Pour utiliser la CLI du dispositif virtuel NSX, vous devez disposer d'un accès SSH à un dispositif virtuel NSX. Chaque dispositif virtuel NSX contient une interface de ligne de commande (CLI).
Les modes pouvant être affichés dans l'interface de ligne de commande peuvent être différents en fonction des rôles et des droits attribués à un utilisateur. Si vous ne pouvez pas accéder à un mode d'interface ou émettre une commande particulière, consultez votre administrateur NSX.
Procédure
- Ouvrez une session SSH sur un hôte de calcul exécutant les charges de travail déployées précédemment. Connectez-vous en tant qu'utilisateur racine.
- Entrez la commande nsxcli pour ouvrir l'interface de ligne de commande de NSX.
- Pour vérifier que l'IDS est activé sur cet hôte, exécutez la commande :
get ids status
.
Exemple de sortie :
localhost> get ids status
NSX IDS Status
--------------------------------------------------
status: enabled
uptime: 793756 (9 days 04:29:16)
- Pour confirmer que les deux profils IDS ont été appliqués à cet hôte, exécutez la commande
get ids profile
.
localhost> get ids profiles
NSX IDS Profiles
--------------------------------------------------
Profile count: 2
1. 31c1f26d-1f26-46db-b5ff-e6d3451efd71
2. 65776dba-9906-4207-9eb1-8e7d7fdf3de
- Pour vérifier les statistiques du profil IDS (moteur), notamment le nombre de paquets traités et d'alertes générées, exécutez la commande
get ids engine profilestats <tab_to_select_profile_ID>
.
La sortie est réalisée par profil et indique le nombre d'alertes, ainsi que le nombre de paquets évalués.
localhost> get ids engine profilestats eec3ea3f-0b06-4b9d-a3fe-7950d5726c7c
Fri Oct 23 2020 UTC 21:22:36.257
NSX IDS Engine Profile Stats
------------------------------------------------------------
Profile ID: eec3ea3f-0b06-4b9d-a3fe-7950d5726c7c
Total Alerts: 14
Total Packets: 27407
- Pour vérifier l'action de signature d'une règle, exécutez la commande
get ids engine signaction <ruleID> <profileID> <signatureID>
.
Renvoie l'action de signature pour un RuleID, un ProfileID et un SignID spécifiques. Si la règle IDPS est de type « DÉTECTER UNIQUEMENT », l'action de signature pour toutes les signatures est renvoyée avec la forme « ALERTE ». Pour abandonner/rejeter le trafic, la règle IDPS doit être configurée avec « DETECT_PREVENT ».
> get ids engine signaction 1001 84f00f24-3177-401c-8c30-d70dbee48479 4100761
NSX IDS Engine Signature Action
---------------------------------------------
alert