Avec Aria Operations for Logs, vous pouvez afficher les journaux de flux de sécurité de l'environnement NSX.

Les fonctionnalités de sécurité suivantes prennent en charge la journalisation de flux :
  • Inspection TLS
  • IDPS de passerelle
  • Filtrage d'URL

Journaux de sécurité unifiés

Tous les secteurs verticaux de sécurité génèrent et enregistrent des journaux de flux de sécurité unifiés au format Journaux de sécurité unifiés dans un fichier journal unique sur un nœud. Ce journal unique est exporté vers le serveur Syslog configuré pour Aria Operations for Logs. Aria Operations for Logs traite ensuite les journaux pour permettre une gestion, une analyse et un affichage supplémentaires des journaux à l'aide du pack de contenu NSX.

Affichage des journaux sur Aria Operations for Logs

Le tableau de bord « NSX - Journaux de flux de sécurité unifiés » du pack de contenu NSX affiche les widgets graphiques, qui sont des représentations visuelles des journaux de flux de sécurité.

Un pack de contenu Aria Operations for Logs est un plug-in. Il contient des tableaux de bord, des champs extraits, des requêtes enregistrées et des alertes associées à un produit ou un ensemble spécifique de journaux.

Le pack de contenu NSX est disponible sur le Marketplace Aria Operations for Logs.

Pour plus d'informations sur Aria Operations for Logs et sur l'installation d'un pack de contenu à partir du Marketplace de celui-ci, reportez-vous au chapitre Installer un pack de contenu à partir du Marketplace du pack de contenu dans la documentation Aria Operations for Logs.

N premiers et X dernières heures

Vous pouvez également interroger des événements dans Aria Operations for Logs pour obtenir les informations sur les N premiers au cours des X dernières heures à l'aide de l'analyse interactive et du pack de contenu.

Serveur de journalisation distant

Pour envoyer des journaux à un serveur de journalisation distant, les dispositifs et hyperviseurs NSX doivent être configurés avec la journalisation à distance sur chaque nœud séparément.

Note : Pour envoyer les journaux au serveur Syslog, vous devez activer la journalisation pour les règles spécifiques sur NSX Manager.

Pour plus d'informations, reportez-vous à la section Configurer la journalisation à distance.

Si le serveur de journaux distant ne reçoit pas les journaux, reportez-vous à la section Résolution des problèmes de Syslog.

Format de journal de sécurité unifié

Sur un nœud Edge, les journaux de flux de sécurité unifiés sont stockés dans /var/log/syslog. Vous pouvez vous connecter en tant que root et utiliser la commande grep pour rechercher des journaux unifiés dans ce fichier. Par exemple :
cat /var/log/syslog | grep 'unified-logs'

Exemples de messages de journal :

Inspection TLS
2021-10-12T09:00:46.192Z nsxedge-18734920-1-mps29 NSX 22621 SYSTEM [nsx@6876 comp="nsx-edge" 
subcomp="tls-proxy" s2comp="unified-logs" level="INFO"] {"event_type": "fw-flow-terminate-log", 
"event_trigger": ["fw-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "79427614-4a0d-2692-032c-eb4692f717a9", 
"node_uuid": "ec11a626-f425-3bc2-671d-a656500003b2"}, "flow": {"start": "2021-10-12T09:00:46.723Z", 
"end": "2021-10-12T09:00:46.773Z", "ip_ver": "ipv4", "flow_id": "0x1e0000704f000018", 
"src_ip": "192.168.100.160", "src_port": 25700, "dest_ip": "1.1.5.10", "dest_port": 443, "proto": "TCP", "tcp_flags": "",
"bytes_toserver": 95, "bytes_toclient": 29873, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 1002,
"direction": "", "rule_tag": ""}, "http": {"http_method": "", "hostname": "www.facebook.com", "url": "www.facebook.com/benign_pdf1.pdf", "scheme": "", "http_user_agent": "", "status": "",
"site_category": ""SOCIAL_NETWORK"", "site_reputation": "Trustworthy"},"tls_inspection": {"action": "PASS", "rule_id": 1008, "domain": "www.facebook.com", "cert_status": "ok", "tls_version_toserver": "TLSv1.2",
"cipher_to_server": "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "reason": "", "tls_rule_tag": "TLS External Rule"}, "idps": {"action": "PASS", "rule_id": 1007,
"ids_profile_id": "00000000-0000-0000-0000-000000000000", "alert_event": ["SOCIAL_NETWORK"], "protocol_event": ["http"]}, "app_id": {"app": ""APP_HTTP", "APP_FACEBOOK", "APP_SSL""}
IDPS de passerelle
2021-11-11T04:07:37.489Z nsxedge-18866667-2-NAT-fc-3-nov NSX 27330 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="datapathd" s2comp="unified-logs" level="INFO"]
 {"event_type": "fw-flow-terminate-log", "event_trigger": ["ids-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "544ee558-fad0-e624-019f-e8e3e0472c91", 
"node_uuid": "dabf16c9-ec11-833c-0c00-8c832f771729"}, "flow": {"start": "2021-11-11T04:07:07.000Z", "end": "2021-11-11T04:07:37.000Z",
"ip_ver": "ipv4", "flow_id": "0xd44d00306e0a0004", "src_ip": "1.1.1.10", "src_port": 35714, "dest_ip": "10.142.7.1", "dest_port": 53,
"proto": "UDP", "tcp_flags": "FPW", "bytes_toserver": 297878, "bytes_toclient": 71, "pkts_toserver": 71, "pkts_toclient": 1, 
"reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 2025, "direction": "", "rule_tag": ""},
"l7profile": {"entry_id": "00000000-0000-0000-0000-000000000000", "action": "PASS"}, 
"http": {"http_method": "", "hostname": "", "url": "", "scheme": "", "http_user_agent": "", "status": "", "site_category": "", 
"site_reputation": "UNKNOWN"}, "idps": {"action": "IDP_DETECT", "rule_id": 2028, "ids_profile_id": "9872e27a-ead4-4c93-af5f-4df1ec0c73e1", 
"alert_event": [], "protocol_event": []}, "app_id": {"app": ""APP_DNS""}}
Filtrage d'URL
2021-11-08T08:30:59.208Z nsxedge-18866667-2-NAT-fc-3-nov NSX 9495 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="datapathd" s2comp="unified-logs" level="INFO"]
{"event_type": "fw-flow-terminate-log", "event_trigger": ["fw-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "544ee558-fad0-e624-019f-e8e3e0472c91",
"node_uuid": "dabf16c9-ec11-833c-0c00-8c832f771729"}, "flow": {"start": "2021-11-08T08:30:57.000Z", "end": "2021-11-08T08:30:59.000Z",
"ip_ver": "ipv4", "flow_id": "0x4001006c04000000", "src_ip": "1.1.1.10", "src_port": 43600, "dest_ip": "13.226.234.18", 
"dest_port": 80, "proto": "TCP", "tcp_flags": "FREW", "bytes_toserver": 54968, "bytes_toclient": 444, 
"pkts_toserver": 444, "pkts_toclient": 7, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 1004, "direction": "",
"rule_tag": ""}, "l7profile": {"entry_id": "e9580107-2749-471c-be82-715d530bf4d4", "action": "PASS"},
"http": {"http_method": "", "hostname": "", "url": "espn.com/", "scheme": "", "http_user_agent": "", "status": "",
"site_category": ""SPORTS"", "site_reputation": "TRUSTWORTHY"}, "app_id": {"app": ""APP_HTTP", "APP_ESPN""}}