Para redireccionar mensajes de registro de máquinas virtuales de servicio (SVM) de Prevención de malware de NSX a un servidor de registro remoto, puede iniciar sesión en la SVM de los hosts de los clústeres de hosts de vSphere que están activados para el servicio NSX Distributed Malware Prevention y configurar el registro remoto ejecutando comandos de CLI de NSX.
Se admite el registro remoto en SVM de Prevención de malware de NSX a partir de NSX 4.1.2.
Actualmente, solo los mensajes de registro de los eventos de ciclo de vida de análisis de archivos de Prevención de malware de NSX se redireccionan al servidor de registro remoto. Por lo general, el análisis de archivos se inicia cuando se descarga un archivo en una máquina virtual de carga de trabajo que está protegida por una directiva de seguridad de Prevención de malware de NSX. Varios componentes procesan el archivo descargado y se devuelve un veredicto. Los resultados proporcionados por componentes intermedios importantes se registran en el archivo syslog de la SVM.
- Archivo interceptado
- Aciertos en caché de veredicto
- Archivo enviado para análisis local (estático)
- Archivo enviado para análisis de nube (dinámico)
- Veredicto obtenido
- Política aplicada
Si desea redireccionar los mensajes de registro de los eventos de supervisión de estado de SVM, incluido el consumo de recursos de SVM, como el uso de CPU, el uso de disco y el uso de memoria, puede configurar el registro remoto en la CLI de NSX Manager. Como alternativa, puede supervisar estos eventos de estado en la página Alarmas de la interfaz de usuario de NSX Manager. Para obtener más información sobre los eventos de estado de Prevención de malware de NSX, consulte el Catálogo de eventos de NSX.
- TCP
- UDP
- TLS (registro remoto seguro)
TCP tiene la ventaja de ser más confiable, mientras que UDP tiene la ventaja de requerir menos sobrecarga del sistema y de la red. El protocolo TLS tiene una sobrecarga adicional, pero proporciona tráfico cifrado entre la SVM y el servidor de registro remoto.
No se admiten los protocolos de Aria Operations for Logs (LI y LI-TLS) para configurar el registro remoto en la SVM.
Requisitos previos
- El administrador de VMware vCenter debe activar el acceso SSH a la SVM en cada host. Para obtener más información, consulte la sección Requisitos previos en Inicie sesión en la máquina virtual de servicio de Prevención de malware de NSX..
- Familiarícese con el comando de la CLI set logging-server. Para obtener más información, consulte la documentación de la Máquina virtual de servicio de prevención de malware en la Referencia de interfaz de línea de comandos de NSX.
- Si desea especificar el protocolo TLS para configurar un servidor de registro remoto, copie los certificados del servidor, los certificados de cliente y la clave de cliente en /var/vmware/nsx/file-store en cada SVM de Prevención de malware de NSX mediante el comando de la CLI copy url <url> [file <filename>].
En el siguiente ejemplo, el comando copy se ejecuta en la SVM. Por lo tanto, de forma predeterminada, el archivo client-key.pem de la ubicación de origen se copia en /var/vmware/nsx/file-store en la SVM.
Ejemplo:svm> copy url scp://[email protected]:/home/user/openssl/client-key.pem The authenticity of host '1.2.3.4 (1.2.3.4)' can't be established. ECDSA key fingerprint is SHA256:abcdabcdabcdabcdabcdabcdabcdabcdabcdabcd. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '1.2.3.4' (ECDSA) to the list of known hosts. [email protected]'s password: client-key.pem 100% 1704 8.0KB/s 00:00
- Para configurar una conexión segura a un servidor de registros remoto, compruebe que el servidor esté configurado con certificados firmados por una entidad de certificación. Por ejemplo, si tiene un servidor de Aria Operations for Logs vrli.prome.local como servidor de registro, puede ejecutar el siguiente comando desde un cliente para ver la cadena de certificados en el servidor de registros:
root@caserver:~# echo -n | openssl s_client -connect vrli.prome.local:443 | sed -ne '/^Certificate chain/,/^---/p' depth=2 C = US, L = California, O = GS, CN = Orange Root Certification Authority verify error:num=19:self signed certificate in certificate chain Certificate chain 0 s:/C=US/ST=California/L=HTG/O=GSS/CN=vrli.prome.local i:/C=US/L=California/O=GS/CN=Green Intermediate Certification Authority 1 s:/C=US/L=California/O=GS/CN=Green Intermediate Certification Authority i:/C=US/L=California/O=GS/CN=Orange Root Certification Authority 2 s:/C=US/L=California/O=GS/CN=Orange Root Certification Authority i:/C=US/L=California/O=GS/CN=Orange Root Certification Authority --- DONE