La función Prevención de malware de NSX se ejecuta en instancias de NSX Edge, en máquinas virtuales de servicio (en hosts ESXi) y NSX Application Platform. Los registros de productos generados en instancias de NSX Edge y máquinas virtuales de servicio cumplen con el estándar de mensajes de registro RFC 5424.

Mensajes de registro

En los dispositivos de NSX, los mensajes de syslog cumplen con el estándar RFC 5424. Los registros de productos adicionales se escriben en el directorio /var/log.

  • En NSX Edge, el servicio de prevención de malware de puerta de enlace proporciona mensajes de registro de análisis de malware para archivos extraídos en la puerta de enlace de nivel 1 activa.
  • En un host ESXi, la máquina virtual de servicio de prevención de malware del host ESXi proporciona mensajes de registro de análisis de malware para los archivos descargados en las máquinas virtuales de carga de trabajo que se ejecutan en el host.
  • Para los archivos extraídos tanto por el servicio de prevención de malware de puerta de enlace como por el servicio de prevención de malware distribuido, el microservicio Security Analyzer, que se ejecuta en NSX Application Platform, proporciona mensajes de registro de análisis de malware.

También se admite el registro remoto. Para consumir registros de funciones de Prevención de malware de NSX, puede configurar las instancias de NSX Edge, NSX Application Platform y máquinas virtuales de servicio de Prevención de malware de NSX para enviar o redireccionar mensajes de registro a un servidor de registro remoto.

Registro remoto en NSX Edge

Es necesario configurar el registro remoto en cada nodo de NSX Edge de forma individual. Para configurar el servidor de registro remoto en un nodo de NSX Edge mediante la CLI de NSX, consulte Configurar registros remotos.

Para configurar el servidor de registro remoto en un nodo de NSX Edge mediante la UI de NSX Manager, consulte Agregar servidores syslog para nodos NSX.

Registro remoto en NSX Application Platform

Para redirigir mensajes de registro de NSX Application Platform a un servidor de registro externo, debe ejecutar una REST API.

Para obtener información sobre la REST API junto con el cuerpo de solicitud de muestra, la respuesta y las muestras de código, consulte el portal de Documentación para desarrolladores de VMware.

Registro remoto en la máquina virtual de servicio de Prevención de malware de NSX

Esta funcionalidad se admite a partir de NSX 4.1.2.

En NSX 4.1.2 o versiones posteriores

Para redireccionar mensajes de registro de máquinas virtuales de servicio (SVM) de Prevención de malware de NSX a un servidor de registro externo, puede iniciar sesión en la SVM como un usuario admin y ejecutar comandos de la CLI NSX en la SVM. Para obtener más información, consulte Configurar el registro remoto en una máquina virtual de servicio de Prevención de malware de NSX.

En NSX 4.1.1 o versiones anteriores

No se admite la configuración de registros remotos en la SVM de Prevención de malware de NSX. Sin embargo, puede copiar el archivo syslog de cada SVM de Prevención de malware de NSX iniciando sesión en la SVM con una conexión SSH.

El acceso SSH al usuario admin de la SVM está basado en claves (par de claves pública-privada). Se necesita una clave pública cuando se implementa el servicio en un clúster de hosts ESXi, y se necesita una clave privada cuando se desea iniciar una sesión SSH en la SVM.

Para obtener más información, consulte Inicie sesión en la máquina virtual de servicio de Prevención de malware de NSX..

Después de iniciar sesión en la SVM, utilice el comando sftp o scp para copiar el archivo syslog del directorio /var/log en ese momento específico. Si hay varios archivos de Syslog disponibles en esta ubicación, se comprimirán y se almacenarán en la misma ruta.

Más información sobre el registro

Consulte Mensajes de registro y códigos de error.

Interpretar mensajes de registro de eventos de Prevención de malware de NSX

El formato de los mensajes de registro de los eventos de Prevención de malware de NSX en la máquina virtual de servicio y NSX Edge es el mismo. Sin embargo, para los eventos en NSX Application Platform, el formato de los mensajes de registro es diferente.

El microservicio sa-events-processor, que es un pod que se ejecuta en NSX Application Platform, genera el siguiente mensaje de registro de eventos.

Ejemplo:

{"log":"{\"log\":\"\\u001b[37m2022-06-01T01:42:58,725\\u001b[m \\u001b[32mINFO \\u001b[m[\\u001b[1;34mfileEventConsumer-1\\u001b[m] \\u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\\u001b[m: SECURITY [nsx@6876 comp=\\\"nsx-manager\\\" level=\\\"INFO\\\" subcomp=\\\"manager\\\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)\\n\",\"stream\":\"stdout\",\"time\":\"2022-06-01T01:42:58.725811209Z\"}","log_processed":{"log":"\u001b[37m2022-06-01T01:42:58,725\u001b[m \u001b[32mINFO \u001b[m[\u001b[1;34mfileEventConsumer-1\u001b[m] \u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\u001b[m: SECURITY [nsx@6876 comp=\"nsx-manager\" level=\"INFO\" subcomp=\"manager\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)","stream":"stdout","time":"2022-06-01T01:42:58.725811209Z"},"kubernetes":{"pod_name":"sa-events-processor-55bcfcc46d-4jftf","namespace_name":"nsxi-platform","pod_id":"305953f7-836b-4bbb-ba9e-00fdf68de4ae","host":"worker03","container_name":"sa-events-processor","docker_id":"93f81f278898e6ce3e14d9a37e0e10a502c46fe53c9ad61680aed48b94f7f8bf","container_hash":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor@sha256:b617f4bb9f3ea5767839e39490a78169f7f3d54826b89638e4a950e391405ae4","container_image":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor:19067767"}}
Nota: Este mensaje de registro de eventos de ejemplo solo tiene fines ilustrativos. El formato y el contenido pueden cambiar en las principales versiones de NSX.

En este mensaje de registro de eventos de ejemplo, observe que, además de los atributos de registro estándar, como date (2022-06-01T00:42:58,326), log level (INFO) y atributos filtrables, como module (SECURITY) y container_name (sa-events-processor), hay atributos adicionales en un formato de estilo JSON. En la siguiente tabla se enumeran estos atributos adicionales.

Clave Valor de muestreo

id

0

sha256

29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d

sha1

549cb3f1c85c4ef7fb06dcd33d68cba073b260ec

md5

65b9b68668bb6860e3144866bf5dab85

fileName

drupdate.dll

fileType

PeExeFile

fileSize

287024

inspectionTime

1654047770305

clientPort

0

clientIP

null

clientFqdn

null

clientVmId

500cd1b6-96b6-4567-82f4-231a63dead81

serverPort

0

serverIp

null

serverFqdn

null

serverVmId

null

applicationProtocol

null

submittedBy

SYSTEM

isFoundByAsds

true

isBlocked

false

allowListed

false

verdict

BENIGN

score

0

analystUuid

null
submissionUuid null
tnId 38c58796-9983-4a41-b9f2-dc309bd3458d

malwareClass

null

malwareFamily

null

errorCode

null

errorMessage

null

nodeType

1

gatewayId

analysisStatus

COMPLETED

followupEvent

false

httpDomain

null

httpMethod

null

path

null

referer

null

userAgent

null

contentDispositionFileName

null

isFileUploaded

false

startTime

1654047768828

endTime

1654047768844

ttl

1654220570304

Solucionar problemas de syslog

Si el servidor de registros remoto que configuró no puede recibir registros, consulte Solucionar problemas de syslog.

Recopilar paquetes de soporte