Um Protokollmeldungen der NSX Malware Prevention-Dienst-VM (SVM) an einen Remoteprotokollserver umzuleiten, können Sie sich bei der SVM auf den Hosts der vSphere-Hostcluster anmelden, die für den NSX Distributed Malware Prevention-Dienst aktiviert sind, und die Remoteprotokollierung konfigurieren, indem Sie NSX-CLI-Befehle ausführen.

Die Remoteprotokollierung auf NSX Malware Prevention-SVMs wird ab NSX 4.1.2 unterstützt.

Derzeit werden nur Protokollmeldungen für die Lebenszyklusereignisse der NSX Malware Prevention-Dateianalyse an den Remoteprotokollserver umgeleitet. In der Regel wird die Dateianalyse gestartet, wenn eine Datei auf eine Arbeitslast-VM heruntergeladen wird, die durch eine NSX Malware Prevention-Sicherheitsrichtlinie geschützt ist. Die heruntergeladene Datei wird von verschiedenen Komponenten verarbeitet und eine Bewertung zurückgegeben. Die Von wichtigen Zwischenkomponenten bereitgestellten Ergebnisse werden in der Syslog-Datei auf der SVM protokolliert.

Einige Beispiele für Lebenszyklusereignisse der Dateianalyse sind wie folgt:
  • Datei abgefangen
  • Cache-Treffer für Bewertung
  • Datei für lokale (statische) Analyse gesendet
  • Für die (dynamische) Cloud-Analyse gesendete Datei
  • Bewertung erhalten
  • Richtlinie durchgesetzt

Wenn Sie Protokollmeldungen für SVM-Zustandsüberwachungsereignisse, einschließlich des SVM-Ressourcenverbrauchs, z. B. CPU-Auslastung, Festplatten- und Arbeitsspeichernutzung, umleiten möchten, können Sie die Remoteprotokollierung über die NSX Manager-CLI konfigurieren. Alternativ können Sie diese Integritätsereignisse auf der Seite Alarme der NSX Manager-Benutzeroberfläche überwachen. Weitere Informationen zu den NSX Malware Prevention-Systemzustandsereignissen finden Sie im NSX-Ereigniskatalog.

Die folgenden Protokolle werden für die Konfiguration der Remoteprotokollierung auf der SVM unterstützt:
  • TCP
  • UDP
  • TLS (sichere Remoteprotokollierung)

TCP hat den Vorteil, dass es zuverlässiger ist, während UDP den Vorteil hat, dass weniger System- und Netzwerk-Overhead benötigt wird. Das TLS-Protokoll hat zusätzlichen Overhead, stellt aber verschlüsselten Datenverkehr zwischen der SVM und dem Remote-Protokollserver bereit.

Aria Operations for Logs-Protokolle (LI und LI-TLS) werden für die Konfiguration der Remoteprotokollierung auf der SVM nicht unterstützt.

Voraussetzungen

  • Der VMware vCenter-Administrator muss den SSH-Zugriff auf die SVM auf jedem Host aktivieren. Weitere Informationen finden Sie im Abschnitt Voraussetzungen unter Anmelden bei der virtuellen NSX Malware Prevention-Dienstmaschine.
  • Machen Sie sich mit dem CLI-Befehl set logging-server vertraut. Weitere Informationen finden Sie in der Dokumentation zur Malware-Schutzdienst-VM in der Befehlszeilenschnittstellen-Referenz zu NSX.
  • Wenn Sie das TLS-Protokoll für die Konfiguration eines Remoteprotokollservers angeben möchten, kopieren Sie die Serverzertifikate, Clientzertifikate und den Clientschlüssel in /var/vmware/nsx/file-store auf jeder NSX Malware Prevention-SVM mithilfe des CLI-Befehls copy url <url> [file <filename>].

    Im folgenden Beispiel wird der Befehl copy auf der SVM ausgeführt. Dabei wird die Datei client-key.pem vom Quellspeicherort standardmäßig in /var/vmware/nsx/file-store auf der SVM kopiert.

    Beispiel: 
    svm> copy url scp://[email protected]:/home/user/openssl/client-key.pem
The authenticity of host '1.2.3.4 (1.2.3.4)' can't be established.
ECDSA key fingerprint is SHA256:abcdabcdabcdabcdabcdabcdabcdabcdabcdabcd.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '1.2.3.4' (ECDSA) to the list of known hosts.
[email protected]'s password:
client-key.pem                                100% 1704     8.0KB/s   00:00
  • Stellen Sie sicher, dass der Server mit einem von einer Zertifizierungsstelle signierten Zertifikat konfiguriert ist, um eine sichere Verbindung zu einem Remoteprotokollserver herzustellen. Wenn Sie beispielsweise über den Aria Operations for Logs-Server vrli.prome.local als Protokollserver verfügen, können Sie den folgenden Befehl von einem Client aus ausführen, um die Zertifikatskette auf dem Protokollserver zu sehen:
    root@caserver:~# echo -n | openssl s_client -connect vrli.prome.local:443  | sed -ne '/^Certificate chain/,/^---/p'
depth=2 C = US, L = California, O = GS, CN = Orange Root Certification Authority
verify error:num=19:self signed certificate in certificate chain
Certificate chain
 0 s:/C=US/ST=California/L=HTG/O=GSS/CN=vrli.prome.local
   i:/C=US/L=California/O=GS/CN=Green Intermediate Certification Authority
 1 s:/C=US/L=California/O=GS/CN=Green Intermediate Certification Authority
   i:/C=US/L=California/O=GS/CN=Orange Root Certification Authority
 2 s:/C=US/L=California/O=GS/CN=Orange Root Certification Authority
   i:/C=US/L=California/O=GS/CN=Orange Root Certification Authority
---
DONE

