Per reindirizzare i messaggi del registro della macchina virtuale del servizio (SVM) Prevenzione malware NSX a un server di registrazione remoto, è possibile accedere alla SVM negli host dei cluster di host vSphere attivati per il servizio Prevenzione malware distribuita NSX e configurare la registrazione remota eseguendo i comandi della CLI di NSX.

L'accesso remoto alle SVM di Prevenzione malware NSX è supportato a partire da NSX 4.1.2.

Attualmente, solo i messaggi di registro relativi agli eventi del ciclo di vita dell'analisi del file di Prevenzione malware NSX vengono reindirizzati al server di registrazione remoto. L'analisi del file viene in genere avviata quando un file viene scaricato in una macchina virtuale del carico di lavoro protetta da un criterio di sicurezza di Prevenzione malware NSX. Il file scaricato viene elaborato da vari componenti e viene restituito un verdetto. I risultati forniti dai componenti intermedi importanti vengono registrati nel file syslog nella SVM.

Di seguito sono disponibili alcuni esempi di eventi del ciclo di vita dell'analisi del file:
  • File intercettato
  • Riscontro cache verdetto
  • File inviato per l'analisi locale (statica)
  • File inviato per l'analisi nel cloud (dinamica)
  • Verdetto ottenuto
  • Criterio applicato

Se si desidera reindirizzare i messaggi del registro per gli eventi di monitoraggio dell'integrità della macchina virtuale, incluso l'utilizzo della risorsa SVM, come l'utilizzo della CPU, l'utilizzo del disco e l'utilizzo della memoria, è possibile configurare la registrazione remota nella CLI di NSX Manager. In alternativa, è possibile monitorare questi eventi di integrità nella pagina Allarmi dell'interfaccia utente di NSX Manager. Per ulteriori informazioni relative agli eventi di integrità di Prevenzione malware NSX vedere Catalogo degli eventi di NSX.

Per la configurazione della registrazione remota nella SVM, sono supportati i protocolli seguenti:
  • TCP
  • UDP
  • TLS (registrazione remota sicura)

TCP ha il vantaggio di essere più affidabile, mentre UDP ha il vantaggio di richiedere meno overhead del sistema e della rete. Il protocollo TLS comporta un overhead aggiuntivo, ma fornisce traffico crittografato tra la SVM e il server di registrazione remoto.

I protocolli di Aria Operations for Logs (LI e LI-TLS) non sono supportati per la configurazione della registrazione remota nella SVM.

Prerequisiti

  • L'amministratore di VMware vCenter deve attivare l'accesso SSH alla SVM in ogni host. Per ulteriori informazioni, vedere la sezione Prerequisiti in Accesso alla macchina virtuale del servizio Prevenzione malware NSX.
  • Acquisire familiarità con il comando della CLI set logging-server. Per ulteriori informazioni, vedere la documentazione Macchina virtuale del servizio Malware Prevention in Informazioni di riferimento sull'interfaccia della riga di comando NSX.
  • Se si desidera specificare il protocollo TLS per la configurazione di un server di registrazione remoto, copiare i certificati del server, i certificati del client e la chiave del client in /var/vmware/nsx/file-store in ogni SVM di Prevenzione malware NSX utilizzando il comando della CLI copy url <url> [file <filename>].

    Nell'esempio seguente, il comando copy viene eseguito nella SVM. Per impostazione predefinita, il file client-key.pem viene quindi copiato dalla posizione di origine in /var/vmware/nsx/file-store nella SVM.

    Esempio: 
    svm> copy url scp://[email protected]:/home/user/openssl/client-key.pem
The authenticity of host '1.2.3.4 (1.2.3.4)' can't be established.
ECDSA key fingerprint is SHA256:abcdabcdabcdabcdabcdabcdabcdabcdabcdabcd.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '1.2.3.4' (ECDSA) to the list of known hosts.
[email protected]'s password:
client-key.pem                                100% 1704     8.0KB/s   00:00
  • Per configurare una connessione sicura per un server di registrazione remoto, verificare che il server sia configurato con certificati firmati dall'autorità di certificazione. Ad esempio, se come server di registrazione si utilizza un server vrli.prome.local di Aria Operations for Logs, è possibile eseguire il comando seguente da un client per visualizzare la catena di certificati nel server di registrazione:
    root@caserver:~# echo -n | openssl s_client -connect vrli.prome.local:443  | sed -ne '/^Certificate chain/,/^---/p'
depth=2 C = US, L = California, O = GS, CN = Orange Root Certification Authority
verify error:num=19:self signed certificate in certificate chain
Certificate chain
 0 s:/C=US/ST=California/L=HTG/O=GSS/CN=vrli.prome.local
   i:/C=US/L=California/O=GS/CN=Green Intermediate Certification Authority
 1 s:/C=US/L=California/O=GS/CN=Green Intermediate Certification Authority
   i:/C=US/L=California/O=GS/CN=Orange Root Certification Authority
 2 s:/C=US/L=California/O=GS/CN=Orange Root Certification Authority
   i:/C=US/L=California/O=GS/CN=Orange Root Certification Authority
---
DONE

