NSX マルウェア防止 機能は、NSX Edge、サービス仮想マシン(ESXi ホスト上)、および NSX Application Platform で実行されます。NSX Edge とサービス仮想マシンで生成される製品ログは、RFC 5424 ログ メッセージ標準に準拠しています。NSX マルウェア防止 は、ESXi ホストでのみサポートされます。
ログ メッセージ
NSX アプライアンスでは、Syslog メッセージは RFC 5424 標準に準拠しています。追加の製品ログは、/var/log ディレクトリに書き込まれます。
- NSX Edge では、抽出されたファイルのマルウェア分析ログ メッセージは、アクティブな Tier-1 ゲートウェイのゲートウェイ マルウェア防止サービスによって提供されます。
- ESXi ホストでは、ホスト上で実行されているワークロード仮想マシンにダウンロードされたファイルのマルウェア分析ログ メッセージは、ESXi ホスト上のマルウェア防止サービス仮想マシンによって提供されます。
- ゲートウェイ マルウェア防止サービスと分散マルウェア防止サービスの両方によって抽出されたファイルの場合、マルウェア分析ログ メッセージは、NSX Application Platform で実行されている Security Analyzer マイクロサービスによって提供されます。
リモート ログもサポートされます。NSX マルウェア防止 機能ログを使用するには、リモート ログ サーバにログ メッセージを送信またはリダイレクトするように、NSX Edge と NSX Application Platform を構成します。
NSX Edge でのリモート ログの構成
各 NSX Edge ノードで個別にリモート ログを構成する必要があります。NSX CLI を使用して、NSX Edge ノードでリモート ログ サーバを構成する方法については、リモート ログの構成を参照してください。
NSX Manager ユーザー インターフェイスを使用して、NSX Edge ノードでリモート ログ サーバを構成する方法については、NSX ノードの Syslog サーバの追加を参照してください。
NSX Application Platform でのリモート ログの構成
NSX Application Platform ログ メッセージを外部ログ サーバに送信するには、REST API を実行する必要があります。
REST API と、サンプルの要求本文、応答、コードの例については、VMware 開発者向けドキュメント ポータルを参照してください。
NSX マルウェア防止 サービス仮想マシンでのリモート ログの構成
現在、この機能はサポートされていません。ただし、回避策として、SSH 接続でサービス仮想マシン (SVM) にログインすることで、各 NSX マルウェア防止 SVM から Syslog ファイルをコピーできます。
SVM の admin ユーザーへの SSH アクセスは、キーベース(パブリック/プライベート キー のペア)です。ESXi ホスト クラスタに サービスを展開する場合は、パブリック キーが必要です。SVM への SSH セッションを開始する場合は、プライベート キーが必要です。
詳細については、NSX マルウェア防止サービス仮想マシンへのログインを参照してください。
SVM にログインした後、sftp または scp コマンドを使用して、特定の時点の /var/log ディレクトリから Syslog ファイルをコピーします。この場所に複数の Syslog ファイルがある場合は、これらのファイルが圧縮され、同じパスに保存されます。
ログに関する詳細情報
ログ メッセージとエラー コードを参照してください。
NSX マルウェア防止 イベント ログの解釈
サービス仮想マシンと NSX Edge の NSX マルウェア防止 イベントのログ メッセージの形式は同じです。ただし、NSX Application Platform のイベントの場合、ログ メッセージの形式は異なります。
次のイベント ログ メッセージは、NSX Application Platform で実行されるポッドである sa-events-processor
マイクロサービスによって生成されます。
例:
{"log":"{\"log\":\"\\u001b[37m2022-06-01T01:42:58,725\\u001b[m \\u001b[32mINFO \\u001b[m[\\u001b[1;34mfileEventConsumer-1\\u001b[m] \\u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\\u001b[m: SECURITY [nsx@6876 comp=\\\"nsx-manager\\\" level=\\\"INFO\\\" subcomp=\\\"manager\\\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)\\n\",\"stream\":\"stdout\",\"time\":\"2022-06-01T01:42:58.725811209Z\"}","log_processed":{"log":"\u001b[37m2022-06-01T01:42:58,725\u001b[m \u001b[32mINFO \u001b[m[\u001b[1;34mfileEventConsumer-1\u001b[m] \u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\u001b[m: SECURITY [nsx@6876 comp=\"nsx-manager\" level=\"INFO\" subcomp=\"manager\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)","stream":"stdout","time":"2022-06-01T01:42:58.725811209Z"},"kubernetes":{"pod_name":"sa-events-processor-55bcfcc46d-4jftf","namespace_name":"nsxi-platform","pod_id":"305953f7-836b-4bbb-ba9e-00fdf68de4ae","host":"worker03","container_name":"sa-events-processor","docker_id":"93f81f278898e6ce3e14d9a37e0e10a502c46fe53c9ad61680aed48b94f7f8bf","container_hash":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor@sha256:b617f4bb9f3ea5767839e39490a78169f7f3d54826b89638e4a950e391405ae4","container_image":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor:19067767"}}
このイベント ログ メッセージのサンプルには、date
(2022-06-01T00:42:58,326)、log level
(INFO) などの標準ログ属性や module
(SECURITY)、container_name
(sa-events-processor) などのフィルタ可能な属性とは別に、追加の属性が JSON 形式で含まれています。次の表に、これらの追加属性を示します。
キー | サンプル値 |
---|---|
id |
0 |
sha256 |
29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d |
sha1 |
549cb3f1c85c4ef7fb06dcd33d68cba073b260ec |
md5 |
65b9b68668bb6860e3144866bf5dab85 |
fileName |
drupdate.dll |
fileType |
PeExeFile |
fileSize |
287024 |
inspectionTime |
1654047770305 |
clientPort |
0 |
clientIP |
null |
clientFqdn |
null |
clientVmId |
500500cd1b6-96b6-4567-82f4-231a63dead81 |
serverPort |
0 |
serverIp |
null |
serverFqdn |
null |
serverVmId |
null |
applicationProtocol |
null |
submittedBy |
SYSTEM |
isFoundByAsds |
true |
isBlocked |
false |
allowListed |
false |
verdict |
BENIGN |
score |
0 |
analystUuid |
null |
submissionUuid | null |
tnId | 3838c58796-9983-4a41-b9f2-dc309bd3458d |
malwareClass |
null |
malwareFamily |
null |
errorCode |
null |
errorMessage |
null |
nodeType |
1 |
gatewayId |
|
analysisStatus |
COMPLETED |
followupEvent |
false |
httpDomain |
null |
httpMethod |
null |
path |
null |
referer |
null |
userAgent |
null |
contentDispositionFileName |
null |
isFileUploaded |
false |
startTime |
1654047768828 |
endTime |
1654047768844 |
ttl |
1654220570304 |
Syslog 問題のトラブルシューティング
構成したリモート ログ サーバがログ メッセージを受信できない場合は、「Syslog 問題のトラブルシューティング」を参照してください。
サポート バンドルの収集
- 管理ノード、NSX Edge、ホストのサポート バンドルを収集するには、サポート バンドルの収集を参照してください。
- NSX Application Platform のサポート バンドルを収集するには、https://docs.vmware.com/jp/VMware-NSX/index.htmlにある『VMware NSX Application Platform の展開と管理』を参照してください。