VMware vRealize Log Insight를 사용하여 NSX-T Data Center 환경의 보안 흐름 로그를 볼 수 있습니다.

다음 보안 기능은 흐름 로깅을 지원합니다.
  • TLS 검사
  • 게이트웨이 IDPS
  • URL 필터링
참고:

NSX-T Data Center 3.2.1부터 TLS 검사 및 게이트웨이 IDPS는 운영 환경에서 사용할 수 있으며 완전히 지원됩니다. NSX-T Data Center 3.2.0에서는 이러한 기능을 기술 미리보기 모드에서만 사용할 수 있었습니다. 자세한 내용은 " NSX-T Data Center 릴리스 정보" 항목를 참조하십시오.

통합 보안 로그

모든 보안 수직 영역은 통합 보안 흐름 로그를 생성하고 노드의 단일 로그 파일에 통합 보안 로그 형식으로 저장합니다. 이 단일 로그는 VMware vRealize Log Insight에 대해 구성된 syslog 서버로 내보냅니다. 그런 다음, VMware vRealize Log Insight는 로그를 처리하여 추가 로그 관리, 분석을 제공하고 NSX-T 컨텐츠 팩을 사용하여 표시합니다.

vRealize Log Insight 로그 표시

기존 NSX-T 컨텐츠 팩에 새 대시보드 'NSX - 통합 보안 흐름 로그'가 추가되었습니다. 이 대시보드에는 보안 흐름 로그의 시각적 표현인 차트 위젯이 표시됩니다.

VMware vRealize Log Insight 컨텐츠 팩은 플러그인입니다. 여기에는 대시보드, 추출된 필드, 저장된 쿼리 및 특정 제품 또는 로그 집합과 관련된 경고가 포함됩니다.

NSX-T 컨텐츠 팩은 VMware vRealize Log Insight 마켓플레이스에서 사용할 수 있습니다.

VMware vRealize Log Insight 및 컨텐츠 팩 마켓플레이스에서 컨텐츠 팩을 설치하는 방법에 대한 자세한 내용은 "VMware vRealize Log Insight 사용" 제품 설명서에서 "컨텐츠 팩 마켓플레이스에서 컨텐츠 팩 설치" 장을 참조하십시오.

상위 N개 및 최근 X시간

대화형 분석 및 컨텐츠 팩을 사용하여 지난 X시간 동안의 상위 N개 정보에 대해 VMware vRealize Log Insight에서 이벤트를 쿼리할 수도 있습니다.

원격 로깅 서버

원격 로깅 서버에 로그를 보내려면 NSX-T Data Center 장치 및 하이퍼바이저가 각 노드에서 원격 로깅으로 별도로 구성되어야 합니다.

참고: syslog 서버에 로그를 보내려면 NSX-T Manager의 특정 규칙에 대해 로깅을 사용하도록 설정해야 합니다.

자세한 내용은 원격 로깅 구성을 참조하십시오.

원격 로그 서버에 로그가 수신되지 않을 경우 Syslog 문제 해결을 참조하십시오.

통합 보안 로그 형식

Edge 노드에서 통합 보안 흐름 로그는 /var/log/syslog에 저장됩니다. 루트 권한으로 로그인하고 grep 명령을 사용하여 이 파일에서 통합 로그를 검색할 수 있습니다. 예:
cat /var/log/syslog | grep 'unified-logs'

로그 메시지의 예:

