La funzionalità Prevenzione malware NSX viene eseguita su NSX Edge, sulla macchina virtuale di servizio (su host ESXi) e su NSX Application Platform. I registri dei prodotti generati su NSX Edge e nelle macchine virtuali di servizio sono conformi allo standard RFC 5424.
Messaggi del registro
Nelle appliance NSX, i messaggi syslog sono conformi allo standard RFC 5424. I registri prodotto aggiuntivi vengono scritti nella directory /var/log.
- In un NSX Edge, i messaggi del registro di analisi malware per i file estratti vengono forniti dal servizio di prevenzione malware del gateway nel gateway di livello 1 attivo.
- In un host ESXi, i messaggi del registro di analisi malware per i file scaricati nelle macchine virtuali del carico di lavoro in esecuzione nell'host vengono forniti dalla macchina virtuale del servizio di prevenzione malware nell'host ESXi.
- Per i file estratti dal servizio di prevenzione malware e dal servizio di prevenzione malware distribuito del gateway, i messaggi del registro di analisi malware vengono forniti dal microservizio Analizzatore sicurezza in esecuzione in NSX Application Platform.
È supportata anche la registrazione remota. Per utilizzare i registri delle funzionalità di Prevenzione malware NSX è possibile configurare NSX Edge, NSX Application Platform e Prevenzione malware NSX per l'invio o il reindirizzamento di messaggi di registro a un server di registrazione remoto.
Registrazione remota in NSX Edge
È necessario configurare la registrazione remota in ogni nodo NSX Edge singolarmente. Per configurare il server di registrazione remota in un nodo NSX Edge utilizzando la CLI di NSX, vedere Configurazione della registrazione remota.
Per configurare il server di registrazione remota in un nodo NSX Edge utilizzando la UI di NSX Manager, vedere Aggiunta di server syslog per i nodi di NSX.
Registrazione remota in NSX Application Platform
Per reindirizzare i messaggi del registro di NSX Application Platform a un server di registrazione esterno, è necessario eseguire una REST API.
Per informazioni sulla REST API oltre a esempi di corpo della richiesta, risposta e codice, vedere il portale della documentazione degli sviluppatori VMware.
Registrazione remota in una macchina virtuale del servizio Prevenzione malware NSX
Questa funzionalità è supportata a partire da NSX 4.1.2.
- In NSX 4.1.2 o versione successiva
-
Per reindirizzare i messaggi di registro della macchina virtuale del servizio (SVM) Prevenzione malware NSX a un server di registrazione esterno, è possibile accedere alla SVM come utente amministratore ed eseguire i comandi della CLI di NSX nella SVM. Per ulteriori informazioni, vedere Configurazione della registrazione remota in una macchina virtuale del servizio Prevenzione malware NSX.
- In NSX 4.1.1 o versioni precedenti
-
La configurazione della registrazione remota nella SVM Prevenzione malware NSX non è supportata. È tuttavia possibile copiare il file syslog da ogni SVM Prevenzione malware NSX accedendo alla SVM con una connessione SSH.
L'accesso SSH all'utente amministratore della SVM è basato su chiave (coppia di chiavi pubblica-privata). Una chiave pubblica è necessaria quando si distribuisce il servizio in un cluster di host ESXi, mentre una chiave privata è necessaria quando si desidera avviare una sessione SSH nella SVM.
Per ulteriori informazioni, vedere Accesso alla macchina virtuale del servizio Prevenzione malware NSX.
Dopo aver effettuato l'accesso a SVM, utilizzare il comando sftp o scp per copiare il file syslog dalla directory /var/log in tale momento specifico. Se sono disponibili più file syslog in questa posizione, vengono compressi e archiviati nello stesso percorso.
Ulteriori informazioni sulla registrazione
Interpretazione dei messaggi del registro eventi di Prevenzione malware NSX
Il formato dei messaggi del registro relativi agli eventi di Prevenzione malware NSX nella macchina virtuale del servizio e in NSX Edge è lo stesso. Tuttavia, per gli eventi in NSX Application Platform, il formato dei messaggi del registro è diverso.
Il seguente messaggio del registro eventi viene generato dal microservizio sa-events-processor, che è un pod che viene eseguito in NSX Application Platform.
