Die Funktion NSX Malware-Schutz wird auf NSX Edges, der virtuellen Dienstmaschine (auf ESXi-Hosts) und auf NSX Application Platform ausgeführt. Die auf NSX Edges und virtuellen Dienstmaschinen generierten Produktprotokolle entsprechen dem Standard RFC 5424 für Protokollmeldungen. Die NSX Malware-Schutz-Funktion wird nur auf ESXi-Hosts unterstützt. KVM-Hosts werden nicht unterstützt.

Protokollmeldungen

Auf NSX-T-Appliances entsprechen Syslog-Meldungen dem RFC 5424-Standard. Zusätzliche Protokolldateien werden in das Verzeichnis /var/log geschrieben.

  • Auf einem NSX Edge werden Protokollmeldungen zur Malware-Analyse für extrahierte Dateien vom Gateway-Malware-Schutzdienst auf dem aktiven Tier-1-Gateway bereitgestellt.
  • Auf einem ESXi-Host werden die Protokollmeldungen der Malware-Analyse für Dateien, die auf den Arbeitslast-VMs heruntergeladen wurden, die auf dem Host ausgeführt werden, von der Malware-Schutzdienst-VM auf dem ESXi-Host bereitgestellt.
  • Für Dateien, die sowohl vom Gateway-Malware-Schutzdienst als auch vom Distributed Malware-Schutz extrahiert werden, werden Protokollmeldungen zur Malware-Analyse vom Microservice „Security Analyzer“ bereitgestellt, der auf der NSX Application Platform ausgeführt wird.

Remote-Protokollierung wird ebenfalls unterstützt. Um NSX Malware-Schutz-Funktionsprotokolle zu verwenden, können Sie NSX Edges und NSX Application Platform so konfigurieren, dass Protokollmeldungen an einen Remote-Protokollserver weitergeleitet werden.

Konfigurieren der Remoteprotokollierung in NSX Edge

Sie müssen die Remoteprotokollierung auf jedem NSX Edge-Knoten einzeln konfigurieren. Informationen zum Konfigurieren des Remote-Protokollservers auf einem NSX Edge-Knoten mithilfe der NSX CLI finden Sie unter Konfigurieren der Remoteprotokollierung.

Informationen zum Konfigurieren des Remote-Protokollservers auf einem NSX Edge-Knoten mithilfe der NSX Manager-Benutzeroberfläche finden Sie unter Hinzufügen von Syslog-Servern für NSX-Knoten.

Konfigurieren der Remoteprotokollierung in NSX Application Platform

Um die Protokollmeldungen der NSX Application Platform an einen externen Protokollserver zu senden, müssen Sie eine REST API ausführen.

Informationen zu der REST API sowie Beispiele für den Anforderungstext, die Antwort und Codebeispiele finden Sie im Portal der Dokumentation für VMware-Entwickler.

Konfigurieren der Remoteprotokollierung auf NSX Malware-Schutz virtueller Dienstmaschine

Diese Funktion wird derzeit nicht unterstützt. Als Problemumgehung können Sie jedoch die Syslog-Datei von jeder NSX Malware-Schutz virtuellen Dienstmaschine (SVM) kopieren, indem Sie sich mit einer SSH-Verbindung bei der SVM anmelden.

SSH-Zugriff auf den admin-Benutzer der SVM ist schlüsselbasiert (Schlüsselpaar aus öffentlichem und privatem Schlüssel). Ein öffentlicher Schlüssel ist erforderlich, wenn Sie den Dienst auf einem ESXi-Hostcluster bereitstellen, und ein privater Schlüssel ist erforderlich, wenn Sie eine SSH-Sitzung für die SVM starten möchten.

Weitere Informationen finden Sie unter: Anmelden bei der virtuellen NSX Malware-Schutz-Dienstmaschine

Verwenden Sie nach der Anmeldung bei der SVM den Befehl sftp oder den Befehl scp, um die Syslog-Datei aus dem Verzeichnis /var/log zu diesem bestimmten Zeitpunkt zu kopieren. Wenn mehrere Syslog-Dateien an diesem Speicherort verfügbar sind, werden sie komprimiert und unter demselben Pfad gespeichert.

