VMware Aria Operations for Logs を使用して、NSX 環境のセキュリティ フロー ログを表示できます。
- TLS 検査
- ゲートウェイ IDPS
- URL フィルタリング
NSX 3.2.1 以降では、TLS 検査とゲートウェイ IDPS が本番環境で利用できるようになり、完全なサポートが提供されます。NSX 3.2.0 では、これらの機能は技術プレビュー モードでのみ使用できます。詳細については、『NSX リリース ノート』を参照してください。
統合セキュリティ ログ
すべてのセキュリティ分野で、統合セキュリティ フロー ログが生成され、ノード上の単一のログ ファイルに統合セキュリティ ログの形式で保存されます。この単一のログは、VMware Aria Operations for Logs 用に構成された Syslog サーバにエクスポートされます。VMware Aria Operations for Logs はログを処理し、NSX コンテンツ パック使用して、ログの管理、分析、表示を行います。
vRealize Log Insightでのログの表示
既存の NSX コンテンツ パックに新しいダッシュボード「NSX - 統合セキュリティ フロー ログ」が追加されました。このダッシュボードには、セキュリティ フロー ログを視覚的に表すチャート ウィジェットが表示されます。
VMware Aria Operations for Logs のコンテンツ パックはプラグインです。これには、特定の製品または一連のログに関連するダッシュボード、抽出されたフィールド、保存されたクエリ、アラートが含まれます。
NSX コンテンツ パックは、VMware Aria Operations for Logs マーケットプレイスから入手できます。
VMware Aria Operations for Logsの詳細と、コンテンツ パック マーケットプレイスからコンテンツ パックをインストールする方法については、『VMware Aria Operations for Logs 製品の使用』の「コンテンツ パック マーケットプレイスからのコンテンツ パックのインストール」参照してください。
トップ N および過去 X 時間
インタラクティブ分析とコンテンツ パックを使用すると、VMware Aria Operations for Logs でイベントをクエリして、過去 X 時間のトップ N の情報を確認できます。
リモート ログ サーバ
リモート ログ サーバにログを送信するには、リモート ログを使用して NSX アプライアンスとハイパーバイザーを各ノードで個別に構成する必要があります。
詳細については、「リモート ログの構成」を参照してください。
ログがリモート ログ サーバに受信されない場合は、Syslog 問題のトラブルシューティングを参照してください。
統合セキュリティ ログ形式
cat /var/log/syslog | grep 'unified-logs'
ログ メッセージの例:
2021-10-12T09:00:46.192Z nsxedge-18734920-1-mps29 NSX 22621 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="tls-proxy" s2comp="unified-logs" level="INFO"] {"event_type": "fw-flow-terminate-log", "event_trigger": ["fw-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "79427614-4a0d-2692-032c-eb4692f717a9", "node_uuid": "ec11a626-f425-3bc2-671d-a656500003b2"}, "flow": {"start": "2021-10-12T09:00:46.723Z", "end": "2021-10-12T09:00:46.773Z", "ip_ver": "ipv4", "flow_id": "0x1e0000704f000018", "src_ip": "192.168.100.160", "src_port": 25700, "dest_ip": "1.1.5.10", "dest_port": 443, "proto": "TCP", "tcp_flags": "", "bytes_toserver": 95, "bytes_toclient": 29873, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 1002, "direction": "", "rule_tag": ""}, "http": {"http_method": "", "hostname": "www.facebook.com", "url": "www.facebook.com/benign_pdf1.pdf", "scheme": "", "http_user_agent": "", "status": "", "site_category": ""SOCIAL_NETWORK"", "site_reputation": "Trustworthy"},"tls_inspection": {"action": "PASS", "rule_id": 1008, "domain": "www.facebook.com", "cert_status": "ok", "tls_version_toserver": "TLSv1.2", "cipher_to_server": "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "reason": "", "tls_rule_tag": "TLS External Rule"}, "idps": {"action": "PASS", "rule_id": 1007, "ids_profile_id": "00000000-0000-0000-0000-000000000000", "alert_event": ["SOCIAL_NETWORK"], "protocol_event": ["http"]}, "app_id": {"app": ""APP_HTTP", "APP_FACEBOOK", "APP_SSL""}
2021-11-11T04:07:37.489Z nsxedge-18866667-2-NAT-fc-3-nov NSX 27330 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="datapathd" s2comp="unified-logs" level="INFO"] {"event_type": "fw-flow-terminate-log", "event_trigger": ["ids-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "544ee558-fad0-e624-019f-e8e3e0472c91", "node_uuid": "dabf16c9-ec11-833c-0c00-8c832f771729"}, "flow": {"start": "2021-11-11T04:07:07.000Z", "end": "2021-11-11T04:07:37.000Z", "ip_ver": "ipv4", "flow_id": "0xd44d00306e0a0004", "src_ip": "1.1.1.10", "src_port": 35714, "dest_ip": "10.142.7.1", "dest_port": 53, "proto": "UDP", "tcp_flags": "FPW", "bytes_toserver": 297878, "bytes_toclient": 71, "pkts_toserver": 71, "pkts_toclient": 1, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 2025, "direction": "", "rule_tag": ""}, "l7profile": {"entry_id": "00000000-0000-0000-0000-000000000000", "action": "PASS"}, "http": {"http_method": "", "hostname": "", "url": "", "scheme": "", "http_user_agent": "", "status": "", "site_category": "", "site_reputation": "UNKNOWN"}, "idps": {"action": "IDP_DETECT", "rule_id": 2028, "ids_profile_id": "9872e27a-ead4-4c93-af5f-4df1ec0c73e1", "alert_event": [], "protocol_event": []}, "app_id": {"app": ""APP_DNS""}}
2021-11-08T08:30:59.208Z nsxedge-18866667-2-NAT-fc-3-nov NSX 9495 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="datapathd" s2comp="unified-logs" level="INFO"] {"event_type": "fw-flow-terminate-log", "event_trigger": ["fw-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "544ee558-fad0-e624-019f-e8e3e0472c91", "node_uuid": "dabf16c9-ec11-833c-0c00-8c832f771729"}, "flow": {"start": "2021-11-08T08:30:57.000Z", "end": "2021-11-08T08:30:59.000Z", "ip_ver": "ipv4", "flow_id": "0x4001006c04000000", "src_ip": "1.1.1.10", "src_port": 43600, "dest_ip": "13.226.234.18", "dest_port": 80, "proto": "TCP", "tcp_flags": "FREW", "bytes_toserver": 54968, "bytes_toclient": 444, "pkts_toserver": 444, "pkts_toclient": 7, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 1004, "direction": "", "rule_tag": ""}, "l7profile": {"entry_id": "e9580107-2749-471c-be82-715d530bf4d4", "action": "PASS"}, "http": {"http_method": "", "hostname": "", "url": "espn.com/", "scheme": "", "http_user_agent": "", "status": "", "site_category": ""SPORTS"", "site_reputation": "TRUSTWORTHY"}, "app_id": {"app": ""APP_HTTP", "APP_ESPN""}}