NSX マルウェア防止サービス仮想マシンでのリモートログの構成

NSX マルウェア防止サービス仮想マシン (SVM) のログメッセージをリモートログサーバにリダイレクトするには、NSX Distributed Malware Prevention サービス用に有効になっている vSphere ホストクラスタのホストで SVM にログインし、NSX CLI コマンドを実行してリモートログを構成します。

NSX 4.1.2 以降では、NSX マルウェア防止 SVM でのリモートログがサポートされています。

現在、NSX マルウェア防止ファイル分析ライフサイクルイベントのログメッセージのみがリモートログサーバにリダイレクトされています。通常、ファイル分析は、NSX マルウェア防止セキュリティポリシーによって保護されているワークロード仮想マシンにファイルがダウンロードされると開始されます。ダウンロードしたファイルはさまざまなコンポーネントによって処理され、判定が返されます。重要な中間コンポーネントによって提供される結果は、SVM の Syslog ファイルに記録されます。

ファイル分析ライフサイクルイベントの例を次に示します。

ファイルの解析
判定キャッシュヒット
ローカル(静的)分析用に送信されたファイル
クラウド(動的)分析用に送信されたファイル
判定の取得
ポリシーの適用

CPU 使用率、ディスク使用率、メモリ使用率など、SVM のリソース使用量を含む SVM 健全性モニタリングイベントのログメッセージをリダイレクトする場合は、NSX Manager CLI でリモートログを構成できます。または、NSX Manager ユーザーインターフェイスの [アラーム] ページでこれらの健全性イベントをモニターすることもできます。NSX マルウェア防止健全性イベントの詳細については、「NSX イベントカタログ」を参照してください。

SVM でリモートログを構成するために、次のプロトコルがサポートされています。

TCP
UDP
TLS(安全なリモートログ)

TCP の方が信頼性が高いという利点があるのに対し、UDP には、必要なシステムとネットワークのオーバーヘッドが少なくなるという利点があります。TLS プロトコルには追加のオーバーヘッドがありますが、SVM とリモートログサーバ間の暗号化されたトラフィックが提供されます。

Aria Operations for Logs プロトコル（LI および LI-TLS）は、SVM でのリモートログの構成ではサポートされていません。

前提条件

VMware vCenter 管理者は、各ホスト上の SVM への SSH アクセスを有効にする必要があります。詳細については、「NSX マルウェア防止サービス仮想マシンへのログイン」の「前提条件」セクションを参照してください。
CLI コマンド set logging-server についてよく理解しておいてください。詳細については、『NSX コマンドラインインターフェイスリファレンス』の「マルウェア防止サービス仮想マシン」ドキュメントを参照してください。
リモートログサーバを構成するための TLS プロトコルを指定する場合は、copy url <url> [file <filename>] CLI コマンドを使用して、サーバ証明書、クライアント証明書、クライアントキーを各 NSX マルウェア防止 SVM の /var/vmware/nsx/file-store にコピーします。
次の例では、copy コマンドが SVM で実行されています。そのため、デフォルトでは、送信元の場所にある client-key.pem ファイルが SVM の /var/vmware/nsx/file-store にコピーされます。
例：
```
svm> copy url scp://[email protected]:/home/user/openssl/client-key.pem
The authenticity of host '1.2.3.4 (1.2.3.4)' can't be established.
ECDSA key fingerprint is SHA256:abcdabcdabcdabcdabcdabcdabcdabcdabcdabcd.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '1.2.3.4' (ECDSA) to the list of known hosts.
[email protected]'s password:
client-key.pem                                100% 1704     8.0KB/s   00:00
```

リモートログサーバへの安全な接続を構成するには、サーバが CA 署名付き証明書で構成されていることを確認します。たとえば、ログサーバとして Aria Operations for Logs サーバ vrli.prome.local を使用している場合は、クライアントから次のコマンドを実行すると、ログサーバ上の証明書チェーンを確認できます。

root@caserver:~# echo -n | openssl s_client -connect vrli.prome.local:443  | sed -ne '/^Certificate chain/,/^---/p'
depth=2 C = US, L = California, O = GS, CN = Orange Root Certification Authority
verify error:num=19:self signed certificate in certificate chain
Certificate chain
 0 s:/C=US/ST=California/L=HTG/O=GSS/CN=vrli.prome.local
   i:/C=US/L=California/O=GS/CN=Green Intermediate Certification Authority
 1 s:/C=US/L=California/O=GS/CN=Green Intermediate Certification Authority
   i:/C=US/L=California/O=GS/CN=Orange Root Certification Authority
 2 s:/C=US/L=California/O=GS/CN=Orange Root Certification Authority
   i:/C=US/L=California/O=GS/CN=Orange Root Certification Authority
---
DONE

