NSX Malware Prevention サービス仮想マシン (SVM) のログ メッセージをリモート ログ サーバにリダイレクトするには、NSX Distributed Malware Prevention サービス用に有効になっている vSphere ホスト クラスタのホストで SVM にログインし、NSX CLI コマンドを実行してリモート ログを構成します。

NSX 4.1.2 以降では、NSX Malware Prevention SVM でのリモート ログがサポートされています。

現在、NSX Malware Prevention ファイル分析ライフサイクル イベントのログ メッセージのみがリモート ログ サーバにリダイレクトされています。通常、ファイル分析は、NSX Malware Prevention セキュリティ ポリシーによって保護されているワークロード仮想マシンにファイルがダウンロードされると開始されます。ダウンロードしたファイルはさまざまなコンポーネントによって処理され、判定が返されます。重要な中間コンポーネントによって提供される結果は、SVM の Syslog ファイルに記録されます。

ファイル分析ライフサイクル イベントの例を次に示します。
  • ファイルの解析
  • 判定キャッシュ ヒット
  • ローカル(静的)分析用に送信されたファイル
  • クラウド(動的)分析用に送信されたファイル
  • 判定の取得
  • ポリシーの適用

CPU 使用率、ディスク使用率、メモリ使用率など、SVM のリソース使用量を含む SVM 健全性モニタリング イベントのログ メッセージをリダイレクトする場合は、NSX Manager CLI でリモート ログを構成できます。または、NSX Manager ユーザー インターフェイスの [アラーム] ページでこれらの健全性イベントをモニターすることもできます。NSX Malware Prevention 健全性イベントの詳細については、「NSX イベント カタログ」を参照してください。

SVM でリモート ログを構成するために、次のプロトコルがサポートされています。
  • TCP
  • UDP
  • TLS(安全なリモート ログ)

TCP の方が信頼性が高いという利点があるのに対し、UDP には、必要なシステムとネットワークのオーバーヘッドが少なくなるという利点があります。TLS プロトコルには追加のオーバーヘッドがありますが、SVM とリモート ログ サーバ間の暗号化されたトラフィックが提供されます。

Aria Operations for Logs プロトコル(LI および LI-TLS)は、SVM でのリモート ログの構成ではサポートされていません。

前提条件

  • VMware vCenter 管理者は、各ホスト上の SVM への SSH アクセスを有効にする必要があります。詳細については、「NSX Malware Preventionサービス仮想マシンへのログイン」の「前提条件」セクションを参照してください。
  • CLI コマンド set logging-server についてよく理解しておいてください。詳細については、『NSX コマンドライン インターフェイス リファレンス』の「マルウェア防止サービス仮想マシン」ドキュメントを参照してください。
  • リモート ログ サーバを構成するための TLS プロトコルを指定する場合は、copy url <url> [file <filename>] CLI コマンドを使用して、サーバ証明書、クライアント証明書、クライアント キーを各 NSX Malware Prevention SVM の /var/vmware/nsx/file-store にコピーします。

    次の例では、copy コマンドが SVM で実行されています。そのため、デフォルトでは、送信元の場所にある client-key.pem ファイルが SVM の /var/vmware/nsx/file-store にコピーされます。

    例:
    svm> copy url scp://[email protected]:/home/user/openssl/client-key.pem
    The authenticity of host '1.2.3.4 (1.2.3.4)' can't be established.
    ECDSA key fingerprint is SHA256:abcdabcdabcdabcdabcdabcdabcdabcdabcdabcd.
    Are you sure you want to continue connecting (yes/no)? yes
    Warning: Permanently added '1.2.3.4' (ECDSA) to the list of known hosts.
    [email protected]'s password:
    client-key.pem                                100% 1704     8.0KB/s   00:00
  • リモート ログ サーバへの安全な接続を構成するには、サーバが CA 署名付き証明書で構成されていることを確認します。たとえば、ログ サーバとして Aria Operations for Logs サーバ vrli.prome.local を使用している場合は、クライアントから次のコマンドを実行すると、ログ サーバ上の証明書チェーンを確認できます。
    root@caserver:~# echo -n | openssl s_client -connect vrli.prome.local:443  | sed -ne '/^Certificate chain/,/^---/p'
    depth=2 C = US, L = California, O = GS, CN = Orange Root Certification Authority
    verify error:num=19:self signed certificate in certificate chain
    Certificate chain
     0 s:/C=US/ST=California/L=HTG/O=GSS/CN=vrli.prome.local
       i:/C=US/L=California/O=GS/CN=Green Intermediate Certification Authority
     1 s:/C=US/L=California/O=GS/CN=Green Intermediate Certification Authority
       i:/C=US/L=California/O=GS/CN=Orange Root Certification Authority
     2 s:/C=US/L=California/O=GS/CN=Orange Root Certification Authority
       i:/C=US/L=California/O=GS/CN=Orange Root Certification Authority
    ---
    DONE