TLS 검사
2021-10-12T09:00:46.192Z nsxedge-18734920-1-mps29 NSX 22621 SYSTEM [nsx@6876 comp="nsx-edge" 
subcomp="tls-proxy" s2comp="unified-logs" level="INFO"] {"event_type": "fw-flow-terminate-log", 
"event_trigger": ["fw-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "79427614-4a0d-2692-032c-eb4692f717a9", 
"node_uuid": "ec11a626-f425-3bc2-671d-a656500003b2"}, "flow": {"start": "2021-10-12T09:00:46.723Z", 
"end": "2021-10-12T09:00:46.773Z", "ip_ver": "ipv4", "flow_id": "0x1e0000704f000018", 
"src_ip": "192.168.100.160", "src_port": 25700, "dest_ip": "1.1.5.10", "dest_port": 443, "proto": "TCP", "tcp_flags": "",
"bytes_toserver": 95, "bytes_toclient": 29873, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 1002,
"direction": "", "rule_tag": ""}, "http": {"http_method": "", "hostname": "www.facebook.com", "url": "www.facebook.com/benign_pdf1.pdf", "scheme": "", "http_user_agent": "", "status": "",
"site_category": ""SOCIAL_NETWORK"", "site_reputation": "Trustworthy"},"tls_inspection": {"action": "PASS", "rule_id": 1008, "domain": "www.facebook.com", "cert_status": "ok", "tls_version_toserver": "TLSv1.2",
"cipher_to_server": "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "reason": "", "tls_rule_tag": "TLS External Rule"}, "idps": {"action": "PASS", "rule_id": 1007,
"ids_profile_id": "00000000-0000-0000-0000-000000000000", "alert_event": ["SOCIAL_NETWORK"], "protocol_event": ["http"]}, "app_id": {"app": ""APP_HTTP", "APP_FACEBOOK", "APP_SSL""}
게이트웨이 IDPS
2021-11-11T04:07:37.489Z nsxedge-18866667-2-NAT-fc-3-nov NSX 27330 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="datapathd" s2comp="unified-logs" level="INFO"]
 {"event_type": "fw-flow-terminate-log", "event_trigger": ["ids-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "544ee558-fad0-e624-019f-e8e3e0472c91", 
"node_uuid": "dabf16c9-ec11-833c-0c00-8c832f771729"}, "flow": {"start": "2021-11-11T04:07:07.000Z", "end": "2021-11-11T04:07:37.000Z",
"ip_ver": "ipv4", "flow_id": "0xd44d00306e0a0004", "src_ip": "1.1.1.10", "src_port": 35714, "dest_ip": "10.142.7.1", "dest_port": 53,
"proto": "UDP", "tcp_flags": "FPW", "bytes_toserver": 297878, "bytes_toclient": 71, "pkts_toserver": 71, "pkts_toclient": 1, 
"reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 2025, "direction": "", "rule_tag": ""},
"l7profile": {"entry_id": "00000000-0000-0000-0000-000000000000", "action": "PASS"}, 
"http": {"http_method": "", "hostname": "", "url": "", "scheme": "", "http_user_agent": "", "status": "", "site_category": "", 
"site_reputation": "UNKNOWN"}, "idps": {"action": "IDP_DETECT", "rule_id": 2028, "ids_profile_id": "9872e27a-ead4-4c93-af5f-4df1ec0c73e1", 
"alert_event": [], "protocol_event": []}, "app_id": {"app": ""APP_DNS""}}
URL 필터링
2021-11-08T08:30:59.208Z nsxedge-18866667-2-NAT-fc-3-nov NSX 9495 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="datapathd" s2comp="unified-logs" level="INFO"]
{"event_type": "fw-flow-terminate-log", "event_trigger": ["fw-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "544ee558-fad0-e624-019f-e8e3e0472c91",
"node_uuid": "dabf16c9-ec11-833c-0c00-8c832f771729"}, "flow": {"start": "2021-11-08T08:30:57.000Z", "end": "2021-11-08T08:30:59.000Z",
"ip_ver": "ipv4", "flow_id": "0x4001006c04000000", "src_ip": "1.1.1.10", "src_port": 43600, "dest_ip": "13.226.234.18", 
"dest_port": 80, "proto": "TCP", "tcp_flags": "FREW", "bytes_toserver": 54968, "bytes_toclient": 444, 
"pkts_toserver": 444, "pkts_toclient": 7, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 1004, "direction": "",
"rule_tag": ""}, "l7profile": {"entry_id": "e9580107-2749-471c-be82-715d530bf4d4", "action": "PASS"},
"http": {"http_method": "", "hostname": "", "url": "espn.com/", "scheme": "", "http_user_agent": "", "status": "",
"site_category": ""SPORTS"", "site_reputation": "TRUSTWORTHY"}, "app_id": {"app": ""APP_HTTP", "APP_ESPN""}}