2982213793 win 2105"

Número de Identificación del Mensaje

Cada tipo de mensaje de registro incluye un número de identificación de mensaje único. Cuando revise un mensaje de registro en el Traffic Monitor, el número de ID de mensaje puede aparecer como el valor ya sea para el detalle msg_id= o el detalle id=. En el Log Manager, el número de ID de mensaje aparece como el valor del detalle id=.

Algunos mensajes de registro no incluyen un número de ID de mensaje. Solo a los mensajes de registro se les asigna un número de ID de mensaje que está incluido en elCatálogo de Registro.

Este es el número de ID de mensaje del ejemplo anterior de mensaje de registro:

msg_id="3000-0148"

Para obtener más información sobre los mensajes de registro generados por su Firebox, consulte el apartado Catálogo de Registros de Fireware, disponible en la página de la documentación WatchGuard Firebox y Dimension.

Los números de ID de mensaje que están incluidos en el Catálogo de Registros de Fireware no incluyen los guiones que aparecen en el número de ID de mensaje en Traffic Monitor y Log Manager. Si busca en el Catálogo de Registros una ID de mensaje, elimine el guion del número de ID.

Ver También

Acerca de la Generación de Registros y Notificación de Firebox