Utilizzo di vRealize Log Insight per i registri di sicurezza unificati

È possibile visualizzare i registri dei flussi di sicurezza dell'ambiente NSX-T Data Center utilizzando VMware vRealize Log Insight.

Le seguenti funzionalità di sicurezza supportano la registrazione del flusso:

Ispezione TLS
Gateway IDPS
Filtro URL

Nota:

A partire da NSX-T Data Center 3.2.1, l'ispezione TLS e l'IDPS del gateway sono disponibili per gli ambienti di produzione e sono completamente supportati. In NSX-T Data Center 3.2.0, queste funzionalità erano disponibili solo in modalità anteprima tecnica. Per ulteriori informazioni, vedere il Note di rilascio di NSX-T Data Center.

Registri di sicurezza unificati

Tutti i segmenti verticali della sicurezza generano e salvano i registri dei flussi di sicurezza unificati nel formato Registri di sicurezza unificati in un singolo file di registro in un nodo. Questo singolo registro viene esportato nel server syslog, configurato per VMware vRealize Log Insight. VMware vRealize Log Insight elaborerà quindi i registri per fornire ulteriore gestione, analisi e visualizzazione dei registri utilizzando il pacchetto di contenuti NSX-T.

Visualizzare i registri su vRealize Log Insight

Nuovo dashboard "NSX - Registri del flusso di sicurezza unificato" viene aggiunto nel pacchetto di contenuti NSX-T esistente. Questo dashboard mostra i widget del grafico, che sono la rappresentazione visiva dei registri del flusso di sicurezza.

Il pacchetto di contenuti VMware vRealize Log Insight è un plug-in. Contiene dashboard, campi estratti, query salvate e avvisi correlati a un prodotto o a un set di registri specifico.

Il pacchetto di contenuti di NSX-T è disponibile su VMware vRealize Log Insight Marketplace.

Per ulteriori informazioni su VMware vRealize Log Insight e su come installare il Pacchetto di contenuti da Marketplace pacchetto di contenuti, vedere il capitolo Installazione di un pacchetto di contenuti da Marketplace pacchetto di contenuti nel documento del prodotto Utilizzo di VMware vRealize Log Insight.

Top-N e Ultime X ore

É anche possibile eseguire query sugli eventi in VMware vRealize Log Insight per informazioni Top-N dalle ultime X ore utilizzando Funzionalità analitiche interattive e Pacchetto di contenuti.

Server di registrazione remota

Per inviare i registri a un server di registrazione remota, è necessario configurare separatamente le appliance e gli hypervisor di NSX-T Data Center con la registrazione remota in ciascun nodo.

Nota: Per inviare i registri al server syslog, è necessario abilitare la registrazione per le regole specifiche di NSX-T Manager.

Per ulteriori informazioni, vedere Configurazione della registrazione remota.

Se non si ricevono i registri dal server di registrazione remoto, consultare Risoluzione dei problemi di Syslog.

Formato dei Registri di sicurezza unificati

È inoltre possibile recuperare i registri del flusso in /var/log/syslog | grep 'unified-logs' sugli Edge. Ad esempio, per

Ispezione TLS:

