syslog格式說明，Vigor syslog format，日誌格式說明

syslog vigor ublink.org

林門神JanusLin 2024-12-22 19:38:08 ‧ 141 瀏覽

分享至

原文網址

https://www.draytek.com/support/knowledge-base/5023#drayos_section

Knowledge Base
Syslog about Firewall and Content Security Management

DrayOS 系列的 syslog 格式說明

過濾規則
<129> VPN紀錄 Lan to Lan IKE
<134> IP過濾器紀錄
<141> VPN紀錄
<150> USER使用者存取紀錄
<158> 連線紀錄
<166> Wan statistic
<181> 其他連線紀錄 WebUI login，System Reboot

DrayTek [FILTER][Block][LAN/RT/VPN->WAN, 0:10:22 ][@S:R=2:2, 192.168.1.11->8.8.8.8][ICMP][HLen=20, TLen=60, Type=8, Code=0]

[Filter] 表示它與過濾規則相關。

[Block] 表示資料包被丟棄。

@S:R=2:2 表示該操作由 Filter Set#2、Rule#2

192.168.1.11->8.8.8.8 表示封包是從 192.168.1.11 到 8.8.8.8

[ICMP] 表示封包格式 ICMP

HLen=20 Header Length 封包表頭長度

TLen=60 Total Lenth 封包總長

Type=8 0代表response，8代表request

0 Echo Reply（回應答覆）
3 Destination Unreachable（目的地無法到達）
4 Source Quench（來源抑制）
5 Redirect（改變傳輸路徑）
8 Echo Request（回應要求）
9 Router Advertisement（路由器宣傳）
10 Router Solicitation（路由器懇請）
11 Time Exceeded for a Datagram（溢時傳輸）
12 Parameter Problem on a Datagram（參數問題）
13 Timestamp Request（時間標籤要求）
14 Timestamp Reply（時間標籤回覆）
15 Information Request（資訊要求）
16 Information Reply（資訊回覆）
17 Address Mask Request（位址遮罩要求）
18 Address Mask Reply（位址遮罩回覆）

Code=0

0: Network Unreachable（無法到達目的網路）
1: Host Unreachable（無法到達目的主機）
2: Protocol Unreachable（通訊協定不存在）
3: Port Unreachable（無法到達連接埠）
4: Fragmentation Needed and DF set（資料需分割並設定不可分割位元）
5: Source Route Failed（來源路徑選擇失敗）
6: Destination Network Unknown（無法識別目的地網路）
7: Destination Host Unknown（無法識別目的地主機）
8: Source Host Isolated（來源主機被隔離）
9: Communication with Destination Network Administratively Prohibited（管理上禁止和目的地網路通訊）
10: Communication with Destination Host Administratively Prohibited（管理上禁止和目的地主機通訊）
11: Network Unreachable for Type of Service（無法到達此型態的網路服務）
12: Host Unreachable for Type of Service（無法到達此型態的主機服務）

APP執行

DrayTek [CSM_AE][Block][FTP][@S:R=13:1, 111.251.207.21:34730->192.168.29.14:50337][TCP][HLen=20, TLen=1061, Flag=AP, Seq=3406493667, Ack=527650905, Win=2904]

[CSM_AE] 表示與CSM的APP執行相關。

[FTP]是在 APPE 設定檔中選擇的 APP。

@S:R=13:1表示該操作是由過濾器集#13、規則#1（防火牆的預設規則）中選擇的 APPE 設定檔執行的。

Seq= TCP序列號碼

Ack= TCP應答號碼

Win= IP包頭內窗口大小 / bytes，Calculated window size

URL內容過濾器

DrayTek [CSM_UF][Block][Type=KW(G:O=0:1)][@S:R=2:3, 192.168.1.11:50345->http://tw.yahoo.com/:80][HTTP][HLen=20, TLen=1465, Flag=AP, Seq=2495239783, Ack=1500601792, Win=260]

[CSM_UF]表示它與 CSM 的 URL 內容過濾器相關

[Type=KW(G:O=0:1)]，表示它不符合任何關鍵字組，但符合關鍵字物件#1。

192.168.1.11:50345->http://tw.yahoo.com/:80表示封包是從 192.168.1.11 到 http://tw.yahoo.com

Seq= TCP序列號碼

Ack= TCP應答號碼

Win= IP包頭內窗口大小 / bytes，Calculated window size

網頁內容過濾器

DrayTek [CSM_WF][Block][Service_Provider=CYREN][Category=News][@S:R=2:3, 192.168.1.11:50426->http://www.bbc.co.uk:80/news][HTTP][HLen=20, TLen=1492, Flag=A, Seq=1965422587, Ack=29701415, Win=65340]

[CSM_WF]表示與 CSM 的 Web 內容過濾器相關
[Category=News]表示封包與新聞類別相符。

DNS過濾器

DrayTek [CSM_DNSF][Block][Type=KW(G:O=0:1)][@S:R=2:3, 192.168.1.10:49316->http://www.facebook.com:53][DNS][HLen=20, TLen=62]

[CSM_DNSF] 表示與CSM 的DNS Filter 相關
[DNS]，表示該封包是DNS 查詢。

VPN

DrayTek: IKE_RELEASE VPN : L2L Dial-out, Profile index = 1, Name = to2962, ifno = 26
DrayTek: DropVPN() VPN : L2L Dial-out, Profile index = 1, Name = to2962, ifno = 27
DrayTek: Drop VPN ifno:27 because of WAN ifno:3 is down

L2L Dial-out Lan to Lan 撥出
Profile index = 1 VPN索引編號 1
Name = to2962 VPN名稱
Drop VPN ifno:27 VPN掉線
because of WAN ifno:3 is down 因為 WAN 斷線

ICMP 中文翻譯參考
https://www.tsnien.idv.tw/Network_WebBook/chap13/13-5%20ICMP%20%E9%80%9A%E8%A8%8A%E5%8D%94%E5%AE%9A.html