Pour rediriger les messages de journal de la machine virtuelle de service (SVM) Protection contre les programmes malveillants NSX vers un serveur de journalisation distant, vous pouvez vous connecter à la SVM sur les hôtes des clusters d'hôtes vSphere qui sont activés pour le service Protection contre les programmes malveillants distribués NSX et configurer la journalisation à distance en exécutant les commandes CLI NSX.

La journalisation à distance sur des SVM Protection contre les programmes malveillants NSX est prise en charge à partir de NSX 4.1.2.

Actuellement, seuls les messages du journal des événements de cycle de vie de l'analyse de fichiers Protection contre les programmes malveillants NSX sont redirigés vers le serveur de journalisation distant. En général, l'analyse de fichiers démarre lorsqu'un fichier est téléchargé sur une machine virtuelle de charge de travail protégée par une stratégie de sécurité Protection contre les programmes malveillants NSX. Le fichier téléchargé est traité par divers composants et un verdict est renvoyé. Les résultats fournis par les composants intermédiaires importants sont consignés dans le fichier syslog sur la SVM.

Voici quelques exemples d'événements de cycle de vie d'analyse de fichiers :
  • Fichier intercepté
  • Réussite du cache de verdict
  • Fichier envoyé pour une analyse locale (statique)
  • Fichier envoyé pour l'analyse cloud (dynamique)
  • Verdict obtenu
  • Stratégie appliquée

Si vous souhaitez rediriger les messages du journal des événements de surveillance de la santé de la SVM, y compris la consommation de ressources de la SVM, telles que l'utilisation du CPU, l'utilisation du disque et l'utilisation de la mémoire, vous pouvez configurer la journalisation à distance sur la CLI NSX Manager. Vous pouvez également surveiller ces événements de santé sur la page Alarmes de l'interface utilisateur de NSX Manager. Pour plus d'informations sur les événements de santé Protection contre les programmes malveillants NSX, reportez-vous au Catalogue d'événements NSX.

Les protocoles suivants sont pris en charge pour la configuration de la journalisation à distance sur la SVM :
  • TCP
  • UDP
  • TLS (journalisation à distance sécurisée)

TCP a l'avantage d'être plus fiable, tandis que UDP a l'avantage de nécessiter moins de surcharge système et réseau. Le protocole TLS a une capacité supplémentaire, mais fournit un trafic chiffré entre la SVM et le serveur de journalisation distant.

Les protocoles Aria Operations for Logs (LI et LI-TLS) ne sont pas pris en charge pour la configuration de la journalisation à distance sur la SVM.

Conditions préalables

  • L'administrateur de VMware vCenter doit activer l'accès SSH à la SVM sur chaque hôte. Pour plus d'informations, consultez la section Conditions préalables dans Se connecter à la machine virtuelle de service Protection contre les programmes malveillants NSX.
  • Familiarisez-vous avec la commande CLI set logging-server. Pour plus d'informations, reportez-vous à la documentation sur la VM de service de protection contre les programmes malveillants dans Guide de référence de l'interface de ligne de commandes de NSX.
  • Si vous souhaitez spécifier le protocole TLS pour configurer un serveur de journalisation distant, copiez les certificats de serveur, les certificats de client et la clé de client dans /var/vmware/nsx/file-store sur chaque SVM Protection contre les programmes malveillants NSX à l'aide de la commande CLI copy url <url> [file <filename>].

    Dans l'exemple suivant, la commande copy est exécutée sur la SVM. Par défaut, le fichier client-key.pem de l'emplacement source est copié dans /var/vmware/nsx/file-store sur la SVM.

    Exemple :
    svm> copy url scp://[email protected]:/home/user/openssl/client-key.pem
    The authenticity of host '1.2.3.4 (1.2.3.4)' can't be established.
    ECDSA key fingerprint is SHA256:abcdabcdabcdabcdabcdabcdabcdabcdabcdabcd.
    Are you sure you want to continue connecting (yes/no)? yes
    Warning: Permanently added '1.2.3.4' (ECDSA) to the list of known hosts.
    [email protected]'s password:
    client-key.pem                                100% 1704     8.0KB/s   00:00
  • Pour configurer une connexion sécurisée à un serveur de journalisation distant, vérifiez que le serveur est configuré avec des certificats signés par une autorité de certification. Par exemple, si vous disposez d'un serveur Aria Operations for Logs vrli.prome.local comme serveur de journalisation, vous pouvez exécuter la commande suivante à partir d'un client pour voir la chaîne de certificats sur le serveur :
    root@caserver:~# echo -n | openssl s_client -connect vrli.prome.local:443  | sed -ne '/^Certificate chain/,/^---/p'
    depth=2 C = US, L = California, O = GS, CN = Orange Root Certification Authority
    verify error:num=19:self signed certificate in certificate chain
    Certificate chain
     0 s:/C=US/ST=California/L=HTG/O=GSS/CN=vrli.prome.local
       i:/C=US/L=California/O=GS/CN=Green Intermediate Certification Authority
     1 s:/C=US/L=California/O=GS/CN=Green Intermediate Certification Authority
       i:/C=US/L=California/O=GS/CN=Orange Root Certification Authority
     2 s:/C=US/L=California/O=GS/CN=Orange Root Certification Authority
       i:/C=US/L=California/O=GS/CN=Orange Root Certification Authority
    ---
    DONE

