La función Prevención de malware de NSX se ejecuta en instancias de NSX Edge, en máquinas virtuales de servicio (en hosts ESXi) y NSX Application Platform. Los registros de productos generados en instancias de NSX Edge y máquinas virtuales de servicio cumplen con el estándar de mensajes de registro RFC 5424. La función Prevención de malware de NSX solo se admite en hosts ESXi. No se admiten hosts KVM.
Mensajes de registro
En los dispositivos de NSX-T, los mensajes de syslog cumplen con el estándar RFC 5424. Los registros de productos adicionales se escriben en el directorio /var/log.
- En una instancia de NSX Edge, el servicio de prevención de malware de puerta de enlace proporciona mensajes de registro de análisis de malware para archivos extraídos en la puerta de enlace de nivel 1 activa.
- En un host ESXi, la máquina virtual del servicio de prevención de malware del host ESXi proporciona mensajes de registro de análisis de malware para los archivos descargados en las máquinas virtuales de carga de trabajo que se ejecutan en el host.
- Para los archivos extraídos tanto por el servicio de prevención de malware de puerta de enlace como por el servicio de prevención de malware distribuido, el microservicio del analizador de seguridad, que se ejecuta en NSX Application Platform, proporciona mensajes de registro de análisis de malware.
También se admite el registro remoto. Para consumir registros de la función Prevención de malware de NSX, puede configurar instancias de NSX Edge y NSX Application Platform para enviar o redirigir los mensajes de registro a un servidor de registro remoto.
Configurar registros remotos en NSX Edge
Es necesario configurar el registro remoto en cada nodo de NSX Edge de forma individual. Para configurar el servidor de registro remoto en un nodo de NSX Edge mediante la CLI de NSX, consulte Configurar registros remotos.
Para configurar el servidor de registro remoto en un nodo de NSX Edge mediante la UI de NSX Manager, consulte Agregar servidores syslog para nodos NSX.
Configurar registros remotos en NSX Application Platform
Para enviar mensajes de registro de NSX Application Platform a un servidor de registro externo, debe ejecutar una REST API.
Para obtener información sobre la REST API junto con el cuerpo de solicitud de muestra, la respuesta y las muestras de código, consulte el portal de Documentación para desarrolladores de VMware.
Configurar registro remoto en la máquina virtual de servicio de Prevención de malware de NSX
Esta funcionalidad no es compatible actualmente. Sin embargo, como solución alternativa, puede copiar el archivo syslog de cada máquina virtual de servicio (SVM) de Prevención de malware de NSX iniciando sesión en la SVM con una conexión SSH.
El acceso SSH al usuario admin de la SVM está basado en claves (par de claves pública-privada). Se necesita una clave pública cuando se implementa el servicio en un clúster de hosts ESXi, y se necesita una clave privada cuando se desea iniciar una sesión SSH en la SVM.
Para obtener más información, consulte Inicie sesión en la máquina virtual de servicio de Prevención de malware de NSX.
Después de iniciar sesión en la SVM, utilice el comando sftp o scp para copiar el archivo syslog del directorio /var/log en ese momento específico. Si hay varios archivos de Syslog disponibles en esta ubicación, se comprimirán y se almacenarán en la misma ruta.
Más información sobre el registro
Consulte Mensajes de registro y códigos de error.
Interpretar los mensajes de registro de eventos de Prevención de malware de NSX
El formato de los mensajes de registro de los eventos de Prevención de malware de NSX en la máquina virtual de servicio y NSX Edge es el mismo. Sin embargo, para los eventos de NSX Application Platform, el formato de los mensajes de registro es diferente.
El microservicio sa-events-processor, que es un pod que se ejecuta en NSX Application Platform, genera el siguiente mensaje de registro de eventos.
