La fonctionnalité Protection contre les programmes malveillants NSX s'exécute sur les dispositifs NSX Edge, la machine virtuelle de service (sur les hôtes ESXi) et NSX Application Platform. Les journaux de produit générés sur les dispositifs NSX Edge et les machines virtuelles de service sont conformes à la norme de message de journal RFC 5424.
Messages de journal
Sur les dispositifs NSX, les messages Syslog sont conformes à la norme RFC 5424. Des fichiers journaux de produit supplémentaires sont écrits dans le répertoire /var/log.
- Sur un dispositif NSX Edge, les messages du journal d'analyse des programmes malveillants pour les fichiers extraits sont fournis par le service de protection contre les programmes malveillants de passerelle sur la passerelle de niveau 1 active.
- Sur un hôte ESXi, les messages du journal d'analyse des programmes malveillants pour les fichiers téléchargés sur les machines virtuelles de charge de travail, qui s'exécutent sur l'hôte, sont fournis par la machine virtuelle du service de protection contre les programmes malveillants sur l'hôte ESXi.
- Pour les fichiers extraits par le service de protection contre les programmes malveillants de passerelle et le service de protection contre les programmes malveillants distribués, les messages du journal d'analyse des programmes malveillants sont fournis par le microservice d'analyse de sécurité, qui s'exécute sur la NSX Application Platform.
La journalisation à distance est également prise en charge. Pour utiliser les journaux de la fonctionnalité Protection contre les programmes malveillants NSX, vous pouvez configurer les dispositifs NSX Edge, la NSX Application Platform et les machines virtuelles de service Protection contre les programmes malveillants NSX pour envoyer ou rediriger les messages de journal vers un serveur de journalisation distant.
Journalisation à distance sur NSX Edge
Vous devez configurer la journalisation à distance sur chaque nœud NSX Edge individuellement. Pour configurer le serveur de journalisation à distance sur un nœud NSX Edge à l'aide de la CLI de NSX, reportez-vous à Configurer la journalisation à distance.
Pour configurer le serveur de journalisation à distance sur un nœud NSX Edge à l'aide de l'interface utilisateur de NSX Manager, reportez-vous à Ajouter des serveurs Syslog pour des nœuds NSX.
Journalisation à distance sur NSX Application Platform
Pour rediriger les fichiers journaux de la NSX Application Platform vers un serveur de journalisation externe, vous devez exécuter une demande REST API.
Pour plus d'informations sur la demande REST API, ainsi que des exemples de corps de demande, de réponse et de code, reportez-vous au portail VMware Developer Documentation.
Journalisation à distance sur la machine virtuelle de service Protection contre les programmes malveillants NSX
Cette fonctionnalité est prise en charge à partir de NSX 4.1.2.
- Dans NSX 4.1.2 ou version ultérieure
-
Pour rediriger les messages de journal de la machine virtuelle de service (SVM) Protection contre les programmes malveillants NSX vers un serveur de journalisation externe, vous pouvez vous connecter à la SVM en tant qu'utilisateur admin et exécuter les commandes CLI NSX sur la SVM. Pour en savoir plus, reportez-vous à la section Configurer la journalisation à distance sur la machine virtuelle de service Protection contre les programmes malveillants NSX.
- Dans NSX 4.1.1 ou version antérieure
-
La configuration de la journalisation à distance sur la SVM Protection contre les programmes malveillants NSX n'est pas prise en charge. Cependant, vous pouvez copier le fichier Syslog à partir de chaque SVM Protection contre les programmes malveillants NSX en vous connectant à la SVM avec une connexion SSH.
L'accès SSH à l'utilisateur admin de la SVM est basé sur des clés (paire de clés publique-privée). Une clé publique est nécessaire lorsque vous déployez le service sur un cluster d'hôtes ESXi et une clé privée est nécessaire lorsque vous souhaitez démarrer une session SSH sur la SVM.
Pour plus d'informations, reportez-vous à la section Se connecter à la machine virtuelle de service Protection contre les programmes malveillants NSX.
Après vous être connecté à la SVM, utilisez la commande sftp ou scp pour copier le fichier Syslog du répertoire /var/log à ce moment là. Si plusieurs fichiers Syslog sont disponibles à cet emplacement, ils sont compressés et stockés au même chemin d'accès.
Informations sur la journalisation
Reportez-vous à la section Messages de journal et codes d'erreur.
Interpréter les messages du journal des événements Protection contre les programmes malveillants NSX
Le format des messages du journal des événements Protection contre les programmes malveillants NSX sur la machine virtuelle de service et NSX Edge est le même. Cependant, pour les événements sur la NSX Application Platform, le format des messages de journal est différent.
