VMware Aria Operations for Logs와 IDFW(NSX Identity Firewall) 간의 통합을 구성한 후 GlobalProtect 또는 ClearPass와 같은 미리 정의된 타사 ID 제공자를 구성에 추가합니다. 사용자 지정 ID 제공자를 추가할 수도 있습니다.
사전 요구 사항
- 슈퍼 관리자 또는 관련 사용 권한이 있는 역할에 연결된 사용자로 VMware Aria Operations for Logs 웹 사용자 인터페이스에 로그인했는지 확인합니다. 자세한 내용은 역할 생성 및 수정을 참조하십시오. 웹 사용자 인터페이스의 URL 형식은 https://operations-for-logs-host이며 여기서 operations-for-logs-host는 VMware Aria Operations for Logs 가상 장치의 IP 주소 또는 호스트 이름입니다.
- VMware Aria Operations for Logs에 IDFW 통합 구성이 있는지 확인합니다.
프로시저
결과
VMware Aria Operations for Logs는 ID 제공자의 인증 로그를 구문 분석하고 사용자 ID-IP 매핑 정보를 추출한 후 데이터를 NSX Manager에 전송합니다. IDFW는 이 데이터를 기준으로 ID 기반 방화벽 규칙을 정의하고 액세스 제어를 위해 사용자에게 규칙을 적용합니다.
예: GlobalProtect 및 ClearPass 로그에 관한 정규식 구문 분석
GlobalProtect 제공자의 다음 로그 샘플을 고려하십시오.
Apr 8 14:35:19 PA-500-GW-1-EAT1 1,2021/04/08 14:35:19,009401010000,USERID,login,2049,2021/04/08 14:35:19,vsys1,10.20.30.40,vmware\john,UID-SJC31,0,1,10800,0,0,agent,,79021111,0x8000000000000000,0,0,0,0,,PA-500-GW-1-EAT1,1,,2021/04/08 14:35:28,1,0x80000000,vmware\john
다음 표에서는 정규식 패턴과 VMware Aria Operations for Logs가 NSX Manager에 전송하는 로그 샘플 값 간의 매핑을 보여 줍니다.
옵션 정규식 패턴 로그 값 사용자 이름 \\(\w+)\, john
IP 주소 \,(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})\, 10.20.30.40
도메인 \,(\w+)\\ vmware
이벤트 유형 USERID\,(\w+)\, login
ClearPass 제공자의 다음 로그 샘플을 고려하십시오.
2021-08-19 13:47:46,797 10.10.100.10 Insight Logs 10000111 1 0 Auth.Username=smith,Auth.Service=SOF6 vrealize SSID EAP-TLS Service,Auth.NAS-IP-Address=10.02.20.02,Auth.Host-MAC-Address=111aaaaab10b,Auth.Protocol=RADIUS,Auth.Login-Status=9002,Auth.Enforcement-Profiles=[Deny Access Profile]
다음 표에서는 정규식 패턴과 VMware Aria Operations for Logs가 NSX Manager에 전송하는 로그 샘플 값 간의 매핑을 보여 줍니다.
옵션 정규식 패턴 로그 값 사용자 이름 Username=(\w+) smith
IP 주소 Address=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}) 10.02.20.02
도메인 SOF6\s+(\w+) vrealize
이벤트 유형 Auth.(\w+)-Status= Login