통합 보안 로그에 vRealize Log Insight 사용

VMware vRealize Log Insight를 사용하여 NSX-T Data Center 환경의 보안 흐름 로그를 볼 수 있습니다.

다음 보안 기능은 흐름 로깅을 지원합니다.

TLS 검사
게이트웨이 IDPS
URL 필터링

참고:

NSX-T Data Center 3.2.1부터 TLS 검사 및 게이트웨이 IDPS는 운영 환경에서 사용할 수 있으며 완전히 지원됩니다. NSX-T Data Center 3.2.0에서는 이러한 기능을 기술 미리보기 모드에서만 사용할 수 있었습니다. 자세한 내용은 " NSX-T Data Center 릴리스 정보" 를 참조하십시오.

통합 보안 로그

모든 보안 수직 영역은 통합 보안 흐름 로그를 생성하고 노드의 단일 로그 파일에 통합 보안 로그 형식으로 저장합니다. 이 단일 로그는 VMware vRealize Log Insight에 대해 구성된 syslog 서버로 내보냅니다. 그런 다음, VMware vRealize Log Insight는 로그를 처리하여 추가 로그 관리, 분석을 제공하고 NSX-T 컨텐츠 팩을 사용하여 표시합니다.

vRealize Log Insight 로그 표시

기존 NSX-T 컨텐츠 팩에 새 대시보드 'NSX - 통합 보안 흐름 로그'가 추가되었습니다. 이 대시보드에는 보안 흐름 로그의 시각적 표현인 차트 위젯이 표시됩니다.

VMware vRealize Log Insight 컨텐츠 팩은 플러그인입니다. 여기에는 대시보드, 추출된 필드, 저장된 쿼리 및 특정 제품 또는 로그 집합과 관련된 경고가 포함됩니다.

NSX-T 컨텐츠 팩은 VMware vRealize Log Insight 마켓플레이스에서 사용할 수 있습니다.

VMware vRealize Log Insight 및 컨텐츠 팩 마켓플레이스에서 컨텐츠 팩을 설치하는 방법에 대한 자세한 내용은 "VMware vRealize Log Insight 사용" 제품 설명서에서 "컨텐츠 팩 마켓플레이스에서 컨텐츠 팩 설치" 장을 참조하십시오.

상위 N개 및 최근 X시간

대화형 분석 및 컨텐츠 팩을 사용하여 지난 X시간 동안의 상위 N개 정보에 대해 VMware vRealize Log Insight에서 이벤트를 쿼리할 수도 있습니다.

원격 로깅 서버

원격 로깅 서버에 로그를 보내려면 NSX-T Data Center 장치 및 하이퍼바이저가 각 노드에서 원격 로깅으로 별도로 구성되어야 합니다.

참고: syslog 서버에 로그를 보내려면 NSX-T Manager의 특정 규칙에 대해 로깅을 사용하도록 설정해야 합니다.

자세한 내용은 원격 로깅 구성을 참조하십시오.

원격 로그 서버에 로그가 수신되지 않을 경우 Syslog 문제 해결을 참조하십시오.

통합 보안 로그 형식

Edge의 /var/log/syslog | grep 'unified-logs'에서 흐름 로그를 가져올 수도 있습니다. 예제:

TLS 검사:

