vRealize Log Insight と NSX Identity Firewall (IDFW) との統合を構成した後、GlobalProtect や ClearPass などの事前定義済みのサードパーティ ID プロバイダを構成に追加します。カスタムの ID プロバイダを追加することもできます。
前提条件
- スーパー管理者ユーザー、または関連する権限を持つロールに関連付けられたユーザーとして vRealize Log Insight の Web ユーザー インターフェイスにログインしていることを確認します。詳細については、ロールの作成および変更を参照してください。Web ユーザー インターフェイスの URL 形式は https://log-insight-host です。log-insight-host は vRealize Log Insight 仮想アプライアンスの IP アドレスまたはホスト名です。
- vRealize Log Insight に IDFW 統合構成があることを確認します。
手順
結果
vRealize Log Insight は、ID プロバイダからの認証ログを解析し、ユーザー ID と IP アドレスのマッピング情報を抽出して、データを NSX Manager に送信します。このデータに基づいて、IDFW は ID ベースのファイアウォール ルールを定義し、アクセス コントロールのルールをユーザーに適用します。
例: GlobalProtect および ClearPass のログの正規表現解析
GlobalProtect プロバイダからの次のログ サンプルを考えます。
Apr 8 14:35:19 PA-500-GW-1-EAT1 1,2021/04/08 14:35:19,009401010000,USERID,login,2049,2021/04/08 14:35:19,vsys1,10.20.30.40,vmware\john,UID-SJC31,0,1,10800,0,0,agent,,79021111,0x8000000000000000,0,0,0,0,,PA-500-GW-1-EAT1,1,,2021/04/08 14:35:28,1,0x80000000,vmware\john
次の表に、vRealize Log Insight が NSX Manager に送信するログ サンプルの正規表現パターンと値のマッピングを示します。
オプション 正規表現パターン ログ値 [ユーザー名] \\(\w+)\, john
[IP アドレス] \,(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})\, 10.20.30.40
[ドメイン] \,(\w+)\\ vmware
[イベント タイプ] USERID\,(\w+)\, login
ClearPass プロバイダからの次のログ サンプルを考えます。
2021-08-19 13:47:46,797 10.10.100.10 Insight Logs 10000111 1 0 Auth.Username=smith,Auth.Service=SOF6 vrealize SSID EAP-TLS Service,Auth.NAS-IP-Address=10.02.20.02,Auth.Host-MAC-Address=111aaaaab10b,Auth.Protocol=RADIUS,Auth.Login-Status=9002,Auth.Enforcement-Profiles=[Deny Access Profile]
次の表に、vRealize Log Insight が NSX Manager に送信するログ サンプルの正規表現パターンと値のマッピングを示します。
オプション 正規表現パターン ログ値 [ユーザー名] Username=(\w+) smith
[IP アドレス] Address=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}) 10.02.20.02
[ドメイン] SOF6\s+(\w+) vrealize
[イベント タイプ] Auth.(\w+)-Status= Login