La funzionalità Prevenzione malware NSX viene eseguita su NSX Edge, sulla macchina virtuale di servizio (su host ESXi) e su NSX Application Platform. I registri dei prodotti generati su NSX Edge e nelle macchine virtuali di servizio sono conformi allo standard RFC 5424. La funzionalità Prevenzione malware NSX è supportata solo sugli host ESXi. Gli host KVM non sono supportati.
Messaggi del registro
Nelle appliance NSX-T, i messaggi syslog sono conformi allo standard RFC 5424. I registri prodotto aggiuntivi vengono scritti nella directory /var/log.
- In un NSX Edge, i messaggi del registro di analisi malware per i file estratti vengono forniti dal servizio di prevenzione malware del gateway nel gateway di livello 1 attivo.
- In un host ESXi, i messaggi del registro di analisi malware per i file scaricati nelle macchine virtuali del carico di lavoro in esecuzione nell'host vengono forniti dalla macchina virtuale del servizio di prevenzione malware nell'host ESXi.
- Per i file estratti dal servizio di prevenzione malware e dal servizio di prevenzione malware distribuito del gateway, i messaggi del registro di analisi malware vengono forniti dal microservizio Analizzatore sicurezza in esecuzione in NSX Application Platform.
È supportata anche la registrazione remota. Per utilizzare i registri della funzionalità Prevenzione malware NSX, è possibile configurare NSX Edge e NSX Application Platform in modo che inviino o reindirizzino i messaggi del registro a un server di registrazione remoto.
Configurazione della registrazione remota in NSX Edge
È necessario configurare la registrazione remota in ogni nodo NSX Edge singolarmente. Per configurare il server di registrazione remota in un nodo NSX Edge utilizzando la CLI di NSX, vedere Configurazione della registrazione remota.
Per configurare il server di registrazione remota in un nodo NSX Edge utilizzando la UI di NSX Manager, vedere Aggiunta di server syslog per i nodi di NSX.
Configurazione della registrazione remota in NSX Application Platform
Per inviare i messaggi del registro di NSX Application Platform a un server di registrazione esterno, è necessario eseguire una REST API.
Per informazioni sulla REST API oltre a esempi di corpo della richiesta, risposta e codice, vedere il portale della documentazione degli sviluppatori VMware.
Configurazione della registrazione remota in una macchina virtuale del servizio Prevenzione malware NSX
Questa funzionalità non è al momento supportata. In alternativa, è comunque possibile copiare il file syslog da ciascuna macchina virtuale del servizio Prevenzione malware NSX accedendo alla macchina virtuale del servizio con una connessione SSH.
L'accesso SSH all'utente amministratore della SVM è basato su chiave (coppia di chiavi pubblica-privata). Una chiave pubblica è necessaria quando si distribuisce il servizio in un cluster di host ESXi, mentre una chiave privata è necessaria quando si desidera avviare una sessione SSH nella SVM.
Per ulteriori informazioni, vedere Accesso alla macchina virtuale del servizio Prevenzione malware NSX
Dopo aver effettuato l'accesso a SVM, utilizzare il comando sftp o scp per copiare il file syslog dalla directory /var/log in tale momento specifico. Se sono disponibili più file syslog in questa posizione, vengono compressi e archiviati nello stesso percorso.
Ulteriori informazioni sulla registrazione
Interpretazione dei messaggi del registro eventi di Prevenzione malware NSX
Il formato dei messaggi del registro per gli eventi di Prevenzione malware NSX nella macchina virtuale del servizio e in NSX Edge è lo stesso. Tuttavia, per gli eventi in NSX Application Platform, il formato dei messaggi del registro è diverso.
Il seguente messaggio del registro eventi viene generato dal microservizio sa-events-processor, che è un pod che viene eseguito in NSX Application Platform.
