NSX 恶意软件防护 功能在 NSX Edge、服务虚拟机(在 ESXi 主机上)和 NSX Application Platform 上运行。在 NSX Edge 和服务虚拟机上生成的产品日志符合 RFC 5424 日志消息标准。
日志消息
在 NSX 设备上,syslog 消息符合 RFC 5424 标准。其他产品日志将写入 /var/log 目录中。
- 在 NSX Edge 上,有关已提取文件的恶意软件分析日志消息由活动 Tier-1 网关上的网关恶意软件防护服务提供。
- 在 ESXi 主机上,有关主机上运行的工作负载虚拟机上已下载文件的恶意软件分析日志消息由 ESXi 主机上的恶意软件防护服务虚拟机提供。
- 对于由网关恶意软件防护服务和分布式恶意软件防护服务提取的文件,恶意软件分析日志消息由 NSX Application Platform 上运行的 Security Analyzer 微服务提供。
此外,还支持远程日志记录。要使用 NSX 恶意软件防护 功能日志,可以将 NSX Edge、NSX Application Platform 和 NSX 恶意软件防护 服务虚拟机配置为将日志消息发送或重定向到远程日志服务器。
NSX Edge 上的远程日志记录
必须分别在每个 NSX Edge 节点上配置远程日志记录。要使用 NSX CLI 在 NSX Edge 节点上配置远程日志记录服务器,请参见配置远程日志记录。
要使用 NSX Manager UI 在 NSX Edge 节点上配置远程日志记录服务器,请参见为 NSX 节点添加 syslog 服务器。
NSX Application Platform 上的远程日志记录
要将 NSX Application Platform 日志消息重定向到外部日志服务器,必须运行 REST API。
有关 REST API 以及示例请求正文、响应和代码示例的信息,请参见 VMware 开发人员文档门户。
NSX 恶意软件防护 服务虚拟机上的远程日志记录
从 NSX 4.1.2 开始支持此功能。
- 在 NSX 4.1.2 或更高版本中
-
要将 NSX 恶意软件防护 服务虚拟机 (SVM) 日志消息重定向到外部日志服务器,您可以用 admin 用户身份登录到 SVM,然后在 SVM 上运行 NSX CLI 命令。要了解更多信息,请参见在 NSX 恶意软件防护 服务虚拟机上配置远程日志记录。
- 在 NSX 4.1.1 或更低版本中
-
不支持在 NSX 恶意软件防护 SVM 上配置远程日志记录。但是,您可以通过 SSH 连接登录到 SVM,以从每个 NSX 恶意软件防护 SVM 复制 syslog 文件。
SSH 对 SVM 的 admin 用户的访问基于密钥(公钥-私钥对)。在 ESXi 主机集群上部署服务时,需要使用公钥;如果要启动 SSH 与 SVM 的会话,则需要使用私钥。
有关详细信息,请参见登录到 NSX 恶意软件防护 服务虚拟机。
登录到 SVM 后,在该特定时间使用 sftp 或 scp 命令从 /var/log 目录复制 syslog 文件。如果此位置有多个 syslog 文件可用,则会将其压缩并存储在同一路径中。
关于日志记录的更多信息
请参见日志消息和错误代码。
解释 NSX 恶意软件防护 事件日志消息
服务虚拟机和 NSX Edge 上 NSX 恶意软件防护 事件的日志消息格式相同。但是,对于 NSX Application Platform 上的事件,日志消息格式有所不同。
以下事件日志消息由 sa-events-processor 微服务生成,该微服务是在 NSX Application Platform 上运行的 Pod。
示例:
{"log":"{\"log\":\"\\u001b[37m2022-06-01T01:42:58,725\\u001b[m \\u001b[32mINFO \\u001b[m[\\u001b[1;34mfileEventConsumer-1\\u001b[m] \\u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\\u001b[m: SECURITY [nsx@6876 comp=\\\"nsx-manager\\\" level=\\\"INFO\\\" subcomp=\\\"manager\\\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)\\n\",\"stream\":\"stdout\",\"time\":\"2022-06-01T01:42:58.725811209Z\"}","log_processed":{"log":"\u001b[37m2022-06-01T01:42:58,725\u001b[m \u001b[32mINFO \u001b[m[\u001b[1;34mfileEventConsumer-1\u001b[m] \u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\u001b[m: SECURITY [nsx@6876 comp=\"nsx-manager\" level=\"INFO\" subcomp=\"manager\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)","stream":"stdout","time":"2022-06-01T01:42:58.725811209Z"},"kubernetes":{"pod_name":"sa-events-processor-55bcfcc46d-4jftf","namespace_name":"nsxi-platform","pod_id":"305953f7-836b-4bbb-ba9e-00fdf68de4ae","host":"worker03","container_name":"sa-events-processor","docker_id":"93f81f278898e6ce3e14d9a37e0e10a502c46fe53c9ad61680aed48b94f7f8bf","container_hash":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor@sha256:b617f4bb9f3ea5767839e39490a78169f7f3d54826b89638e4a950e391405ae4","container_image":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor:19067767"}}
在此示例事件日志消息中,可以看到,除了标准日志属性(如 date (2022-06-01T00:42:58,326)、log level (INFO))和可筛选属性(如 module (SECURITY)、container_name (sa-events-processor))之外,其他属性将以 JSON 格式显示。下表列出了这些其他属性。
| 键 | 示例值 |
|---|---|
| id |
0 |
| sha256 |
29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d |
| sha1 |
549cb3f1c85c4ef7fb06dcd33d68cba073b260ec |
| md5 |
65b9b68668bb6860e3144866bf5dab85 |
| fileName |
drupdate.dll |
| fileType |
PeExeFile |
| fileSize |
287024 |
| inspectionTime |
1654047770305 |
| clientPort |
0 |
| clientIP |
null |
| clientFqdn |
null |
| clientVmId |
500500cd1b6-96b6-4567-82f4-231a63dead81 |
| serverPort |
0 |
| serverIp |
null |
| serverFqdn |
null |
| serverVmId |
null |
| applicationProtocol |
null |
| submittedBy |
SYSTEM |
| isFoundByAsds |
true |
| isBlocked |
false |
| allowListed |
false |
| verdict |
BENIGN |
| score |
0 |
| analystUuid |
null |
| submissionUuid | null |
| tnId | 3838c58796-9983-4a41-b9f2-dc309bd3458d |
| malwareClass |
null |
| malwareFamily |
null |
| errorCode |
null |
| errorMessage |
null |
| nodeType |
1 |
| gatewayId |
|
| analysisStatus |
COMPLETED |
| followupEvent |
false |
| httpDomain |
null |
| httpMethod |
null |
| path |
null |
| referer |
null |
| userAgent |
null |
| contentDispositionFileName |
null |
| isFileUploaded |
false |
| startTime |
1654047768828 |
| endTime |
1654047768844 |
| ttl |
1654220570304 |
对 Syslog 问题进行故障排除
如果您配置的远程日志服务器无法接收日志,请参见 对 Syslog 问题进行故障排除。
收集支持包
- 要收集管理节点、NSX Edge 和主机的支持包,请参见 收集支持包。
- 要收集 NSX Application Platform 的支持包,请参见 部署和管理 VMware NSX Application Platform 文档(网址:https://docs.vmware.com/cn/VMware-NSX/index.html)。
- (在 NSX 4.1.2 或更高版本中):要为针对 NSX 分布式恶意软件防护 服务激活的 vSphere 主机集群上运行的 NSX 恶意软件防护 SVM 收集支持包,请参见收集 NSX 恶意软件防护 服务虚拟机的支持包。
