要将 NSX 恶意软件防护 服务虚拟机 (SVM) 日志消息重定向到远程日志服务器,您可以登录到针对 NSX 分布式恶意软件防护 服务激活的 vSphere 主机集群中主机上的 SVM,并通过运行 NSX CLI 命令来配置远程日志记录。
从 NSX 4.1.2 开始,NSX 恶意软件防护 SVM 上支持远程日志记录。
目前,只会将 NSX 恶意软件防护 文件分析生命周期事件的日志消息重定向到远程日志服务器。通常,在文件下载到受 NSX 恶意软件防护 安全策略保护的工作负载虚拟机上后,就会开始文件分析。下载的文件将由各种组件处理,并且会返回判定结果。重要中间组件提供的结果将记录在 SVM 上的 syslog 文件中。
以下是文件分析生命周期事件的一些示例:
- 已拦截文件
- 判定结果缓存命中
- 已发送文件进行本地(静态)分析
- 已发送文件进行云端(动态)分析
- 已获得判定结果
- 已实施策略
如果要重定向 SVM 运行状况监控事件(包括 SVM 资源消耗,如 CPU 使用情况、磁盘使用情况和内存使用情况)的日志消息,则可以在 NSX Manager CLI 上配置远程日志记录。或者,也可以在 NSX Manager UI 的警报页面上监控这些运行状况事件。有关 NSX 恶意软件防护 运行状况事件的详细信息,请参见 NSX 事件目录。
支持使用以下协议在 SVM 上配置远程日志记录:
- TCP
- UDP
- TLS(安全远程日志记录)
TCP 的优势是更加可靠,而 UDP 的优势是需要的系统和网络开销较低。TLS 协议会产生额外的开销,但在 SVM 和远程日志服务器之间提供加密流量。
不支持使用 Aria Operations for Logs 协议(LI 和 LI-TLS)在 SVM 上配置远程日志记录。
前提条件
- VMware vCenter 管理员必须激活 SSH 对每个主机上 SVM 的访问权限。有关详细信息,请参见登录到 NSX 恶意软件防护 服务虚拟机中的必备条件部分。
- 请自行熟悉 set logging-server CLI 命令。有关详细信息,请参见 NSX 命令行界面参考中的恶意软件防护服务虚拟机文档。
- 如果要指定 TLS 协议以用于配置远程日志服务器,请使用 copy url <url> [file <filename>] CLI 命令将服务器证书、客户端证书和客户端密钥复制到每个 NSX 恶意软件防护 SVM 上的 /var/vmware/nsx/file-store 中。
在以下示例中,将在 SVM 上运行 copy 命令。因此,默认情况下,源位置中的 client-key.pem 文件将复制到 SVM 上的 /var/vmware/nsx/file-store 中。
示例:svm> copy url scp://[email protected]:/home/user/openssl/client-key.pem The authenticity of host '1.2.3.4 (1.2.3.4)' can't be established. ECDSA key fingerprint is SHA256:abcdabcdabcdabcdabcdabcdabcdabcdabcdabcd. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '1.2.3.4' (ECDSA) to the list of known hosts. [email protected]'s password: client-key.pem 100% 1704 8.0KB/s 00:00
- 要配置与远程日志服务器的安全连接,请确认服务器配置了 CA 签名的证书。例如,如果您使用 Aria Operations for Logs 服务器 vrli.prome.local 作为日志服务器,则可以从客户端运行以下命令来查看日志服务器上的证书链:
root@caserver:~# echo -n | openssl s_client -connect vrli.prome.local:443 | sed -ne '/^Certificate chain/,/^---/p' depth=2 C = US, L = California, O = GS, CN = Orange Root Certification Authority verify error:num=19:self signed certificate in certificate chain Certificate chain 0 s:/C=US/ST=California/L=HTG/O=GSS/CN=vrli.prome.local i:/C=US/L=California/O=GS/CN=Green Intermediate Certification Authority 1 s:/C=US/L=California/O=GS/CN=Green Intermediate Certification Authority i:/C=US/L=California/O=GS/CN=Orange Root Certification Authority 2 s:/C=US/L=California/O=GS/CN=Orange Root Certification Authority i:/C=US/L=California/O=GS/CN=Orange Root Certification Authority --- DONE