Le message du journal des événements suivant est généré par le microservice sa-events-processor
, qui est un espace qui s'exécute sur la NSX Application Platform.
Exemple :
{"log":"{\"log\":\"\\u001b[37m2022-06-01T01:42:58,725\\u001b[m \\u001b[32mINFO \\u001b[m[\\u001b[1;34mfileEventConsumer-1\\u001b[m] \\u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\\u001b[m: SECURITY [nsx@6876 comp=\\\"nsx-manager\\\" level=\\\"INFO\\\" subcomp=\\\"manager\\\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)\\n\",\"stream\":\"stdout\",\"time\":\"2022-06-01T01:42:58.725811209Z\"}","log_processed":{"log":"\u001b[37m2022-06-01T01:42:58,725\u001b[m \u001b[32mINFO \u001b[m[\u001b[1;34mfileEventConsumer-1\u001b[m] \u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\u001b[m: SECURITY [nsx@6876 comp=\"nsx-manager\" level=\"INFO\" subcomp=\"manager\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)","stream":"stdout","time":"2022-06-01T01:42:58.725811209Z"},"kubernetes":{"pod_name":"sa-events-processor-55bcfcc46d-4jftf","namespace_name":"nsxi-platform","pod_id":"305953f7-836b-4bbb-ba9e-00fdf68de4ae","host":"worker03","container_name":"sa-events-processor","docker_id":"93f81f278898e6ce3e14d9a37e0e10a502c46fe53c9ad61680aed48b94f7f8bf","container_hash":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor@sha256:b617f4bb9f3ea5767839e39490a78169f7f3d54826b89638e4a950e391405ae4","container_image":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor:19067767"}}
Dans cet exemple de message du journal des événements, notez qu'en dehors des attributs de journal standard, tels que date
(2022-06-01T00:42:58,326), log level
(INFO) et des attributs filtrables, tels que module
(SECURITY), container_name
(sa-events-processor), des attributs supplémentaires sont présents dans un format de style JSON. Le tableau suivant répertorie ces attributs supplémentaires.
Clé | Exemple de valeur |
---|---|
id |
0 |
sha256 |
29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d |
sha1 |
549cb3f1c85c4ef7fb06dcd33d68cba073b260ec |
md5 |
65b9b68668bb6860e3144866bf5dab85 |
fileName |
drupdate.dll |
fileType |
PeExeFile |
fileSize |
287024 |
inspectionTime |
1654047770305 |
clientPort |
0 |
clientIP |
null |
clientFqdn |
null |
clientVmId |
500cd1b6-96b6-4567-82f4-231a63dead81 |
serverPort |
0 |
serverIp |
null |
serverFqdn |
null |
serverVmId |
null |
applicationProtocol |
null |
submittedBy |
SYSTEM |
isFoundByAsds |
true |
isBlocked |
false |
allowListed |
false |
verdict |
BENIGN |
score |
0 |
analystUuid |
null |
submissionUuid | null |
tnId | 38c58796-9983-4a41-b9f2-dc309bd3458d |
malwareClass |
null |
malwareFamily |
null |
errorCode |
null |
errorMessage |
null |
nodeType |
1 |
gatewayId |
|
analysisStatus |
COMPLETED |
followupEvent |
false |
httpDomain |
null |
httpMethod |
null |
path |
null |
referer |
null |
userAgent |
null |
contentDispositionFileName |
null |
isFileUploaded |
false |
startTime |
1654047768828 |
endTime |
1654047768844 |
ttl |
1654220570304 |
Résolution des problèmes de Syslog
Si le serveur de journaux distant que vous avez configuré ne peut pas recevoir de journaux, reportez-vous à la section Résolution des problèmes de Syslog.
Collecter des bundles de support
- Pour collecter des bundles de support pour les nœuds de gestion, les dispositifs NSX Edge et les hôtes, reportez-vous à la section Collecter des bundles de support.
- Pour collecter des bundles de support pour NSX Application Platform, reportez-vous à la documentation de Déploiement et gestion de VMware NSX Application Platform sur https://docs.vmware.com/fr/VMware-NSX/index.html.
- (Dans NSX 4.1.2 ou version ultérieure) : pour collecter des bundles de support pour les SVM Protection contre les programmes malveillants NSX s'exécutant sur des clusters d'hôtes vSphere activés pour le service Protection contre les programmes malveillants distribués NSX, reportez-vous à la rubrique Collecter un bundle de support pour une machine virtuelle de service Protection contre les programmes malveillants NSX.