Para redireccionar mensajes de registro de máquinas virtuales de servicio (SVM) de Prevención de malware de NSX a un servidor de registro remoto, puede iniciar sesión en la SVM de los hosts de los clústeres de hosts de vSphere que están activados para el servicio NSX Distributed Malware Prevention y configurar el registro remoto ejecutando comandos de CLI de NSX.

Se admite el registro remoto en SVM de Prevención de malware de NSX a partir de NSX 4.1.2.

Actualmente, solo los mensajes de registro de los eventos de ciclo de vida de análisis de archivos de Prevención de malware de NSX se redireccionan al servidor de registro remoto. Por lo general, el análisis de archivos se inicia cuando se descarga un archivo en una máquina virtual de carga de trabajo que está protegida por una directiva de seguridad de Prevención de malware de NSX. Varios componentes procesan el archivo descargado y se devuelve un veredicto. Los resultados proporcionados por componentes intermedios importantes se registran en el archivo syslog de la SVM.

Algunos ejemplos de eventos de ciclo de vida de análisis de archivos son los siguientes:
  • Archivo interceptado
  • Aciertos en caché de veredicto
  • Archivo enviado para análisis local (estático)
  • Archivo enviado para análisis de nube (dinámico)
  • Veredicto obtenido
  • Política aplicada

Si desea redireccionar los mensajes de registro de los eventos de supervisión de estado de SVM, incluido el consumo de recursos de SVM, como el uso de CPU, el uso de disco y el uso de memoria, puede configurar el registro remoto en la CLI de NSX Manager. Como alternativa, puede supervisar estos eventos de estado en la página Alarmas de la interfaz de usuario de NSX Manager. Para obtener más información sobre los eventos de estado de Prevención de malware de NSX, consulte el Catálogo de eventos de NSX.

Se admiten los siguientes protocolos para configurar el registro remoto en la SVM:
  • TCP
  • UDP
  • TLS (registro remoto seguro)

TCP tiene la ventaja de ser más confiable, mientras que UDP tiene la ventaja de requerir menos sobrecarga del sistema y de la red. El protocolo TLS tiene una sobrecarga adicional, pero proporciona tráfico cifrado entre la SVM y el servidor de registro remoto.

No se admiten los protocolos de Aria Operations for Logs (LI y LI-TLS) para configurar el registro remoto en la SVM.

Requisitos previos

  • El administrador de VMware vCenter debe activar el acceso SSH a la SVM en cada host. Para obtener más información, consulte la sección Requisitos previos en Inicie sesión en la máquina virtual de servicio de Prevención de malware de NSX..
  • Familiarícese con el comando de la CLI set logging-server. Para obtener más información, consulte la documentación de la Máquina virtual de servicio de prevención de malware en la Referencia de interfaz de línea de comandos de NSX.
  • Si desea especificar el protocolo TLS para configurar un servidor de registro remoto, copie los certificados del servidor, los certificados de cliente y la clave de cliente en /var/vmware/nsx/file-store en cada SVM de Prevención de malware de NSX mediante el comando de la CLI copy url <url> [file <filename>].

    En el siguiente ejemplo, el comando copy se ejecuta en la SVM. Por lo tanto, de forma predeterminada, el archivo client-key.pem de la ubicación de origen se copia en /var/vmware/nsx/file-store en la SVM.

    Ejemplo:
    svm> copy url scp://[email protected]:/home/user/openssl/client-key.pem
    The authenticity of host '1.2.3.4 (1.2.3.4)' can't be established.
    ECDSA key fingerprint is SHA256:abcdabcdabcdabcdabcdabcdabcdabcdabcdabcd.
    Are you sure you want to continue connecting (yes/no)? yes
    Warning: Permanently added '1.2.3.4' (ECDSA) to the list of known hosts.
    [email protected]'s password:
    client-key.pem                                100% 1704     8.0KB/s   00:00
  • Para configurar una conexión segura a un servidor de registros remoto, compruebe que el servidor esté configurado con certificados firmados por una entidad de certificación. Por ejemplo, si tiene un servidor de Aria Operations for Logs vrli.prome.local como servidor de registro, puede ejecutar el siguiente comando desde un cliente para ver la cadena de certificados en el servidor de registros:
    root@caserver:~# echo -n | openssl s_client -connect vrli.prome.local:443  | sed -ne '/^Certificate chain/,/^---/p'
    depth=2 C = US, L = California, O = GS, CN = Orange Root Certification Authority
    verify error:num=19:self signed certificate in certificate chain
    Certificate chain
     0 s:/C=US/ST=California/L=HTG/O=GSS/CN=vrli.prome.local
       i:/C=US/L=California/O=GS/CN=Green Intermediate Certification Authority
     1 s:/C=US/L=California/O=GS/CN=Green Intermediate Certification Authority
       i:/C=US/L=California/O=GS/CN=Orange Root Certification Authority
     2 s:/C=US/L=California/O=GS/CN=Orange Root Certification Authority
       i:/C=US/L=California/O=GS/CN=Orange Root Certification Authority
    ---
    DONE

