EPSecLib reçoit des événements de l'agent hôte (MUX) Plate-forme NSX Guest Introspection de l'hôte ESXi.

Chemin du journal et exemple de message

Chemin du journal EPSecLib
/var/log/syslog

Les messages EPSecLib suivent le format <timestamp> <VM Name><Process Name><[PID]>: <message>

Dans l'exemple suivant, [ERROR] est le type de message et (EPSEC) représente les messages spécifiques des fonctionnalités qui utilisent Plate-forme NSX Guest Introspection.

Par exemple :
Oct 17 14:26:00 endpoint-virtual-machine EPSecTester[7203]: [NOTICE] (EPSEC)
 [7203] Initializing EPSec library build: build-00000
 
Oct 17 14:37:41 endpoint-virtual-machine EPSecSample: [ERROR] (EPSEC) [7533] Event 
terminated reading file. Ex: VFileGuestEventTerminated@tid=7533: Event id: 3554.

Collecte des journaux

Pour activer la journalisation de débogage de la bibliothèque EPSec, qui est un composant de tout service qui utilise Plate-forme NSX Guest Introspection :
  1. Collaborez avec le fournisseur de sécurité antivirus ou Protection contre les programmes malveillants NSX pour activer l'accès à la console ou SSH à la SVM. Suivez les instructions fournies par le partenaire pour activer l'accès à la console ou SSH.
  2. Connectez-vous à la SVM EPP ou Protection contre les programmes malveillants NSX en obtenant le mot de passe de console auprès de NSX Manager.
  3. Créez le fichier /etc/epseclib.conf et ajoutez :

    ENABLE_DEBUG=TRUE

    ENABLE_SUPPORT=TRUE

    Les journaux de débogage sont disponibles dans (RHEL/SLES/CentOS) /var/log/messages ou dans (Ubuntu) /var/log/syslog. Étant donné que le paramètre de débogage peut saturer le fichier /var/log, désactivez le mode de débogage dès que vous avez collecté toutes les informations requises.

  4. Modifiez les autorisations en exécutant la commande chmod 644 /etc/epseclib.conf.
  5. Collaborez avec le partenaire antivirus ou Protection contre les programmes malveillants NSX pour extraire les journaux générés pour la SVM.
  6. Pour Protection contre les programmes malveillants NSX, configurez la VM du Hub de sécurité pour activer EPSecLib.