手順

  1. NSX Malware Prevention SVM に admin ユーザーとしてログインします。
    詳細については、「 NSX Malware Preventionサービス仮想マシンへのログイン」を参照してください。
  2. 次のコマンドを実行して、SVM でリモート ログ サーバを構成します。
    svm> set logging-server <hostname-or-ip-address[:port]> proto <proto> level <level> messageid SECURITY [facility <facility>] [serverca <filename>] [clientca <filename>] [certificate <filename>] [key <filename>] [structured-data <structured-data>]

    このコマンドは、SVM ログ メッセージを、指定されたポートのサーバの指定された IP アドレスまたは FQDN にリダイレクトします。ポートが指定されていない場合は、指定されたプロトコルのデフォルト ポートが使用されます。たとえば、TCP および UDP の場合はポート 514 です。TLS のポート 6514。

    messageid パラメータは事前に構成されています。現在、セキュリティ メッセージ ID のみのログがサポートされています。

    ログ メッセージをフィルタリングし、このコマンドでファシリティを指定する方法については、『NSX コマンドライン インターフェイス リファレンス』の「マルウェア防止サービス仮想マシン」のドキュメントを参照してください。

    例 1:UDP プロトコルを使用して SVM ログ メッセージを 10.1.1.1 ログ サーバにリダイレクトするには、次のコマンドを実行します。

    svm> set logging-server 10.1.1.1 proto udp level info messageid SECURITY
    例 2: TLS プロトコルを使用して SVM ログ メッセージをリモート ログ サーバに安全にリダイレクトするには、次のコマンドを実行します。
    svm> set logging-server <hostname-or-ip-address[:port]> proto tls level info messageid SECURITY serverca <ca-cert.pem> clientca <ca-cert.pem> certificate <client-cert.pem>  key <client-key.pem>

    このドキュメントの「前提条件」セクションに記載されているように、サーバ証明書、クライアント証明書、およびクライアント キーを、各 NSX Malware Prevention SVM の /var/vmware/nsx/file-store にコピーする必要があります。

    次の点に注意してください。
    • serverCA パラメータには、完全なチェーンではなく、ルート証明書のみを指定します。
    • clientCAserverCA と異なる場合は、ルート証明書のみが必要です。
    • 証明書には、NSX Malware Prevention SVM の完全なチェーンが含まれている必要があります。証明書は NDcPP 準拠 (EKU、BASIC、CDP) である必要があります(CDP チェックは無視できます)。
    /var/log/syslog の成功ログの例:
    2023-06-26T18:22:21.504Z NSX 3671 - [nsx@6876 comp="nsx-mps-svm" subcomp="cli" username="admin" level="INFO"] {10000} CMD: set logging-server 1.2.3.4 proto tls level info serverca ca-cert.pem clientca ca-cert.pem certificate client-cert.pem key client-key.pem
     
    2023-06-26T18:22:24.677Z rsyslogd - - -  nsd_ossl: TLS Connection initiated with remote syslog server. [v8.2304.0]
    2023-06-26T18:22:26.894Z NSX 932 - [nsx@6876 comp="nsx-mps-svm" subcomp="node-mgmt" username="admin" level="INFO"] Connection to 1.2.3.4:6514 is established
     
    2023-06-26T18:22:28.116Z NSX 3671 - [nsx@6876 comp="nsx-mps-svm" subcomp="cli" username="admin" level="INFO" audit="true"] CMD: set logging-server 1.2.3.4 proto tls level info serverca ca-cert.pem clientca ca-cert.pem certificate client-cert.pem key client-key.pem (duration: 6.611s), Operation status: CMD_EXECUTED
    注: Syslog エクスポータの構成が完了したら、潜在的なセキュリティの脆弱性を回避するために、 /var/vmware/nsx/file-store からすべての証明書とキーを削除する必要があります。

    例 3:NSX Malware Prevention 健全性モニタリング イベントのログ メッセージをリダイレクトするには、NSX Manager CLI で次のコマンドを実行します。

    nsx> set logging-server 10.1.1.1 proto udp level info messageid MONITORING structured-data eventFeatureName="malware_prevention_health"

    このコマンドで、messageid パラメータが「MONITORING」に設定されていることを確認します。

  3. SVM でログの構成を表示するには、get logging-servers コマンドを実行します。

    例: のログ メッセージをリモート ログ サーバに安全にリダイレクトするには

    svm> get logging-servers
    Tue Jun 27 2023 UTC 05:18:57.098
    1.2.3.4:514 proto udp level info messageid SECURITY exporter_name 694ab1dc-0250-4cae-a7a4-3dde205225a3
  4. (オプション) すべてのログ サーバの IP テーブル ルールを確認するには、verify logging-servers コマンドを実行します。
  5. (オプション) 特定のログ サーバ構成を削除するには、次のコマンドを実行します。
    例:
    svm> del logging-server 1.2.3.4:514 proto udp level info messageid SECURITY