La fonctionnalité Protection contre les programmes malveillants NSX s'exécute sur les dispositifs NSX Edge, la machine virtuelle de service (sur les hôtes ESXi) et NSX Application Platform. Les journaux de produit générés sur les dispositifs NSX Edge et les machines virtuelles de service sont conformes à la norme de message de journal RFC 5424. Protection contre les programmes malveillants NSX est pris en charge uniquement sur les hôtes ESXi.
Messages de journal
Sur les dispositifs NSX, les messages Syslog sont conformes à la norme RFC 5424. Des fichiers journaux de produit supplémentaires sont écrits dans le répertoire /var/log.
- Sur un dispositif NSX Edge, les messages du journal d'analyse de programmes malveillants des fichiers extraits sont fournis par le service de protection contre les programmes malveillants de passerelle sur la passerelle de niveau 1 active.
- Sur un hôte ESXi, les messages du journal d'analyse de programmes malveillants des fichiers téléchargés sur les machines virtuelles de charge de travail, qui s'exécutent sur l'hôte, sont fournis par la machine virtuelle du service de protection contre les programmes malveillants sur l'hôte ESXi.
- Pour les fichiers extraits par le service de protection contre les programmes malveillants de passerelle et le service de protection contre les programmes malveillants distribués, les messages du journal d'analyse de programmes malveillants sont fournis par le microservice d'analyse de sécurité, qui s'exécute sur la NSX Application Platform.
La journalisation à distance est également prise en charge. Pour utiliser les journaux de la fonctionnalité Protection contre les programmes malveillants NSX, vous pouvez configurer les dispositifs NSX Edge et NSX Application Platform afin qu'ils envoient ou redirigent les journaux vers un serveur de journalisation distant.
Configurer la journalisation à distance sur NSX Edge
Vous devez configurer la journalisation à distance sur chaque nœud NSX Edge individuellement. Pour configurer le serveur de journalisation à distance sur un nœud NSX Edge à l'aide de la CLI de NSX, reportez-vous à Configurer la journalisation à distance.
Pour configurer le serveur de journalisation à distance sur un nœud NSX Edge à l'aide de l'interface utilisateur de NSX Manager, reportez-vous à Ajouter des serveurs Syslog pour des nœuds NSX.
Configurer la journalisation à distance sur NSX Application Platform
Pour envoyer les messages des journaux de NSX Application Platform à un serveur de journalisation externe, vous devez exécuter une REST API.
Pour plus d'informations sur la REST API, ainsi que des exemples de corps de demande, de réponse et de code, reportez-vous au portail VMware Developer Documentation.
Configurer la journalisation à distance sur la machine virtuelle de service Protection contre les programmes malveillants NSX
Cette fonctionnalité n'est actuellement pas prise en charge. Cependant, comme solution, vous pouvez copier le fichier Syslog à partir de chaque machine virtuelle de service (SVM) Protection contre les programmes malveillants NSX en vous connectant à la SVM avec une connexion SSH.
L'accès SSH à l'utilisateur admin de la SVM est basé sur des clés (paire de clés publique-privée). Une clé publique est nécessaire lorsque vous déployez le service sur un cluster d'hôtes ESXi et une clé privée est nécessaire lorsque vous souhaitez démarrer une session SSH sur la SVM.
Pour plus d'informations, reportez-vous à la section Se connecter à la machine virtuelle de service Protection contre les programmes malveillants NSX
Après vous être connecté à la SVM, utilisez la commande sftp ou scp pour copier le fichier Syslog du répertoire /var/log à ce moment précis. Si plusieurs fichiers Syslog sont disponibles à cet emplacement, ils sont compressés et stockés au même chemin d'accès.
Informations sur la journalisation
Reportez-vous à la section Messages de journal et codes d'erreur.
Interpréter les journaux d'événement Protection contre les programmes malveillants NSX
Le format des messages de journal des événements Protection contre les programmes malveillants NSX sur la machine virtuelle de service et NSX Edge est le même. Cependant, pour les événements sur la NSX Application Platform, le format des messages de journal est différent.
Le journal des événements suivant est généré par le microservice sa-events-processor, qui est un espace qui s'exécute sur NSX Application Platform.