Esempio:
{"log":"{\"log\":\"\\u001b[37m2022-06-01T01:42:58,725\\u001b[m \\u001b[32mINFO \\u001b[m[\\u001b[1;34mfileEventConsumer-1\\u001b[m] \\u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\\u001b[m: SECURITY [nsx@6876 comp=\\\"nsx-manager\\\" level=\\\"INFO\\\" subcomp=\\\"manager\\\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)\\n\",\"stream\":\"stdout\",\"time\":\"2022-06-01T01:42:58.725811209Z\"}","log_processed":{"log":"\u001b[37m2022-06-01T01:42:58,725\u001b[m \u001b[32mINFO \u001b[m[\u001b[1;34mfileEventConsumer-1\u001b[m] \u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\u001b[m: SECURITY [nsx@6876 comp=\"nsx-manager\" level=\"INFO\" subcomp=\"manager\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)","stream":"stdout","time":"2022-06-01T01:42:58.725811209Z"},"kubernetes":{"pod_name":"sa-events-processor-55bcfcc46d-4jftf","namespace_name":"nsxi-platform","pod_id":"305953f7-836b-4bbb-ba9e-00fdf68de4ae","host":"worker03","container_name":"sa-events-processor","docker_id":"93f81f278898e6ce3e14d9a37e0e10a502c46fe53c9ad61680aed48b94f7f8bf","container_hash":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor@sha256:b617f4bb9f3ea5767839e39490a78169f7f3d54826b89638e4a950e391405ae4","container_image":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor:19067767"}}
In questo messaggio del registro eventi di esempio, è possibile notare che, oltre agli attributi del registro standard, come date (2022-06-01T00:42:58,326) e log level (INFO), e agli attributi filtrabili, come module (SECURITY) e container_name (sa-events-processor), sono presenti altri attributi in formato JSON. Nella seguente tabella sono elencati questi attributi aggiuntivi.
| Chiave | Valore di esempio |
|---|---|
| id |
0 |
| sha256 |
29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d |
| sha1 |
549cb3f1c85c4ef7fb06dcd33d68cba073b260ec |
| md5 |
65b9b68668bb6860e3144866bf5dab85 |
| fileName |
drupdate.dll |
| fileType |
PeExeFile |
| fileSize |
287024 |
| inspectionTime |
1654047770305 |
| clientPort |
0 |
| clientIP |
null |
| clientFqdn |
null |
| clientVmId |
500cd1b6-96b6-4567-82f4-231a63dead81 |
| serverPort |
0 |
| serverIp |
null |
| serverFqdn |
null |
| serverVmId |
null |
| applicationProtocol |
null |
| submittedBy |
SYSTEM |
| isFoundByAsds |
true |
| isBlocked |
false |
| allowListed |
false |
| verdict |
BENIGN |
| score |
0 |
| analystUuid |
null |
| submissionUuid | null |
| tnId | 38c58796-9983-4a41-b9f2-dc309bd3458d |
| malwareClass |
null |
| malwareFamily |
null |
| errorCode |
null |
| errorMessage |
null |
| nodeType |
1 |
| gatewayId |
|
| analysisStatus |
COMPLETED |
| followupEvent |
false |
| httpDomain |
null |
| httpMethod |
null |
| path |
null |
| referer |
null |
| userAgent |
null |
| contentDispositionFileName |
null |
| isFileUploaded |
false |
| startTime |
1654047768828 |
| endTime |
1654047768844 |
| ttl |
1654220570304 |
Risoluzione dei problemi di syslog
Se il server di registrazione remoto configurato non è in grado di ricevere i messaggi del registro, vedere Risoluzione dei problemi di Syslog.
Raccolta di bundle di supporto
- Per raccogliere i bundle di supporto per nodi di gestione, NSX Edge e host, vedere Raccolta di bundle di supporto.
- Per raccogliere i bundle di supporto per NSX Application Platform, vedere la documentazione Distribuzione e gestione di VMware NSX Application Platform disponibile alla pagina https://docs.vmware.com/it/VMware-NSX-T-Data-Center/index.html.