Esempio:
{"log":"{\"log\":\"\\u001b[37m2022-06-01T01:42:58,725\\u001b[m \\u001b[32mINFO \\u001b[m[\\u001b[1;34mfileEventConsumer-1\\u001b[m] \\u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\\u001b[m: SECURITY [nsx@6876 comp=\\\"nsx-manager\\\" level=\\\"INFO\\\" subcomp=\\\"manager\\\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)\\n\",\"stream\":\"stdout\",\"time\":\"2022-06-01T01:42:58.725811209Z\"}","log_processed":{"log":"\u001b[37m2022-06-01T01:42:58,725\u001b[m \u001b[32mINFO \u001b[m[\u001b[1;34mfileEventConsumer-1\u001b[m] \u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\u001b[m: SECURITY [nsx@6876 comp=\"nsx-manager\" level=\"INFO\" subcomp=\"manager\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)","stream":"stdout","time":"2022-06-01T01:42:58.725811209Z"},"kubernetes":{"pod_name":"sa-events-processor-55bcfcc46d-4jftf","namespace_name":"nsxi-platform","pod_id":"305953f7-836b-4bbb-ba9e-00fdf68de4ae","host":"worker03","container_name":"sa-events-processor","docker_id":"93f81f278898e6ce3e14d9a37e0e10a502c46fe53c9ad61680aed48b94f7f8bf","container_hash":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor@sha256:b617f4bb9f3ea5767839e39490a78169f7f3d54826b89638e4a950e391405ae4","container_image":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor:19067767"}}
In questo messaggio del registro eventi di esempio, è possibile notare che, oltre agli attributi del registro standard, come date (2022-06-01T00:42:58,326) e log level (INFO), e agli attributi filtrabili, come module (SECURITY) e container_name (sa-events-processor), sono presenti altri attributi in formato JSON. Nella seguente tabella sono elencati questi attributi aggiuntivi.
| Chiave | Valore di esempio |
|---|---|
| id |
0 |
| sha256 |
29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d |
| sha1 |
549cb3f1c85c4ef7fb06dcd33d68cba073b260ec |
| md5 |
65b9b68668bb6860e3144866bf5dab85 |
| fileName |
drupdate.dll |
| fileType |
PeExeFile |
| fileSize |
287024 |
| inspectionTime |
1654047770305 |
| clientPort |
0 |
| clientIP |
null |
| clientFqdn |
null |
| clientVmId |
500cd1b6-96b6-4567-82f4-231a63dead81 |
| serverPort |
0 |
| serverIp |
null |
| serverFqdn |
null |
| serverVmId |
null |
| applicationProtocol |
null |
| submittedBy |
SYSTEM |
| isFoundByAsds |
true |
| isBlocked |
false |
| allowListed |
false |
| verdict |
BENIGN |
| score |
0 |
| analystUuid |
null |
| submissionUuid | null |
| tnId | 38c58796-9983-4a41-b9f2-dc309bd3458d |
| malwareClass |
null |
| malwareFamily |
null |
| errorCode |
null |
| errorMessage |
null |
| nodeType |
1 |
| gatewayId |
|
| analysisStatus |
COMPLETED |
| followupEvent |
false |
| httpDomain |
null |
| httpMethod |
null |
| path |
null |
| referer |
null |
| userAgent |
null |
| contentDispositionFileName |
null |
| isFileUploaded |
false |
| startTime |
1654047768828 |
| endTime |
1654047768844 |
| ttl |
1654220570304 |
Risoluzione dei problemi di syslog
Se il server di registrazione remoto configurato non è in grado di ricevere i registri, vedere Risoluzione dei problemi di Syslog.
Raccolta di bundle di supporto
- Per raccogliere i bundle di supporto per nodi di gestione, NSX Edge e host, vedere Raccolta di bundle di supporto.
- Per raccogliere i bundle di supporto per NSX Application Platform, vedere la documentazione Distribuzione e gestione di VMware NSX Application Platform disponibile alla pagina https://docs.vmware.com/it/VMware-NSX/index.html.
- (In NSX 4.1.2 o versione successiva): per raccogliere bundle di supporto per le SVM Prevenzione malware NSX in esecuzione nei cluster di host vSphere attivati per il servizio Prevenzione malware distribuita NSX, vedere Raccolta del bundle di supporto per una macchina virtuale del servizio Prevenzione malware NSX.
