Vous pouvez afficher les journaux de flux de sécurité de l'environnement NSX-T Data Center 3.2 à l'aide de VMware vRealize Log Insight.

Les fonctionnalités de sécurité suivantes prennent en charge la journalisation de flux :
  • Inspection TLS
  • IDPS
  • Filtrage d'URL
Attention : Dans NSX-T Data Center 3.2, l'inspection TLS et IDPS sont disponibles en mode tech preview. Utilisez ces fonctionnalités uniquement à des fins expérimentales, VMware ne fournissant pas officiellement la prise en charge de ces fonctionnalités. Pour plus d'informations, reportez-vous à la section Fonctionnalités de tech preview des Notes de mise à jour de NSX-T Data Center.

Journaux de sécurité unifiés

Tous les secteurs verticaux de sécurité génèrent et enregistrent des journaux de flux de sécurité unifiés au format Journaux de sécurité unifiés dans un fichier journal unique sur un nœud. Ce journal unique est exporté vers le serveur Syslog configuré pour VMware vRealize Log Insight. VMware vRealize Log Insight traitera ensuite les journaux pour permettre une gestion, une analyse et une affichage supplémentaires des journaux à l'aide du pack de contenu NSX-T.

Afficher les journaux sur vRealize Log Insight

À partir de NSX-T Data Center 3.2, un nouveau tableau de bord « NSX - Journaux de flux de sécurité unifiés » est ajouté au pack de contenu NSX-T existant. Ce tableau de bord affiche les widgets de graphique, qui sont une représentation visuelle des journaux de flux de sécurité.

Le pack de contenu de VMware vRealize Log Insight est un plug-in. Il contient des tableaux de bord, des champs extraits, des requêtes enregistrées et des alertes associées à un produit ou un ensemble spécifique de journaux.

Le pack de contenu NSX-T est disponible sur le Marketplace VMware vRealize Log Insight.

Pour plus d'informations sur VMware vRealize Log Insight et sur l'installation d'un pack de contenu à partir du Marketplace de celui-ci, reportez-vous au chapitre Installer un pack de contenu à partir du Marketplace du pack de contenu dans le document Utilisation du produit VMware vRealize Log Insight.

N premiers et X dernières heures

Vous pouvez également interroger des événements dans VMware vRealize Log Insight pour obtenir les informations sur les N premiers au cours des X dernières heures à l'aide de l'analyse interactive et du pack de contenu.

Serveur de journalisation distant

Pour envoyer des journaux à un serveur de journalisation distant, les dispositifs et hyperviseurs NSX-T Data Center doivent être configurés avec la journalisation à distance sur chaque nœud séparément.

Note : Pour envoyer les journaux au serveur Syslog, vous devez vous assurer d'activer la journalisation pour les règles spécifiques sur NSX-T Manager.

Pour plus d'informations, reportez-vous à la section Configurer la journalisation à distance.

Si le serveur de journaux distant ne reçoit pas les journaux, reportez-vous à la section Résolution des problèmes de Syslog.

Format de journal de sécurité unifié

Vous pouvez également obtenir les journaux de flux sur /var/log/syslog | grep 'unified-logs' sur les dispositifs Edge. Par exemple, pour