手順

NSX マルウェア防止 SVM に admin ユーザーとしてログインします。
詳細については、「 NSX マルウェア防止サービス仮想マシンへのログイン」を参照してください。
次のコマンドを実行して、SVM でリモートログサーバを構成します。
```
svm> set logging-server <hostname-or-ip-address[:port]> proto <proto> level <level> messageid SECURITY [facility <facility>] [serverca <filename>] [clientca <filename>] [certificate <filename>] [key <filename>] [structured-data <structured-data>]
```
このコマンドは、SVM ログメッセージを、指定されたポートのサーバの指定された IP アドレスまたは FQDN にリダイレクトします。ポートが指定されていない場合は、指定されたプロトコルのデフォルトポートが使用されます。たとえば、TCP および UDP の場合はポート 514 です。TLS のポート 6514。

messageid パラメータは事前に構成されています。現在、セキュリティメッセージ ID のみのログがサポートされています。

ログメッセージをフィルタリングし、このコマンドでファシリティを指定する方法については、『NSX コマンドラインインターフェイスリファレンス』の「マルウェア防止サービス仮想マシン」のドキュメントを参照してください。

例 1:UDP プロトコルを使用して SVM ログメッセージを 10.1.1.1 ログサーバにリダイレクトするには、次のコマンドを実行します。
```
svm> set logging-server 10.1.1.1 proto udp level info messageid SECURITY
```
例 2: TLS プロトコルを使用して SVM ログメッセージをリモートログサーバに安全にリダイレクトするには、次のコマンドを実行します。
```
svm> set logging-server <hostname-or-ip-address[:port]> proto tls level info messageid SECURITY serverca <ca-cert.pem> clientca <ca-cert.pem> certificate <client-cert.pem>  key <client-key.pem>
```
このドキュメントの「前提条件」セクションに記載されているように、サーバ証明書、クライアント証明書、およびクライアントキーを、各 NSX マルウェア防止 SVM の /var/vmware/nsx/file-store にコピーする必要があります。
次の点に注意してください。
- serverCA パラメータには、完全なチェーンではなく、ルート証明書のみを指定します。
- clientCA が serverCA と異なる場合は、ルート証明書のみが必要です。
- 証明書には、NSX マルウェア防止 SVM の完全なチェーンが含まれている必要があります。証明書は NDcPP 準拠 (EKU、BASIC、CDP) である必要があります(CDP チェックは無視できます)。
/var/log/syslog の成功ログの例：
```
2023-06-26T18:22:21.504Z NSX 3671 - [nsx@6876 comp="nsx-mps-svm" subcomp="cli" username="admin" level="INFO"] {10000} CMD: set logging-server 1.2.3.4 proto tls level info serverca ca-cert.pem clientca ca-cert.pem certificate client-cert.pem key client-key.pem
 
2023-06-26T18:22:24.677Z rsyslogd - - -  nsd_ossl: TLS Connection initiated with remote syslog server. [v8.2304.0]
2023-06-26T18:22:26.894Z NSX 932 - [nsx@6876 comp="nsx-mps-svm" subcomp="node-mgmt" username="admin" level="INFO"] Connection to 1.2.3.4:6514 is established
 
2023-06-26T18:22:28.116Z NSX 3671 - [nsx@6876 comp="nsx-mps-svm" subcomp="cli" username="admin" level="INFO" audit="true"] CMD: set logging-server 1.2.3.4 proto tls level info serverca ca-cert.pem clientca ca-cert.pem certificate client-cert.pem key client-key.pem (duration: 6.611s), Operation status: CMD_EXECUTED
```
注： Syslog エクスポータの構成が完了したら、潜在的なセキュリティの脆弱性を回避するために、 /var/vmware/nsx/file-store からすべての証明書とキーを削除する必要があります。

例 3：NSX マルウェア防止健全性モニタリングイベントのログメッセージをリダイレクトするには、NSX Manager CLI で次のコマンドを実行します。
```
nsx> set logging-server 10.1.1.1 proto udp level info messageid MONITORING structured-data eventFeatureName="malware_prevention_health"
```
このコマンドで、messageid パラメータが「MONITORING」に設定されていることを確認します。
SVM でログの構成を表示するには、get logging-servers コマンドを実行します。
例: のログメッセージをリモートログサーバに安全にリダイレクトするには
```
svm> get logging-servers
Tue Jun 27 2023 UTC 05:18:57.098
1.2.3.4:514 proto udp level info messageid SECURITY exporter_name 694ab1dc-0250-4cae-a7a4-3dde205225a3
```
（オプション） すべてのログサーバの IP テーブルルールを確認するには、verify logging-servers コマンドを実行します。
（オプション） 特定のログサーバ構成を削除するには、次のコマンドを実行します。
例：
```
svm> del logging-server 1.2.3.4:514 proto udp level info messageid SECURITY
```