Procédure

  1. Connectez-vous à la SVM Protection contre les programmes malveillants NSX en tant qu'utilisateur admin.
    Pour des informations plus détaillées, consultez la rubrique Se connecter à la machine virtuelle de service Protection contre les programmes malveillants NSX.
  2. Exécutez la commande suivante pour configurer un serveur de journalisation distant sur la SVM :
    svm> set logging-server <hostname-or-ip-address[:port]> proto <proto> level <level> messageid SECURITY [facility <facility>] [serverca <filename>] [clientca <filename>] [certificate <filename>] [key <filename>] [structured-data <structured-data>]

    Cette commande redirige les messages de journal de la SVM vers l'adresse IP ou le nom de domaine complet spécifié du serveur au niveau du port spécifié. Si aucun port n'est mentionné, le port par défaut pour le protocole spécifié est utilisé. Par exemple, le port 514 pour TCP et UDP ; le port 6514 pour TLS.

    Le paramètre messageid est préconfiguré. Actuellement, les journaux portant uniquement l'ID de message SECURITY sont pris en charge.

    Pour en savoir plus sur le filtrage des messages de journal et la spécification des fonctions dans cette commande, reportez-vous à la documentation sur la VM de service de protection contre les programmes malveillants dans Guide de référence de l'interface de ligne de commandes de NSX.

    Exemple 1 : pour rediriger les messages de journal SVM vers le serveur de journalisation 10.1.1.1 à l'aide du protocole UDP, exécutez la commande suivante :

    svm> set logging-server 10.1.1.1 proto udp level info messageid SECURITY
    Exemple 2 : pour rediriger les messages de journal SVM en toute sécurité vers un serveur de journalisation distant à l'aide du protocole TLS, exécutez la commande suivante :
    svm> set logging-server <hostname-or-ip-address[:port]> proto tls level info messageid SECURITY serverca <ca-cert.pem> clientca <ca-cert.pem> certificate <client-cert.pem>  key <client-key.pem>

    Comme mentionné dans la section Conditions préalables de cette documentation, les certificats de serveur, les certificats de client et la clé de client doivent être copiés dans /var/vmware/nsx/file-store sur chaque SVM Protection contre les programmes malveillants NSX.

    Notez les points suivants :
    • Pour le paramètre serverCA, seul le certificat racine est requis, et non la chaîne complète.
    • Si clientCA est différent de serverCA, seul le certificat racine est requis.
    • Le certificat doit contenir la chaîne complète de la SVM Protection contre les programmes malveillants NSX. Le certificat doit être conforme à NDcPP - EKU, BASIC et CDP (la vérification CDP peut être ignorée).
    Exemples de journalisation réussie dans /var/log/syslog :
    2023-06-26T18:22:21.504Z NSX 3671 - [nsx@6876 comp="nsx-mps-svm" subcomp="cli" username="admin" level="INFO"] {10000} CMD: set logging-server 1.2.3.4 proto tls level info serverca ca-cert.pem clientca ca-cert.pem certificate client-cert.pem key client-key.pem
     
    2023-06-26T18:22:24.677Z rsyslogd - - -  nsd_ossl: TLS Connection initiated with remote syslog server. [v8.2304.0]
    2023-06-26T18:22:26.894Z NSX 932 - [nsx@6876 comp="nsx-mps-svm" subcomp="node-mgmt" username="admin" level="INFO"] Connection to 1.2.3.4:6514 is established
     
    2023-06-26T18:22:28.116Z NSX 3671 - [nsx@6876 comp="nsx-mps-svm" subcomp="cli" username="admin" level="INFO" audit="true"] CMD: set logging-server 1.2.3.4 proto tls level info serverca ca-cert.pem clientca ca-cert.pem certificate client-cert.pem key client-key.pem (duration: 6.611s), Operation status: CMD_EXECUTED
    Note : Une fois la configuration de l'exportateur Syslog terminée, vous devez supprimer tous les certificats et clés de /var/vmware/nsx/file-store pour éviter d'éventuelles vulnérabilités de sécurité.

    Exemple 3 : pour rediriger les messages du journal des événements de surveillance de la santé Protection contre les programmes malveillants NSX, exécutez la commande suivante sur la CLI NSX Manager :

    nsx> set logging-server 10.1.1.1 proto udp level info messageid MONITORING structured-data eventFeatureName="malware_prevention_health"

    Notez que dans cette commande, le paramètre messageid est défini sur MONITORING.

  3. Pour afficher la configuration de la journalisation sur la SVM, exécutez la commande get logging-servers.

    Exemple : pour rediriger les messages de journal vers un serveur de journalisation distant en toute sécurité

    svm> get logging-servers
    Tue Jun 27 2023 UTC 05:18:57.098
    1.2.3.4:514 proto udp level info messageid SECURITY exporter_name 694ab1dc-0250-4cae-a7a4-3dde205225a3
  4. (Facultatif) Pour vérifier les règles de la table IP pour tous les serveurs de journalisation, exécutez la commande verify logging-servers.
  5. (Facultatif) Pour supprimer une configuration de serveur de journalisation spécifique, exécutez la commande suivante :
    Exemple :
    svm> del logging-server 1.2.3.4:514 proto udp level info messageid SECURITY