Exemple :
{"log":"{\"log\":\"\\u001b[37m2022-06-01T01:42:58,725\\u001b[m \\u001b[32mINFO \\u001b[m[\\u001b[1;34mfileEventConsumer-1\\u001b[m] \\u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\\u001b[m: SECURITY [nsx@6876 comp=\\\"nsx-manager\\\" level=\\\"INFO\\\" subcomp=\\\"manager\\\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)\\n\",\"stream\":\"stdout\",\"time\":\"2022-06-01T01:42:58.725811209Z\"}","log_processed":{"log":"\u001b[37m2022-06-01T01:42:58,725\u001b[m \u001b[32mINFO \u001b[m[\u001b[1;34mfileEventConsumer-1\u001b[m] \u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\u001b[m: SECURITY [nsx@6876 comp=\"nsx-manager\" level=\"INFO\" subcomp=\"manager\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)","stream":"stdout","time":"2022-06-01T01:42:58.725811209Z"},"kubernetes":{"pod_name":"sa-events-processor-55bcfcc46d-4jftf","namespace_name":"nsxi-platform","pod_id":"305953f7-836b-4bbb-ba9e-00fdf68de4ae","host":"worker03","container_name":"sa-events-processor","docker_id":"93f81f278898e6ce3e14d9a37e0e10a502c46fe53c9ad61680aed48b94f7f8bf","container_hash":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor@sha256:b617f4bb9f3ea5767839e39490a78169f7f3d54826b89638e4a950e391405ae4","container_image":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor:19067767"}}
Dans cet exemple de journal des événements, notez qu'en dehors des attributs de journal standard, tels que date (2022-06-01T00:42:58,326), log level (INFO) et des attributs filtrables, tels que module (SECURITY), container_name (sa-events-processor), des attributs supplémentaires sont présents dans un format de style JSON. Le tableau suivant répertorie ces attributs supplémentaires.
| Clé | Exemple de valeur |
|---|---|
| id |
0 |
| sha256 |
29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d |
| sha1 |
549cb3f1c85c4ef7fb06dcd33d68cba073b260ec |
| md5 |
65b9b68668bb6860e3144866bf5dab85 |
| fileName |
drupdate.dll |
| fileType |
PeExeFile |
| fileSize |
287024 |
| inspectionTime |
1654047770305 |
| clientPort |
0 |
| clientIP |
null |
| clientFqdn |
null |
| clientVmId |
500cd1b6-96b6-4567-82f4-231a63dead81 |
| serverPort |
0 |
| serverIp |
null |
| serverFqdn |
null |
| serverVmId |
null |
| applicationProtocol |
null |
| submittedBy |
SYSTEM |
| isFoundByAsds |
true |
| isBlocked |
false |
| allowListed |
false |
| verdict |
BENIGN |
| score |
0 |
| analystUuid |
null |
| submissionUuid | null |
| tnId | 38c58796-9983-4a41-b9f2-dc309bd3458d |
| malwareClass |
null |
| malwareFamily |
null |
| errorCode |
null |
| errorMessage |
null |
| nodeType |
1 |
| gatewayId |
|
| analysisStatus |
COMPLETED |
| followupEvent |
false |
| httpDomain |
null |
| httpMethod |
null |
| path |
null |
| referer |
null |
| userAgent |
null |
| contentDispositionFileName |
null |
| isFileUploaded |
false |
| startTime |
1654047768828 |
| endTime |
1654047768844 |
| ttl |
1654220570304 |
Résolution des problèmes de Syslog
Si le serveur de journalisation distant que vous avez configuré ne peut pas recevoir les messages de journal, reportez-vous à la section Résolution des problèmes de Syslog.
Collecter des bundles de support
- Pour collecter des bundles de support pour les nœuds de gestion, les dispositifs NSX Edge et les hôtes, reportez-vous à la section Collecter des bundles de support.
- Pour collecter des bundles de support pour NSX Application Platform, reportez-vous à la documentation de Déploiement et gestion de VMware NSX Application Platform sur https://docs.vmware.com/fr/VMware-NSX/index.html.
