vRealize Log InsightNSX Identity Firewall (IDFW) との統合を構成した後、GlobalProtectClearPass などの事前定義済みのサードパーティ ID プロバイダを構成に追加します。カスタムの ID プロバイダを追加することもできます。

前提条件

  • スーパー管理者ユーザー、または関連する権限を持つロールに関連付けられたユーザーとして vRealize Log Insight の Web ユーザー インターフェイスにログインしていることを確認します。詳細については、ロールの作成および変更を参照してください。Web ユーザー インターフェイスの URL 形式は https://log-insight-host です。log-insight-hostvRealize Log Insight 仮想アプライアンスの IP アドレスまたはホスト名です。
  • vRealize Log Insight に IDFW 統合構成があることを確認します。

手順

  1. メイン メニューを展開し、[統合] > [NSX Identity Firewall] に移動します。
  2. [プロバイダ] で、[新規プロバイダ] をクリックします。
  3. 次の情報を入力します。
    オプション 説明
    [名前] ID プロバイダの一意の名前。
    [タイプ]

    ID プロバイダのタイプ。事前定義されたプロバイダ(GlobalProtectClearPass など)、またはカスタム プロバイダを選択できます。

    事前定義されたプロバイダを選択する場合は、[ユーザー名][IP アドレス][ドメイン]、および [イベント タイプ]正規表現パターンがプロバイダに基づいて入力されます。これらの値は変更できます。

    カスタム プロバイダを選択する場合は、[ユーザー名][IP アドレス]、および [ドメイン]正規表現パターンを入力する必要があります。

    [ユーザー名] プロバイダからのログでユーザー名を特定するための正規表現パターン。
    [IP アドレス] プロバイダからのログで IP アドレスを特定するための正規表現パターン。
    [ドメイン] プロバイダからのログでドメインを特定するための正規表現パターン。
    [イベント タイプ]

    プロバイダからのログでイベント タイプを特定するための正規表現パターン。

    カスタム プロバイダのイベント タイプは ログイン であり、必須ではありません。別の値が必要な場合は、イベント タイプを識別する正規表現パターンを入力します。

    [ソース]

    1 つ以上のソース IP アドレスまたは FQDN。カンマを使用して複数のエントリを区切ることができます。

    最適なパフォーマンスとセキュリティを確保するために、 vRealize Log Insight はプロバイダに入力したソースからのログのみを解析します。
    • 最適なパフォーマンスを確保するため、vRealize Log Insight は選択したソースからのログにのみ正規表現パターンを適用します。
    • セキュリティを確保するため、vRealize Log Insight は既知のソースから有効なデータのみを NSX Manager に送信します。
    注:
    • Syslog を介してログを送信しているカスタム プロバイダの場合、フィールドの正規表現パターンが Syslog ヘッダーではなく、メッセージに適用されます。
    • 正規表現パターンでは大文字と小文字が区別されます。
    • 正規表現のフィールド定義には、Java ベースの正規表現を使用する必要があります。
    • vRealize Log Insight インスタンスのログを転送すると、プロバイダ構成に使用されるソースを変更できます。代わりに、ログを ID プロバイダから vRealize Log Insight に直接送信します。
    • プロバイダ ソースが NSX IDFW 統合構成の範囲内で一意であることを確認します。
    • 事前定義されたプロバイダは、特定のバージョンの ID プロバイダ用に構成されており、vRealize Log Insight ユーザー インターフェイスで使用できます。他のバージョンでは、事前入力された正規表現パターンが正確でない場合があります。
  4. [保存] をクリックします。

結果

vRealize Log Insight は、ID プロバイダからの認証ログを解析し、ユーザー ID と IP アドレスのマッピング情報を抽出して、データを NSX Manager に送信します。このデータに基づいて、IDFW は ID ベースのファイアウォール ルールを定義し、アクセス コントロールのルールをユーザーに適用します。

例: GlobalProtect および ClearPass のログの正規表現解析

  • GlobalProtect プロバイダからの次のログ サンプルを考えます。

    Apr 8 14:35:19 PA-500-GW-1-EAT1 1,2021/04/08 14:35:19,009401010000,USERID,login,2049,2021/04/08 14:35:19,vsys1,10.20.30.40,vmware\john,UID-SJC31,0,1,10800,0,0,agent,,79021111,0x8000000000000000,0,0,0,0,,PA-500-GW-1-EAT1,1,,2021/04/08 14:35:28,1,0x80000000,vmware\john

    次の表に、vRealize Log InsightNSX Manager に送信するログ サンプルの正規表現パターンと値のマッピングを示します。

    オプション 正規表現パターン ログ値
    [ユーザー名] \\(\w+)\, john
    [IP アドレス] \,(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})\, 10.20.30.40
    [ドメイン] \,(\w+)\\ vmware
    [イベント タイプ] USERID\,(\w+)\, login
  • ClearPass プロバイダからの次のログ サンプルを考えます。

    2021-08-19 13:47:46,797 10.10.100.10 Insight Logs 10000111 1 0 Auth.Username=smith,Auth.Service=SOF6 vrealize SSID EAP-TLS Service,Auth.NAS-IP-Address=10.02.20.02,Auth.Host-MAC-Address=111aaaaab10b,Auth.Protocol=RADIUS,Auth.Login-Status=9002,Auth.Enforcement-Profiles=[Deny Access Profile]

    次の表に、vRealize Log InsightNSX Manager に送信するログ サンプルの正規表現パターンと値のマッピングを示します。

    オプション 正規表現パターン ログ値
    [ユーザー名] Username=(\w+) smith
    [IP アドレス] Address=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}) 10.02.20.02
    [ドメイン] SOF6\s+(\w+) vrealize
    [イベント タイプ] Auth.(\w+)-Status= Login