Die Funktion NSX Malware Prevention wird auf NSX Edges, der virtuellen Dienstmaschine (auf ESXi-Hosts) und auf NSX Application Platform ausgeführt. Die auf NSX Edges und virtuellen Dienstmaschinen generierten Produktprotokolle entsprechen dem Standard RFC 5424 für Protokollmeldungen.

Protokollmeldungen

Auf NSX-Appliances entsprechen Syslog-Meldungen dem RFC 5424-Standard. Zusätzliche Protokolldateien werden in das Verzeichnis /var/log geschrieben.

  • Auf einem NSX Edge werden Protokollmeldungen zur Malware-Analyse für extrahierte Dateien vom Gateway-Malware-Schutzdienst auf dem aktiven Tier-1-Gateway bereitgestellt.
  • Auf einem ESXi-Host werden die Protokollmeldungen der Malware-Analyse für Dateien, die auf den Arbeitslast-VMs heruntergeladen wurden, die auf dem Host ausgeführt werden, von der Malware-Schutzdienst-VM auf dem ESXi-Host bereitgestellt.
  • Für Dateien, die sowohl vom Gateway-Malware-Schutzdienst als auch vom verteilten Malware-Schutzdienst extrahiert werden, werden Protokollmeldungen zur Malware-Analyse vom Security Analyzer-Microservice bereitgestellt, der auf der NSX Application Platform ausgeführt wird.

Remote-Protokollierung wird ebenfalls unterstützt. Um NSX Malware Prevention-Funktionsprotokolle zu verwenden, können Sie NSX Edges, die NSX Application Platform und die NSX Malware Prevention-Dienst-VMs so konfigurieren, dass Protokollmeldungen an einen Remote-Protokollserver gesendet oder umgeleitet werden.

Remoteprotokollierung auf NSX Edge

Sie müssen die Remoteprotokollierung auf jedem NSX Edge-Knoten einzeln konfigurieren. Informationen zum Konfigurieren des Remoteprotokollierungsservers auf einem NSX Edge-Knoten mithilfe der NSX-CLI finden Sie unter Konfigurieren der Remoteprotokollierung.

Informationen zum Konfigurieren des Remote-Protokollservers auf einem NSX Edge-Knoten mithilfe der NSX Manager-Benutzeroberfläche finden Sie unter Hinzufügen von Syslog-Servern für NSX-Knoten.

Remoteprotokollierung auf NSX Application Platform

Um die Protokollnachrichten der NSX Application Platform an einen externen Protokollserver umzuleiten, müssen Sie eine REST API ausführen.

Informationen zu dieser REST API sowie Beispiele für den Anforderungstext, die Antwort und Codebeispiele finden Sie im Portal der Dokumentation für VMware-Entwickler.

Remoteprotokollierung auf NSX Malware Prevention-Dienst-VM

Diese Funktionalität wird ab NSX 4.1.2 unterstützt.

In NSX 4.1.2 oder höher

Um Protokollmeldungen der NSX Malware Prevention-Dienst-VM (SVM) an einen externen Protokollserver umzuleiten, können Sie sich bei der SVM als Administrator-Benutzer anmelden und NSX-CLI-Befehle auf der SVM ausführen. Weitere Informationen finden Sie unter Konfigurieren der Remoteprotokollierung auf einer NSX Malware Prevention-Dienst-VM.

In NSX 4.1.1 oder früher

Die Konfiguration der Remoteprotokollierung auf der NSX Malware Prevention-SVM wird nicht unterstützt. Sie können die Syslog-Datei jedoch von jeder NSX Malware Prevention-SVM kopieren, indem Sie sich über eine SSH-Verbindung bei der SVM anmelden.

SSH-Zugriff auf den admin-Benutzer der SVM ist schlüsselbasiert (Schlüsselpaar aus öffentlichem und privatem Schlüssel). Ein öffentlicher Schlüssel ist erforderlich, wenn Sie den Dienst auf einem ESXi-Hostcluster bereitstellen, und ein privater Schlüssel ist erforderlich, wenn Sie eine SSH-Sitzung für die SVM starten möchten.

Weitere Informationen finden Sie unter Anmelden bei der virtuellen NSX Malware Prevention-Dienstmaschine.