Inspection TLS :
2021-10-12T09:00:46.192Z nsxedge-18734920-1-mps29 NSX 22621 SYSTEM [nsx@6876 comp="nsx-edge" 
subcomp="tls-proxy" s2comp="unified-logs" level="INFO"] {"event_type": "fw-flow-terminate-log", 
"event_trigger": ["fw-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "79427614-4a0d-2692-032c-eb4692f717a9", 
"node_uuid": "ec11a626-f425-3bc2-671d-a656500003b2"}, "flow": {"start": "2021-10-12T09:00:46.723Z", 
"end": "2021-10-12T09:00:46.773Z", "ip_ver": "ipv4", "flow_id": "0x1e0000704f000018", 
"src_ip": "192.168.100.160", "src_port": 25700, "dest_ip": "1.1.5.10", "dest_port": 443, "proto": "TCP", "tcp_flags": "",
"bytes_toserver": 95, "bytes_toclient": 29873, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 1002,
"direction": "", "rule_tag": ""}, "http": {"http_method": "", "hostname": "www.facebook.com", "url": "www.facebook.com/benign_pdf1.pdf", "scheme": "", "http_user_agent": "", "status": "",
"site_category": ""SOCIAL_NETWORK"", "site_reputation": "Trustworthy"},"tls_inspection": {"action": "PASS", "rule_id": 1008, "domain": "www.facebook.com", "cert_status": "ok", "tls_version_toserver": "TLSv1.2",
"cipher_to_server": "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "reason": "", "tls_rule_tag": "TLS External Rule"}, "idps": {"action": "PASS", "rule_id": 1007,
"ids_profile_id": "00000000-0000-0000-0000-000000000000", "alert_event": ["SOCIAL_NETWORK"], "protocol_event": ["http"]}, "app_id": {"app": ""APP_HTTP", "APP_FACEBOOK", "APP_SSL""}
IDPS :
2021-11-11T04:07:37.489Z nsxedge-18866667-2-NAT-fc-3-nov NSX 27330 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="datapathd" s2comp="unified-logs" level="INFO"]
 {"event_type": "fw-flow-terminate-log", "event_trigger": ["ids-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "544ee558-fad0-e624-019f-e8e3e0472c91", 
"node_uuid": "dabf16c9-ec11-833c-0c00-8c832f771729"}, "flow": {"start": "2021-11-11T04:07:07.000Z", "end": "2021-11-11T04:07:37.000Z",
"ip_ver": "ipv4", "flow_id": "0xd44d00306e0a0004", "src_ip": "1.1.1.10", "src_port": 35714, "dest_ip": "10.142.7.1", "dest_port": 53,
"proto": "UDP", "tcp_flags": "FPW", "bytes_toserver": 297878, "bytes_toclient": 71, "pkts_toserver": 71, "pkts_toclient": 1, 
"reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 2025, "direction": "", "rule_tag": ""},
"l7profile": {"entry_id": "00000000-0000-0000-0000-000000000000", "action": "PASS"}, 
"http": {"http_method": "", "hostname": "", "url": "", "scheme": "", "http_user_agent": "", "status": "", "site_category": "", 
"site_reputation": "UNKNOWN"}, "idps": {"action": "IDP_DETECT", "rule_id": 2028, "ids_profile_id": "9872e27a-ead4-4c93-af5f-4df1ec0c73e1", 
"alert_event": [], "protocol_event": []}, "app_id": {"app": ""APP_DNS""}}
Filtrage d'URL :
2021-11-08T08:30:59.208Z nsxedge-18866667-2-NAT-fc-3-nov NSX 9495 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="datapathd" s2comp="unified-logs" level="INFO"]
{"event_type": "fw-flow-terminate-log", "event_trigger": ["fw-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "544ee558-fad0-e624-019f-e8e3e0472c91",
"node_uuid": "dabf16c9-ec11-833c-0c00-8c832f771729"}, "flow": {"start": "2021-11-08T08:30:57.000Z", "end": "2021-11-08T08:30:59.000Z",
"ip_ver": "ipv4", "flow_id": "0x4001006c04000000", "src_ip": "1.1.1.10", "src_port": 43600, "dest_ip": "13.226.234.18", 
"dest_port": 80, "proto": "TCP", "tcp_flags": "FREW", "bytes_toserver": 54968, "bytes_toclient": 444, 
"pkts_toserver": 444, "pkts_toclient": 7, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 1004, "direction": "",
"rule_tag": ""}, "l7profile": {"entry_id": "e9580107-2749-471c-be82-715d530bf4d4", "action": "PASS"},
"http": {"http_method": "", "hostname": "", "url": "espn.com/", "scheme": "", "http_user_agent": "", "status": "",
"site_category": ""SPORTS"", "site_reputation": "TRUSTWORTHY"}, "app_id": {"app": ""APP_HTTP", "APP_ESPN""}}