La función NSX Malware Prevention se ejecuta en instancias de NSX Edge, en máquinas virtuales de servicio (en hosts ESXi) y Plataforma de aplicaciones NSX. Los registros de productos generados en instancias de NSX Edge y máquinas virtuales de servicio cumplen con el estándar de mensajes de registro RFC 5424.
Mensajes de registro
En los dispositivos de NSX, los mensajes de syslog cumplen con el estándar RFC 5424. Los registros de productos adicionales se escriben en el directorio /var/log.
- En NSX Edge, el servicio de prevención de malware de puerta de enlace proporciona mensajes de registro de análisis de malware para archivos extraídos en la puerta de enlace de nivel 1 activa.
- En un host ESXi, la máquina virtual de servicio de prevención de malware del host ESXi proporciona mensajes de registro de análisis de malware para los archivos descargados en las máquinas virtuales de carga de trabajo que se ejecutan en el host.
- Para los archivos extraídos tanto por el servicio de prevención de malware de puerta de enlace como por el servicio de prevención de malware distribuido, el microservicio Security Analyzer, que se ejecuta en Plataforma de aplicaciones NSX, proporciona mensajes de registro de análisis de malware.
También se admite el registro remoto. Para consumir registros de funciones de NSX Malware Prevention, puede configurar las instancias de NSX Edge, Plataforma de aplicaciones NSX y máquinas virtuales de servicio de NSX Malware Prevention para enviar o redireccionar mensajes de registro a un servidor de registro remoto.
Registro remoto en NSX Edge
Es necesario configurar el registro remoto en cada nodo de NSX Edge de forma individual. Para configurar el servidor de registro remoto en un nodo de NSX Edge mediante la CLI de NSX, consulte Configurar registros remotos.
Para configurar el servidor de registro remoto en un nodo de NSX Edge mediante la UI de NSX Manager, consulte Agregar servidores syslog para nodos NSX.
Registro remoto en Plataforma de aplicaciones NSX
Para redirigir mensajes de registro de Plataforma de aplicaciones NSX a un servidor de registro externo, debe ejecutar una REST API.
Para obtener información sobre la REST API junto con el cuerpo de solicitud de muestra, la respuesta y las muestras de código, consulte el portal de Documentación para desarrolladores de VMware.
Registro remoto en la máquina virtual de servicio de NSX Malware Prevention
Esta funcionalidad se admite a partir de NSX 4.1.2.
- En NSX 4.1.2 o versiones posteriores
-
Para redireccionar mensajes de registro de máquinas virtuales de servicio (SVM) de NSX Malware Prevention a un servidor de registro externo, puede iniciar sesión en la SVM como un usuario admin y ejecutar comandos de la CLI NSX en la SVM. Para obtener más información, consulte Configurar el registro remoto en una máquina virtual de servicio de NSX Malware Prevention.
- En NSX 4.1.1 o versiones anteriores
-
No se admite la configuración de registros remotos en la SVM de NSX Malware Prevention. Sin embargo, puede copiar el archivo syslog de cada SVM de NSX Malware Prevention iniciando sesión en la SVM con una conexión SSH.
El acceso SSH al usuario admin de la SVM está basado en claves (par de claves pública-privada). Se necesita una clave pública cuando se implementa el servicio en un clúster de hosts ESXi, y se necesita una clave privada cuando se desea iniciar una sesión SSH en la SVM.
Para obtener más información, consulte Inicie sesión en la máquina virtual de servicio de NSX Malware Prevention..
Después de iniciar sesión en la SVM, utilice el comando sftp o scp para copiar el archivo syslog del directorio /var/log en ese momento específico. Si hay varios archivos de Syslog disponibles en esta ubicación, se comprimirán y se almacenarán en la misma ruta.
Más información sobre el registro
Consulte Mensajes de registro y códigos de error.
Interpretar mensajes de registro de eventos de NSX Malware Prevention
El formato de los mensajes de registro de los eventos de NSX Malware Prevention en la máquina virtual de servicio y NSX Edge es el mismo. Sin embargo, para los eventos en Plataforma de aplicaciones NSX, el formato de los mensajes de registro es diferente.
El microservicio sa-events-processor, que es un pod que se ejecuta en Plataforma de aplicaciones NSX, genera el siguiente mensaje de registro de eventos.
