Utilisation de vRealize Log Insight pour les journaux de sécurité unifiés

Vous pouvez afficher les journaux de flux de sécurité de l'environnement NSX-T Data Center à l'aide de VMware vRealize Log Insight.

Les fonctionnalités de sécurité suivantes prennent en charge la journalisation de flux :

Inspection TLS
IDPS de passerelle
Filtrage d'URL

Note :

À partir de NSX-T Data Center 3.2.1, l'inspection TLS et le système IDPS de passerelle sont disponibles pour les environnements de production et sont entièrement pris en charge. Dans NSX-T Data Center 3.2.0, ces fonctionnalités n'étaient disponibles qu'en mode tech preview. Pour plus d'informations, reportez-vous à Notes de mise à jour de NSX-T Data Center.

Journaux de sécurité unifiés

Tous les secteurs verticaux de sécurité génèrent et enregistrent des journaux de flux de sécurité unifiés au format Journaux de sécurité unifiés dans un fichier journal unique sur un nœud. Ce journal unique est exporté vers le serveur Syslog configuré pour VMware vRealize Log Insight. VMware vRealize Log Insight traite ensuite les journaux pour permettre une gestion, une analyse et un affichage supplémentaires des journaux à l'aide du pack de contenu NSX-T.

Afficher les journaux sur vRealize Log Insight

Un nouveau tableau de bord « NSX - Journaux de flux de sécurité unifiés » est ajouté au pack de contenu NSX-T existant. Ce tableau de bord affiche les widgets de graphique, qui sont une représentation visuelle des journaux de flux de sécurité.

Le pack de contenu de VMware vRealize Log Insight est un plug-in. Il contient des tableaux de bord, des champs extraits, des requêtes enregistrées et des alertes associées à un produit ou un ensemble spécifique de journaux.

Le pack de contenu NSX-T est disponible sur le Marketplace VMware vRealize Log Insight.

Pour plus d'informations sur VMware vRealize Log Insight et sur l'installation d'un pack de contenu à partir du Marketplace de celui-ci, reportez-vous au chapitre Installer un pack de contenu à partir du Marketplace du pack de contenu dans le document Utilisation du produit VMware vRealize Log Insight.

N premiers et X dernières heures

Vous pouvez également interroger des événements dans VMware vRealize Log Insight pour obtenir les informations sur les N premiers au cours des X dernières heures à l'aide de l'analyse interactive et du pack de contenu.

Serveur de journalisation distant

Pour envoyer des journaux à un serveur de journalisation distant, les dispositifs et hyperviseurs NSX-T Data Center doivent être configurés avec la journalisation à distance sur chaque nœud séparément.

Note : Pour envoyer les journaux au serveur Syslog, vous devez activer la journalisation pour les règles spécifiques sur NSX-T Manager.

Pour plus d'informations, reportez-vous à la section Configurer la journalisation à distance.

Si le serveur de journaux distant ne reçoit pas les journaux, reportez-vous à la section Résolution des problèmes de Syslog.

Format de journal de sécurité unifié

Sur un nœud Edge, les journaux de flux de sécurité unifiés sont stockés dans /var/log/syslog. Vous pouvez vous connecter en tant que root et utiliser la commande grep pour rechercher des journaux unifiés dans ce fichier. Par exemple :

cat /var/log/syslog | grep 'unified-logs'

Exemples de messages de journal :

