Die Funktion NSX Malware-Schutz wird auf NSX Edges, der virtuellen Dienstmaschine (auf ESXi-Hosts) und auf NSX Application Platform ausgeführt. Die auf NSX Edges und virtuellen Dienstmaschinen generierten Produktprotokolle entsprechen dem Standard RFC 5424 für Protokollmeldungen. Die NSX Malware-Schutz-Funktion wird nur auf ESXi-Hosts unterstützt. KVM-Hosts werden nicht unterstützt.
Protokollmeldungen
Auf NSX-T-Appliances entsprechen Syslog-Meldungen dem RFC 5424-Standard. Zusätzliche Protokolldateien werden in das Verzeichnis /var/log geschrieben.
- Auf einem NSX Edge werden Protokollmeldungen zur Malware-Analyse für extrahierte Dateien vom Gateway-Malware-Schutzdienst auf dem aktiven Tier-1-Gateway bereitgestellt.
- Auf einem ESXi-Host werden die Protokollmeldungen der Malware-Analyse für Dateien, die auf den Arbeitslast-VMs heruntergeladen wurden, die auf dem Host ausgeführt werden, von der Malware-Schutzdienst-VM auf dem ESXi-Host bereitgestellt.
- Für Dateien, die sowohl vom Gateway-Malware-Schutzdienst als auch vom Distributed Malware-Schutz extrahiert werden, werden Protokollmeldungen zur Malware-Analyse vom Microservice „Security Analyzer“ bereitgestellt, der auf der NSX Application Platform ausgeführt wird.
Remote-Protokollierung wird ebenfalls unterstützt. Um NSX Malware-Schutz-Funktionsprotokolle zu verwenden, können Sie NSX Edges und NSX Application Platform so konfigurieren, dass Protokollmeldungen an einen Remote-Protokollserver weitergeleitet werden.
Konfigurieren der Remoteprotokollierung in NSX Edge
Sie müssen die Remoteprotokollierung auf jedem NSX Edge-Knoten einzeln konfigurieren. Informationen zum Konfigurieren des Remote-Protokollservers auf einem NSX Edge-Knoten mithilfe der NSX CLI finden Sie unter Konfigurieren der Remoteprotokollierung.
Informationen zum Konfigurieren des Remote-Protokollservers auf einem NSX Edge-Knoten mithilfe der NSX Manager-Benutzeroberfläche finden Sie unter Hinzufügen von Syslog-Servern für NSX-Knoten.
Konfigurieren der Remoteprotokollierung in NSX Application Platform
Um die Protokollmeldungen der NSX Application Platform an einen externen Protokollserver zu senden, müssen Sie eine REST API ausführen.
Informationen zu der REST API sowie Beispiele für den Anforderungstext, die Antwort und Codebeispiele finden Sie im Portal der Dokumentation für VMware-Entwickler.
Konfigurieren der Remoteprotokollierung auf NSX Malware-Schutz virtueller Dienstmaschine
Diese Funktion wird derzeit nicht unterstützt. Als Problemumgehung können Sie jedoch die Syslog-Datei von jeder NSX Malware-Schutz virtuellen Dienstmaschine (SVM) kopieren, indem Sie sich mit einer SSH-Verbindung bei der SVM anmelden.
SSH-Zugriff auf den admin-Benutzer der SVM ist schlüsselbasiert (Schlüsselpaar aus öffentlichem und privatem Schlüssel). Ein öffentlicher Schlüssel ist erforderlich, wenn Sie den Dienst auf einem ESXi-Hostcluster bereitstellen, und ein privater Schlüssel ist erforderlich, wenn Sie eine SSH-Sitzung für die SVM starten möchten.
Weitere Informationen finden Sie unter: Anmelden bei der virtuellen NSX Malware-Schutz-Dienstmaschine
Verwenden Sie nach der Anmeldung bei der SVM den Befehl sftp oder den Befehl scp, um die Syslog-Datei aus dem Verzeichnis /var/log zu diesem bestimmten Zeitpunkt zu kopieren. Wenn mehrere Syslog-Dateien an diesem Speicherort verfügbar sind, werden sie komprimiert und unter demselben Pfad gespeichert.
Weitere Informationen zur Protokollierung
NSX Malware-Schutz Ereignisprotokollmeldungen interpretieren
Das Format der Protokollmeldungen für NSX Malware-Schutz-Ereignisse auf der virtuellen Dienstmaschine und auf NSX Edge ist identisch. Für Ereignisse auf dem NSX Application Platform unterscheidet sich das Format der Protokollmeldungen jedoch.
