为 NSX-T IDS/IPS 启用日志记录后,您可以查看日志文件以解决问题。

以下是 NSX-T IDS/IPS 的示例日志文件,此文件位于 /var/log/nsx-idps/nsx-idps-events.log:
{"timestamp":"2021-08-10T01:01:15.431231+0000","flow_id":1906423505866276,"pcap_cnt":40,"event_type":"alert","src_ip":"192.
168.100.166","src_port":49320,"dest_ip":"185.244.30.17","dest_port":1965,"proto":"TCP","direction":"to_server","metadata":
{"flowbits":["LL.verifier_tcp_successful","LL.verifier_tcp_failed","LL.verifier_tcp_blocked"],"flowints":
{"intraflow_beacon_num_strides":0,"intraflow_beacon_last_ts":1628557275,"intraflow_beacon_packets_seen":1,"intraflow_beacon_grp_1"
:1,"intraflow_beacon_grp_1_cnt":0,"intraflow_beacon_grp_2":1,"intraflow_beacon_grp_2_cnt":0,"intraflow_beacon_grp_3":1,
"intraflow_beacon_grp_3_cnt":0,"intraflow_beacon_prior_seq":1762155507,"intraflow_beacon_prior_ack":1700774517,
"intraflow_beacon_num_runts":0,"intraflow_beacon_sni_seen":0}},"nsx_metadata":{"flow_src_ip":"192.168.100.166",
"flow_dest_ip":"185.244.30.17","flow_dir":2,"rule_id":1001,"profile_id":"f7169d04-81bf-4c73-9466-b9daec6220de",
"user_id":0,"vm_uuid":"b1396a3e-3bf9-4fd7-839d-0709c86707b0"},"alert":{"action":"allowed","gid":1,"signature_id":1096797,"rev":14556,
"signature":"LASTLINE Command&Control: (RAT) Remcos RAT","category":"A Network Trojan was Detected","severity":1,"source":{"ip":"185.244.30.17","port":1965},"target":{"ip":"192.168.100.166","port":49320},
"metadata":{"detector_id":["96797"],"severity":["100"],"confidence":["80"],"exploited":["None"],"blacklist_mode":["REAL"],"ids_mode":["REAL"],"threat_name":["Remcos RAT"],
"threat_class_name":["command&control"],"server_side":["False"],"flip_endpoints":["False"],"ll_expected_verifier":["default"]}},
"flow":{"pkts_toserver":3,"pkts_toclient":1,"bytes_toserver":808,"bytes_toclient":66,"start":"2021-08-10T01:01:15.183844+0000"}}
字段 描述
时间戳 触发警示的数据包的时间戳。
flow_id nsx-idps 跟踪的每个流的唯一标识符。
event_type IDPS 引擎生成的事件类型。对于警示,事件类型将始终为“警示”(无论执行何种操作)。
src_ip 触发警示的数据包的源 IP。根据警示特性,这可能是客户端的地址或服务器的地址。请参阅字段“direction”以确定客户端。
src_port 触发警示的数据包的源端口。
dest_ip 触发警示的数据包的目标 IP。
dest_port 触发警示的数据包的目标端口。
proto 触发警示的数据包的 IP 协议。
direction 相较于流量方向的数据包方向。对于从客户端流向服务器的数据包,该值将为“to_server”,而对于从服务器流向客户端的数据包,该值为“to_client”。

NSX 元数据表中未包含的任何字段均仅供内部使用。

NSX 元数据 描述
metadata.flowbits 和 metadata.flowints 此字段构成内部流量状态的转储。变量由在特定流量上运行的各种特征码或 Lua 脚本动态设置。从语义和本质上讲,字段以内部字段为主,可能会因 IDS 包更新而异。
nsx_metadata.flow_src_ip 客户端的 IP 地址。可通过查看数据包端点和数据包方向获取。
nsx_metadata.flow_dest_ip 服务器的 IP 地址。
nsx_metadata.flow_dir 相对于源虚拟机的流量方向。值 1 表示受监控虚拟机的入站流量,值 2 表示受监控虚拟机的出站流量。
nsx_metadata.rule_id 数据包匹配的 DFW::IDS 规则 ID。
nsx_metadata.profile_id 匹配的规则使用的上下文配置文件 ID。
nsx_metadata.user_id 流量生成事件的用户 ID。
nsx_metadata.vm_uuid 流量生成事件的虚拟机的标识符。
alert.action nsx-idps 对数据包执行的操作(已允许/已阻止)。取决于配置的规则操作。
alert.gid、alert.signature_id、alert.rev 特征码的标识符及其修订版本。特征码可以保持相同的标识符,并通过增加修订版本来更新到较新的版本。
alert.signature 检测到的威胁的简要描述。
alert.category 检测到的威胁的类别。这通常是一种非常粗略/不准确的分类。可以在 alert.metadata 中找到模式详细信息。
alert.severity 来源于警示类别的特征码的优先级。较高优先级的警示通常与较严重的威胁相关联。
alert.source/alert.target 有关攻击方向(不一定与流量方向匹配)的信息。警示的来源将为攻击端点,而警示的目标将为攻击的受害者。
alert.metadata.detector_id NDR 组件用于关联威胁元数据和文档的检测的内部标识符。
alert.metadata.severity 威胁严重性的 0-100 范围。此值是 alert.metadata.threat_class_name 的函数。
alert.metadata.confidence 检测正确性置信度的 0-100 范围。尽管可能会出现误报,但发布的特征码仍会报告置信度低(低于 50)。
alert.metadata.exploited 用于表示在检测中报告的攻击者是否可能是被破解的主机(即,端点信息不应被视为可靠的 IoC)的修饰符。
alert.metadata.blacklist_mode 仅限内部使用。
alert.metadata.ids_mode 特征码的操作模式。当前可能的值为 REAL(在 NDR 产品中生成实际模式检测)和 INFO(在 NDR 产品中生成信息模式检测)。
alert.metadata.threat_name 检测到的威胁的名称。威胁名称在 NDR 产品的上下文中作为定义良好的本体的一部分进行管理,从攻击的性质上讲,它是最可靠的信息源。
alert.metadata.threat_class_name 与威胁相关的攻击的高级类别名称。威胁类别是具有“command&control”、“drive-by”和“exploit”等值的高级类别。
alert.metadata.server_side 用于表示威胁是影响服务器还是影响客户端的修饰符。它等同于 alert.source 和 alert.target 属性表示的信息。
alert.metadata.flip_endpoints 用于表示特征码是否应与从服务器流向客户端的数据包匹配,而不是与客户端到服务器的数据包匹配的修饰符。
alert.metadata.ll_expected_verifier 仅限内部使用。
flow.pkts_toserver/flow.pkts_toclient/flow.bytes_toserver/flow.bytes_toclient 有关触发警示时在给定流量中出现的数据包数量/字节数量的信息。请注意,此信息不代表属于流量的数据包总数。此信息表示生成警示时的部分计数。
flow.start 属于流量的第一个数据包的时间戳。