EPSecLib は、ESXi ホストの NSX ゲスト イントロスペクション プラットフォーム ホスト エージェント (MUX) からイベントを受信します。
ログのパスとサンプル メッセージ
EPSecLib のログのパス |
---|
/var/log/syslog |
EPSecLib メッセージは、<timestamp> <VM Name><Process Name><[PID]>: <message> の形式で記録されます。
この例の [ERROR] はメッセージのタイプを表しています。(EPSEC) は、NSX ゲスト イントロスペクション プラットフォーム を使用する機能に関連するメッセージであることを表しています。
次はその例です。
Oct 17 14:26:00 endpoint-virtual-machine EPSecTester[7203]: [NOTICE] (EPSEC) [7203] Initializing EPSec library build: build-00000 Oct 17 14:37:41 endpoint-virtual-machine EPSecSample: [ERROR] (EPSEC) [7533] Event terminated reading file. Ex: VFileGuestEventTerminated@tid=7533: Event id: 3554.
ログの収集
NSX ゲスト イントロスペクション プラットフォーム を使用するサービス内にあるコンポーネントの EPSec ライブラリでデバッグ ログを有効にするには:
- SVM へのコンソール アクセスまたは SSH アクセスを有効にするには、アンチウイルスまたは NSX マルウェア防止 セキュリティ ベンダーと連携します。コンソールまたは SSH アクセスを有効にするには、パートナーから提供された手順に従ってください。
- NSX Manager からコンソールのパスワードを取得して、EPP または NSX マルウェア防止 SVM にログインします。
-
/etc/epseclib.conf ファイルを作成して、次の項目を追加します。
ENABLE_DEBUG=TRUE
ENABLE_SUPPORT=TRUE
デバッグ ログは /var/log/messages (RHEL/SLES/CentOS) または /var/log/syslog (Ubuntu) にあります。デバッグの設定により /var/log ファイルがいっぱいになる可能性があるため、必要な情報をすべて収集したらすぐに、デバッグ モードを無効にしてください。
- chmod 644 /etc/epseclib.conf コマンドを実行して権限を変更します。
- アンチウイルスまたは NSX マルウェア防止 パートナーと連携して、SVM 用に生成されたログを抽出します。
- NSX マルウェア防止 では、EPSecLib を有効にするように Security Hub 仮想マシンを構成します。