Die folgende Ereignisprotokollmeldung wird vom Microservice sa-events-processor generiert, einem Pod, der auf der NSX Application Platform ausgeführt wird.
Beispiel:
{"log":"{\"log\":\"\\u001b[37m2022-06-01T01:42:58,725\\u001b[m \\u001b[32mINFO \\u001b[m[\\u001b[1;34mfileEventConsumer-1\\u001b[m] \\u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\\u001b[m: SECURITY [nsx@6876 comp=\\\"nsx-manager\\\" level=\\\"INFO\\\" subcomp=\\\"manager\\\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)\\n\",\"stream\":\"stdout\",\"time\":\"2022-06-01T01:42:58.725811209Z\"}","log_processed":{"log":"\u001b[37m2022-06-01T01:42:58,725\u001b[m \u001b[32mINFO \u001b[m[\u001b[1;34mfileEventConsumer-1\u001b[m] \u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\u001b[m: SECURITY [nsx@6876 comp=\"nsx-manager\" level=\"INFO\" subcomp=\"manager\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)","stream":"stdout","time":"2022-06-01T01:42:58.725811209Z"},"kubernetes":{"pod_name":"sa-events-processor-55bcfcc46d-4jftf","namespace_name":"nsxi-platform","pod_id":"305953f7-836b-4bbb-ba9e-00fdf68de4ae","host":"worker03","container_name":"sa-events-processor","docker_id":"93f81f278898e6ce3e14d9a37e0e10a502c46fe53c9ad61680aed48b94f7f8bf","container_hash":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor@sha256:b617f4bb9f3ea5767839e39490a78169f7f3d54826b89638e4a950e391405ae4","container_image":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor:19067767"}}
Beachten Sie in diese Beispiel-Ereignisprotokollmeldung, dass neben den standardmäßigen Protokollattributen wie date (2022-06-01T00:42:58,326), log level (INFO) und filterbaren Attributen wie module (SECURITY), container_name (sa-events-processor), zusätzliche Attribute im JSON-Format vorhanden sind. In der folgenden Tabelle sind diese zusätzlichen Attribute aufgeführt.
| Schlüssel | Beispielwert |
|---|---|
| id |
0 |
| sha256 |
29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d |
| sha1 |
549cb3f1c85c4ef7fb06dcd33d68cba073b260ec |
| md5 |
65b9b68668bb6860e3144866bf5dab85 |
| fileName |
drupdate.dll |
| fileType |
PeExeFile |
| fileSize |
287024 |
| inspectionTime |
1654047770305 |
| clientPort |
0 |
| clientIP |
null |
| clientFqdn |
null |
| clientVmId |
500cd1b6-96b6-4567-82f4-231a63dead81 |
| serverPort |
0 |
| serverIp |
null |
| serverFqdn |
null |
| serverVmId |
null |
| applicationProtocol |
null |
| submittedBy |
SYSTEM |
| isFoundByAsds |
true |
| isBlocked |
false |
| allowListed |
false |
| verdict |
BENIGN |
| score |
0 |
| analystUuid |
null |
| submissionUuid | null |
| tnId | 38c58796-9983-4a41-b9f2-dc309bd3458d |
| malwareClass |
null |
| malwareFamily |
null |
| errorCode |
null |
| errorMessage |
null |
| nodeType |
1 |
| gatewayId |
|
| analysisStatus |
COMPLETED |
| followupEvent |
false |
| httpDomain |
null |
| httpMethod |
null |
| path |
null |
| referer |
null |
| userAgent |
null |
| contentDispositionFileName |
null |
| isFileUploaded |
false |
| startTime |
1654047768828 |
| endTime |
1654047768844 |
| ttl |
1654220570304 |
Fehlerbehebung für Probleme mit Syslog
Wenn der von Ihnen konfigurierte Remoteprotokollserver keine Protokollmeldungen empfangen kann Messaging, finden Sie weitere Informationen unter Fehlerbehebung für Probleme mit Syslog.
Erfassen von Support-Paketen
- Informationen zum Erfassen von Support-Paketen für Verwaltungsknoten, NSX Edges und Hosts finden Sie unter Erfassen von Support-Paketen.
- Informationen zum Erfassen von Support-Paketen für NSX Application Platform finden Sie in der Dokumentation zu Bereitstellung und Verwaltung von VMware NSX Application Platform unter https://docs.vmware.com/de/VMware-NSX-T-Data-Center/index.html.
