La fonctionnalité Protection contre les programmes malveillants NSX s'exécute sur les dispositifs NSX Edge, la machine virtuelle de service (sur les hôtes ESXi) et NSX Application Platform. Les journaux de produit générés sur les dispositifs NSX Edge et les machines virtuelles de service sont conformes à la norme de message de journal RFC 5424.

Messages de journal

Sur les dispositifs NSX, les messages Syslog sont conformes à la norme RFC 5424. Des fichiers journaux de produit supplémentaires sont écrits dans le répertoire /var/log.

  • Sur un dispositif NSX Edge, les messages du journal d'analyse des programmes malveillants pour les fichiers extraits sont fournis par le service de protection contre les programmes malveillants de passerelle sur la passerelle de niveau 1 active.
  • Sur un hôte ESXi, les messages du journal d'analyse des programmes malveillants pour les fichiers téléchargés sur les machines virtuelles de charge de travail, qui s'exécutent sur l'hôte, sont fournis par la machine virtuelle du service de protection contre les programmes malveillants sur l'hôte ESXi.
  • Pour les fichiers extraits par le service de protection contre les programmes malveillants de passerelle et le service de protection contre les programmes malveillants distribués, les messages du journal d'analyse des programmes malveillants sont fournis par le microservice d'analyse de sécurité, qui s'exécute sur la NSX Application Platform.

La journalisation à distance est également prise en charge. Pour utiliser les journaux de la fonctionnalité Protection contre les programmes malveillants NSX, vous pouvez configurer les dispositifs NSX Edge, la NSX Application Platform et les machines virtuelles de service Protection contre les programmes malveillants NSX pour envoyer ou rediriger les messages de journal vers un serveur de journalisation distant.

Journalisation à distance sur NSX Edge

Vous devez configurer la journalisation à distance sur chaque nœud NSX Edge individuellement. Pour configurer le serveur de journalisation à distance sur un nœud NSX Edge à l'aide de la CLI de NSX, reportez-vous à Configurer la journalisation à distance.

Pour configurer le serveur de journalisation à distance sur un nœud NSX Edge à l'aide de l'interface utilisateur de NSX Manager, reportez-vous à Ajouter des serveurs Syslog pour des nœuds NSX.

Journalisation à distance sur NSX Application Platform

Pour rediriger les fichiers journaux de la NSX Application Platform vers un serveur de journalisation externe, vous devez exécuter une demande REST API.

Pour plus d'informations sur la demande REST API, ainsi que des exemples de corps de demande, de réponse et de code, reportez-vous au portail VMware Developer Documentation.

Journalisation à distance sur la machine virtuelle de service Protection contre les programmes malveillants NSX

Cette fonctionnalité est prise en charge à partir de NSX 4.1.2.

Dans NSX 4.1.2 ou version ultérieure

Pour rediriger les messages de journal de la machine virtuelle de service (SVM) Protection contre les programmes malveillants NSX vers un serveur de journalisation externe, vous pouvez vous connecter à la SVM en tant qu'utilisateur admin et exécuter les commandes CLI NSX sur la SVM. Pour en savoir plus, reportez-vous à la section Configurer la journalisation à distance sur la machine virtuelle de service Protection contre les programmes malveillants NSX.

Dans NSX 4.1.1 ou version antérieure

La configuration de la journalisation à distance sur la SVM Protection contre les programmes malveillants NSX n'est pas prise en charge. Cependant, vous pouvez copier le fichier Syslog à partir de chaque SVM Protection contre les programmes malveillants NSX en vous connectant à la SVM avec une connexion SSH.

L'accès SSH à l'utilisateur admin de la SVM est basé sur des clés (paire de clés publique-privée). Une clé publique est nécessaire lorsque vous déployez le service sur un cluster d'hôtes ESXi et une clé privée est nécessaire lorsque vous souhaitez démarrer une session SSH sur la SVM.

Pour plus d'informations, reportez-vous à la section Se connecter à la machine virtuelle de service Protection contre les programmes malveillants NSX.

