Pour rediriger les messages de journal de la machine virtuelle de service (SVM) Prévention des logiciels malveillants de NSX vers un serveur de journalisation distant, vous pouvez vous connecter à la SVM sur les hôtes des clusters d'hôtes vSphere qui sont activés pour le service Protection contre les programmes malveillants distribués NSX et configurer la journalisation à distance en exécutant les commandes CLI NSX.
La journalisation à distance sur des SVM Prévention des logiciels malveillants de NSX est prise en charge à partir de NSX 4.1.2.
Actuellement, seuls les messages du journal des événements de cycle de vie de l'analyse de fichiers Prévention des logiciels malveillants de NSX sont redirigés vers le serveur de journalisation distant. En général, l'analyse de fichiers démarre lorsqu'un fichier est téléchargé sur une machine virtuelle de charge de travail protégée par une stratégie de sécurité Prévention des logiciels malveillants de NSX. Le fichier téléchargé est traité par divers composants et un verdict est renvoyé. Les résultats fournis par les composants intermédiaires importants sont consignés dans le fichier syslog sur la SVM.
- Fichier intercepté
- Réussite du cache de verdict
- Fichier envoyé pour une analyse locale (statique)
- Fichier envoyé pour l'analyse cloud (dynamique)
- Verdict obtenu
- Stratégie appliquée
Si vous souhaitez rediriger les messages du journal des événements de surveillance de la santé de la SVM, y compris la consommation de ressources de la SVM, telles que l'utilisation du CPU, l'utilisation du disque et l'utilisation de la mémoire, vous pouvez configurer la journalisation à distance sur la CLI NSX Manager. Vous pouvez également surveiller ces événements de santé sur la page Alarmes de l'interface utilisateur de NSX Manager. Pour plus d'informations sur les événements de santé Prévention des logiciels malveillants de NSX, reportez-vous au Catalogue d'événements NSX.
- TCP
- UDP
- TLS (journalisation à distance sécurisée)
TCP a l'avantage d'être plus fiable, tandis que UDP a l'avantage de nécessiter moins de surcharge système et réseau. Le protocole TLS a une capacité supplémentaire, mais fournit un trafic chiffré entre la SVM et le serveur de journalisation distant.
Les protocoles Aria Operations for Logs (LI et LI-TLS) ne sont pas pris en charge pour la configuration de la journalisation à distance sur la SVM.
Conditions préalables
- L'administrateur de VMware vCenter doit activer l'accès SSH à la SVM sur chaque hôte. Pour plus d'informations, consultez la section Conditions préalables dans Se connecter à la machine virtuelle de service Prévention des logiciels malveillants de NSX.
- Familiarisez-vous avec la commande CLI set logging-server. Pour plus d'informations, reportez-vous à la documentation sur la VM de service de protection contre les programmes malveillants dans Guide de référence de l'interface de ligne de commandes de NSX.
- Si vous souhaitez spécifier le protocole TLS pour configurer un serveur de journalisation distant, copiez les certificats de serveur, les certificats de client et la clé de client dans /var/vmware/nsx/file-store sur chaque SVM Prévention des logiciels malveillants de NSX à l'aide de la commande CLI copy url <url> [file <filename>].
Dans l'exemple suivant, la commande copy est exécutée sur la SVM. Par défaut, le fichier client-key.pem de l'emplacement source est copié dans /var/vmware/nsx/file-store sur la SVM.
Exemple :svm> copy url scp://[email protected]:/home/user/openssl/client-key.pem The authenticity of host '1.2.3.4 (1.2.3.4)' can't be established. ECDSA key fingerprint is SHA256:abcdabcdabcdabcdabcdabcdabcdabcdabcdabcd. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '1.2.3.4' (ECDSA) to the list of known hosts. [email protected]'s password: client-key.pem 100% 1704 8.0KB/s 00:00
- Pour configurer une connexion sécurisée à un serveur de journalisation distant, vérifiez que le serveur est configuré avec des certificats signés par une autorité de certification. Par exemple, si vous disposez d'un serveur Aria Operations for Logs vrli.prome.local comme serveur de journalisation, vous pouvez exécuter la commande suivante à partir d'un client pour voir la chaîne de certificats sur le serveur :
root@caserver:~# echo -n | openssl s_client -connect vrli.prome.local:443 | sed -ne '/^Certificate chain/,/^---/p' depth=2 C = US, L = California, O = GS, CN = Orange Root Certification Authority verify error:num=19:self signed certificate in certificate chain Certificate chain 0 s:/C=US/ST=California/L=HTG/O=GSS/CN=vrli.prome.local i:/C=US/L=California/O=GS/CN=Green Intermediate Certification Authority 1 s:/C=US/L=California/O=GS/CN=Green Intermediate Certification Authority i:/C=US/L=California/O=GS/CN=Orange Root Certification Authority 2 s:/C=US/L=California/O=GS/CN=Orange Root Certification Authority i:/C=US/L=California/O=GS/CN=Orange Root Certification Authority --- DONE