EPSecLib riceve gli eventi dall'agente host di NSX Guest Introspection Platform (MUX) dell'host ESXi.

Percorso del registro e messaggio di esempio

Percorso del registro EPSecLib
/var/log/syslog

I messaggi EPSecLib seguono il formato <data e ora><Nome macchina virtuale><Nome processo><[PID]>:<messaggio>

Nell'esempio seguente [ERROR] è il tipo di messaggio e (EPSEC) rappresenta i messaggi specifici di qualsiasi funzionalità che utilizza NSX Guest Introspection Platform.

Ad esempio: 
Oct 17 14:26:00 endpoint-virtual-machine EPSecTester[7203]: [NOTICE] (EPSEC)
 [7203] Initializing EPSec library build: build-00000
 
Oct 17 14:37:41 endpoint-virtual-machine EPSecSample: [ERROR] (EPSEC) [7533] Event 
terminated reading file. Ex: VFileGuestEventTerminated@tid=7533: Event id: 3554.

Raccolta di registri

Per abilitare la registrazione di debug per la libreria EPSec, che è un componente all'interno di qualsiasi servizio che utilizza NSX Guest Introspection Platform:
  1. Collaborare con il fornitore della sicurezza antivirus o Prevenzione malware NSX per abilitare l'accesso alla console o SSH alla SVM. Seguire le istruzioni fornite dal partner per abilitare l'accesso alla console o SSH.
  2. Accedere alla SVM Prevenzione malware NSX o EPP ottenendo la password della console da NSX Manager.

  3. Creare il file /etc/epseclib.conf e aggiungere:

    ENABLE_DEBUG=TRUE

    ENABLE_SUPPORT=TRUE

    I registri di debug si trovano in (RHEL/SLES/CentOS) /var/log/messages o (Ubuntu) /var/log/syslog. Poiché l'impostazione di debug può saturare il file /var/log, disabilitare la modalità di debug non appena sono state raccolte tutte le informazioni richieste.

  4. Modificare le autorizzazioni eseguendo il comando chmod 644 /etc/epseclib.conf.
  5. Collaborare con il partner antivirus o Prevenzione malware NSX per estrarre i registri generati per la SVM.
  6. Per Prevenzione malware NSX, configurare la macchina virtuale di Security Hub per abilitare EPSecLib.