Um Protokollmeldungen der NSX Malware Prevention-Dienst-VM (SVM) an einen Remoteprotokollserver umzuleiten, können Sie sich bei der SVM auf den Hosts der vSphere-Hostcluster anmelden, die für den NSX Distributed Malware Prevention-Dienst aktiviert sind, und die Remoteprotokollierung konfigurieren, indem Sie NSX-CLI-Befehle ausführen.
Die Remoteprotokollierung auf NSX Malware Prevention-SVMs wird ab NSX 4.1.2 unterstützt.
Derzeit werden nur Protokollmeldungen für die Lebenszyklusereignisse der NSX Malware Prevention-Dateianalyse an den Remoteprotokollserver umgeleitet. In der Regel wird die Dateianalyse gestartet, wenn eine Datei auf eine Arbeitslast-VM heruntergeladen wird, die durch eine NSX Malware Prevention-Sicherheitsrichtlinie geschützt ist. Die heruntergeladene Datei wird von verschiedenen Komponenten verarbeitet und eine Bewertung zurückgegeben. Die Von wichtigen Zwischenkomponenten bereitgestellten Ergebnisse werden in der Syslog-Datei auf der SVM protokolliert.
- Datei abgefangen
- Cache-Treffer für Bewertung
- Datei für lokale (statische) Analyse gesendet
- Für die (dynamische) Cloud-Analyse gesendete Datei
- Bewertung erhalten
- Richtlinie durchgesetzt
Wenn Sie Protokollmeldungen für SVM-Zustandsüberwachungsereignisse, einschließlich des SVM-Ressourcenverbrauchs, z. B. CPU-Auslastung, Festplatten- und Arbeitsspeichernutzung, umleiten möchten, können Sie die Remoteprotokollierung über die NSX Manager-CLI konfigurieren. Alternativ können Sie diese Integritätsereignisse auf der Seite Alarme der NSX Manager-Benutzeroberfläche überwachen. Weitere Informationen zu den NSX Malware Prevention-Systemzustandsereignissen finden Sie im NSX-Ereigniskatalog.
- TCP
- UDP
- TLS (sichere Remoteprotokollierung)
TCP hat den Vorteil, dass es zuverlässiger ist, während UDP den Vorteil hat, dass weniger System- und Netzwerk-Overhead benötigt wird. Das TLS-Protokoll hat zusätzlichen Overhead, stellt aber verschlüsselten Datenverkehr zwischen der SVM und dem Remote-Protokollserver bereit.
Aria Operations for Logs-Protokolle (LI und LI-TLS) werden für die Konfiguration der Remoteprotokollierung auf der SVM nicht unterstützt.
Voraussetzungen
- Der VMware vCenter-Administrator muss den SSH-Zugriff auf die SVM auf jedem Host aktivieren. Weitere Informationen finden Sie im Abschnitt Voraussetzungen unter Anmelden bei der virtuellen NSX Malware Prevention-Dienstmaschine.
- Machen Sie sich mit dem CLI-Befehl set logging-server vertraut. Weitere Informationen finden Sie in der Dokumentation zur Malware-Schutzdienst-VM in der Befehlszeilenschnittstellen-Referenz zu NSX.
- Wenn Sie das TLS-Protokoll für die Konfiguration eines Remoteprotokollservers angeben möchten, kopieren Sie die Serverzertifikate, Clientzertifikate und den Clientschlüssel in /var/vmware/nsx/file-store auf jeder NSX Malware Prevention-SVM mithilfe des CLI-Befehls copy url <url> [file <filename>].
Im folgenden Beispiel wird der Befehl copy auf der SVM ausgeführt. Dabei wird die Datei client-key.pem vom Quellspeicherort standardmäßig in /var/vmware/nsx/file-store auf der SVM kopiert.
Beispiel:svm> copy url scp://[email protected]:/home/user/openssl/client-key.pem The authenticity of host '1.2.3.4 (1.2.3.4)' can't be established. ECDSA key fingerprint is SHA256:abcdabcdabcdabcdabcdabcdabcdabcdabcdabcd. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '1.2.3.4' (ECDSA) to the list of known hosts. [email protected]'s password: client-key.pem 100% 1704 8.0KB/s 00:00
- Stellen Sie sicher, dass der Server mit einem von einer Zertifizierungsstelle signierten Zertifikat konfiguriert ist, um eine sichere Verbindung zu einem Remoteprotokollserver herzustellen. Wenn Sie beispielsweise über den Aria Operations for Logs-Server vrli.prome.local als Protokollserver verfügen, können Sie den folgenden Befehl von einem Client aus ausführen, um die Zertifikatskette auf dem Protokollserver zu sehen:
root@caserver:~# echo -n | openssl s_client -connect vrli.prome.local:443 | sed -ne '/^Certificate chain/,/^---/p' depth=2 C = US, L = California, O = GS, CN = Orange Root Certification Authority verify error:num=19:self signed certificate in certificate chain Certificate chain 0 s:/C=US/ST=California/L=HTG/O=GSS/CN=vrli.prome.local i:/C=US/L=California/O=GS/CN=Green Intermediate Certification Authority 1 s:/C=US/L=California/O=GS/CN=Green Intermediate Certification Authority i:/C=US/L=California/O=GS/CN=Orange Root Certification Authority 2 s:/C=US/L=California/O=GS/CN=Orange Root Certification Authority i:/C=US/L=California/O=GS/CN=Orange Root Certification Authority --- DONE