Después de configurar la integración de vRealize Log Insight con NSX Identity Firewall (IDFW), agregue un proveedor de identidad de terceros predefinido, como GlobalProtect o ClearPass a la configuración. También puede agregar un proveedor de identidad personalizado.

Requisitos previos

  • Compruebe que haya iniciado sesión en la interfaz de usuario web de vRealize Log Insight como usuario superadministrador o como usuario asociado a una función que tenga los permisos correspondientes. Consulte Crear y modificar funciones para obtener más información. El formato URL de la interfaz de usuario web es https://host-log-insight, donde host-log-insight es la dirección IP o el nombre del host del dispositivo virtual de vRealize Log Insight.
  • Compruebe que tiene una configuración de integración de IDFW en vRealize Log Insight.

Procedimiento

  1. Desplácese hasta la pestaña Administración.
  2. En Integración, haga clic en Firewall de identidad de NSX.
  3. En Proveedor, haga clic en Nuevo proveedor.
  4. Introduzca la siguiente información:
    Opción Descripción
    Nombre Un nombre único para su proveedor de identidad.
    Tipo

    El tipo de proveedor de identidad. Puede seleccionar un proveedor predefinido, como GlobalProtect o ClearPass, o un proveedor personalizado.

    Si selecciona un proveedor predefinido, los patrones de expresión regular para Nombre de usuario, Dirección IP, Dominio y Tipo de evento se rellenan en función del proveedor. Puede modificar estos valores.

    Si selecciona un proveedor personalizado, debe introducir los patrones de expresión regular para Nombre de usuario, Dirección IP y Dominio.
    Nombre de usuario El patrón de expresión regular para identificar el nombre de usuario en los registros de su proveedor.
    Dirección IP El patrón de expresión regular para identificar la dirección IP en los registros de su proveedor.
    Dominio El patrón de expresión regular para identificar el dominio en los registros de su proveedor.
    Tipo de evento

    El patrón de expresión regular para identificar el tipo de evento en los registros de su proveedor.

    El tipo de evento para los proveedores personalizados es Inicio de sesión y no es obligatorio. Si desea otro valor, introduzca un patrón de expresión regular para identificar el tipo de evento.
    Origen

    Uno o varios FQDN o direcciones IP de origen. Puede separar varias entradas mediante comas.

    vRealize Log Insight analiza los registros solo desde los orígenes que introduce para su proveedor, para obtener un rendimiento y una seguridad óptimos.
    • Para garantizar un rendimiento óptimo, vRealize Log Insight aplica los patrones de expresión regular solo a los registros de los orígenes seleccionados.
    • Para garantizar la seguridad, vRealize Log Insight envía solo datos válidos de orígenes conocidos a NSX Manager.
    Nota:
    • Para los proveedores personalizados que envían registros a través de syslog, se aplican los patrones de expresión regular de los campos al mensaje y no a los encabezados de syslog.
    • Los patrones de expresión regular distinguen entre mayúsculas y minúsculas.
    • Para las definiciones de campo de expresión regular, debe utilizar una expresión regular basada en Java.
    • El reenvío de registros desde una instancia de vRealize Log Insight puede cambiar el origen, que se utiliza para la configuración del proveedor. Alternativamente, envíe los registros directamente desde el proveedor de identidad a vRealize Log Insight.
    • Asegúrese de que el origen de un proveedor sea único dentro del alcance de una configuración de integración de IDFW de NSX.
    • Los proveedores predefinidos se configuran para ciertas versiones de los proveedores de identidad, que están disponibles en la interfaz de usuario de vRealize Log Insight. Es posible que el patrón de expresión regular rellenado previamente no sea preciso para otras versiones.
  5. Haga clic en Guardar.

Resultados

vRealize Log Insight analiza los registros de autenticación del proveedor de identidad, extrae la información de asignación de ID de usuario a IP y envía los datos a NSX Manager. En función de estos datos, el IDFW define las reglas de firewall basadas en la identidad y las aplica a los usuarios para el control de acceso.

Ejemplo: Análisis de expresión regular para registros de GlobalProtect y ClearPass

  • Considere el siguiente ejemplo de registro de un proveedor de GlobalProtect:

    Apr 8 14:35:19 PA-500-GW-1-EAT1 1,2021/04/08 14:35:19,009401010000,USERID,login,2049,2021/04/08 14:35:19,vsys1,10.20.30.40,vmware\john,UID-SJC31,0,1,10800,0,0,agent,,79021111,0x8000000000000000,0,0,0,0,,PA-500-GW-1-EAT1,1,,2021/04/08 14:35:28,1,0x80000000,vmware\john

    La siguiente tabla muestra la asignación entre los patrones de expresión regular y los valores del ejemplo de registro, que vRealize Log Insight envía a NSX Manager.

    Opción Patrón de expresión regular Valor de registro
    Nombre de usuario \\(\w+)\, john
    Dirección IP \,(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})\, 10.20.30.40
    Dominio \,(\w+)\\ vmware
    Tipo de evento USERID\,(\w+)\, login

  • Considere la siguiente muestra de registro de un proveedor de ClearPass:

    2021-08-19 13:47:46,797 10.10.100.10 Insight Logs 10000111 1 0 Auth.Username=smith,Auth.Service=SOF6 vrealize SSID EAP-TLS Service,Auth.NAS-IP-Address=10.02.20.02,Auth.Host-MAC-Address=111aaaaab10b,Auth.Protocol=RADIUS,Auth.Login-Status=9002,Auth.Enforcement-Profiles=[Deny Access Profile]

    La siguiente tabla muestra la asignación entre los patrones de expresión regular y los valores del ejemplo de registro, que vRealize Log Insight envía a NSX Manager.

    Opción Patrón de expresión regular Valor de registro
    Nombre de usuario Username=(\w+) smith
    Dirección IP Address=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}) 10.02.20.02
    Dominio SOF6\s+(\w+) vrealize
    Tipo de evento Auth.(\w+)-Status= Login