Usar vRealize Log Insight para registros de seguridad unificados

Puede ver los registros de flujo de seguridad del entorno de NSX-T Data Center usando VMware vRealize Log Insight.

Las siguientes funciones de seguridad admiten el registro de flujos:

Inspección TLS
IDPS de puerta de enlace
Filtrado de URL

Nota:

A partir de NSX-T Data Center 3.2.1, la inspección TLS y el IDPS de puerta de enlace están disponibles para entornos de producción y son totalmente compatibles. En NSX-T Data Center 3.2.0, estas funciones solo estaban disponibles en el modo de vista previa técnica. Para obtener más información, consulte la Notas de la versión de NSX-T Data Center.

Registros de seguridad unificados

Todas las verticales de seguridad generan y guardan registros de flujo de seguridad unificados en el formato registros de seguridad unificados en un único archivo de registro en un nodo. Este registro único se exporta al servidor syslog, que está configurado para VMware vRealize Log Insight. VMware vRealize Log Insight entonces procesará los registros para proporcionar más administración de registros, análisis y mostrarlos mediante el paquete de contenido de NSX-T.

Mostrar registros en vRealize Log Insight

Se agrega un nuevo panel de control 'NSX - Registros de flujo de seguridad unificados' en el paquete de contenido de NSX-T existente. Este panel de control muestra widgets de gráfico, que son representaciones visuales de los registros de flujo de seguridad.

El paquete de contenido de VMware vRealize Log Insight es un complemento. Contiene paneles de control, campos extraídos, consultas guardadas y alertas relacionadas con un producto específico o un conjunto de registros.

El paquete de contenido de NSX-T está disponible en VMware vRealize Log Insight Marketplace.

Para obtener más información sobre VMware vRealize Log Insight y cómo instalar el paquete de contenido desde Content Pack Marketplace, consulte el capítulo Instalar un paquete de contenido desde el catálogo de paquetes de contenido en el documento del producto Usar VMware vRealize Log Insight.

Información principal N y últimas X horas

También puede consultar eventos en VMware vRealize Log Insight para obtener información de la información principal de N de las últimas X horas mediante análisis interactivo y paquete de contenido.

Servidor de registro remoto

Para enviar registros a un servidor de registro remoto, los dispositivos de NSX-T Data Center y los hipervisores deben configurarse con registros remotos en cada nodo por separado.

Nota: Para que los registros se envíen al servidor syslog, debe habilitar el registro para las reglas específicas en NSX-T Manager.

Para obtener más información, consulte Configurar registros remotos.

Si el servidor de registros remoto no recibe registros, consulte Solucionar problemas de syslog.

Formato de registro de seguridad unificado

En un nodo de Edge, los registros de flujo de seguridad unificados se almacenan en /var/log/syslog. Puede iniciar sesión como usuario root y utilizar el comando grep para buscar registros unificados en este archivo. Por ejemplo:

cat /var/log/syslog | grep 'unified-logs'

Ejemplos de mensajes de registro:

Inspección TLS

2021-10-12T09:00:46.192Z nsxedge-18734920-1-mps29 NSX 22621 SYSTEM [nsx@6876 comp="nsx-edge" 
subcomp="tls-proxy" s2comp="unified-logs" level="INFO"] {"event_type": "fw-flow-terminate-log", 
"event_trigger": ["fw-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "79427614-4a0d-2692-032c-eb4692f717a9", 
"node_uuid": "ec11a626-f425-3bc2-671d-a656500003b2"}, "flow": {"start": "2021-10-12T09:00:46.723Z", 
"end": "2021-10-12T09:00:46.773Z", "ip_ver": "ipv4", "flow_id": "0x1e0000704f000018", 
"src_ip": "192.168.100.160", "src_port": 25700, "dest_ip": "1.1.5.10", "dest_port": 443, "proto": "TCP", "tcp_flags": "",
"bytes_toserver": 95, "bytes_toclient": 29873, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 1002,
"direction": "", "rule_tag": ""}, "http": {"http_method": "", "hostname": "www.facebook.com", "url": "www.facebook.com/benign_pdf1.pdf", "scheme": "", "http_user_agent": "", "status": "",
"site_category": ""SOCIAL_NETWORK"", "site_reputation": "Trustworthy"},"tls_inspection": {"action": "PASS", "rule_id": 1008, "domain": "www.facebook.com", "cert_status": "ok", "tls_version_toserver": "TLSv1.2",
"cipher_to_server": "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "reason": "", "tls_rule_tag": "TLS External Rule"}, "idps": {"action": "PASS", "rule_id": 1007,
"ids_profile_id": "00000000-0000-0000-0000-000000000000", "alert_event": ["SOCIAL_NETWORK"], "protocol_event": ["http"]}, "app_id": {"app": ""APP_HTTP", "APP_FACEBOOK", "APP_SSL""}