2021-10-12T09:00:46.192Z nsxedge-18734920-1-mps29 NSX 22621 SYSTEM [nsx@6876 comp="nsx-edge" 
subcomp="tls-proxy" s2comp="unified-logs" level="INFO"] {"event_type": "fw-flow-terminate-log", 
"event_trigger": ["fw-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "79427614-4a0d-2692-032c-eb4692f717a9", 
"node_uuid": "ec11a626-f425-3bc2-671d-a656500003b2"}, "flow": {"start": "2021-10-12T09:00:46.723Z", 
"end": "2021-10-12T09:00:46.773Z", "ip_ver": "ipv4", "flow_id": "0x1e0000704f000018", 
"src_ip": "192.168.100.160", "src_port": 25700, "dest_ip": "1.1.5.10", "dest_port": 443, "proto": "TCP", "tcp_flags": "",
"bytes_toserver": 95, "bytes_toclient": 29873, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 1002,
"direction": "", "rule_tag": ""}, "http": {"http_method": "", "hostname": "www.facebook.com", "url": "www.facebook.com/benign_pdf1.pdf", "scheme": "", "http_user_agent": "", "status": "",
"site_category": ""SOCIAL_NETWORK"", "site_reputation": "Trustworthy"},"tls_inspection": {"action": "PASS", "rule_id": 1008, "domain": "www.facebook.com", "cert_status": "ok", "tls_version_toserver": "TLSv1.2",
"cipher_to_server": "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "reason": "", "tls_rule_tag": "TLS External Rule"}, "idps": {"action": "PASS", "rule_id": 1007,
"ids_profile_id": "00000000-0000-0000-0000-000000000000", "alert_event": ["SOCIAL_NETWORK"], "protocol_event": ["http"]}, "app_id": {"app": ""APP_HTTP", "APP_FACEBOOK", "APP_SSL""}

게이트웨이 IDPS:

2021-11-11T04:07:37.489Z nsxedge-18866667-2-NAT-fc-3-nov NSX 27330 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="datapathd" s2comp="unified-logs" level="INFO"]
 {"event_type": "fw-flow-terminate-log", "event_trigger": ["ids-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "544ee558-fad0-e624-019f-e8e3e0472c91", 
"node_uuid": "dabf16c9-ec11-833c-0c00-8c832f771729"}, "flow": {"start": "2021-11-11T04:07:07.000Z", "end": "2021-11-11T04:07:37.000Z",
"ip_ver": "ipv4", "flow_id": "0xd44d00306e0a0004", "src_ip": "1.1.1.10", "src_port": 35714, "dest_ip": "10.142.7.1", "dest_port": 53,
"proto": "UDP", "tcp_flags": "FPW", "bytes_toserver": 297878, "bytes_toclient": 71, "pkts_toserver": 71, "pkts_toclient": 1, 
"reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 2025, "direction": "", "rule_tag": ""},
"l7profile": {"entry_id": "00000000-0000-0000-0000-000000000000", "action": "PASS"}, 
"http": {"http_method": "", "hostname": "", "url": "", "scheme": "", "http_user_agent": "", "status": "", "site_category": "", 
"site_reputation": "UNKNOWN"}, "idps": {"action": "IDP_DETECT", "rule_id": 2028, "ids_profile_id": "9872e27a-ead4-4c93-af5f-4df1ec0c73e1", 
"alert_event": [], "protocol_event": []}, "app_id": {"app": ""APP_DNS""}}

URL 필터링:

2021-11-08T08:30:59.208Z nsxedge-18866667-2-NAT-fc-3-nov NSX 9495 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="datapathd" s2comp="unified-logs" level="INFO"]
{"event_type": "fw-flow-terminate-log", "event_trigger": ["fw-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "544ee558-fad0-e624-019f-e8e3e0472c91",
"node_uuid": "dabf16c9-ec11-833c-0c00-8c832f771729"}, "flow": {"start": "2021-11-08T08:30:57.000Z", "end": "2021-11-08T08:30:59.000Z",
"ip_ver": "ipv4", "flow_id": "0x4001006c04000000", "src_ip": "1.1.1.10", "src_port": 43600, "dest_ip": "13.226.234.18", 
"dest_port": 80, "proto": "TCP", "tcp_flags": "FREW", "bytes_toserver": 54968, "bytes_toclient": 444, 
"pkts_toserver": 444, "pkts_toclient": 7, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 1004, "direction": "",
"rule_tag": ""}, "l7profile": {"entry_id": "e9580107-2749-471c-be82-715d530bf4d4", "action": "PASS"},
"http": {"http_method": "", "hostname": "", "url": "espn.com/", "scheme": "", "http_user_agent": "", "status": "",
"site_category": ""SPORTS"", "site_reputation": "TRUSTWORTHY"}, "app_id": {"app": ""APP_HTTP", "APP_ESPN""}}