Para usar la CLI del dispositivo virtual de NSX, debe tener acceso SSH a un dispositivo virtual NSX. Cada dispositivo virtual de NSX contiene una interfaz de línea de comandos (CLI).
Los modos visibles en la CLI pueden variar dependiendo de la función asignada y de los derechos del usuario. Si no puede acceder a un modo de interfaz ni emitir un comando en particular, consulte a su administrador de NSX.
Procedimiento
- Abra una sesión de SSH en un host de proceso que ejecute las cargas de trabajo previamente implementadas. Inicie sesión como usuario root.
- Introduzca el comando nsxcli para abrir la CLI de NSX.
- Para confirmar que IDS está habilitado en este host, ejecute el comando:
get ids status
.
Resultados de muestra:
localhost> get ids status
NSX IDS Status
--------------------------------------------------
status: enabled
uptime: 793756 (9 days 04:29:16)
- Para confirmar que ambos perfiles de IDS se aplicaron a este host, ejecute el comando
get ids profile
.
localhost> get ids profiles
NSX IDS Profiles
--------------------------------------------------
Profile count: 2
1. 31c1f26d-1f26-46db-b5ff-e6d3451efd71
2. 65776dba-9906-4207-9eb1-8e7d7fdf3de
- Para revisar las estadísticas del perfil de IDS (motor), incluida la cantidad de paquetes procesados y las alertas generadas, ejecute el comando
get ids engine profilestats <tab_to_select_profile_ID>
.
Se muestra un resultado por cada perfil, que incluye el número de alertas y el número de paquetes que se evaluaron.
localhost> get ids engine profilestats eec3ea3f-0b06-4b9d-a3fe-7950d5726c7c
Fri Oct 23 2020 UTC 21:22:36.257
NSX IDS Engine Profile Stats
------------------------------------------------------------
Profile ID: eec3ea3f-0b06-4b9d-a3fe-7950d5726c7c
Total Alerts: 14
Total Packets: 27407
- Para revisar la acción de firma de una regla, ejecute el comando
get ids engine signaction <ruleID> <profileID> <signatureID>
.
Devuelve la acción de firma para un RuleID, ProfileID y SignID específicos. Si la regla de IDPS es del tipo "SOLO DETECTAR", la acción de firma para todas las firmas se devuelve como "ALERTA". Para descartar o rechazar el tráfico, la regla de IDPS debe configurarse con "DETECT_PREVENT".
> get ids engine signaction 1001 84f00f24-3177-401c-8c30-d70dbee48479 4100761
NSX IDS Engine Signature Action
---------------------------------------------
alert