Die Funktion NSX Malware Prevention wird auf NSX Edges, der virtuellen Dienstmaschine (auf ESXi-Hosts) und auf NSX Application Platform ausgeführt. Die auf NSX Edges und virtuellen Dienstmaschinen generierten Produktprotokolle entsprechen dem Standard RFC 5424 für Protokollmeldungen.
Protokollmeldungen
Auf NSX-Appliances entsprechen Syslog-Meldungen dem RFC 5424-Standard. Zusätzliche Protokolldateien werden in das Verzeichnis /var/log geschrieben.
- Auf einem NSX Edge werden Protokollmeldungen zur Malware-Analyse für extrahierte Dateien vom Gateway-Malware-Schutzdienst auf dem aktiven Tier-1-Gateway bereitgestellt.
- Auf einem ESXi-Host werden die Protokollmeldungen der Malware-Analyse für Dateien, die auf den Arbeitslast-VMs heruntergeladen wurden, die auf dem Host ausgeführt werden, von der Malware-Schutzdienst-VM auf dem ESXi-Host bereitgestellt.
- Für Dateien, die sowohl vom Gateway-Malware-Schutzdienst als auch vom verteilten Malware-Schutzdienst extrahiert werden, werden Protokollmeldungen zur Malware-Analyse vom Security Analyzer-Microservice bereitgestellt, der auf der NSX Application Platform ausgeführt wird.
Remote-Protokollierung wird ebenfalls unterstützt. Um NSX Malware Prevention-Funktionsprotokolle zu verwenden, können Sie NSX Edges, die NSX Application Platform und die NSX Malware Prevention-Dienst-VMs so konfigurieren, dass Protokollmeldungen an einen Remote-Protokollserver gesendet oder umgeleitet werden.
Remoteprotokollierung auf NSX Edge
Sie müssen die Remoteprotokollierung auf jedem NSX Edge-Knoten einzeln konfigurieren. Informationen zum Konfigurieren des Remoteprotokollierungsservers auf einem NSX Edge-Knoten mithilfe der NSX-CLI finden Sie unter Konfigurieren der Remoteprotokollierung.
Informationen zum Konfigurieren des Remote-Protokollservers auf einem NSX Edge-Knoten mithilfe der NSX Manager-Benutzeroberfläche finden Sie unter Hinzufügen von Syslog-Servern für NSX-Knoten.
Remoteprotokollierung auf NSX Application Platform
Um die Protokollnachrichten der NSX Application Platform an einen externen Protokollserver umzuleiten, müssen Sie eine REST API ausführen.
Informationen zu dieser REST API sowie Beispiele für den Anforderungstext, die Antwort und Codebeispiele finden Sie im Portal der Dokumentation für VMware-Entwickler.
Remoteprotokollierung auf NSX Malware Prevention-Dienst-VM
Diese Funktionalität wird ab NSX 4.1.2 unterstützt.
- In NSX 4.1.2 oder höher
-
Um Protokollmeldungen der NSX Malware Prevention-Dienst-VM (SVM) an einen externen Protokollserver umzuleiten, können Sie sich bei der SVM als Administrator-Benutzer anmelden und NSX-CLI-Befehle auf der SVM ausführen. Weitere Informationen finden Sie unter Konfigurieren der Remoteprotokollierung auf einer NSX Malware Prevention-Dienst-VM.
- In NSX 4.1.1 oder früher
-
Die Konfiguration der Remoteprotokollierung auf der NSX Malware Prevention-SVM wird nicht unterstützt. Sie können die Syslog-Datei jedoch von jeder NSX Malware Prevention-SVM kopieren, indem Sie sich über eine SSH-Verbindung bei der SVM anmelden.
SSH-Zugriff auf den admin-Benutzer der SVM ist schlüsselbasiert (Schlüsselpaar aus öffentlichem und privatem Schlüssel). Ein öffentlicher Schlüssel ist erforderlich, wenn Sie den Dienst auf einem ESXi-Hostcluster bereitstellen, und ein privater Schlüssel ist erforderlich, wenn Sie eine SSH-Sitzung für die SVM starten möchten.
Weitere Informationen finden Sie unter Anmelden bei der virtuellen NSX Malware Prevention-Dienstmaschine.
Verwenden Sie nach der Anmeldung bei der SVM den Befehl sftp oder den Befehl scp, um die Syslog-Datei aus dem Verzeichnis /var/log zu diesem bestimmten Zeitpunkt zu kopieren. Wenn mehrere Syslog-Dateien an diesem Speicherort verfügbar sind, werden sie komprimiert und unter demselben Pfad gespeichert.
Weitere Informationen zur Protokollierung
Interpretieren von NSX Malware Prevention-Ereignisprotokollmeldungen
Das Format der Protokollmeldungen für NSX Malware Prevention-Ereignisse auf der Dienst-VM und NSX Edge ist identisch. Für Ereignisse auf der NSX Application Platform ist das Format der Protokollmeldungen jedoch unterschiedlich.