Verwenden Sie nach der Anmeldung bei der SVM den Befehl sftp oder den Befehl scp, um die Syslog-Datei aus dem Verzeichnis /var/log zu diesem bestimmten Zeitpunkt zu kopieren. Wenn mehrere Syslog-Dateien an diesem Speicherort verfügbar sind, werden sie komprimiert und unter demselben Pfad gespeichert.

Weitere Informationen zur Protokollierung

Siehe Protokollmeldungen und Fehlercodes.

Interpretieren von NSX Malware Prevention-Ereignisprotokollmeldungen

Das Format der Protokollmeldungen für NSX Malware Prevention-Ereignisse auf der Dienst-VM und NSX Edge ist identisch. Für Ereignisse auf der NSX Application Platform ist das Format der Protokollmeldungen jedoch unterschiedlich.

Die folgende Ereignisprotokollmeldung wird vom Microservice sa-events-processor generiert, einem Pod, der auf der NSX Application Platform ausgeführt wird.

Beispiel:

{"log":"{\"log\":\"\\u001b[37m2022-06-01T01:42:58,725\\u001b[m \\u001b[32mINFO \\u001b[m[\\u001b[1;34mfileEventConsumer-1\\u001b[m] \\u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\\u001b[m: SECURITY [nsx@6876 comp=\\\"nsx-manager\\\" level=\\\"INFO\\\" subcomp=\\\"manager\\\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)\\n\",\"stream\":\"stdout\",\"time\":\"2022-06-01T01:42:58.725811209Z\"}","log_processed":{"log":"\u001b[37m2022-06-01T01:42:58,725\u001b[m \u001b[32mINFO \u001b[m[\u001b[1;34mfileEventConsumer-1\u001b[m] \u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\u001b[m: SECURITY [nsx@6876 comp=\"nsx-manager\" level=\"INFO\" subcomp=\"manager\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)","stream":"stdout","time":"2022-06-01T01:42:58.725811209Z"},"kubernetes":{"pod_name":"sa-events-processor-55bcfcc46d-4jftf","namespace_name":"nsxi-platform","pod_id":"305953f7-836b-4bbb-ba9e-00fdf68de4ae","host":"worker03","container_name":"sa-events-processor","docker_id":"93f81f278898e6ce3e14d9a37e0e10a502c46fe53c9ad61680aed48b94f7f8bf","container_hash":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor@sha256:b617f4bb9f3ea5767839e39490a78169f7f3d54826b89638e4a950e391405ae4","container_image":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor:19067767"}}
Hinweis: Diese Beispiel-Ereignisprotokollmeldung dient nur zur Veranschaulichung. Das Format und der Inhalt können sich bei den Hauptversionen von NSX ändern.

Beachten Sie in dieser Beispiel-Ereignisprotokollmeldung, dass neben den standardmäßigen Protokollattributen wie date (2022-06-01T00:42:58,326), log level (INFO) und filterbaren Attributen wie module (SECURITY), container_name (sa-events-processor), zusätzliche Attribute im JSON-Format vorhanden sind. In der folgenden Tabelle sind diese zusätzlichen Attribute aufgeführt.

Schlüssel Beispielwert

id

0

sha256

29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d

sha1

549cb3f1c85c4ef7fb06dcd33d68cba073b260ec

md5

65b9b68668bb6860e3144866bf5dab85

fileName

drupdate.dll

fileType

PeExeFile

fileSize

287024

inspectionTime

1654047770305

clientPort

0

clientIP

null

clientFqdn

null

clientVmId

500cd1b6-96b6-4567-82f4-231a63dead81

serverPort

0

serverIp

null

serverFqdn

null

serverVmId

null

applicationProtocol

null

submittedBy

SYSTEM

isFoundByAsds

true

isBlocked

false

allowListed

false

verdict

BENIGN

score

0

analystUuid

null
submissionUuid null
tnId 38c58796-9983-4a41-b9f2-dc309bd3458d

malwareClass

null

malwareFamily

null

errorCode

null

errorMessage

null

nodeType

1

gatewayId

analysisStatus

COMPLETED

followupEvent

false

httpDomain

null

httpMethod

null

path

null

referer

null

userAgent

null

contentDispositionFileName

null

isFileUploaded

false

startTime

1654047768828

endTime

1654047768844

ttl

1654220570304

Fehlerbehebung für Probleme mit Syslog

Wenn der von Ihnen konfigurierte Remoteprotokollserver keine Protokolle empfangen kann, finden Sie weitere Informationen unter Fehlerbehebung für Probleme mit Syslog.

Erfassen von Support-Paketen