È possibile visualizzare i registri dei flussi di sicurezza dell'ambiente NSX-T Data Center utilizzando VMware vRealize Log Insight.
- Ispezione TLS
- Gateway IDPS
- Filtro URL
A partire da NSX-T Data Center 3.2.1, l'ispezione TLS e l'IDPS del gateway sono disponibili per gli ambienti di produzione e sono completamente supportati. In NSX-T Data Center 3.2.0, queste funzionalità erano disponibili solo in modalità anteprima tecnica. Per ulteriori informazioni, vedere il Note di rilascio di NSX-T Data Center.
Registri di sicurezza unificati
Tutti i segmenti verticali della sicurezza generano e salvano i registri dei flussi di sicurezza unificati nel formato Registri di sicurezza unificati in un singolo file di registro in un nodo. Questo singolo registro viene esportato nel server syslog, configurato per VMware vRealize Log Insight. VMware vRealize Log Insight elaborerà quindi i registri per fornire ulteriore gestione, analisi e visualizzazione dei registri utilizzando il pacchetto di contenuti NSX-T.
Visualizzare i registri su vRealize Log Insight
Nuovo dashboard "NSX - Registri del flusso di sicurezza unificato" viene aggiunto nel pacchetto di contenuti NSX-T esistente. Questo dashboard mostra i widget del grafico, che sono la rappresentazione visiva dei registri del flusso di sicurezza.
Il pacchetto di contenuti VMware vRealize Log Insight è un plug-in. Contiene dashboard, campi estratti, query salvate e avvisi correlati a un prodotto o a un set di registri specifico.
Il pacchetto di contenuti di NSX-T è disponibile su VMware vRealize Log Insight Marketplace.
Per ulteriori informazioni su VMware vRealize Log Insight e su come installare il Pacchetto di contenuti da Marketplace pacchetto di contenuti, vedere il capitolo Installazione di un pacchetto di contenuti da Marketplace pacchetto di contenuti nel documento del prodotto Utilizzo di VMware vRealize Log Insight.
Top-N e Ultime X ore
É anche possibile eseguire query sugli eventi in VMware vRealize Log Insight per informazioni Top-N dalle ultime X ore utilizzando Funzionalità analitiche interattive e Pacchetto di contenuti.
Server di registrazione remota
Per inviare i registri a un server di registrazione remota, è necessario configurare separatamente le appliance e gli hypervisor di NSX-T Data Center con la registrazione remota in ciascun nodo.
Per ulteriori informazioni, vedere Configurazione della registrazione remota.
Se non si ricevono i registri dal server di registrazione remoto, consultare Risoluzione dei problemi di Syslog.
Formato dei Registri di sicurezza unificati
cat /var/log/syslog | grep 'unified-logs'
Esempi di messaggi del registro:
2021-10-12T09:00:46.192Z nsxedge-18734920-1-mps29 NSX 22621 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="tls-proxy" s2comp="unified-logs" level="INFO"] {"event_type": "fw-flow-terminate-log", "event_trigger": ["fw-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "79427614-4a0d-2692-032c-eb4692f717a9", "node_uuid": "ec11a626-f425-3bc2-671d-a656500003b2"}, "flow": {"start": "2021-10-12T09:00:46.723Z", "end": "2021-10-12T09:00:46.773Z", "ip_ver": "ipv4", "flow_id": "0x1e0000704f000018", "src_ip": "192.168.100.160", "src_port": 25700, "dest_ip": "1.1.5.10", "dest_port": 443, "proto": "TCP", "tcp_flags": "", "bytes_toserver": 95, "bytes_toclient": 29873, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 1002, "direction": "", "rule_tag": ""}, "http": {"http_method": "", "hostname": "www.facebook.com", "url": "www.facebook.com/benign_pdf1.pdf", "scheme": "", "http_user_agent": "", "status": "", "site_category": ""SOCIAL_NETWORK"", "site_reputation": "Trustworthy"},"tls_inspection": {"action": "PASS", "rule_id": 1008, "domain": "www.facebook.com", "cert_status": "ok", "tls_version_toserver": "TLSv1.2", "cipher_to_server": "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "reason": "", "tls_rule_tag": "TLS External Rule"}, "idps": {"action": "PASS", "rule_id": 1007, "ids_profile_id": "00000000-0000-0000-0000-000000000000", "alert_event": ["SOCIAL_NETWORK"], "protocol_event": ["http"]}, "app_id": {"app": ""APP_HTTP", "APP_FACEBOOK", "APP_SSL""}
2021-11-11T04:07:37.489Z nsxedge-18866667-2-NAT-fc-3-nov NSX 27330 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="datapathd" s2comp="unified-logs" level="INFO"] {"event_type": "fw-flow-terminate-log", "event_trigger": ["ids-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "544ee558-fad0-e624-019f-e8e3e0472c91", "node_uuid": "dabf16c9-ec11-833c-0c00-8c832f771729"}, "flow": {"start": "2021-11-11T04:07:07.000Z", "end": "2021-11-11T04:07:37.000Z", "ip_ver": "ipv4", "flow_id": "0xd44d00306e0a0004", "src_ip": "1.1.1.10", "src_port": 35714, "dest_ip": "10.142.7.1", "dest_port": 53, "proto": "UDP", "tcp_flags": "FPW", "bytes_toserver": 297878, "bytes_toclient": 71, "pkts_toserver": 71, "pkts_toclient": 1, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 2025, "direction": "", "rule_tag": ""}, "l7profile": {"entry_id": "00000000-0000-0000-0000-000000000000", "action": "PASS"}, "http": {"http_method": "", "hostname": "", "url": "", "scheme": "", "http_user_agent": "", "status": "", "site_category": "", "site_reputation": "UNKNOWN"}, "idps": {"action": "IDP_DETECT", "rule_id": 2028, "ids_profile_id": "9872e27a-ead4-4c93-af5f-4df1ec0c73e1", "alert_event": [], "protocol_event": []}, "app_id": {"app": ""APP_DNS""}}
2021-11-08T08:30:59.208Z nsxedge-18866667-2-NAT-fc-3-nov NSX 9495 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="datapathd" s2comp="unified-logs" level="INFO"] {"event_type": "fw-flow-terminate-log", "event_trigger": ["fw-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "544ee558-fad0-e624-019f-e8e3e0472c91", "node_uuid": "dabf16c9-ec11-833c-0c00-8c832f771729"}, "flow": {"start": "2021-11-08T08:30:57.000Z", "end": "2021-11-08T08:30:59.000Z", "ip_ver": "ipv4", "flow_id": "0x4001006c04000000", "src_ip": "1.1.1.10", "src_port": 43600, "dest_ip": "13.226.234.18", "dest_port": 80, "proto": "TCP", "tcp_flags": "FREW", "bytes_toserver": 54968, "bytes_toclient": 444, "pkts_toserver": 444, "pkts_toclient": 7, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 1004, "direction": "", "rule_tag": ""}, "l7profile": {"entry_id": "e9580107-2749-471c-be82-715d530bf4d4", "action": "PASS"}, "http": {"http_method": "", "hostname": "", "url": "espn.com/", "scheme": "", "http_user_agent": "", "status": "", "site_category": ""SPORTS"", "site_reputation": "TRUSTWORTHY"}, "app_id": {"app": ""APP_HTTP", "APP_ESPN""}}