Après vous être connecté à la SVM, utilisez la commande sftp ou scp pour copier le fichier Syslog du répertoire /var/log à ce moment là. Si plusieurs fichiers Syslog sont disponibles à cet emplacement, ils sont compressés et stockés au même chemin d'accès.

Informations sur la journalisation

Reportez-vous à la section Messages de journal et codes d'erreur.

Interpréter les messages du journal des événements Protection contre les programmes malveillants NSX

Le format des messages du journal des événements Protection contre les programmes malveillants NSX sur la machine virtuelle de service et NSX Edge est le même. Cependant, pour les événements sur la NSX Application Platform, le format des messages de journal est différent.

Le message du journal des événements suivant est généré par le microservice sa-events-processor, qui est un espace qui s'exécute sur la NSX Application Platform.

Exemple :

{"log":"{\"log\":\"\\u001b[37m2022-06-01T01:42:58,725\\u001b[m \\u001b[32mINFO \\u001b[m[\\u001b[1;34mfileEventConsumer-1\\u001b[m] \\u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\\u001b[m: SECURITY [nsx@6876 comp=\\\"nsx-manager\\\" level=\\\"INFO\\\" subcomp=\\\"manager\\\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)\\n\",\"stream\":\"stdout\",\"time\":\"2022-06-01T01:42:58.725811209Z\"}","log_processed":{"log":"\u001b[37m2022-06-01T01:42:58,725\u001b[m \u001b[32mINFO \u001b[m[\u001b[1;34mfileEventConsumer-1\u001b[m] \u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\u001b[m: SECURITY [nsx@6876 comp=\"nsx-manager\" level=\"INFO\" subcomp=\"manager\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)","stream":"stdout","time":"2022-06-01T01:42:58.725811209Z"},"kubernetes":{"pod_name":"sa-events-processor-55bcfcc46d-4jftf","namespace_name":"nsxi-platform","pod_id":"305953f7-836b-4bbb-ba9e-00fdf68de4ae","host":"worker03","container_name":"sa-events-processor","docker_id":"93f81f278898e6ce3e14d9a37e0e10a502c46fe53c9ad61680aed48b94f7f8bf","container_hash":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor@sha256:b617f4bb9f3ea5767839e39490a78169f7f3d54826b89638e4a950e391405ae4","container_image":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor:19067767"}}
Note : Cet exemple de message du journal des événements n'est disponible qu'à titre indicatif. Le format et le contenu peuvent changer parmi les principales versions de NSX.

Dans cet exemple de message du journal des événements, notez qu'en dehors des attributs de journal standard, tels que date (2022-06-01T00:42:58,326), log level (INFO) et des attributs filtrables, tels que module (SECURITY), container_name (sa-events-processor), des attributs supplémentaires sont présents dans un format de style JSON. Le tableau suivant répertorie ces attributs supplémentaires.

Clé Exemple de valeur

id

0

sha256

29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d

sha1

549cb3f1c85c4ef7fb06dcd33d68cba073b260ec

md5

65b9b68668bb6860e3144866bf5dab85

fileName

drupdate.dll

fileType

PeExeFile

fileSize

287024

inspectionTime

1654047770305

clientPort

0

clientIP

null

clientFqdn

null

clientVmId

500cd1b6-96b6-4567-82f4-231a63dead81

serverPort

0

serverIp

null

serverFqdn

null

serverVmId

null

applicationProtocol

null

submittedBy

SYSTEM

isFoundByAsds

true

isBlocked

false

allowListed

false

verdict

BENIGN

score

0

analystUuid

null
submissionUuid null
tnId 38c58796-9983-4a41-b9f2-dc309bd3458d

malwareClass

null

malwareFamily

null

errorCode

null

errorMessage

null

nodeType

1

gatewayId

analysisStatus

COMPLETED

followupEvent

false

httpDomain

null

httpMethod

null

path

null

referer

null

userAgent

null

contentDispositionFileName

null

isFileUploaded

false

startTime

1654047768828

endTime

1654047768844

ttl

1654220570304

Résolution des problèmes de Syslog

Si le serveur de journaux distant que vous avez configuré ne peut pas recevoir de journaux, reportez-vous à la section Résolution des problèmes de Syslog.

Collecter des bundles de support