EPSecLib 从 ESXi 主机 NSX 客户机侦测平台主机代理 (MUX) 中接收事件。

日志路径和示例消息

EPSecLib 日志路径
/var/log/syslog

EPSecLib 消息采用以下格式:<timestamp> <VM Name><Process Name><[PID]>: <message>

在下面的示例中,[ERROR] 是消息类型,(EPSEC) 表示使用 NSX 客户机侦测平台的任何功能特定的消息。

例如:
Oct 17 14:26:00 endpoint-virtual-machine EPSecTester[7203]: [NOTICE] (EPSEC)
 [7203] Initializing EPSec library build: build-00000
 
Oct 17 14:37:41 endpoint-virtual-machine EPSecSample: [ERROR] (EPSEC) [7533] Event 
terminated reading file. Ex: VFileGuestEventTerminated@tid=7533: Event id: 3554.

收集日志

要为 EPSec 库(使用 NSX 客户机侦测平台的任何服务中的组件)启用调试日志记录,请执行以下操作:
  1. 与防病毒安全供应商或 NSX 恶意软件防护安全供应商合作以启用对 SVM 的控制台或 SSH 访问。按照合作伙伴提供的说明启用控制台或 SSH 访问。
  2. 从 NSX Manager 中获取控制台密码以登录到 EPP 或 NSX 恶意软件防护 SVM。
  3. 创建 /etc/epseclib.conf 文件并添加:

    ENABLE_DEBUG=TRUE

    ENABLE_SUPPORT=TRUE

    可在 (RHEL/SLES/CentOS) /var/log/messages 或 (Ubuntu) /var/log/syslog 中找到调试日志。由于调试设置可能会导致 /var/log 文件填满,因此请在收集了您需要的所有信息之后立即禁用调试模式。

  4. 运行 chmod 644 /etc/epseclib.conf 命令以更改权限。
  5. 与防病毒合作伙伴或 NSX 恶意软件防护合作伙伴合作以提取为 SVM 生成的日志。
  6. 对于 NSX 恶意软件防护,请配置安全 Hub 虚拟机以启用 EPSecLib。