配置 VMware Aria Operations for Logs 与 NSX Identity Firewall(IDFW) 的集成后,将预定义的第三方身份提供程序(如 GlobalProtect 或 ClearPass)添加到配置中。您还可以添加自定义身份提供程序。
前提条件
- 确认您已经以超级管理员用户身份,或者以与具有相应权限的角色关联的用户身份,登录到 VMware Aria Operations for Logs Web 用户界面。有关详细信息,请参见创建和修改角色。Web 用户界面的 URL 格式为 https://operations-for-logs-host,其中 operations-for-logs-host 是 VMware Aria Operations for Logs 虚拟设备的 IP 地址或主机名。
- 确认已在 VMware Aria Operations for Logs 中使用 IDFW 集成配置。
过程
结果
VMware Aria Operations for Logs 将解析身份提供程序中的身份验证日志,提取用户 ID 到 IP 的映射信息,并将数据发送到 NSX Manager。基于此数据,IDFW 定义基于身份的防火墙规则,并将规则应用于用户以进行访问控制。
示例: 适用于 GlobalProtect 和 ClearPass 日志的 regex 解析
请考虑以下来自 GlobalProtect 提供程序的日志示例:
Apr 8 14:35:19 PA-500-GW-1-EAT1 1,2021/04/08 14:35:19,009401010000,USERID,login,2049,2021/04/08 14:35:19,vsys1,10.20.30.40,vmware\john,UID-SJC31,0,1,10800,0,0,agent,,79021111,0x8000000000000000,0,0,0,0,,PA-500-GW-1-EAT1,1,,2021/04/08 14:35:28,1,0x80000000,vmware\john
下表显示了 regex 模式与日志样本(由 VMware Aria Operations for Logs 发送到 NSX Manager)中的值之间的映射。
选项 regex 模式 日志值 用户名 \\(\w+)\, john
IP 地址 \,(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})\, 10.20.30.40
域 \,(\w+)\\ vmware
事件类型 USERID\,(\w+)\, login
请考虑以下来自 ClearPass 提供程序的日志示例:
2021-08-19 13:47:46,797 10.10.100.10 Insight Logs 10000111 1 0 Auth.Username=smith,Auth.Service=SOF6 vrealize SSID EAP-TLS Service,Auth.NAS-IP-Address=10.02.20.02,Auth.Host-MAC-Address=111aaaaab10b,Auth.Protocol=RADIUS,Auth.Login-Status=9002,Auth.Enforcement-Profiles=[Deny Access Profile]
下表显示了 regex 模式与日志样本(由 VMware Aria Operations for Logs 发送到 NSX Manager)中的值之间的映射。
选项 regex 模式 日志值 用户名 Username=(\w+) smith
IP 地址 Address=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}) 10.02.20.02
域 SOF6\s+(\w+) vrealize
事件类型 Auth.(\w+)-Status= Login