Prozedur

  1. Melden Sie sich bei der NSX Malware Prevention-SVM als Administrator-Benutzer an.
    Ausführliche Informationen finden Sie unter Anmelden bei der virtuellen NSX Malware Prevention-Dienstmaschine.
  2. Führen Sie den folgenden Befehl aus, um einen Remote-Protokollserver auf der SVM zu konfigurieren: 
    svm> set logging-server <hostname-or-ip-address[:port]> proto <proto> level <level> messageid SECURITY [facility <facility>] [serverca <filename>] [clientca <filename>] [certificate <filename>] [key <filename>] [structured-data <structured-data>]

    Dieser Befehl leitet SVM-Protokollmeldungen an die angegebene IP-Adresse oder den FQDN des Servers am angegebenen Port weiter. Wenn ein Port nicht erwähnt wird, wird der Standardport für das angegebene Protokoll verwendet. Beispiel: Port 514 für TCP und UDP; Port 6514 für TLS.

    Der Parameter messageid ist vorkonfiguriert. Derzeit werden nur Protokolle mit der Meldungs-ID „SECURITY“ unterstützt.

    Weitere Informationen zum Filtern von Protokollmeldungen und zum Angeben von Funktionen in diesem Befehl finden Sie in der Dokumentation zur Malware-Schutzdienst-VM in der Befehlszeilenschnittstellen-Referenz zu NSX.

    Beispiel 1: Um SVM-Protokollmeldungen mithilfe des UDP-Protokolls an den 10.1.1.1-Protokollserver umzuleiten, führen Sie den folgenden Befehl aus:

    svm> set logging-server 10.1.1.1 proto udp level info messageid SECURITY
    Beispiel 2: Um SVM-Protokollmeldungen mithilfe des TLS-Protokolls sicher an einen Remoteprotokollserver umzuleiten, führen Sie den folgenden Befehl aus: 
    svm> set logging-server <hostname-or-ip-address[:port]> proto tls level info messageid SECURITY serverca <ca-cert.pem> clientca <ca-cert.pem> certificate <client-cert.pem>  key <client-key.pem>

    Wie im Abschnitt Voraussetzungen dieser Dokumentation erwähnt, müssen die Serverzertifikate, Clientzertifikate und der Clientschlüssel auf jeder NSX Malware Prevention-SVM in /var/vmware/nsx/file-store kopiert werden.

    Beachten Sie Folgendes:
    • Für den Parameter serverCA ist nur das Stammzertifikat erforderlich, nicht die vollständige Kette.
    • Wenn clientCA sich von serverCA unterscheidet, ist nur das Root-Zertifikat erforderlich.
    • Das Zertifikat sollte die vollständige Kette der NSX Malware Prevention-SVM enthalten. Das Zertifikat muss NDcPP-konform sein – EKU, BASIC und CDP (CDP-Prüfung kann ignoriert werden).
    Beispiel für eine erfolgreiche Protokollierung in /var/log/syslog: 
    2023-06-26T18:22:21.504Z NSX 3671 - [nsx@6876 comp="nsx-mps-svm" subcomp="cli" username="admin" level="INFO"] {10000} CMD: set logging-server 1.2.3.4 proto tls level info serverca ca-cert.pem clientca ca-cert.pem certificate client-cert.pem key client-key.pem
 
2023-06-26T18:22:24.677Z rsyslogd - - -  nsd_ossl: TLS Connection initiated with remote syslog server. [v8.2304.0]
2023-06-26T18:22:26.894Z NSX 932 - [nsx@6876 comp="nsx-mps-svm" subcomp="node-mgmt" username="admin" level="INFO"] Connection to 1.2.3.4:6514 is established
 
2023-06-26T18:22:28.116Z NSX 3671 - [nsx@6876 comp="nsx-mps-svm" subcomp="cli" username="admin" level="INFO" audit="true"] CMD: set logging-server 1.2.3.4 proto tls level info serverca ca-cert.pem clientca ca-cert.pem certificate client-cert.pem key client-key.pem (duration: 6.611s), Operation status: CMD_EXECUTED
    Hinweis: Nach Abschluss der Syslog-Exporter-Konfiguration müssen Sie alle Zertifikate und Schlüssel aus /var/vmware/nsx/file-store löschen, um potenzielle Sicherheitsschwachstellen zu vermeiden.

    Beispiel 3: Um Protokollmeldungen für Integritätsüberwachungsereignisse von NSX Malware Prevention umzuleiten, führen Sie den folgenden Befehl in der NSX Manager-CLI aus:

    nsx> set logging-server 10.1.1.1 proto udp level info messageid MONITORING structured-data eventFeatureName="malware_prevention_health"

    Beachten Sie, dass in diesem Befehl der Parameter messageid auf ÜBERWACHUNG festgelegt ist.

  3. Führen Sie den Befehl get logging-servers aus, um die Protokollkonfiguration auf der SVM anzuzeigen.

    Beispiel: Um Protokollmeldungen für sicher an einen Remote-Protokollserver umzuleiten

    svm> get logging-servers
Tue Jun 27 2023 UTC 05:18:57.098
1.2.3.4:514 proto udp level info messageid SECURITY exporter_name 694ab1dc-0250-4cae-a7a4-3dde205225a3
  4. (Optional) Um die IP-Tabellenregeln für alle Protokollierungsserver zu überprüfen, führen Sie den Befehl verify logging-servers aus.
  5. (Optional) Führen Sie den folgenden Befehl aus, um eine bestimmte Protokollierungsserverkonfiguration zu löschen:
    Beispiel: 
    svm> del logging-server 1.2.3.4:514 proto udp level info messageid SECURITY