Weitere Informationen zur Protokollierung

Siehe Protokollmeldungen und Fehlercodes.

NSX Malware-Schutz Ereignisprotokollmeldungen interpretieren

Das Format der Protokollmeldungen für NSX Malware-Schutz-Ereignisse auf der virtuellen Dienstmaschine und auf NSX Edge ist identisch. Für Ereignisse auf dem NSX Application Platform unterscheidet sich das Format der Protokollmeldungen jedoch.

Die folgende Ereignisprotokollmeldung wird vom Microservice sa-events-processor generiert, einem Pod, der auf der NSX Application Platform ausgeführt wird.

Beispiel:

{"log":"{\"log\":\"\\u001b[37m2022-06-01T01:42:58,725\\u001b[m \\u001b[32mINFO \\u001b[m[\\u001b[1;34mfileEventConsumer-1\\u001b[m] \\u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\\u001b[m: SECURITY [nsx@6876 comp=\\\"nsx-manager\\\" level=\\\"INFO\\\" subcomp=\\\"manager\\\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)\\n\",\"stream\":\"stdout\",\"time\":\"2022-06-01T01:42:58.725811209Z\"}","log_processed":{"log":"\u001b[37m2022-06-01T01:42:58,725\u001b[m \u001b[32mINFO \u001b[m[\u001b[1;34mfileEventConsumer-1\u001b[m] \u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\u001b[m: SECURITY [nsx@6876 comp=\"nsx-manager\" level=\"INFO\" subcomp=\"manager\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)","stream":"stdout","time":"2022-06-01T01:42:58.725811209Z"},"kubernetes":{"pod_name":"sa-events-processor-55bcfcc46d-4jftf","namespace_name":"nsxi-platform","pod_id":"305953f7-836b-4bbb-ba9e-00fdf68de4ae","host":"worker03","container_name":"sa-events-processor","docker_id":"93f81f278898e6ce3e14d9a37e0e10a502c46fe53c9ad61680aed48b94f7f8bf","container_hash":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor@sha256:b617f4bb9f3ea5767839e39490a78169f7f3d54826b89638e4a950e391405ae4","container_image":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor:19067767"}}
Hinweis: Diese Beispiel-Ereignisprotokollmeldung dient nur zur Veranschaulichung. Das Format und der Inhalt können sich bei den Hauptversionen von NSX-T ändern.

Beachten Sie in diese Beispiel-Ereignisprotokollmeldung, dass neben den standardmäßigen Protokollattributen wie date (2022-06-01T00:42:58,326), log level (INFO) und filterbaren Attributen wie module (SECURITY), container_name (sa-events-processor), zusätzliche Attribute im JSON-Format vorhanden sind. In der folgenden Tabelle sind diese zusätzlichen Attribute aufgeführt.

Schlüssel Beispielwert

id

0

sha256

29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d

sha1

549cb3f1c85c4ef7fb06dcd33d68cba073b260ec

md5

65b9b68668bb6860e3144866bf5dab85

fileName

drupdate.dll

fileType

PeExeFile

fileSize

287024

inspectionTime

1654047770305

clientPort

0

clientIP

null

clientFqdn

null

clientVmId

500cd1b6-96b6-4567-82f4-231a63dead81

serverPort

0

serverIp

null

serverFqdn

null

serverVmId

null

applicationProtocol

null

submittedBy

SYSTEM

isFoundByAsds

true

isBlocked

false

allowListed

false

verdict

BENIGN

score

0

analystUuid

null
submissionUuid null
tnId 38c58796-9983-4a41-b9f2-dc309bd3458d

malwareClass

null

malwareFamily

null

errorCode

null

errorMessage

null

nodeType

1

gatewayId

analysisStatus

COMPLETED

followupEvent

false

httpDomain

null

httpMethod

null

path

null

referer

null

userAgent

null

contentDispositionFileName

null

isFileUploaded

false

startTime

1654047768828

endTime

1654047768844

ttl

1654220570304

Fehlerbehebung für Probleme mit Syslog

Wenn der von Ihnen konfigurierte Remoteprotokollserver keine Protokollmeldungen empfangen kann Messaging, finden Sie weitere Informationen unter Fehlerbehebung für Probleme mit Syslog.

Erfassen von Support-Paketen