当我查看为我的检查点fw1创build的日志,是否在接收syn时logging连接,还是等到三次握手完成? 如果在syn后login,是否有告诉三次握手尚未完成的地方?
初始日志按SYN_RECV排队/初始定义为标准stream量日志,不计费。
启用会计后,会计日志计数器将被保留并转发到日志模块以完成日志logging。 完整的会计logginglogging将包括初始访问日志+logging的会话或虚拟会话的一些会计细节。
我猜它会在收到SYN时logging下来,你可以通过像hping这样的工具发送syn来轻松validation。
如果你想看到三方握手,我会build议使用fw monitor ,关于它在checkpoint网站上有很好的pdf 。
快速的步骤是运行类似于fw monitor -e 'accept src=1.2.3.4 or dst= 1.2.3.4;'
编辑:当然,这是在现场做,所以它不如logging…