Inspection TLS

2021-10-12T09:00:46.192Z nsxedge-18734920-1-mps29 NSX 22621 SYSTEM [nsx@6876 comp="nsx-edge" 
subcomp="tls-proxy" s2comp="unified-logs" level="INFO"] {"event_type": "fw-flow-terminate-log", 
"event_trigger": ["fw-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "79427614-4a0d-2692-032c-eb4692f717a9", 
"node_uuid": "ec11a626-f425-3bc2-671d-a656500003b2"}, "flow": {"start": "2021-10-12T09:00:46.723Z", 
"end": "2021-10-12T09:00:46.773Z", "ip_ver": "ipv4", "flow_id": "0x1e0000704f000018", 
"src_ip": "192.168.100.160", "src_port": 25700, "dest_ip": "1.1.5.10", "dest_port": 443, "proto": "TCP", "tcp_flags": "",
"bytes_toserver": 95, "bytes_toclient": 29873, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 1002,
"direction": "", "rule_tag": ""}, "http": {"http_method": "", "hostname": "www.facebook.com", "url": "www.facebook.com/benign_pdf1.pdf", "scheme": "", "http_user_agent": "", "status": "",
"site_category": ""SOCIAL_NETWORK"", "site_reputation": "Trustworthy"},"tls_inspection": {"action": "PASS", "rule_id": 1008, "domain": "www.facebook.com", "cert_status": "ok", "tls_version_toserver": "TLSv1.2",
"cipher_to_server": "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "reason": "", "tls_rule_tag": "TLS External Rule"}, "idps": {"action": "PASS", "rule_id": 1007,
"ids_profile_id": "00000000-0000-0000-0000-000000000000", "alert_event": ["SOCIAL_NETWORK"], "protocol_event": ["http"]}, "app_id": {"app": ""APP_HTTP", "APP_FACEBOOK", "APP_SSL""}

IDPS de passerelle

2021-11-11T04:07:37.489Z nsxedge-18866667-2-NAT-fc-3-nov NSX 27330 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="datapathd" s2comp="unified-logs" level="INFO"]
 {"event_type": "fw-flow-terminate-log", "event_trigger": ["ids-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "544ee558-fad0-e624-019f-e8e3e0472c91", 
"node_uuid": "dabf16c9-ec11-833c-0c00-8c832f771729"}, "flow": {"start": "2021-11-11T04:07:07.000Z", "end": "2021-11-11T04:07:37.000Z",
"ip_ver": "ipv4", "flow_id": "0xd44d00306e0a0004", "src_ip": "1.1.1.10", "src_port": 35714, "dest_ip": "10.142.7.1", "dest_port": 53,
"proto": "UDP", "tcp_flags": "FPW", "bytes_toserver": 297878, "bytes_toclient": 71, "pkts_toserver": 71, "pkts_toclient": 1, 
"reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 2025, "direction": "", "rule_tag": ""},
"l7profile": {"entry_id": "00000000-0000-0000-0000-000000000000", "action": "PASS"}, 
"http": {"http_method": "", "hostname": "", "url": "", "scheme": "", "http_user_agent": "", "status": "", "site_category": "", 
"site_reputation": "UNKNOWN"}, "idps": {"action": "IDP_DETECT", "rule_id": 2028, "ids_profile_id": "9872e27a-ead4-4c93-af5f-4df1ec0c73e1", 
"alert_event": [], "protocol_event": []}, "app_id": {"app": ""APP_DNS""}}

Filtrage d'URL

2021-11-08T08:30:59.208Z nsxedge-18866667-2-NAT-fc-3-nov NSX 9495 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="datapathd" s2comp="unified-logs" level="INFO"]
{"event_type": "fw-flow-terminate-log", "event_trigger": ["fw-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "544ee558-fad0-e624-019f-e8e3e0472c91",
"node_uuid": "dabf16c9-ec11-833c-0c00-8c832f771729"}, "flow": {"start": "2021-11-08T08:30:57.000Z", "end": "2021-11-08T08:30:59.000Z",
"ip_ver": "ipv4", "flow_id": "0x4001006c04000000", "src_ip": "1.1.1.10", "src_port": 43600, "dest_ip": "13.226.234.18", 
"dest_port": 80, "proto": "TCP", "tcp_flags": "FREW", "bytes_toserver": 54968, "bytes_toclient": 444, 
"pkts_toserver": 444, "pkts_toclient": 7, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 1004, "direction": "",
"rule_tag": ""}, "l7profile": {"entry_id": "e9580107-2749-471c-be82-715d530bf4d4", "action": "PASS"},
"http": {"http_method": "", "hostname": "", "url": "espn.com/", "scheme": "", "http_user_agent": "", "status": "",
"site_category": ""SPORTS"", "site_reputation": "TRUSTWORTHY"}, "app_id": {"app": ""APP_HTTP", "APP_ESPN""}}