È possibile visualizzare i registri dei flussi di sicurezza dell'ambiente NSX utilizzando VMware Aria Operations for Logs.
- Ispezione TLS
- Gateway IDPS
- Filtro URL
A partire da NSX 3.2.1, l'ispezione TLS e l'IDPS del gateway sono disponibili per gli ambienti di produzione e sono completamente supportati. In NSX 3.2.0, queste funzionalità erano disponibili solo in modalità anteprima tecnica. Per ulteriori informazioni, vedere il Note di rilascio di NSX.
Registri di sicurezza unificati
Tutti i segmenti verticali della sicurezza generano e salvano i registri dei flussi di sicurezza unificati nel formato Registri di sicurezza unificati in un singolo file di registro in un nodo. Questo singolo registro viene esportato nel server syslog, configurato per VMware Aria Operations for Logs. VMware Aria Operations for Logs elaborerà quindi i registri per fornire ulteriore gestione, analisi e visualizzazione dei registri utilizzando il pacchetto di contenuti NSX.
Visualizzare i registri su vRealize Log Insight
Nuovo dashboard "NSX - Registri del flusso di sicurezza unificato" viene aggiunto nel pacchetto di contenuti NSX esistente. Questo dashboard mostra i widget del grafico, che sono la rappresentazione visiva dei registri del flusso di sicurezza.
Il pacchetto di contenuti VMware Aria Operations for Logs è un plug-in. Contiene dashboard, campi estratti, query salvate e avvisi correlati a un prodotto o a un set di registri specifico.
Il pacchetto di contenuti di NSX è disponibile su VMware Aria Operations for Logs Marketplace.
Per ulteriori informazioni su VMware Aria Operations for Logs e su come installare il Pacchetto di contenuti da Marketplace pacchetto di contenuti, vedere il capitolo Installazione di un pacchetto di contenuti da Marketplace pacchetto di contenuti nel documento del prodotto Utilizzo di VMware Aria Operations for Logs.
Top-N e Ultime X ore
É anche possibile eseguire query sugli eventi in VMware Aria Operations for Logs per informazioni Top-N dalle ultime X ore utilizzando Funzionalità analitiche interattive e Pacchetto di contenuti.
Server di registrazione remota
Per inviare i registri a un server di registrazione remota, è necessario configurare separatamente le appliance e gli hypervisor di NSX con la registrazione remota in ciascun nodo.
Per ulteriori informazioni, vedere Configurazione della registrazione remota.
Se non si ricevono i registri dal server di registrazione remoto, consultare Risoluzione dei problemi di Syslog.
Formato dei Registri di sicurezza unificati
cat /var/log/syslog | grep 'unified-logs'
Esempi di messaggi del registro:
2021-10-12T09:00:46.192Z nsxedge-18734920-1-mps29 NSX 22621 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="tls-proxy" s2comp="unified-logs" level="INFO"] {"event_type": "fw-flow-terminate-log", "event_trigger": ["fw-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "79427614-4a0d-2692-032c-eb4692f717a9", "node_uuid": "ec11a626-f425-3bc2-671d-a656500003b2"}, "flow": {"start": "2021-10-12T09:00:46.723Z", "end": "2021-10-12T09:00:46.773Z", "ip_ver": "ipv4", "flow_id": "0x1e0000704f000018", "src_ip": "192.168.100.160", "src_port": 25700, "dest_ip": "1.1.5.10", "dest_port": 443, "proto": "TCP", "tcp_flags": "", "bytes_toserver": 95, "bytes_toclient": 29873, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 1002, "direction": "", "rule_tag": ""}, "http": {"http_method": "", "hostname": "www.facebook.com", "url": "www.facebook.com/benign_pdf1.pdf", "scheme": "", "http_user_agent": "", "status": "", "site_category": ""SOCIAL_NETWORK"", "site_reputation": "Trustworthy"},"tls_inspection": {"action": "PASS", "rule_id": 1008, "domain": "www.facebook.com", "cert_status": "ok", "tls_version_toserver": "TLSv1.2", "cipher_to_server": "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "reason": "", "tls_rule_tag": "TLS External Rule"}, "idps": {"action": "PASS", "rule_id": 1007, "ids_profile_id": "00000000-0000-0000-0000-000000000000", "alert_event": ["SOCIAL_NETWORK"], "protocol_event": ["http"]}, "app_id": {"app": ""APP_HTTP", "APP_FACEBOOK", "APP_SSL""}
2021-11-11T04:07:37.489Z nsxedge-18866667-2-NAT-fc-3-nov NSX 27330 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="datapathd" s2comp="unified-logs" level="INFO"] {"event_type": "fw-flow-terminate-log", "event_trigger": ["ids-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "544ee558-fad0-e624-019f-e8e3e0472c91", "node_uuid": "dabf16c9-ec11-833c-0c00-8c832f771729"}, "flow": {"start": "2021-11-11T04:07:07.000Z", "end": "2021-11-11T04:07:37.000Z", "ip_ver": "ipv4", "flow_id": "0xd44d00306e0a0004", "src_ip": "1.1.1.10", "src_port": 35714, "dest_ip": "10.142.7.1", "dest_port": 53, "proto": "UDP", "tcp_flags": "FPW", "bytes_toserver": 297878, "bytes_toclient": 71, "pkts_toserver": 71, "pkts_toclient": 1, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 2025, "direction": "", "rule_tag": ""}, "l7profile": {"entry_id": "00000000-0000-0000-0000-000000000000", "action": "PASS"}, "http": {"http_method": "", "hostname": "", "url": "", "scheme": "", "http_user_agent": "", "status": "", "site_category": "", "site_reputation": "UNKNOWN"}, "idps": {"action": "IDP_DETECT", "rule_id": 2028, "ids_profile_id": "9872e27a-ead4-4c93-af5f-4df1ec0c73e1", "alert_event": [], "protocol_event": []}, "app_id": {"app": ""APP_DNS""}}
2021-11-08T08:30:59.208Z nsxedge-18866667-2-NAT-fc-3-nov NSX 9495 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="datapathd" s2comp="unified-logs" level="INFO"] {"event_type": "fw-flow-terminate-log", "event_trigger": ["fw-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "544ee558-fad0-e624-019f-e8e3e0472c91", "node_uuid": "dabf16c9-ec11-833c-0c00-8c832f771729"}, "flow": {"start": "2021-11-08T08:30:57.000Z", "end": "2021-11-08T08:30:59.000Z", "ip_ver": "ipv4", "flow_id": "0x4001006c04000000", "src_ip": "1.1.1.10", "src_port": 43600, "dest_ip": "13.226.234.18", "dest_port": 80, "proto": "TCP", "tcp_flags": "FREW", "bytes_toserver": 54968, "bytes_toclient": 444, "pkts_toserver": 444, "pkts_toclient": 7, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 1004, "direction": "", "rule_tag": ""}, "l7profile": {"entry_id": "e9580107-2749-471c-be82-715d530bf4d4", "action": "PASS"}, "http": {"http_method": "", "hostname": "", "url": "espn.com/", "scheme": "", "http_user_agent": "", "status": "", "site_category": ""SPORTS"", "site_reputation": "TRUSTWORTHY"}, "app_id": {"app": ""APP_HTTP", "APP_ESPN""}}