Procedura

  1. Accedere alla SVM Prevenzione malware NSX come utente amministratore.
    Per informazioni dettagliate, vedere Accesso alla macchina virtuale del servizio Prevenzione malware NSX.
  2. Eseguire il comando seguente per configurare un server di registrazione remoto nella SVM: 
    svm> set logging-server <hostname-or-ip-address[:port]> proto <proto> level <level> messageid SECURITY [facility <facility>] [serverca <filename>] [clientca <filename>] [certificate <filename>] [key <filename>] [structured-data <structured-data>]

    Questo comando reindirizza i messaggi del registro della SVM all'indirizzo IP o al nome di dominio completo (FQDN) specificato del server nella porta specificata. Se non viene indicata alcuna porta, viene utilizzata la porta predefinita per il protocollo specificato. Ad esempio, porta 514 per TCP e UDP; porta 6514 per TLS.

    Il parametro messageid è preconfigurato. Al momento sono supportati solo i registri con ID messaggio SICUREZZA.

    Per ulteriori informazioni su come filtrare i messaggi del registro e specificare le funzionalità in questo comando, vedere la documentazione Macchina virtuale del servizio Malware Prevention in Informazioni di riferimento sull'interfaccia della riga di comando NSX.

    Esempio 1: per reindirizzare i messaggi del registro della SVM al server di registrazione 10.1.1.1 utilizzando il protocollo UDP, eseguire il comando seguente:

    svm> set logging-server 10.1.1.1 proto udp level info messageid SECURITY
    Esempio 2: per reindirizzare in modo sicuro i messaggi del registro della SVM a un server di registrazione remoto utilizzando il protocollo TLS, eseguire il comando seguente: 
    svm> set logging-server <hostname-or-ip-address[:port]> proto tls level info messageid SECURITY serverca <ca-cert.pem> clientca <ca-cert.pem> certificate <client-cert.pem>  key <client-key.pem>

    Come indicato nella sezione Prerequisiti di questa documentazione, i certificati del server, i certificati del client e la chiave del client devono essere copiati in /var/vmware/nsx/file-store in ogni SVM di Prevenzione malware NSX.

    Si tenga presente quanto segue:
    • Per il parametro serverCA, è necessario solo il certificato root e non l'intera catena.
    • Se clientCA è diverso da serverCA, è necessario solo il certificato root.
    • Il certificato deve contenere la catena completa della SVM di Prevenzione malware NSX. Il certificato deve essere conforme a NDcPP - EKU, BASIC e CDP (il controllo CDP può essere ignorato).
    Esempio di registrazione riuscita in /var/log/syslog: 
    2023-06-26T18:22:21.504Z NSX 3671 - [nsx@6876 comp="nsx-mps-svm" subcomp="cli" username="admin" level="INFO"] {10000} CMD: set logging-server 1.2.3.4 proto tls level info serverca ca-cert.pem clientca ca-cert.pem certificate client-cert.pem key client-key.pem
 
2023-06-26T18:22:24.677Z rsyslogd - - -  nsd_ossl: TLS Connection initiated with remote syslog server. [v8.2304.0]
2023-06-26T18:22:26.894Z NSX 932 - [nsx@6876 comp="nsx-mps-svm" subcomp="node-mgmt" username="admin" level="INFO"] Connection to 1.2.3.4:6514 is established
 
2023-06-26T18:22:28.116Z NSX 3671 - [nsx@6876 comp="nsx-mps-svm" subcomp="cli" username="admin" level="INFO" audit="true"] CMD: set logging-server 1.2.3.4 proto tls level info serverca ca-cert.pem clientca ca-cert.pem certificate client-cert.pem key client-key.pem (duration: 6.611s), Operation status: CMD_EXECUTED
    Nota: Dopo aver completato la configurazione dell'esportatore syslog, è necessario eliminare tutti i certificati e le chiavi da /var/vmware/nsx/file-store per evitare potenziali vulnerabilità della sicurezza.

    Esempio 3: per reindirizzare i messaggi del registro per gli eventi di monitoraggio dell'integrità di Prevenzione malware NSX, eseguire il comando seguente nella CLI di NSX Manager:

    nsx> set logging-server 10.1.1.1 proto udp level info messageid MONITORING structured-data eventFeatureName="malware_prevention_health"

    Si tenga presente che in questo comando il parametro messageid è impostato su MONITORING.

  3. Per visualizzare la configurazione della registrazione nella SVM, eseguire il comando get logging-servers.

    Esempio: per reindirizzare i messaggi del registro in modo sicuro a un server di registrazione remoto

    svm> get logging-servers
Tue Jun 27 2023 UTC 05:18:57.098
1.2.3.4:514 proto udp level info messageid SECURITY exporter_name 694ab1dc-0250-4cae-a7a4-3dde205225a3
  4. (Facoltativo) Per verificare le regole della tabella di IP per tutti i server di registrazione, eseguire il comando verify logging-servers.
  5. (Facoltativo) Per eliminare la configurazione di un server di registrazione specifico, eseguire il comando seguente:
    Esempio: 
    svm> del logging-server 1.2.3.4:514 proto udp level info messageid SECURITY