Procedimiento

  1. Inicie sesión en la SVM de Prevención de malware de NSX como usuario admin.
  2. Ejecute el siguiente comando para configurar un servidor de registro remoto en la SVM:
    svm> set logging-server <hostname-or-ip-address[:port]> proto <proto> level <level> messageid SECURITY [facility <facility>] [serverca <filename>] [clientca <filename>] [certificate <filename>] [key <filename>] [structured-data <structured-data>]

    Este comando redirecciona los mensajes de registro de SVM a la dirección IP o el FQDN especificados del servidor de en el puerto especificado. Si no se menciona un puerto, se utiliza el puerto predeterminado para el protocolo especificado. Por ejemplo, el puerto 514 para TCP y UDP; Puerto 6514 para TLS.

    El parámetro messageid está preconfigurado. Actualmente, se admiten registros solo con ID de mensaje SECURITY.

    Para obtener información sobre el filtrado de mensajes de registro y la especificación de instalaciones en este comando, consulte la documentación de la Máquina virtual de servicio de prevención de malware en la Referencia de interfaz de línea de comandos de NSX.

    Ejemplo 1: Para redireccionar los mensajes de registro de SVM al servidor de registro 10.1.1.1 mediante el protocolo UDP, ejecute el siguiente comando:

    svm> set logging-server 10.1.1.1 proto udp level info messageid SECURITY
    Ejemplo 2: Para redireccionar los mensajes de registro de SVM de forma segura a un servidor de registro remoto mediante el protocolo TLS, ejecute el siguiente comando:
    svm> set logging-server <hostname-or-ip-address[:port]> proto tls level info messageid SECURITY serverca <ca-cert.pem> clientca <ca-cert.pem> certificate <client-cert.pem>  key <client-key.pem>

    Como se menciona en la sección Requisitos previos de esta documentación, los certificados de servidor, los certificados de cliente y la clave de cliente se deben copiar en /var/vmware/nsx/file-store en cada SVM de Prevención de malware de NSX.

    Tenga en cuenta lo siguiente:
    • Para el parámetro serverCA, solo se requiere el certificado raíz, no la cadena completa.
    • Si clientCA es diferente de serverCA, solo se requerirá el certificado root.
    • El certificado debe contener la cadena completa de SVM de Prevención de malware de NSX. El certificado debe ser compatible con NDcPP: EKU, BASIC y CDP (se puede ignorar la comprobación de CDP).
    Ejemplos de inicio de sesión correcto en /var/log/syslog:
    2023-06-26T18:22:21.504Z NSX 3671 - [nsx@6876 comp="nsx-mps-svm" subcomp="cli" username="admin" level="INFO"] {10000} CMD: set logging-server 1.2.3.4 proto tls level info serverca ca-cert.pem clientca ca-cert.pem certificate client-cert.pem key client-key.pem
     
    2023-06-26T18:22:24.677Z rsyslogd - - -  nsd_ossl: TLS Connection initiated with remote syslog server. [v8.2304.0]
    2023-06-26T18:22:26.894Z NSX 932 - [nsx@6876 comp="nsx-mps-svm" subcomp="node-mgmt" username="admin" level="INFO"] Connection to 1.2.3.4:6514 is established
     
    2023-06-26T18:22:28.116Z NSX 3671 - [nsx@6876 comp="nsx-mps-svm" subcomp="cli" username="admin" level="INFO" audit="true"] CMD: set logging-server 1.2.3.4 proto tls level info serverca ca-cert.pem clientca ca-cert.pem certificate client-cert.pem key client-key.pem (duration: 6.611s), Operation status: CMD_EXECUTED
    Nota: Después de completar la configuración del exportador de syslog, debe eliminar todos los certificados y las claves de /var/vmware/nsx/file-store para evitar posibles vulnerabilidades de seguridad.

    Ejemplo 3: Para redireccionar mensajes de registro de eventos de supervisión de estado de Prevención de malware de NSX, ejecute el siguiente comando en la CLI de NSX Manager:

    nsx> set logging-server 10.1.1.1 proto udp level info messageid MONITORING structured-data eventFeatureName="malware_prevention_health"

    Tenga en cuenta que en este comando, el parámetro messageid está establecido en SUPERVISIÓN.

  3. Para ver la configuración de registro en la SVM, ejecute el comando get logging-servers.

    Ejemplo: para redireccionar los mensajes de registro de para que de forma segura a un servidor de registro remoto

    svm> get logging-servers
    Tue Jun 27 2023 UTC 05:18:57.098
    1.2.3.4:514 proto udp level info messageid SECURITY exporter_name 694ab1dc-0250-4cae-a7a4-3dde205225a3
  4. (opcional) Para comprobar las reglas de tabla de IP de todos los servidores de registro, ejecute el comando verify logging-servers.
  5. (opcional) Para eliminar una configuración específica del servidor de registro, ejecute el siguiente comando:
    Ejemplo:
    svm> del logging-server 1.2.3.4:514 proto udp level info messageid SECURITY