Après avoir configuré l'intégration de vRealize Log Insight à NSX Identity Firewall (IDFW), ajoutez un fournisseur d'identité tiers prédéfini, tel que GlobalProtect ou ClearPass à la configuration. Vous pouvez également ajouter un fournisseur d'identité personnalisé.

Conditions préalables

  • Vérifiez que vous êtes connecté à l'interface utilisateur Web de vRealize Log Insight en tant qu'utilisateur super administrateur ou en tant qu'utilisateur associé à un rôle disposant des autorisations appropriées. Pour plus d'informations, reportez-vous à la section Créer et modifier des rôles. Le format de l'URL de l'interface utilisateur Web est https://log-insight-host, où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel vRealize Log Insight.
  • Vérifiez que vous disposez d'une configuration d'intégration IDFW dans vRealize Log Insight.

Procédure

  1. Accédez à l'onglet Administration.
  2. Sous Intégration, cliquez sur Pare-feu d'identité NSX.
  3. Sous Fournisseur, cliquez sur Nouveau fournisseur.
  4. Entrez les informations suivantes :
    Option Description
    Nom Nom unique de votre fournisseur d'identité.
    Type

    Type de fournisseur d'identité. Vous pouvez sélectionner un fournisseur prédéfini, tel que GlobalProtect ou ClearPass, voire un fournisseur personnalisé.

    Si vous sélectionnez un fournisseur prédéfini, les modèles regex des champs Nom d'utilisateur, Adresse IP, Domaine et Type d'événement sont remplis en fonction du fournisseur. Vous pouvez modifier ces valeurs.

    Si vous sélectionnez un fournisseur personnalisé, vous devez entrer les modèles regex pour les champs Nom d'utilisateur, Adresse IP et Domaine.

    Nom d'utilisateur Modèle regex pour identifier le nom d'utilisateur dans les journaux de votre fournisseur.
    Adresse IP Modèle regex pour identifier l'adresse IP dans les journaux de votre fournisseur.
    Domaine Modèle regex pour identifier le domaine dans les journaux de votre fournisseur.
    Type d'événement

    Modèle regex pour identifier le type d'événement dans les journaux de votre fournisseur.

    Le type d'événement des fournisseurs personnalisés est Login et n'est pas obligatoire. Si vous souhaitez une autre valeur, entrez un modèle regex pour identifier le type d'événement.

    Source

    Une ou plusieurs adresses IP sources ou noms de domaine complets. Vous pouvez séparer plusieurs entrées à l'aide de virgules.

    vRealize Log Insight analyse les journaux uniquement des sources que vous entrez pour votre fournisseur afin d'améliorer les performances et la sécurité.
    • Pour garantir des performances optimales, vRealize Log Insight applique les modèles regex uniquement aux journaux des sources sélectionnées.
    • Pour garantir la sécurité, vRealize Log Insight envoie uniquement des données valides provenant de sources connues à NSX Manager.
    Note :
    • Pour les fournisseurs personnalisés qui envoient des journaux via Syslog, les modèles regex des champs sont appliqués au message, et non aux en-têtes Syslog.
    • Les modèles regex sont sensibles à la casse.
    • Pour les définitions de champs regex, vous devez utiliser le modèle regex basé sur Java.
    • Le transfert de journaux à partir d'une instance de vRealize Log Insight peut modifier la source, qui est utilisée pour la configuration du fournisseur. Envoyez plutôt les journaux directement depuis le fournisseur d'identité à vRealize Log Insight.
    • Assurez-vous qu'une source de fournisseur est unique dans l'étendue d'une configuration d'intégration NSX IDFW.
    • Les fournisseurs prédéfinis sont configurés pour certaines versions des fournisseurs d'identité, qui sont disponibles dans l'interface utilisateur de vRealize Log Insight. Le modèle regex prérempli peut ne pas être exact pour d'autres versions.
  5. Cliquez sur Enregistrer.

Résultats

vRealize Log Insight analyse les journaux d'authentification de votre fournisseur d'identité, extrait les informations de mappage entre l'ID et l'adresse IP de l'utilisateur et envoie les données à NSX Manager. En fonction de ces données, IDFW définit des règles de pare-feu basées sur l'identité et applique les règles aux utilisateurs pour le contrôle d'accès.

Exemple : regex Analyse des journaux GlobalProtect et ClearPass

  • Prenez l'exemple de journal suivant d'un fournisseur GlobalProtect :

    Apr 8 14:35:19 PA-500-GW-1-EAT1 1,2021/04/08 14:35:19,009401010000,USERID,login,2049,2021/04/08 14:35:19,vsys1,10.20.30.40,vmware\john,UID-SJC31,0,1,10800,0,0,agent,,79021111,0x8000000000000000,0,0,0,0,,PA-500-GW-1-EAT1,1,,2021/04/08 14:35:28,1,0x80000000,vmware\john

    Le tableau suivant montre le mappage entre les modèles regex et les valeurs dans l'exemple de journal, que vRealize Log Insight envoie à NSX Manager.

    Option Modèle regex Valeur du journal
    Nom d'utilisateur \\(\w+)\, john
    Adresse IP \,(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})\, 10.20.30.40
    Domaine \,(\w+)\\ vmware
    Type d'événement USERID\,(\w+)\, login
  • Prenons l'exemple de journal suivant d'un fournisseur ClearPass :

    2021-08-19 13:47:46,797 10.10.100.10 Insight Logs 10000111 1 0 Auth.Username=smith,Auth.Service=SOF6 vrealize SSID EAP-TLS Service,Auth.NAS-IP-Address=10.02.20.02,Auth.Host-MAC-Address=111aaaaab10b,Auth.Protocol=RADIUS,Auth.Login-Status=9002,Auth.Enforcement-Profiles=[Deny Access Profile]

    Le tableau suivant montre le mappage entre les modèles regex et les valeurs dans l'exemple de journal, que vRealize Log Insight envoie à NSX Manager.

    Option Modèle regex Valeur du journal
    Nom d'utilisateur Username=(\w+) smith
    Adresse IP Address=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}) 10.02.20.02
    Domaine SOF6\s+(\w+) vrealize
    Type d'événement Auth.(\w+)-Status= Login