NSX Malware Prevention サービス仮想マシン (SVM) のログ メッセージをリモート ログ サーバにリダイレクトするには、NSX Distributed Malware Prevention サービス用に有効になっている vSphere ホスト クラスタのホストで SVM にログインし、NSX CLI コマンドを実行してリモート ログを構成します。
NSX 4.1.2 以降では、NSX Malware Prevention SVM でのリモート ログがサポートされています。
現在、NSX Malware Prevention ファイル分析ライフサイクル イベントのログ メッセージのみがリモート ログ サーバにリダイレクトされています。通常、ファイル分析は、NSX Malware Prevention セキュリティ ポリシーによって保護されているワークロード仮想マシンにファイルがダウンロードされると開始されます。ダウンロードしたファイルはさまざまなコンポーネントによって処理され、判定が返されます。重要な中間コンポーネントによって提供される結果は、SVM の Syslog ファイルに記録されます。
- ファイルの解析
- 判定キャッシュ ヒット
- ローカル(静的)分析用に送信されたファイル
- クラウド(動的)分析用に送信されたファイル
- 判定の取得
- ポリシーの適用
CPU 使用率、ディスク使用率、メモリ使用率など、SVM のリソース使用量を含む SVM 健全性モニタリング イベントのログ メッセージをリダイレクトする場合は、NSX Manager CLI でリモート ログを構成できます。または、NSX Manager ユーザー インターフェイスの [アラーム] ページでこれらの健全性イベントをモニターすることもできます。NSX Malware Prevention 健全性イベントの詳細については、「NSX イベント カタログ」を参照してください。
- TCP
- UDP
- TLS(安全なリモート ログ)
TCP の方が信頼性が高いという利点があるのに対し、UDP には、必要なシステムとネットワークのオーバーヘッドが少なくなるという利点があります。TLS プロトコルには追加のオーバーヘッドがありますが、SVM とリモート ログ サーバ間の暗号化されたトラフィックが提供されます。
Aria Operations for Logs プロトコル(LI および LI-TLS)は、SVM でのリモート ログの構成ではサポートされていません。
前提条件
- VMware vCenter 管理者は、各ホスト上の SVM への SSH アクセスを有効にする必要があります。詳細については、「NSX Malware Preventionサービス仮想マシンへのログイン」の「前提条件」セクションを参照してください。
- CLI コマンド set logging-server についてよく理解しておいてください。詳細については、『NSX コマンドライン インターフェイス リファレンス』の「マルウェア防止サービス仮想マシン」ドキュメントを参照してください。
- リモート ログ サーバを構成するための TLS プロトコルを指定する場合は、copy url <url> [file <filename>] CLI コマンドを使用して、サーバ証明書、クライアント証明書、クライアント キーを各 NSX Malware Prevention SVM の /var/vmware/nsx/file-store にコピーします。
次の例では、copy コマンドが SVM で実行されています。そのため、デフォルトでは、送信元の場所にある client-key.pem ファイルが SVM の /var/vmware/nsx/file-store にコピーされます。
例:svm> copy url scp://[email protected]:/home/user/openssl/client-key.pem The authenticity of host '1.2.3.4 (1.2.3.4)' can't be established. ECDSA key fingerprint is SHA256:abcdabcdabcdabcdabcdabcdabcdabcdabcdabcd. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '1.2.3.4' (ECDSA) to the list of known hosts. [email protected]'s password: client-key.pem 100% 1704 8.0KB/s 00:00
- リモート ログ サーバへの安全な接続を構成するには、サーバが CA 署名付き証明書で構成されていることを確認します。たとえば、ログ サーバとして Aria Operations for Logs サーバ vrli.prome.local を使用している場合は、クライアントから次のコマンドを実行すると、ログ サーバ上の証明書チェーンを確認できます。
root@caserver:~# echo -n | openssl s_client -connect vrli.prome.local:443 | sed -ne '/^Certificate chain/,/^---/p' depth=2 C = US, L = California, O = GS, CN = Orange Root Certification Authority verify error:num=19:self signed certificate in certificate chain Certificate chain 0 s:/C=US/ST=California/L=HTG/O=GSS/CN=vrli.prome.local i:/C=US/L=California/O=GS/CN=Green Intermediate Certification Authority 1 s:/C=US/L=California/O=GS/CN=Green Intermediate Certification Authority i:/C=US/L=California/O=GS/CN=Orange Root Certification Authority 2 s:/C=US/L=California/O=GS/CN=Orange Root Certification Authority i:/C=US/L=California/O=GS/CN=Orange Root Certification Authority --- DONE