syslog格式说明，Vigor syslog format，日誌格式说明

原文网址

https://www.draytek.com/support/knowledge-base/5023#drayos_section

Knowledge BaseSyslog about Firewall and Content Security Management

DrayOS 系列的 syslog 格式说明

过滤规则<129> VPN纪录 Lan to Lan IKE<134> IP过滤器纪录<141> VPN纪录<150> USER使用者存取纪录<158> 连线纪录<166> Wan statistic<181> 其他连线纪录 WebUI login，System Reboot<190> ippbx syslog

DrayTek [FILTER][Block][LAN/RT/VPN->WAN, 0:10:22 ][@S:R=2:2, 192.168.1.11->8.8.8.8][ICMP][HLen=20, TLen=60, Type=8, Code=0]

[Filter] 表示它与过滤规则相关。

[Block] 表示资料包被丢弃。

@S:R=2:2 表示该操作由 Filter Set#2、Rule#2

192.168.1.11->8.8.8.8 表示封包是从 192.168.1.11 到 8.8.8.8

[ICMP] 表示封包格式 ICMP

HLen=20 Header Length 封包表头长度

TLen=60 Total Lenth 封包总长

Type=8 0代表response，8代表request

0 Echo Reply（回应答覆）3 Destination Unreachable（目的地无法到达）4 Source Quench（来源抑制）5 Redirect（改变传输路径）8 Echo Request（回应要求）9 Router Advertisement（路由器宣传）10 Router Solicitation（路由器恳请）11 Time Exceeded for a Datagram（溢时传输）12 Parameter Problem on a Datagram（参数问题）13 Timestamp Request（时间标籤要求）14 Timestamp Reply（时间标籤回覆）15 Information Request（资讯要求）16 Information Reply（资讯回覆）17 Address Mask Request（位址遮罩要求）18 Address Mask Reply（位址遮罩回覆）

Code=0

0: Network Unreachable（无法到达目的网路）1: Host Unreachable（无法到达目的主机）2: Protocol Unreachable（通讯协定不存在）3: Port Unreachable（无法到达连接埠）4: Fragmentation Needed and DF set（资料需分割并设定不可分割位元）5: Source Route Failed（来源路径选择失败）6: Destination Network Unknown（无法识别目的地网路）7: Destination Host Unknown（无法识别目的地主机）8: Source Host Isolated（来源主机被隔离）9: Communication with Destination Network Administratively Prohibited（管理上禁止和目的地网路通讯）10: Communication with Destination Host Administratively Prohibited（管理上禁止和目的地主机通讯）11: Network Unreachable for Type of Service（无法到达此型态的网路服务）12: Host Unreachable for Type of Service（无法到达此型态的主机服务）

APP执行

DrayTek [CSM_AE][Block][FTP][@S:R=13:1, 111.251.207.21:34730->192.168.29.14:50337][TCP][HLen=20, TLen=1061, Flag=AP, Seq=3406493667, Ack=527650905, Win=2904]

[CSM_AE] 表示与CSM的APP执行相关。

[FTP]是在 APPE 设定档中选择的 APP。

@S:R=13:1表示该操作是由过滤器集#13、规则#1（防火墙的预设规则）中选择的 APPE 设定档执行的。

Seq= TCP序列号码

Ack= TCP应答号码

Win= IP包头内窗口大小 / bytes，Calculated window size

URL内容过滤器

DrayTek [CSM_UF][Block][Type=KW(G:O=0:1)][@S:R=2:3, 192.168.1.11:50345->http://tw.yahoo.com/:80][HTTP][HLen=20, TLen=1465, Flag=AP, Seq=2495239783, Ack=1500601792, Win=260]

[CSM_UF]表示它与 CSM 的 URL 内容过滤器相关

[Type=KW(G:O=0:1)]，表示它不符合任何关键字组，但符合关键字物件#1。

192.168.1.11:50345->http://tw.yahoo.com/:80表示封包是从 192.168.1.11 到 http://tw.yahoo.com

Seq= TCP序列号码

Ack= TCP应答号码

Win= IP包头内窗口大小 / bytes，Calculated window size

网页内容过滤器

DrayTek [CSM_WF][Block][Service_Provider=CYREN][Category=News][@S:R=2:3, 192.168.1.11:50426->http://www.bbc.co.uk:80/news][HTTP][HLen=20, TLen=1492, Flag=A, Seq=1965422587, Ack=29701415, Win=65340]

[CSM_WF]表示与 CSM 的 Web 内容过滤器相关[Category=News]表示封包与新闻类别相符。

DNS过滤器

DrayTek [CSM_DNSF][Block][Type=KW(G:O=0:1)][@S:R=2:3, 192.168.1.10:49316->http://www.facebook.com:53][DNS][HLen=20, TLen=62]

[CSM_DNSF] 表示与CSM 的DNS Filter 相关[DNS]，表示该封包是DNS 查询。

VPN

DrayTek: IKE_RELEASE VPN : L2L Dial-out, Profile index = 1, Name = to2962, ifno = 26DrayTek: DropVPN() VPN : L2L Dial-out, Profile index = 1, Name = to2962, ifno = 27DrayTek: Drop VPN ifno:27 because of WAN ifno:3 is down

L2L Dial-out Lan to Lan 拨出Profile index = 1 VPN索引编号 1Name = to2962 VPN名称Drop VPN ifno:27 VPN掉线because of WAN ifno:3 is down 因为 WAN 断线

ICMP 中文翻译参考https://www.tsnien.idv.tw/Network_WebBook/chap13/13-5%20ICMP%20%E9%80%9A%E8%A8%8A%E5%8D%94%E5%AE%9A.html

持续更新 2025https://www.ublink.org/index.php/service/tech-know/vigor-tech/vigor-syslog-format