EPSecLib は、ESXi ホストの NSX ゲスト イントロスペクション プラットフォーム ホスト エージェント (MUX) からイベントを受信します。

ログのパスとサンプル メッセージ

EPSecLib のログのパス
/var/log/syslog

EPSecLib メッセージは、<timestamp> <VM Name><Process Name><[PID]>: <message> の形式で記録されます。

この例の [ERROR] はメッセージのタイプを表しています。(EPSEC) は、NSX ゲスト イントロスペクション プラットフォーム を使用する機能に関連するメッセージであることを表しています。

次はその例です。
Oct 17 14:26:00 endpoint-virtual-machine EPSecTester[7203]: [NOTICE] (EPSEC)
 [7203] Initializing EPSec library build: build-00000
 
Oct 17 14:37:41 endpoint-virtual-machine EPSecSample: [ERROR] (EPSEC) [7533] Event 
terminated reading file. Ex: VFileGuestEventTerminated@tid=7533: Event id: 3554.

ログの収集

NSX ゲスト イントロスペクション プラットフォーム を使用するサービス内にあるコンポーネントの EPSec ライブラリでデバッグ ログを有効にするには:
  1. SVM へのコンソール アクセスまたは SSH アクセスを有効にするには、アンチウイルスまたは NSX マルウェア防止 セキュリティ ベンダーと連携します。コンソールまたは SSH アクセスを有効にするには、パートナーから提供された手順に従ってください。
  2. NSX Manager からコンソールのパスワードを取得して、EPP または NSX マルウェア防止 SVM にログインします。
  3. /etc/epseclib.conf ファイルを作成して、次の項目を追加します。

    ENABLE_DEBUG=TRUE

    ENABLE_SUPPORT=TRUE

    デバッグ ログは /var/log/messages (RHEL/SLES/CentOS) または /var/log/syslog (Ubuntu) にあります。デバッグの設定により /var/log ファイルがいっぱいになる可能性があるため、必要な情報をすべて収集したらすぐに、デバッグ モードを無効にしてください。

  4. chmod 644 /etc/epseclib.conf コマンドを実行して権限を変更します。
  5. アンチウイルスまたは NSX マルウェア防止 パートナーと連携して、SVM 用に生成されたログを抽出します。
  6. NSX マルウェア防止 では、EPSecLib を有効にするように Security Hub 仮想マシンを構成します。