Wenn die Protokollierung für NSX-T-IDS/-IPS aktiviert ist, können Sie die Protokolldateien überprüfen, um Probleme zu beheben.

Nachfolgend finden Sie eine Beispielprotokolldatei für die NSX-T-IDS/-IPS unter /var/log/nsx-idps/nsx-idps-events.log:
{"timestamp":"2021-08-10T01:01:15.431231+0000","flow_id":1906423505866276,"pcap_cnt":40,"event_type":"alert","src_ip":"192.
168.100.166","src_port":49320,"dest_ip":"185.244.30.17","dest_port":1965,"proto":"TCP","direction":"to_server","metadata":
{"flowbits":["LL.verifier_tcp_successful","LL.verifier_tcp_failed","LL.verifier_tcp_blocked"],"flowints":
{"intraflow_beacon_num_strides":0,"intraflow_beacon_last_ts":1628557275,"intraflow_beacon_packets_seen":1,"intraflow_beacon_grp_1"
:1,"intraflow_beacon_grp_1_cnt":0,"intraflow_beacon_grp_2":1,"intraflow_beacon_grp_2_cnt":0,"intraflow_beacon_grp_3":1,
"intraflow_beacon_grp_3_cnt":0,"intraflow_beacon_prior_seq":1762155507,"intraflow_beacon_prior_ack":1700774517,
"intraflow_beacon_num_runts":0,"intraflow_beacon_sni_seen":0}},"nsx_metadata":{"flow_src_ip":"192.168.100.166",
"flow_dest_ip":"185.244.30.17","flow_dir":2,"rule_id":1001,"profile_id":"f7169d04-81bf-4c73-9466-b9daec6220de",
"user_id":0,"vm_uuid":"b1396a3e-3bf9-4fd7-839d-0709c86707b0"},"alert":{"action":"allowed","gid":1,"signature_id":1096797,"rev":14556,
"signature":"LASTLINE Command&Control: (RAT) Remcos RAT","category":"A Network Trojan was Detected","severity":1,"source":{"ip":"185.244.30.17","port":1965},"target":{"ip":"192.168.100.166","port":49320},
"metadata":{"detector_id":["96797"],"severity":["100"],"confidence":["80"],"exploited":["None"],"blacklist_mode":["REAL"],"ids_mode":["REAL"],"threat_name":["Remcos RAT"],
"threat_class_name":["command&control"],"server_side":["False"],"flip_endpoints":["False"],"ll_expected_verifier":["default"]}},
"flow":{"pkts_toserver":3,"pkts_toclient":1,"bytes_toserver":808,"bytes_toclient":66,"start":"2021-08-10T01:01:15.183844+0000"}}
Feld Beschreibung
Zeitstempel Der Zeitstempel des Pakets, auf dem die Warnung ausgelöst wurde.
flow_id Der eindeutige Bezeichner für jeden Flow, der von nsx-idps nachverfolgt wird.
event_type Der von der IDPS-Engine generierte Ereignistyp. Bei Warnungen lautet der Ereignistyp immer „Warnung“ (unabhängig von der durchgeführten Aktion).
src_ip Die Quell-IP des Pakets, auf dem die Warnung ausgelöst wurde. Je nach den Warnungsmerkmalen kann dies die Adresse des Clients oder des Servers sein. Informationen zum Ermitteln des Clients finden Sie im Feld „Richtung“.
src_port Der Quellport des Pakets, auf dem die Warnung ausgelöst wurde.
dest_ip Die Ziel-IP des Pakets, auf dem die Warnung ausgelöst wurde.
dest_port Der Zielport des Pakets, auf dem die Warnung ausgelöst wurde.
proto Das IP-Protokoll des Pakets, auf dem die Warnung ausgelöst wurde.
direction Die Richtung des Pakets im Vergleich zur Flow-Richtung. Der Wert lautet für ein Paket, das vom Client zum Server fließt, „to_server“ und „to_client“ für ein Paket, das vom Server zum Client fließt.

Alle Felder, die nicht in der NSX Metadat-Tabelle enthalten sind, sind nur für die interne Verwendung vorgesehen.