Ejemplo:
{"log":"{\"log\":\"\\u001b[37m2022-06-01T01:42:58,725\\u001b[m \\u001b[32mINFO \\u001b[m[\\u001b[1;34mfileEventConsumer-1\\u001b[m] \\u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\\u001b[m: SECURITY [nsx@6876 comp=\\\"nsx-manager\\\" level=\\\"INFO\\\" subcomp=\\\"manager\\\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)\\n\",\"stream\":\"stdout\",\"time\":\"2022-06-01T01:42:58.725811209Z\"}","log_processed":{"log":"\u001b[37m2022-06-01T01:42:58,725\u001b[m \u001b[32mINFO \u001b[m[\u001b[1;34mfileEventConsumer-1\u001b[m] \u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\u001b[m: SECURITY [nsx@6876 comp=\"nsx-manager\" level=\"INFO\" subcomp=\"manager\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)","stream":"stdout","time":"2022-06-01T01:42:58.725811209Z"},"kubernetes":{"pod_name":"sa-events-processor-55bcfcc46d-4jftf","namespace_name":"nsxi-platform","pod_id":"305953f7-836b-4bbb-ba9e-00fdf68de4ae","host":"worker03","container_name":"sa-events-processor","docker_id":"93f81f278898e6ce3e14d9a37e0e10a502c46fe53c9ad61680aed48b94f7f8bf","container_hash":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor@sha256:b617f4bb9f3ea5767839e39490a78169f7f3d54826b89638e4a950e391405ae4","container_image":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor:19067767"}}
En este mensaje de registro de eventos de ejemplo, observe que, además de los atributos de registro estándar, como date (2022-06-01T00:42:58,326), log level (INFO) y atributos filtrables, como module (SECURITY) y container_name (sa-events-processor), hay atributos adicionales en un formato de estilo JSON. En la siguiente tabla se enumeran estos atributos adicionales.
| Clave | Valor de muestreo |
|---|---|
| id |
0 |
| sha256 |
29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d |
| sha1 |
549cb3f1c85c4ef7fb06dcd33d68cba073b260ec |
| md5 |
65b9b68668bb6860e3144866bf5dab85 |
| fileName |
drupdate.dll |
| fileType |
PeExeFile |
| fileSize |
287024 |
| inspectionTime |
1654047770305 |
| clientPort |
0 |
| clientIP |
null |
| clientFqdn |
null |
| clientVmId |
500cd1b6-96b6-4567-82f4-231a63dead81 |
| serverPort |
0 |
| serverIp |
null |
| serverFqdn |
null |
| serverVmId |
null |
| applicationProtocol |
null |
| submittedBy |
SYSTEM |
| isFoundByAsds |
true |
| isBlocked |
false |
| allowListed |
false |
| verdict |
BENIGN |
| score |
0 |
| analystUuid |
null |
| submissionUuid | null |
| tnId | 38c58796-9983-4a41-b9f2-dc309bd3458d |
| malwareClass |
null |
| malwareFamily |
null |
| errorCode |
null |
| errorMessage |
null |
| nodeType |
1 |
| gatewayId |
|
| analysisStatus |
COMPLETED |
| followupEvent |
false |
| httpDomain |
null |
| httpMethod |
null |
| path |
null |
| referer |
null |
| userAgent |
null |
| contentDispositionFileName |
null |
| isFileUploaded |
false |
| startTime |
1654047768828 |
| endTime |
1654047768844 |
| ttl |
1654220570304 |
Solucionar problemas de syslog
Si el servidor de registros remoto que configuró no puede recibir mensajes de registro, consulte Solucionar problemas de syslog.
Recopilar paquetes de soporte
- Para recopilar paquetes de soporte para nodos de administración, hosts e instancias de NSX Edge, consulte Recopilar paquetes de soporte.
- Para recopilar paquetes de soporte para NSX Application Platform, consulte la documentación de Implementar y administrar VMware NSX Application Platform en https://docs.vmware.com/es/VMware-NSX-T-Data-Center/index.html.