Ejemplo:
{"log":"{\"log\":\"\\u001b[37m2022-06-01T01:42:58,725\\u001b[m \\u001b[32mINFO \\u001b[m[\\u001b[1;34mfileEventConsumer-1\\u001b[m] \\u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\\u001b[m: SECURITY [nsx@6876 comp=\\\"nsx-manager\\\" level=\\\"INFO\\\" subcomp=\\\"manager\\\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)\\n\",\"stream\":\"stdout\",\"time\":\"2022-06-01T01:42:58.725811209Z\"}","log_processed":{"log":"\u001b[37m2022-06-01T01:42:58,725\u001b[m \u001b[32mINFO \u001b[m[\u001b[1;34mfileEventConsumer-1\u001b[m] \u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\u001b[m: SECURITY [nsx@6876 comp=\"nsx-manager\" level=\"INFO\" subcomp=\"manager\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)","stream":"stdout","time":"2022-06-01T01:42:58.725811209Z"},"kubernetes":{"pod_name":"sa-events-processor-55bcfcc46d-4jftf","namespace_name":"nsxi-platform","pod_id":"305953f7-836b-4bbb-ba9e-00fdf68de4ae","host":"worker03","container_name":"sa-events-processor","docker_id":"93f81f278898e6ce3e14d9a37e0e10a502c46fe53c9ad61680aed48b94f7f8bf","container_hash":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor@sha256:b617f4bb9f3ea5767839e39490a78169f7f3d54826b89638e4a950e391405ae4","container_image":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor:19067767"}}
En este mensaje de registro de eventos de ejemplo, observe que, además de los atributos de registro estándar, como date (2022-06-01T00:42:58,326), log level (INFO) y atributos filtrables, como module (SECURITY) y container_name (sa-events-processor), hay atributos adicionales en un formato de estilo JSON. En la siguiente tabla se enumeran estos atributos adicionales.
| Clave | Valor de muestreo |
|---|---|
| id |
0 |
| sha256 |
29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d |
| sha1 |
549cb3f1c85c4ef7fb06dcd33d68cba073b260ec |
| md5 |
65b9b68668bb6860e3144866bf5dab85 |
| fileName |
drupdate.dll |
| fileType |
PeExeFile |
| fileSize |
287024 |
| inspectionTime |
1654047770305 |
| clientPort |
0 |
| clientIP |
null |
| clientFqdn |
null |
| clientVmId |
500cd1b6-96b6-4567-82f4-231a63dead81 |
| serverPort |
0 |
| serverIp |
null |
| serverFqdn |
null |
| serverVmId |
null |
| applicationProtocol |
null |
| submittedBy |
SYSTEM |
| isFoundByAsds |
true |
| isBlocked |
false |
| allowListed |
false |
| verdict |
BENIGN |
| score |
0 |
| analystUuid |
null |
| submissionUuid | null |
| tnId | 38c58796-9983-4a41-b9f2-dc309bd3458d |
| malwareClass |
null |
| malwareFamily |
null |
| errorCode |
null |
| errorMessage |
null |
| nodeType |
1 |
| gatewayId |
|
| analysisStatus |
COMPLETED |
| followupEvent |
false |
| httpDomain |
null |
| httpMethod |
null |
| path |
null |
| referer |
null |
| userAgent |
null |
| contentDispositionFileName |
null |
| isFileUploaded |
false |
| startTime |
1654047768828 |
| endTime |
1654047768844 |
| ttl |
1654220570304 |
Solucionar problemas de syslog
Si el servidor de registros remoto que configuró no puede recibir registros, consulte Solucionar problemas de syslog.
Recopilar paquetes de soporte
- Para recopilar paquetes de soporte para nodos de administración, hosts e instancias de NSX Edge, consulte Recopilar paquetes de soporte.
- Para recopilar paquetes de soporte para Plataforma de aplicaciones NSX, consulte la documentación de Implementar y administrar VMware NSX Application Platform en https://docs.vmware.com/es/VMware-NSX/index.html.
- (En NSX 4.1.2 o versiones posteriores): para recopilar paquetes de soporte para SVM de NSX Malware Prevention que se ejecutan en clústeres de hosts de vSphere que están activados para el servicio de NSX Distributed Malware Prevention, consulte Recopilar paquetes de soporte para una máquina virtual de servicio de NSX Malware Prevention.