IDPS de puerta de enlace

2021-11-11T04:07:37.489Z nsxedge-18866667-2-NAT-fc-3-nov NSX 27330 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="datapathd" s2comp="unified-logs" level="INFO"]
 {"event_type": "fw-flow-terminate-log", "event_trigger": ["ids-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "544ee558-fad0-e624-019f-e8e3e0472c91", 
"node_uuid": "dabf16c9-ec11-833c-0c00-8c832f771729"}, "flow": {"start": "2021-11-11T04:07:07.000Z", "end": "2021-11-11T04:07:37.000Z",
"ip_ver": "ipv4", "flow_id": "0xd44d00306e0a0004", "src_ip": "1.1.1.10", "src_port": 35714, "dest_ip": "10.142.7.1", "dest_port": 53,
"proto": "UDP", "tcp_flags": "FPW", "bytes_toserver": 297878, "bytes_toclient": 71, "pkts_toserver": 71, "pkts_toclient": 1, 
"reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 2025, "direction": "", "rule_tag": ""},
"l7profile": {"entry_id": "00000000-0000-0000-0000-000000000000", "action": "PASS"}, 
"http": {"http_method": "", "hostname": "", "url": "", "scheme": "", "http_user_agent": "", "status": "", "site_category": "", 
"site_reputation": "UNKNOWN"}, "idps": {"action": "IDP_DETECT", "rule_id": 2028, "ids_profile_id": "9872e27a-ead4-4c93-af5f-4df1ec0c73e1", 
"alert_event": [], "protocol_event": []}, "app_id": {"app": ""APP_DNS""}}

Filtrado de URL

2021-11-08T08:30:59.208Z nsxedge-18866667-2-NAT-fc-3-nov NSX 9495 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="datapathd" s2comp="unified-logs" level="INFO"]
{"event_type": "fw-flow-terminate-log", "event_trigger": ["fw-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "544ee558-fad0-e624-019f-e8e3e0472c91",
"node_uuid": "dabf16c9-ec11-833c-0c00-8c832f771729"}, "flow": {"start": "2021-11-08T08:30:57.000Z", "end": "2021-11-08T08:30:59.000Z",
"ip_ver": "ipv4", "flow_id": "0x4001006c04000000", "src_ip": "1.1.1.10", "src_port": 43600, "dest_ip": "13.226.234.18", 
"dest_port": 80, "proto": "TCP", "tcp_flags": "FREW", "bytes_toserver": 54968, "bytes_toclient": 444, 
"pkts_toserver": 444, "pkts_toclient": 7, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 1004, "direction": "",
"rule_tag": ""}, "l7profile": {"entry_id": "e9580107-2749-471c-be82-715d530bf4d4", "action": "PASS"},
"http": {"http_method": "", "hostname": "", "url": "espn.com/", "scheme": "", "http_user_agent": "", "status": "",
"site_category": ""SPORTS"", "site_reputation": "TRUSTWORTHY"}, "app_id": {"app": ""APP_HTTP", "APP_ESPN""}}