2021-10-12T09:00:46.192Z nsxedge-18734920-1-mps29 NSX 22621 SYSTEM [nsx@6876 comp="nsx-edge" 
subcomp="tls-proxy" s2comp="unified-logs" level="INFO"] {"event_type": "fw-flow-terminate-log", 
"event_trigger": ["fw-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "79427614-4a0d-2692-032c-eb4692f717a9", 
"node_uuid": "ec11a626-f425-3bc2-671d-a656500003b2"}, "flow": {"start": "2021-10-12T09:00:46.723Z", 
"end": "2021-10-12T09:00:46.773Z", "ip_ver": "ipv4", "flow_id": "0x1e0000704f000018", 
"src_ip": "192.168.100.160", "src_port": 25700, "dest_ip": "1.1.5.10", "dest_port": 443, "proto": "TCP", "tcp_flags": "",
"bytes_toserver": 95, "bytes_toclient": 29873, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 1002,
"direction": "", "rule_tag": ""}, "http": {"http_method": "", "hostname": "www.facebook.com", "url": "www.facebook.com/benign_pdf1.pdf", "scheme": "", "http_user_agent": "", "status": "",
"site_category": ""SOCIAL_NETWORK"", "site_reputation": "Trustworthy"},"tls_inspection": {"action": "PASS", "rule_id": 1008, "domain": "www.facebook.com", "cert_status": "ok", "tls_version_toserver": "TLSv1.2",
"cipher_to_server": "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "reason": "", "tls_rule_tag": "TLS External Rule"}, "idps": {"action": "PASS", "rule_id": 1007,
"ids_profile_id": "00000000-0000-0000-0000-000000000000", "alert_event": ["SOCIAL_NETWORK"], "protocol_event": ["http"]}, "app_id": {"app": ""APP_HTTP", "APP_FACEBOOK", "APP_SSL""}

Gateway IDPS:

2021-11-11T04:07:37.489Z nsxedge-18866667-2-NAT-fc-3-nov NSX 27330 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="datapathd" s2comp="unified-logs" level="INFO"]
 {"event_type": "fw-flow-terminate-log", "event_trigger": ["ids-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "544ee558-fad0-e624-019f-e8e3e0472c91", 
"node_uuid": "dabf16c9-ec11-833c-0c00-8c832f771729"}, "flow": {"start": "2021-11-11T04:07:07.000Z", "end": "2021-11-11T04:07:37.000Z",
"ip_ver": "ipv4", "flow_id": "0xd44d00306e0a0004", "src_ip": "1.1.1.10", "src_port": 35714, "dest_ip": "10.142.7.1", "dest_port": 53,
"proto": "UDP", "tcp_flags": "FPW", "bytes_toserver": 297878, "bytes_toclient": 71, "pkts_toserver": 71, "pkts_toclient": 1, 
"reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 2025, "direction": "", "rule_tag": ""},
"l7profile": {"entry_id": "00000000-0000-0000-0000-000000000000", "action": "PASS"}, 
"http": {"http_method": "", "hostname": "", "url": "", "scheme": "", "http_user_agent": "", "status": "", "site_category": "", 
"site_reputation": "UNKNOWN"}, "idps": {"action": "IDP_DETECT", "rule_id": 2028, "ids_profile_id": "9872e27a-ead4-4c93-af5f-4df1ec0c73e1", 
"alert_event": [], "protocol_event": []}, "app_id": {"app": ""APP_DNS""}}

Filtro URL:

2021-11-08T08:30:59.208Z nsxedge-18866667-2-NAT-fc-3-nov NSX 9495 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="datapathd" s2comp="unified-logs" level="INFO"]
{"event_type": "fw-flow-terminate-log", "event_trigger": ["fw-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "544ee558-fad0-e624-019f-e8e3e0472c91",
"node_uuid": "dabf16c9-ec11-833c-0c00-8c832f771729"}, "flow": {"start": "2021-11-08T08:30:57.000Z", "end": "2021-11-08T08:30:59.000Z",
"ip_ver": "ipv4", "flow_id": "0x4001006c04000000", "src_ip": "1.1.1.10", "src_port": 43600, "dest_ip": "13.226.234.18", 
"dest_port": 80, "proto": "TCP", "tcp_flags": "FREW", "bytes_toserver": 54968, "bytes_toclient": 444, 
"pkts_toserver": 444, "pkts_toclient": 7, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 1004, "direction": "",
"rule_tag": ""}, "l7profile": {"entry_id": "e9580107-2749-471c-be82-715d530bf4d4", "action": "PASS"},
"http": {"http_method": "", "hostname": "", "url": "espn.com/", "scheme": "", "http_user_agent": "", "status": "",
"site_category": ""SPORTS"", "site_reputation": "TRUSTWORTHY"}, "app_id": {"app": ""APP_HTTP", "APP_ESPN""}}