NSX マルウェア防止 機能は、NSX Edge、サービス仮想マシン(ESXi ホスト上)、および NSX Application Platform で実行されます。NSX Edge とサービス仮想マシンで生成される製品ログは、RFC 5424 ログ メッセージ標準に準拠しています。
ログ メッセージ
NSX アプライアンスでは、Syslog メッセージは RFC 5424 標準に準拠しています。追加の製品ログは、/var/log ディレクトリに書き込まれます。
- NSX Edge では、抽出されたファイルのマルウェア分析ログ メッセージは、アクティブな Tier-1 ゲートウェイのゲートウェイ マルウェア防止サービスによって提供されます。
- ESXi ホストでは、ホスト上で実行されているワークロード仮想マシンにダウンロードされたファイルのマルウェア分析ログ メッセージは、ESXi ホスト上のマルウェア防止サービス仮想マシンによって提供されます。
- ゲートウェイ マルウェア防止サービスと分散マルウェア防止サービスの両方によって抽出されたファイルの場合、マルウェア分析ログ メッセージは、NSX Application Platform で実行されている Security Analyzer マイクロサービスによって提供されます。
リモート ログもサポートされます。NSX マルウェア防止 機能ログを使用するには、NSX Edge、NSX Application Platform、および NSX マルウェア防止 サービス仮想マシンを構成して、ログ メッセージをリモート ログ サーバに送信またはリダイレクトします。
NSX Edge でのリモート ログ
各 NSX Edge ノードで個別にリモート ログを構成する必要があります。NSX CLI を使用して、NSX Edge ノードでリモート ログ サーバを構成する方法については、リモート ログの構成を参照してください。
NSX Manager ユーザー インターフェイスを使用して、NSX Edge ノードでリモート ログ サーバを構成する方法については、NSX ノードの Syslog サーバの追加を参照してください。
NSX Application Platform でのリモート ログ
NSX Application Platform ログ メッセージを外部ログ サーバにリダイレクトするには、REST API を実行する必要があります。
REST API と要求本文、応答、およびコードの例については、VMware 開発者向けドキュメント ポータルを参照してください。
NSX マルウェア防止 サービス仮想マシンでのリモート ログ
この機能は、NSX 4.1.2 以降でサポートされています。
- NSX 4.1.2 以降の場合
-
NSX マルウェア防止 サービス仮想マシン (SVM) のログ メッセージを外部ログ サーバにリダイレクトするには、admin ユーザーとして SVM にログインし、SVM で NSX CLI コマンドを実行します。詳細については、「NSX マルウェア防止 サービス仮想マシンでのリモート ログの構成」を参照してください。
- NSX 4.1.1 以前の場合
-
NSX マルウェア防止 SVM でのリモート ログの構成はサポートされていません。ただし、SSH 接続を使用して SVM にログインすると、各 NSX マルウェア防止 SVM から Syslog ファイルをコピーできます。
SVM の admin ユーザーへの SSH アクセスは、キーベース(パブリック/プライベート キー のペア)です。ESXi ホスト クラスタに サービスを展開する場合は、パブリック キーが必要です。SVM への SSH セッションを開始する場合は、プライベート キーが必要です。
詳細については、「NSX マルウェア防止サービス仮想マシンへのログイン」を参照してください。
SVM にログインした後、sftp または scp コマンドを使用して、特定の時点の /var/log ディレクトリから Syslog ファイルをコピーします。この場所に複数の Syslog ファイルがある場合は、これらのファイルが圧縮され、同じパスに保存されます。
ログに関する詳細情報
「ログ メッセージとエラー コード」を参照してください。
NSX マルウェア防止 イベント ログ メッセージの解釈
サービス仮想マシンと NSX Edge の NSX マルウェア防止 イベントのログ メッセージの形式は同じです。ただし、NSX Application Platform のイベントの場合、ログ メッセージの形式が異なります。
次のイベント ログ メッセージは、NSX Application Platform で実行されるポッドである sa-events-processor マイクロサービスによって生成されます。
例:
{"log":"{\"log\":\"\\u001b[37m2022-06-01T01:42:58,725\\u001b[m \\u001b[32mINFO \\u001b[m[\\u001b[1;34mfileEventConsumer-1\\u001b[m] \\u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\\u001b[m: SECURITY [nsx@6876 comp=\\\"nsx-manager\\\" level=\\\"INFO\\\" subcomp=\\\"manager\\\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)\\n\",\"stream\":\"stdout\",\"time\":\"2022-06-01T01:42:58.725811209Z\"}","log_processed":{"log":"\u001b[37m2022-06-01T01:42:58,725\u001b[m \u001b[32mINFO \u001b[m[\u001b[1;34mfileEventConsumer-1\u001b[m] \u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\u001b[m: SECURITY [nsx@6876 comp=\"nsx-manager\" level=\"INFO\" subcomp=\"manager\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)","stream":"stdout","time":"2022-06-01T01:42:58.725811209Z"},"kubernetes":{"pod_name":"sa-events-processor-55bcfcc46d-4jftf","namespace_name":"nsxi-platform","pod_id":"305953f7-836b-4bbb-ba9e-00fdf68de4ae","host":"worker03","container_name":"sa-events-processor","docker_id":"93f81f278898e6ce3e14d9a37e0e10a502c46fe53c9ad61680aed48b94f7f8bf","container_hash":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor@sha256:b617f4bb9f3ea5767839e39490a78169f7f3d54826b89638e4a950e391405ae4","container_image":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor:19067767"}}
このイベント ログ メッセージのサンプルには、date (2022-06-01T00:42:58,326)、log level (INFO) などの標準ログ属性や module (SECURITY)、container_name (sa-events-processor) などのフィルタ可能な属性とは別に、追加の属性が JSON 形式で含まれています。次の表に、これらの追加属性を示します。
| キー | サンプル値 |
|---|---|
| id |
0 |
| sha256 |
29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d |
| sha1 |
549cb3f1c85c4ef7fb06dcd33d68cba073b260ec |
| md5 |
65b9b68668bb6860e3144866bf5dab85 |
| fileName |
drupdate.dll |
| fileType |
PeExeFile |
| fileSize |
287024 |
| inspectionTime |
1654047770305 |
| clientPort |
0 |
| clientIP |
null |
| clientFqdn |
null |
| clientVmId |
500500cd1b6-96b6-4567-82f4-231a63dead81 |
| serverPort |
0 |
| serverIp |
null |
| serverFqdn |
null |
| serverVmId |
null |
| applicationProtocol |
null |
| submittedBy |
SYSTEM |
| isFoundByAsds |
true |
| isBlocked |
false |
| allowListed |
false |
| verdict |
BENIGN |
| score |
0 |
| analystUuid |
null |
| submissionUuid | null |
| tnId | 3838c58796-9983-4a41-b9f2-dc309bd3458d |
| malwareClass |
null |
| malwareFamily |
null |
| errorCode |
null |
| errorMessage |
null |
| nodeType |
1 |
| gatewayId |
|
| analysisStatus |
COMPLETED |
| followupEvent |
false |
| httpDomain |
null |
| httpMethod |
null |
| path |
null |
| referer |
null |
| userAgent |
null |
| contentDispositionFileName |
null |
| isFileUploaded |
false |
| startTime |
1654047768828 |
| endTime |
1654047768844 |
| ttl |
1654220570304 |
Syslog 問題のトラブルシューティング
構成したリモート ログ サーバがログを受信できない場合は、Syslog 問題のトラブルシューティングを参照してください。
サポート バンドルの収集
- 管理ノード、NSX Edge、ホストのサポート バンドルを収集するには、サポート バンドルの収集を参照してください。
- NSX Application Platform のサポート バンドルを収集するには、https://docs.vmware.com/jp/VMware-NSX/index.htmlにある『VMware NSX Application Platform の展開と管理』を参照してください。
- (NSX 4.1.2 以降):NSX Distributed Malware Prevention サービスに対して有効になっている vSphere ホスト クラスタで実行されている NSX マルウェア防止 SVM のサポート バンドルを収集するには、「NSX マルウェア防止 サービス仮想マシンのサポート バンドルの収集」を参照してください。
