La fonctionnalité Protection contre les programmes malveillants NSX s'exécute sur les dispositifs NSX Edge, la machine virtuelle de service (sur les hôtes ESXi) et NSX Application Platform. Les journaux de produit générés sur les dispositifs NSX Edge et les machines virtuelles de service sont conformes à la norme de message de journal RFC 5424. Protection contre les programmes malveillants NSX est pris en charge uniquement sur les hôtes ESXi.

Messages de journal

Sur les dispositifs NSX, les messages Syslog sont conformes à la norme RFC 5424. Des fichiers journaux de produit supplémentaires sont écrits dans le répertoire /var/log.

  • Sur un dispositif NSX Edge, les messages du journal d'analyse de programmes malveillants des fichiers extraits sont fournis par le service de protection contre les programmes malveillants de passerelle sur la passerelle de niveau 1 active.
  • Sur un hôte ESXi, les messages du journal d'analyse de programmes malveillants des fichiers téléchargés sur les machines virtuelles de charge de travail, qui s'exécutent sur l'hôte, sont fournis par la machine virtuelle du service de protection contre les programmes malveillants sur l'hôte ESXi.
  • Pour les fichiers extraits par le service de protection contre les programmes malveillants de passerelle et le service de protection contre les programmes malveillants distribués, les messages du journal d'analyse de programmes malveillants sont fournis par le microservice d'analyse de sécurité, qui s'exécute sur la NSX Application Platform.

La journalisation à distance est également prise en charge. Pour utiliser les journaux de la fonctionnalité Protection contre les programmes malveillants NSX, vous pouvez configurer les dispositifs NSX Edge et NSX Application Platform afin qu'ils envoient ou redirigent les journaux vers un serveur de journalisation distant.

Configurer la journalisation à distance sur NSX Edge

Vous devez configurer la journalisation à distance sur chaque nœud NSX Edge individuellement. Pour configurer le serveur de journalisation à distance sur un nœud NSX Edge à l'aide de la CLI de NSX, reportez-vous à Configurer la journalisation à distance.

Pour configurer le serveur de journalisation à distance sur un nœud NSX Edge à l'aide de l'interface utilisateur de NSX Manager, reportez-vous à Ajouter des serveurs Syslog pour des nœuds NSX.

Configurer la journalisation à distance sur NSX Application Platform

Pour envoyer les messages des journaux de NSX Application Platform à un serveur de journalisation externe, vous devez exécuter une REST API.

Pour plus d'informations sur la REST API, ainsi que des exemples de corps de demande, de réponse et de code, reportez-vous au portail VMware Developer Documentation.

Configurer la journalisation à distance sur la machine virtuelle de service Protection contre les programmes malveillants NSX

Cette fonctionnalité n'est actuellement pas prise en charge. Cependant, comme solution, vous pouvez copier le fichier Syslog à partir de chaque machine virtuelle de service (SVM) Protection contre les programmes malveillants NSX en vous connectant à la SVM avec une connexion SSH.

L'accès SSH à l'utilisateur admin de la SVM est basé sur des clés (paire de clés publique-privée). Une clé publique est nécessaire lorsque vous déployez le service sur un cluster d'hôtes ESXi et une clé privée est nécessaire lorsque vous souhaitez démarrer une session SSH sur la SVM.

Pour plus d'informations, reportez-vous à la section Se connecter à la machine virtuelle de service Protection contre les programmes malveillants NSX

Après vous être connecté à la SVM, utilisez la commande sftp ou scp pour copier le fichier Syslog du répertoire /var/log à ce moment précis. Si plusieurs fichiers Syslog sont disponibles à cet emplacement, ils sont compressés et stockés au même chemin d'accès.

Informations sur la journalisation

Reportez-vous à la section Messages de journal et codes d'erreur.

Interpréter les journaux d'événement Protection contre les programmes malveillants NSX

Le format des messages de journal des événements Protection contre les programmes malveillants NSX sur la machine virtuelle de service et NSX Edge est le même. Cependant, pour les événements sur la NSX Application Platform, le format des messages de journal est différent.

Le journal des événements suivant est généré par le microservice sa-events-processor, qui est un espace qui s'exécute sur NSX Application Platform.

Exemple :

{"log":"{\"log\":\"\\u001b[37m2022-06-01T01:42:58,725\\u001b[m \\u001b[32mINFO \\u001b[m[\\u001b[1;34mfileEventConsumer-1\\u001b[m] \\u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\\u001b[m: SECURITY [nsx@6876 comp=\\\"nsx-manager\\\" level=\\\"INFO\\\" subcomp=\\\"manager\\\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)\\n\",\"stream\":\"stdout\",\"time\":\"2022-06-01T01:42:58.725811209Z\"}","log_processed":{"log":"\u001b[37m2022-06-01T01:42:58,725\u001b[m \u001b[32mINFO \u001b[m[\u001b[1;34mfileEventConsumer-1\u001b[m] \u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\u001b[m: SECURITY [nsx@6876 comp=\"nsx-manager\" level=\"INFO\" subcomp=\"manager\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)","stream":"stdout","time":"2022-06-01T01:42:58.725811209Z"},"kubernetes":{"pod_name":"sa-events-processor-55bcfcc46d-4jftf","namespace_name":"nsxi-platform","pod_id":"305953f7-836b-4bbb-ba9e-00fdf68de4ae","host":"worker03","container_name":"sa-events-processor","docker_id":"93f81f278898e6ce3e14d9a37e0e10a502c46fe53c9ad61680aed48b94f7f8bf","container_hash":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor@sha256:b617f4bb9f3ea5767839e39490a78169f7f3d54826b89638e4a950e391405ae4","container_image":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor:19067767"}}
Note : Cet exemple de journal des événements n'est fourni qu'à titre indicatif. Le format et le contenu peuvent changer parmi les principales versions de NSX.

Dans cet exemple de journal des événements, notez qu'en dehors des attributs de journal standard, tels que date (2022-06-01T00:42:58,326), log level (INFO) et des attributs filtrables, tels que module (SECURITY), container_name (sa-events-processor), des attributs supplémentaires sont présents dans un format de style JSON. Le tableau suivant répertorie ces attributs supplémentaires.

Clé Exemple de valeur

id

0

sha256

29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d

sha1

549cb3f1c85c4ef7fb06dcd33d68cba073b260ec

md5

65b9b68668bb6860e3144866bf5dab85

fileName

drupdate.dll

fileType

PeExeFile

fileSize

287024

inspectionTime

1654047770305

clientPort

0

clientIP

null

clientFqdn

null

clientVmId

500cd1b6-96b6-4567-82f4-231a63dead81

serverPort

0

serverIp

null

serverFqdn

null

serverVmId

null

applicationProtocol

null

submittedBy

SYSTEM

isFoundByAsds

true

isBlocked

false

allowListed

false

verdict

BENIGN

score

0

analystUuid

null
submissionUuid null
tnId 38c58796-9983-4a41-b9f2-dc309bd3458d

malwareClass

null

malwareFamily

null

errorCode

null

errorMessage

null

nodeType

1

gatewayId

analysisStatus

COMPLETED

followupEvent

false

httpDomain

null

httpMethod

null

path

null

referer

null

userAgent

null

contentDispositionFileName

null

isFileUploaded

false

startTime

1654047768828

endTime

1654047768844

ttl

1654220570304

Résolution des problèmes de Syslog

Si le serveur de journalisation distant que vous avez configuré ne peut pas recevoir les messages de journal, reportez-vous à la section Résolution des problèmes de Syslog.

Collecter des bundles de support