配置 VMware Aria Operations for LogsNSX Identity Firewall(IDFW) 的集成后,将预定义的第三方身份提供程序(如 GlobalProtectClearPass)添加到配置中。您还可以添加自定义身份提供程序。

前提条件

  • 确认您已经以超级管理员用户身份,或者以与具有相应权限的角色关联的用户身份,登录到 VMware Aria Operations for Logs Web 用户界面。有关详细信息,请参见创建和修改角色。Web 用户界面的 URL 格式为 https://operations-for-logs-host,其中 operations-for-logs-hostVMware Aria Operations for Logs 虚拟设备的 IP 地址或主机名。
  • 确认已在 VMware Aria Operations for Logs 中使用 IDFW 集成配置。

过程

  1. 展开主菜单并导航到集成 > NSX 身份防火墙
  2. 在“提供程序”下,单击新建提供程序
  3. 输入以下信息:
    选项 描述
    名称 身份提供程序的唯一名称。
    类型

    身份提供程序类型。您可以选择预定义的提供程序(例如 GlobalProtectClearPass),也可以选择自定义提供程序。

    如果选择了预定义的提供程序,则将根据该提供程序来填充用户名IP 地址事件类型regex 模式。您可以修改这些值。

    如果选择了自定义提供程序,则必须输入用户名IP 地址regex 模式。
    用户名 用于在提供程序的日志中标识用户名的 regex 模式。
    IP 地址 用于在提供程序的日志中标识 IP 地址的 regex 模式。
    用于在提供程序的日志中标识域的 regex 模式。
    事件类型

    用于在提供程序的日志中标识事件类型的 regex 模式。

    自定义提供程序的事件类型为 Login,但这不是必需项。如果需要其他值,请输入正则表达式模式以标识事件类型。

    一个或多个源 IP 地址或 FQDN。可以使用逗号分隔多个输入项。

    VMware Aria Operations for Logs 仅解析您为提供程序输入的源中的日志,因此可以实现最佳性能和安全性。
    • 为确保最佳性能,VMware Aria Operations for Logs 仅将 regex 模式应用于所选源中的日志。
    • 为确保安全性,VMware Aria Operations for Logs 仅将已知源中的有效数据发送到 NSX Manager
    注:
    • 对于通过 syslog 发送日志的自定义提供程序,字段的 regex 模式将应用于消息,而不是应用于 syslog 标头。
    • regex 模式区分大小写。
    • 对于 regex 字段定义,必须使用基于 Java 的 regex
    • VMware Aria Operations for Logs 实例转发日志可能会更改用于提供程序配置的源。作为替代方法,可以将日志直接从身份提供程序发送到 VMware Aria Operations for Logs
    • 确保提供程序源在 NSX IDFW 集成配置范围内是唯一的。
    • 已为 VMware Aria Operations for Logs 用户界面中可用的某些身份提供程序版本配置了预定义的提供程序。预填充的 regex 模式对于其他版本来说可能不准确。
  4. 单击保存

结果

VMware Aria Operations for Logs 将解析身份提供程序中的身份验证日志,提取用户 ID 到 IP 的映射信息,并将数据发送到 NSX Manager。基于此数据,IDFW 定义基于身份的防火墙规则,并将规则应用于用户以进行访问控制。

示例: 适用于 GlobalProtect 和 ClearPass 日志的 regex 解析

  • 请考虑以下来自 GlobalProtect 提供程序的日志示例:

    Apr 8 14:35:19 PA-500-GW-1-EAT1 1,2021/04/08 14:35:19,009401010000,USERID,login,2049,2021/04/08 14:35:19,vsys1,10.20.30.40,vmware\john,UID-SJC31,0,1,10800,0,0,agent,,79021111,0x8000000000000000,0,0,0,0,,PA-500-GW-1-EAT1,1,,2021/04/08 14:35:28,1,0x80000000,vmware\john

    下表显示了 regex 模式与日志样本(由 VMware Aria Operations for Logs 发送到 NSX Manager)中的值之间的映射。

    选项 regex 模式 日志值
    用户名 \\(\w+)\, john
    IP 地址 \,(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})\, 10.20.30.40
    \,(\w+)\\ vmware
    事件类型 USERID\,(\w+)\, login

  • 请考虑以下来自 ClearPass 提供程序的日志示例:

    2021-08-19 13:47:46,797 10.10.100.10 Insight Logs 10000111 1 0 Auth.Username=smith,Auth.Service=SOF6 vrealize SSID EAP-TLS Service,Auth.NAS-IP-Address=10.02.20.02,Auth.Host-MAC-Address=111aaaaab10b,Auth.Protocol=RADIUS,Auth.Login-Status=9002,Auth.Enforcement-Profiles=[Deny Access Profile]

    下表显示了 regex 模式与日志样本(由 VMware Aria Operations for Logs 发送到 NSX Manager)中的值之间的映射。

    选项 regex 模式 日志值
    用户名 Username=(\w+) smith
    IP 地址 Address=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}) 10.02.20.02
    SOF6\s+(\w+) vrealize
    事件类型 Auth.(\w+)-Status= Login