NSX Malware Prevention 機能は、NSX Edge、サービス仮想マシン(ESXi ホスト上)、および NSX アプリケーション プラットフォーム で実行されます。NSX Edge とサービス仮想マシンで生成される製品ログは、RFC 5424 ログ メッセージ標準に準拠しています。

ログ メッセージ

NSX アプライアンスでは、Syslog メッセージは RFC 5424 標準に準拠しています。追加の製品ログは、/var/log ディレクトリに書き込まれます。

  • NSX Edge では、抽出されたファイルのマルウェア分析ログ メッセージは、アクティブな Tier-1 ゲートウェイのゲートウェイ マルウェア防止サービスによって提供されます。
  • ESXi ホストでは、ホスト上で実行されているワークロード仮想マシンにダウンロードされたファイルのマルウェア分析ログ メッセージは、ESXi ホスト上のマルウェア防止サービス仮想マシンによって提供されます。
  • ゲートウェイ マルウェア防止サービスと分散マルウェア防止サービスの両方によって抽出されたファイルの場合、マルウェア分析ログ メッセージは、NSX アプリケーション プラットフォーム で実行されている Security Analyzer マイクロサービスによって提供されます。

リモート ログもサポートされます。NSX Malware Prevention 機能ログを使用するには、NSX Edge、NSX アプリケーション プラットフォーム、および NSX Malware Prevention サービス仮想マシンを構成して、ログ メッセージをリモート ログ サーバに送信またはリダイレクトします。

NSX Edge でのリモート ログ

NSX Edge ノードで個別にリモート ログを構成する必要があります。NSX CLI を使用して、NSX Edge ノードでリモート ログ サーバを構成する方法については、リモート ログの構成を参照してください。

NSX Manager ユーザー インターフェイスを使用して、NSX Edge ノードでリモート ログ サーバを構成する方法については、NSX ノードの Syslog サーバの追加を参照してください。

NSX アプリケーション プラットフォーム でのリモート ログ

NSX アプリケーション プラットフォーム ログ メッセージを外部ログ サーバにリダイレクトするには、REST API を実行する必要があります。

REST API と要求本文、応答、およびコードの例については、VMware 開発者向けドキュメント ポータルを参照してください。

NSX Malware Prevention サービス仮想マシンでのリモート ログ

この機能は、NSX 4.1.2 以降でサポートされています。

NSX 4.1.2 以降の場合

NSX Malware Prevention サービス仮想マシン (SVM) のログ メッセージを外部ログ サーバにリダイレクトするには、admin ユーザーとして SVM にログインし、SVM で NSX CLI コマンドを実行します。詳細については、「NSX Malware Prevention サービス仮想マシンでのリモート ログの構成」を参照してください。

NSX 4.1.1 以前の場合

NSX Malware Prevention SVM でのリモート ログの構成はサポートされていません。ただし、SSH 接続を使用して SVM にログインすると、各 NSX Malware Prevention SVM から Syslog ファイルをコピーできます。

SVM の admin ユーザーへの SSH アクセスは、キーベース(パブリック/プライベート キー のペア)です。ESXi ホスト クラスタに サービスを展開する場合は、パブリック キーが必要です。SVM への SSH セッションを開始する場合は、プライベート キーが必要です。

詳細については、「NSX Malware Preventionサービス仮想マシンへのログイン」を参照してください。

SVM にログインした後、sftp または scp コマンドを使用して、特定の時点の /var/log ディレクトリから Syslog ファイルをコピーします。この場所に複数の Syslog ファイルがある場合は、これらのファイルが圧縮され、同じパスに保存されます。

ログに関する詳細情報

ログ メッセージとエラー コード」を参照してください。

NSX Malware Prevention イベント ログ メッセージの解釈

サービス仮想マシンと NSX EdgeNSX Malware Prevention イベントのログ メッセージの形式は同じです。ただし、NSX アプリケーション プラットフォーム のイベントの場合、ログ メッセージの形式が異なります。

次のイベント ログ メッセージは、NSX アプリケーション プラットフォーム で実行されるポッドである sa-events-processor マイクロサービスによって生成されます。

例:

{"log":"{\"log\":\"\\u001b[37m2022-06-01T01:42:58,725\\u001b[m \\u001b[32mINFO \\u001b[m[\\u001b[1;34mfileEventConsumer-1\\u001b[m] \\u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\\u001b[m: SECURITY [nsx@6876 comp=\\\"nsx-manager\\\" level=\\\"INFO\\\" subcomp=\\\"manager\\\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)\\n\",\"stream\":\"stdout\",\"time\":\"2022-06-01T01:42:58.725811209Z\"}","log_processed":{"log":"\u001b[37m2022-06-01T01:42:58,725\u001b[m \u001b[32mINFO \u001b[m[\u001b[1;34mfileEventConsumer-1\u001b[m] \u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\u001b[m: SECURITY [nsx@6876 comp=\"nsx-manager\" level=\"INFO\" subcomp=\"manager\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)","stream":"stdout","time":"2022-06-01T01:42:58.725811209Z"},"kubernetes":{"pod_name":"sa-events-processor-55bcfcc46d-4jftf","namespace_name":"nsxi-platform","pod_id":"305953f7-836b-4bbb-ba9e-00fdf68de4ae","host":"worker03","container_name":"sa-events-processor","docker_id":"93f81f278898e6ce3e14d9a37e0e10a502c46fe53c9ad61680aed48b94f7f8bf","container_hash":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor@sha256:b617f4bb9f3ea5767839e39490a78169f7f3d54826b89638e4a950e391405ae4","container_image":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor:19067767"}}
注: このイベント ログ メッセージの例は、説明のためだけのものです。形式とコンテンツは、メジャーの NSX バージョン間で変更される場合があります。

このイベント ログ メッセージのサンプルには、date (2022-06-01T00:42:58,326)、log level (INFO) などの標準ログ属性や module (SECURITY)、container_name (sa-events-processor) などのフィルタ可能な属性とは別に、追加の属性が JSON 形式で含まれています。次の表に、これらの追加属性を示します。

キー サンプル値

id

0

sha256

29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d

sha1

549cb3f1c85c4ef7fb06dcd33d68cba073b260ec

md5

65b9b68668bb6860e3144866bf5dab85

fileName

drupdate.dll

fileType

PeExeFile

fileSize

287024

inspectionTime

1654047770305

clientPort

0

clientIP

null

clientFqdn

null

clientVmId

500500cd1b6-96b6-4567-82f4-231a63dead81

serverPort

0

serverIp

null

serverFqdn

null

serverVmId

null

applicationProtocol

null

submittedBy

SYSTEM

isFoundByAsds

true

isBlocked

false

allowListed

false

verdict

BENIGN

score

0

analystUuid

null
submissionUuid null
tnId 3838c58796-9983-4a41-b9f2-dc309bd3458d

malwareClass

null

malwareFamily

null

errorCode

null

errorMessage

null

nodeType

1

gatewayId

analysisStatus

COMPLETED

followupEvent

false

httpDomain

null

httpMethod

null

path

null

referer

null

userAgent

null

contentDispositionFileName

null

isFileUploaded

false

startTime

1654047768828

endTime

1654047768844

ttl

1654220570304

Syslog 問題のトラブルシューティング

構成したリモート ログ サーバがログを受信できない場合は、Syslog 問題のトラブルシューティングを参照してください。

サポート バンドルの収集