Die folgende Ereignisprotokollmeldung wird vom Microservice sa-events-processor
generiert, einem Pod, der auf der NSX Application Platform ausgeführt wird.
Beispiel:
{"log":"{\"log\":\"\\u001b[37m2022-06-01T01:42:58,725\\u001b[m \\u001b[32mINFO \\u001b[m[\\u001b[1;34mfileEventConsumer-1\\u001b[m] \\u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\\u001b[m: SECURITY [nsx@6876 comp=\\\"nsx-manager\\\" level=\\\"INFO\\\" subcomp=\\\"manager\\\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)\\n\",\"stream\":\"stdout\",\"time\":\"2022-06-01T01:42:58.725811209Z\"}","log_processed":{"log":"\u001b[37m2022-06-01T01:42:58,725\u001b[m \u001b[32mINFO \u001b[m[\u001b[1;34mfileEventConsumer-1\u001b[m] \u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\u001b[m: SECURITY [nsx@6876 comp=\"nsx-manager\" level=\"INFO\" subcomp=\"manager\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)","stream":"stdout","time":"2022-06-01T01:42:58.725811209Z"},"kubernetes":{"pod_name":"sa-events-processor-55bcfcc46d-4jftf","namespace_name":"nsxi-platform","pod_id":"305953f7-836b-4bbb-ba9e-00fdf68de4ae","host":"worker03","container_name":"sa-events-processor","docker_id":"93f81f278898e6ce3e14d9a37e0e10a502c46fe53c9ad61680aed48b94f7f8bf","container_hash":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor@sha256:b617f4bb9f3ea5767839e39490a78169f7f3d54826b89638e4a950e391405ae4","container_image":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor:19067767"}}
Beachten Sie in dieser Beispiel-Ereignisprotokollmeldung, dass neben den standardmäßigen Protokollattributen wie date
(2022-06-01T00:42:58,326), log level
(INFO) und filterbaren Attributen wie module
(SECURITY), container_name
(sa-events-processor), zusätzliche Attribute im JSON-Format vorhanden sind. In der folgenden Tabelle sind diese zusätzlichen Attribute aufgeführt.
Schlüssel | Beispielwert |
---|---|
id |
0 |
sha256 |
29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d |
sha1 |
549cb3f1c85c4ef7fb06dcd33d68cba073b260ec |
md5 |
65b9b68668bb6860e3144866bf5dab85 |
fileName |
drupdate.dll |
fileType |
PeExeFile |
fileSize |
287024 |
inspectionTime |
1654047770305 |
clientPort |
0 |
clientIP |
null |
clientFqdn |
null |
clientVmId |
500cd1b6-96b6-4567-82f4-231a63dead81 |
serverPort |
0 |
serverIp |
null |
serverFqdn |
null |
serverVmId |
null |
applicationProtocol |
null |
submittedBy |
SYSTEM |
isFoundByAsds |
true |
isBlocked |
false |
allowListed |
false |
verdict |
BENIGN |
score |
0 |
analystUuid |
null |
submissionUuid | null |
tnId | 38c58796-9983-4a41-b9f2-dc309bd3458d |
malwareClass |
null |
malwareFamily |
null |
errorCode |
null |
errorMessage |
null |
nodeType |
1 |
gatewayId |
|
analysisStatus |
COMPLETED |
followupEvent |
false |
httpDomain |
null |
httpMethod |
null |
path |
null |
referer |
null |
userAgent |
null |
contentDispositionFileName |
null |
isFileUploaded |
false |
startTime |
1654047768828 |
endTime |
1654047768844 |
ttl |
1654220570304 |
Fehlerbehebung für Probleme mit Syslog
Wenn der von Ihnen konfigurierte Remoteprotokollserver keine Protokolle empfangen kann, finden Sie weitere Informationen unter Fehlerbehebung für Probleme mit Syslog.
Erfassen von Support-Paketen
- Informationen zum Erfassen von Support-Paketen für Verwaltungsknoten, NSX Edges und Hosts finden Sie unter Erfassen von Support-Paketen.
- Informationen zum Erfassen von Support-Paketen für NSX Application Platform finden Sie in der Dokumentation zu Bereitstellung und Verwaltung von VMware NSX Application Platform unter https://docs.vmware.com/de/VMware-NSX/index.html.
- (In NSX 4.1.2 oder höher): Informationen zum Erfassen von Support-Paketen für NSX Malware Prevention-SVMs, die auf vSphere-Hostclustern ausgeführt werden, die für den NSX Distributed Malware Prevention-Dienst aktiviert sind, finden Sie unter Erfassen eines Support-Pakets für eine NSX Malware Prevention-Dienst-VM.