NSX-Metadaten Beschreibung
metadata.flowbits und metadata.flowints Dieses Feld stellt ein Speicherabbild des internen Flow-Zustands dar. Die Variablen werden dynamisch durch verschiedene Signaturen oder Lua-Skripts festgelegt, die auf dem jeweiligen Flow ausgeführt werden. Die Semantik und die Art der Felder sind in erster Linie intern und können je nach IDS-Paketaktualisierung variieren.
nsx_metadata.flow_src_ip Die IP-Adresse des Clients. Kann durch einen Blick auf die Paket-Endpoints und die Paketrichtung abgeleitet werden.
nsx_metadata.flow_dest_ip Die IP-Adresse des Servers.
nsx_metadata.flow_dir Die Richtung des Flows in Bezug auf die ursprüngliche virtuelle Maschine. Der Wert beträgt 1 für Flows, die bei der überwachten virtuellen Maschine eingehen, und 2 für Flows, die von der überwachten virtuellen Maschine ausgehen.
nsx_metadata.rule_id Die DFW::IDS-Regel-ID, mit der das Paket übereinstimmt.
nsx_metadata.profile_id Die Kontextprofil-ID, die von der übereinstimmenden Regel verwendet wurde.
nsx_metadata.user_id Die Benutzer-ID, deren Datenverkehr das Ereignis generiert hat.
nsx_metadata.vm_uuid Der Bezeichner der virtuellen Maschine, deren Datenverkehr das Ereignis generiert hat.
alert.action Die von nsx-idps im Paket durchgeführte Aktion (zulässig/blockiert). Hängt von der konfigurierten Regelaktion ab.
alert.gid, alert.signature_id, alert.rev Der Bezeichner der Signatur und deren Revision. Eine Signatur kann denselben Bezeichner beibehalten und auf eine neuere Version aktualisiert werden, indem die Revision erhöht wird.
alert.signature Eine kurze Beschreibung der erkannten Bedrohung.
alert.category Die Kategorie der erkannten Bedrohung. Dies ist in der Regel eine sehr grobe/ungenaue Kategorisierung. Modusdetails finden Sie in „alert.metadata“.
alert.severity Die Priorität der Signatur, wie aus der Warnungskategorie abgeleitet. Warnungen mit höherer Priorität sind in der Regel mit schwerwiegenderen Bedrohungen verbunden.
alert.source/alert.target Informationen zur Angriffsrichtung stimmen nicht notwendigerweise mit der Flow-Richtung überein. Die Quelle des Alarms ist der angreifende Endpoint, während das Ziel des Alarms das Angriffsziel ist.
alert.metadata.detector_id Ein interner Bezeichner der Erkennung, der von der NDR-Komponente verwendet wird, um Bedrohungsmetadaten und -dokumentation zu verknüpfen.
alert.metadata.severity Bereich 0–100 des Bedrohungsschweregrads. Dieser Wert ist eine Funktion des alert.metadata.threat_class_name.
alert.metadata.confidence Bereich 0–100 des Vertrauensgrades bezüglich der Erkennungsrichtigkeit. Signaturen, die trotz des Potenzials für falsch positive Signaturen freigegeben werden, melden einen niedrigen Vertrauensgrad (< 50).
alert.metadata.exploited Ein Modifizierer, der ausdrückt, ob es sich bei dem aufgrund der Erkennung gemeldeten Angreifer wahrscheinlich um einen kompromittierten Host handelt (d. h. Endpoint-Informationen sollten nicht als zuverlässiges IoC betrachtet werden).
alert.metadata.blacklist_mode Nur intern.
alert.metadata.ids_mode Der Betriebsmodus für die Signatur. Aktuell mögliche Werte sind REAL (erzeugt Erkennungen im Realmodus im NDR-Produkt) und INFO (erzeugt Erkennungen im Infomodus im NDR-Produkt).
alert.metadata.threat_name Der Name der erkannten Bedrohung. Der Bedrohungsname wird im Kontext des NDR-Produkts als Teil einer gut definierten Ontologie kuratiert und ist die zuverlässigste Informationsquelle für die Art des Angriffs.
alert.metadata.threat_class_name Name der hochrangigen Klasse des Angriffs, auf den sich die Bedrohung bezieht. Bedrohungsklassen sind hochrangige Kategorien mit Werten wie „command&control“, „drive-by“ und „exploit“.
alert.metadata.server_side Ein Modifizierer, der ausdrückt, ob die Bedrohung Server oder Clients beeinträchtigen soll. Dies entspricht den Informationen, die in den Attributen „alert.source“ und „alert.target“ ausgedrückt werden.
alert.metadata.flip_endpoints Ein Modifizierer, der ausdrückt, ob die Signatur bei Paketen übereinstimmen soll, die vom Server zum Client und nicht vom Client zum Server fließen.
alert.metadata.ll_expected_verifier Nur intern.
flow.pkts_toserver/flow.pkts_toclient/flow.bytes_toserver/flow.bytes_toclient Informationen zur Anzahl der Pakete/Byte, die zum Zeitpunkt der Warnung in einem bestimmten Flow vorhanden waren. Beachten Sie, dass diese Informationen nicht der Gesamtmenge der Pakete entspricht, die zum Flow gehören. Diese Informationen drücken die Teilanzahl zu dem Zeitpunkt aus, zu dem die Warnung generiert wurde.
flow.start Der Zeitstempel des ersten dem Flow zugehörigen Pakets.