NSX 恶意软件防护 功能在 NSX Edge、服务虚拟机(在 ESXi 主机上)和 NSX Application Platform 上运行。在 NSX Edge 和服务虚拟机上生成的产品日志符合 RFC 5424 日志消息标准。仅在 ESXi 主机上支持 NSX 恶意软件防护 功能。不支持 KVM 主机。

日志消息

NSX-T 设备上,syslog 消息符合 RFC 5424 标准。其他产品日志将写入 /var/log 目录中。

  • NSX Edge 上,已提取文件的恶意软件分析日志消息由活动 Tier-1 网关上的网关恶意软件防护服务提供。
  • ESXi 主机上,有关在主机上运行的工作负载虚拟机上已下载文件的恶意软件分析日志消息由 ESXi 主机上的恶意软件防护服务虚拟机提供。
  • 对于由网关恶意软件防护服务和分布式恶意软件防护服务提取的文件,恶意软件分析日志消息由 NSX Application Platform 上运行的 Security Analyzer 微服务提供。

此外,还支持远程日志记录。要使用 NSX 恶意软件防护 功能日志,您可以将 NSX Edge 和 NSX Application Platform 配置为将日志消息发送或重定向到远程日志服务器。

NSX Edge 上配置远程日志记录

必须分别在每个 NSX Edge 节点上配置远程日志记录。要使用 NSX CLI 在 NSX Edge 节点上配置远程日志记录服务器,请参见配置远程日志记录

要使用 NSX Manager UI 在 NSX Edge 节点上配置远程日志记录服务器,请参见为 NSX 节点添加 syslog 服务器

NSX Application Platform 上配置远程日志记录

要将 NSX Application Platform 日志消息发送到外部日志服务器,必须运行 REST API。

有关 REST API 以及示例请求正文、响应和代码示例的信息,请参见 VMware 开发人员文档门户。

NSX 恶意软件防护 服务虚拟机上配置远程日志记录

当前不支持此功能。但是,作为解决办法,您可以通过使用 SSH 连接登录到服务虚拟机 (SVM) 来从每个 NSX 恶意软件防护 SVM 复制 syslog 文件。

SSH 对 SVM 的 admin 用户的访问基于密钥(公钥-私钥对)。在 ESXi 主机集群上部署服务时,需要使用公钥;如果要启动 SSH 与 SVM 的会话,则需要使用私钥。

有关详细信息,请参见登录到 NSX 恶意软件防护 服务虚拟机

登录到 SVM 后,在该特定时间使用 sftpscp 命令从 /var/log 目录复制 syslog 文件。如果此位置有多个 syslog 文件可用,则会将其压缩并存储在同一路径中。

有关日志记录的更多信息

请参见日志消息和错误代码

解释 NSX 恶意软件防护 事件日志消息

服务虚拟机和 NSX EdgeNSX 恶意软件防护 事件的日志消息格式相同。但是,对于 NSX Application Platform 上的事件,日志消息的格式会有所不同。

以下事件日志消息由 sa-events-processor 微服务生成,该微服务是在 NSX Application Platform 上运行的 Pod。

示例:

{"log":"{\"log\":\"\\u001b[37m2022-06-01T01:42:58,725\\u001b[m \\u001b[32mINFO \\u001b[m[\\u001b[1;34mfileEventConsumer-1\\u001b[m] \\u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\\u001b[m: SECURITY [nsx@6876 comp=\\\"nsx-manager\\\" level=\\\"INFO\\\" subcomp=\\\"manager\\\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)\\n\",\"stream\":\"stdout\",\"time\":\"2022-06-01T01:42:58.725811209Z\"}","log_processed":{"log":"\u001b[37m2022-06-01T01:42:58,725\u001b[m \u001b[32mINFO \u001b[m[\u001b[1;34mfileEventConsumer-1\u001b[m] \u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\u001b[m: SECURITY [nsx@6876 comp=\"nsx-manager\" level=\"INFO\" subcomp=\"manager\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)","stream":"stdout","time":"2022-06-01T01:42:58.725811209Z"},"kubernetes":{"pod_name":"sa-events-processor-55bcfcc46d-4jftf","namespace_name":"nsxi-platform","pod_id":"305953f7-836b-4bbb-ba9e-00fdf68de4ae","host":"worker03","container_name":"sa-events-processor","docker_id":"93f81f278898e6ce3e14d9a37e0e10a502c46fe53c9ad61680aed48b94f7f8bf","container_hash":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor@sha256:b617f4bb9f3ea5767839e39490a78169f7f3d54826b89638e4a950e391405ae4","container_image":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor:19067767"}}
注: 此示例事件日志消息仅用于说明目的。格式和内容可能会随主要 NSX-T 版本的不同而发生变化。

在此示例事件日志消息中,可以看到,除了标准日志属性(如 date (2022-06-01T00:42:58,326)、log level (INFO))和可筛选属性(如 module (SECURITY)、container_name (sa-events-processor))之外,其他属性将以 JSON 格式显示。下表列出了这些其他属性。

示例值

id

0

sha256

29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d

sha1

549cb3f1c85c4ef7fb06dcd33d68cba073b260ec

md5

65b9b68668bb6860e3144866bf5dab85

fileName

drupdate.dll

fileType

PeExeFile

fileSize

287024

inspectionTime

1654047770305

clientPort

0

clientIP

null

clientFqdn

null

clientVmId

500500cd1b6-96b6-4567-82f4-231a63dead81

serverPort

0

serverIp

null

serverFqdn

null

serverVmId

null

applicationProtocol

null

submittedBy

SYSTEM

isFoundByAsds

true

isBlocked

false

allowListed

false

verdict

BENIGN

score

0

analystUuid

null
submissionUuid null
tnId 3838c58796-9983-4a41-b9f2-dc309bd3458d

malwareClass

null

malwareFamily

null

errorCode

null

errorMessage

null

nodeType

1

gatewayId

analysisStatus

COMPLETED

followupEvent

false

httpDomain

null

httpMethod

null

path

null

referer

null

userAgent

null

contentDispositionFileName

null

isFileUploaded

false

startTime

1654047768828

endTime

1654047768844

ttl

1654220570304

对 Syslog 问题进行故障排除

如果您配置的远程日志服务器无法接收日志消息,请参见对 Syslog 问题进行故障排除

收集支持包