Messages de journal

Sur les dispositifs NSX, les messages Syslog sont conformes à la norme RFC 5424. Des fichiers journaux de produit supplémentaires sont écrits dans le répertoire /var/log.

La journalisation à distance est également prise en charge. Pour utiliser les journaux de la fonctionnalité Protection contre les programmes malveillants NSX, vous pouvez configurer les dispositifs NSX Edge, la NSX Application Platform et les machines virtuelles de service Protection contre les programmes malveillants NSX pour envoyer ou rediriger les messages de journal vers un serveur de journalisation distant.

Journalisation à distance sur NSX Edge

Vous devez configurer la journalisation à distance sur chaque nœud NSX Edge individuellement. Pour configurer le serveur de journalisation à distance sur un nœud NSX Edge à l'aide de la CLI de NSX, reportez-vous à Configurer la journalisation à distance.

Pour configurer le serveur de journalisation à distance sur un nœud NSX Edge à l'aide de l'interface utilisateur de NSX Manager, reportez-vous à Ajouter des serveurs Syslog pour des nœuds NSX.

Journalisation à distance sur NSX Application Platform

Pour rediriger les fichiers journaux de la NSX Application Platform vers un serveur de journalisation externe, vous devez exécuter une demande REST API.

Pour plus d'informations sur la demande REST API, ainsi que des exemples de corps de demande, de réponse et de code, reportez-vous au portail VMware Developer Documentation.

Journalisation à distance sur la machine virtuelle de service Protection contre les programmes malveillants NSX

Cette fonctionnalité est prise en charge à partir de NSX 4.1.2.

Dans NSX 4.1.2 ou version ultérieure

Pour rediriger les messages de journal de la machine virtuelle de service (SVM) Protection contre les programmes malveillants NSX vers un serveur de journalisation externe, vous pouvez vous connecter à la SVM en tant qu'utilisateur admin et exécuter les commandes CLI NSX sur la SVM. Pour en savoir plus, reportez-vous à la section Configurer la journalisation à distance sur la machine virtuelle de service Protection contre les programmes malveillants NSX.

Dans NSX 4.1.1 ou version antérieure

La configuration de la journalisation à distance sur la SVM Protection contre les programmes malveillants NSX n'est pas prise en charge. Cependant, vous pouvez copier le fichier Syslog à partir de chaque SVM Protection contre les programmes malveillants NSX en vous connectant à la SVM avec une connexion SSH.

L'accès SSH à l'utilisateur admin de la SVM est basé sur des clés (paire de clés publique-privée). Une clé publique est nécessaire lorsque vous déployez le service sur un cluster d'hôtes ESXi et une clé privée est nécessaire lorsque vous souhaitez démarrer une session SSH sur la SVM.

Pour plus d'informations, reportez-vous à la section Se connecter à la machine virtuelle de service Protection contre les programmes malveillants NSX.

Après vous être connecté à la SVM, utilisez la commande sftp ou scp pour copier le fichier Syslog du répertoire /var/log à ce moment là. Si plusieurs fichiers Syslog sont disponibles à cet emplacement, ils sont compressés et stockés au même chemin d'accès.

Informations sur la journalisation

Reportez-vous à la section Messages de journal et codes d'erreur.

Interpréter les messages du journal des événements Protection contre les programmes malveillants NSX

Le format des messages du journal des événements Protection contre les programmes malveillants NSX sur la machine virtuelle de service et NSX Edge est le même. Cependant, pour les événements sur la NSX Application Platform, le format des messages de journal est différent.

Le message du journal des événements suivant est généré par le microservice sa-events-processor, qui est un espace qui s'exécute sur la NSX Application Platform.

Exemple :

{"log":"{\"log\":\"\\u001b[37m2022-06-01T01:42:58,725\\u001b[m \\u001b[32mINFO \\u001b[m[\\u001b[1;34mfileEventConsumer-1\\u001b[m] \\u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\\u001b[m: SECURITY [nsx@6876 comp=\\\"nsx-manager\\\" level=\\\"INFO\\\" subcomp=\\\"manager\\\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)\\n\",\"stream\":\"stdout\",\"time\":\"2022-06-01T01:42:58.725811209Z\"}","log_processed":{"log":"\u001b[37m2022-06-01T01:42:58,725\u001b[m \u001b[32mINFO \u001b[m[\u001b[1;34mfileEventConsumer-1\u001b[m] \u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\u001b[m: SECURITY [nsx@6876 comp=\"nsx-manager\" level=\"INFO\" subcomp=\"manager\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)","stream":"stdout","time":"2022-06-01T01:42:58.725811209Z"},"kubernetes":{"pod_name":"sa-events-processor-55bcfcc46d-4jftf","namespace_name":"nsxi-platform","pod_id":"305953f7-836b-4bbb-ba9e-00fdf68de4ae","host":"worker03","container_name":"sa-events-processor","docker_id":"93f81f278898e6ce3e14d9a37e0e10a502c46fe53c9ad61680aed48b94f7f8bf","container_hash":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor@sha256:b617f4bb9f3ea5767839e39490a78169f7f3d54826b89638e4a950e391405ae4","container_image":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor:19067767"}}

Dans cet exemple de message du journal des événements, notez qu'en dehors des attributs de journal standard, tels que date (2022-06-01T00:42:58,326), log level (INFO) et des attributs filtrables, tels que module (SECURITY), container_name (sa-events-processor), des attributs supplémentaires sont présents dans un format de style JSON. Le tableau suivant répertorie ces attributs supplémentaires.

Résolution des problèmes de Syslog

Si le serveur de journaux distant que vous avez configuré ne peut pas recevoir de journaux, reportez-vous à la section Résolution des problèmes de Syslog.

Collecter des bundles de support