Comprobar el estado de realización de las reglas

Se pueden crear, actualizar y eliminar reglas de DFW mediante la interfaz de usuario y la API.

Los administradores de seguridad necesitan averiguar la hora de realización de cualquier operación de directiva de seguridad. El tiempo de realización es el tiempo que tarda la regla o la directiva de seguridad en realizarse en los nodos de transporte. Cualquier operación de creación, actualización o eliminación en la directiva/regla de seguridad se realizará en los nodos de transporte en función de dónde se apliquen las reglas.

Estado de realización de reglas en la interfaz de usuario

Para ver el estado de realización de reglas para las directivas de firewall de puerta de enlace y DFW, desplácese a Seguridad > Firewall distribuido o Seguridad Firewall de puerta de enlace y comprobar el estado de realización de la regla notificado por los nodos de transporte.

Existen cuatro valores posibles para el estado de realización de reglas:

Correcto
Error
En curso
Desconocido

Estado de realización de reglas a través de API

Si se creó la regla y se aplicó a los nodos relevantes, el estado de realización puede ser comprobado por las siguientes API del administrador de directivas.

En NSX 4.1.1, hay dos campos nuevos:

publish_time: realiza un seguimiento de cuándo se actualizó el estado de publicación. Cada vez que se actualiza una intención, el rastreador de estado modifica el estado de publicación una vez que se envía a los nodos de transporte. Debido a que se basa en un mecanismo de sondeo, no es el momento exacto en el que se publicó la intención en la ruta de datos. El valor de -1 indica que la publicación aún está en curso o que el estado de tiempo de ejecución es DESCONOCIDO y no está disponible. El estado de tiempo de ejecución puede ser DESCONOCIDO si uno o varios hosts están inactivos y las reglas no se pudieron enviar a esos hosts. Cuando se activa el host, el estado de tiempo de ejecución cambiará a CORRECTO, pero publish_time mostrará el valor de la última hora de realización. Cualquier cambio de configuración nuevo después de esto comenzará a reflejar el valor adecuado para publish_time.
time_taken_for_realization: tiempo aproximado transcurrido para la realización de la intención en la ruta de datos. El tiempo real transcurrido podría ser inferior al que se muestra aquí. El valor de -1 indica que la publicación aún está en curso o que el estado de tiempo de ejecución es DESCONOCIDO y, por tanto, no está disponible. El estado de tiempo de ejecución puede ser DESCONOCIDO si uno o varios hosts están inactivos y las reglas no se pudieron enviar a esos hosts. Cuando se activa el host, el estado de tiempo de ejecución cambiará a CORRECTO, pero time_taken_for_realization mostrará el valor de la última hora de realización. Cualquier cambio de configuración nuevo después de esto comenzará a reflejar el valor adecuado para time_taken_for_realization.

Por ejemplo:

"publish_status": "REALIZED",
    "publish_time":  1668599137109, <====================== Newly added
    "time_taken_for_realization": 1563 <============ in milliseconds 
    "intent_version": "1"

Para comprobar el estado de realización de todas las entidades creadas en el administrador de directivas, ejecute el comando: GET: https://<Policy Appliance IP>/policy/api/v1/infra/realized-state/realized-entities El estado realizado del objeto debería ser "REALIZADO" y "runtime_status" debe ser "CORRECTO"

Por ejemplo, la consulta para comprobar el estado realizado de <e2d4c010-96c8-11e9-8c0a-f7581ab92530> de la directiva de seguridad en el nivel de administrador de directivas es GET https://10.172.121.219/policy/api/v1/infra/realized-state/realized-entities?intent_path=/infra/domains/default/security-policies/f96f27c0-92b8-11e9-96af-b5e746a259e7/rules/e2d4c010-96c8-11e9-8c0a-f7581ab92530.

{
"results": [
{
"extended_attributes": [],
"entity_type": "RealizedFirewallRule",
"intent_paths": [
"/infra/domains/default/security-policies/1-communication-560"
],
"resource_type": "GenericPolicyRealizedResource",
"id": "default.1-communication-560.3-communication-110",
"display_name": "default.1-communication-560.3-communication-110",
"description": "default.1-communication-560.3-communication-110",
"path": "/infra/realized-state/enforcement-points/default/firewalls/firewall-sections/default.1-communication-560/firewall-rules/default.1-communication-560.3-communication-110",
"relative_path": "default.1-communication-560.3-communication-110",
"parent_path": "/infra/realized-state/enforcement-points/default/firewalls/firewall-sections/default.1-communication-560",
"intent_reference": [],
"realization_specific_identifier": "1028",
"state": "REALIZED",  
"alarms": [],
"runtime_status": "IN_PROGRESS",
"_create_user": "system",
"_create_time": 1561673625030,
"_last_modified_user": "system",
"_last_modified_time": 1561674044534,
"_system_owned": false,
"_protection": "NOT_PROTECTED",
"_revision": 6
}
],
"result_count": 1
}

Para comprobar el estado realizado general de la sección de todas las reglas de una sección del hipervisor, ejecute el comando: GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?include_enforced_status=true&intent_path=<Security_policy_path>.

Existen cuatro valores posibles para el estado consolidado:

Correcto
Error
En curso
Desconocido

Tabla 1. Estado consolidado
Estado general del nodo de transporte 1	Estado general del nodo de transporte 2	Estado consolidado
ERROR	ERROR	ERROR
ERROR	IN_PROGRESS	ERROR
ERROR	DESCONOCIDO	ERROR
IN_PROGRESS	IN_PROGRESS	IN_PROGRESS
IN_PROGRESS	DESCONOCIDO	IN_PROGRESS
CORRECTO	CORRECTO	CORRECTO
CORRECTO	ERROR	ERROR
CORRECTO	IN_PROGRESS	IN_PROGRESS
CORRECTO	DESCONOCIDO	DESCONOCIDO
DESCONOCIDO	DESCONOCIDO	DESCONOCIDO