NSX 맬웨어 차단 기능은 NSX Edge, 서비스 가상 시스템(ESXi 호스트) 및 NSX Application Platform에서 실행됩니다. NSX Edge 및 서비스 가상 시스템에서 생성된 제품 로그는 RFC 5424 로그 메시지 표준을 준수합니다. NSX 맬웨어 차단은 ESXi 호스트에서만 지원됩니다.
로그 메시지
NSX 장치에서 syslog 메시지는 RFC 5424 표준을 준수합니다. 추가적인 제품 로그는 /var/log 디렉토리에 기록됩니다.
- NSX Edge에서 추출된 파일에 대한 맬웨어 분석 로그 메시지는 활성 Tier-1 게이트웨이의 게이트웨이 맬웨어 차단 서비스에서 제공됩니다.
- ESXi 호스트에서 실행 중인 워크로드 VM에 다운로드된 파일에 대한 맬웨어 분석 로그 메시지는 ESXi 호스트의 맬웨어 차단 서비스 VM에서 제공됩니다.
- 게이트웨이 맬웨어 차단 서비스와 분산 맬웨어 차단 서비스 모두에서 추출된 파일의 경우 맬웨어 분석 로그 메시지는 NSX Application Platform에서 실행 중인 Security Analyzer 마이크로 서비스에서 제공됩니다.
원격 로깅도 지원됩니다. NSX 맬웨어 차단 기능 로그를 사용하려면 원격 로그 서버에 로그 메시지를 보내거나 리디렉션하도록 NSX Edge 및 NSX Application Platform을 구성할 수 있습니다.
NSX Edge에서 원격 로깅 구성
각 NSX Edge 노드에서 개별적으로 원격 로깅을 구성해야 합니다. NSX CLI를 사용하여 NSX Edge 노드에서 원격 로그인 서버를 구성하려면 원격 로깅 구성 항목을 참조하십시오.
NSX Manager UI를 사용하여 NSX Edge 노드에서 원격 로그인 서버를 구성하려면 NSX 노드에 대한 Syslog 서버 추가 항목을 참조하십시오.
NSX Application Platform에서 원격 로깅 구성
NSX Application Platform 로그 메시지를 외부 로그 서버로 보내려면 REST API를 실행해야 합니다.
샘플 요청 본문, 응답 및 코드 샘플과 함께 REST API에 대한 자세한 내용은 VMware 개발자 설명서 포털을 참조하십시오.
NSX 맬웨어 차단 서비스 가상 시스템에서 원격 로그인 구성
이 기능은 현재 지원되지 않습니다. 그렇지만 해결 방법으로 SSH 연결을 사용하여 SVM에 로그온함으로써 각 NSX 맬웨어 차단 SVM(서비스 가상 시스템)에서 syslog 파일을 복사할 수 있습니다.
SVM의 admin 사용자에 대한 SSH 액세스는 키를 기준으로 합니다(공용-개인 키 쌍). 공용 키는 ESXi 호스트 클러스터에 서비스를 배포할 때 필요하고 SVM에 대한 SSH 세션을 시작하려는 경우에는 개인 키가 필요합니다.
자세한 내용은 NSX 맬웨어 차단 서비스 가상 시스템에 로그인 항목을 참조하십시오.
SVM에 로그인한 후 sftp 또는 scp 명령을 사용하여 특정 시간에 /var/log 디렉토리에서 syslog 파일을 복사합니다. 이 위치에서 여러 syslog 파일을 사용할 수 있는 경우 동일한 경로에 압축되고 저장됩니다.
로깅에 대한 추가 정보
로그 메시지 및 오류 코드 항목을 참조하십시오.
NSX 맬웨어 차단 이벤트 로그 해석
서비스 가상 시스템 및 NSX Edge의 NSX 맬웨어 차단 이벤트에 대한 로그 메시지의 형식은 동일합니다. 그러나 NSX Application Platform에 대한 이벤트의 경우 로그 메시지의 형식이 다릅니다.
다음 이벤트 로그 메시지는 NSX Application Platform에서 실행되는 포드인 sa-events-processor
마이크로 서비스에 의해 생성되었습니다.
예:
{"log":"{\"log\":\"\\u001b[37m2022-06-01T01:42:58,725\\u001b[m \\u001b[32mINFO \\u001b[m[\\u001b[1;34mfileEventConsumer-1\\u001b[m] \\u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\\u001b[m: SECURITY [nsx@6876 comp=\\\"nsx-manager\\\" level=\\\"INFO\\\" subcomp=\\\"manager\\\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)\\n\",\"stream\":\"stdout\",\"time\":\"2022-06-01T01:42:58.725811209Z\"}","log_processed":{"log":"\u001b[37m2022-06-01T01:42:58,725\u001b[m \u001b[32mINFO \u001b[m[\u001b[1;34mfileEventConsumer-1\u001b[m] \u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\u001b[m: SECURITY [nsx@6876 comp=\"nsx-manager\" level=\"INFO\" subcomp=\"manager\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)","stream":"stdout","time":"2022-06-01T01:42:58.725811209Z"},"kubernetes":{"pod_name":"sa-events-processor-55bcfcc46d-4jftf","namespace_name":"nsxi-platform","pod_id":"305953f7-836b-4bbb-ba9e-00fdf68de4ae","host":"worker03","container_name":"sa-events-processor","docker_id":"93f81f278898e6ce3e14d9a37e0e10a502c46fe53c9ad61680aed48b94f7f8bf","container_hash":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor@sha256:b617f4bb9f3ea5767839e39490a78169f7f3d54826b89638e4a950e391405ae4","container_image":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor:19067767"}}
이 샘플 이벤트 로그 메시지에서는 표준 로그 특성(예: date
(2022-06-01T00:42:58,326), log level
(INFO)) 및 필터링 가능한 특성(예: module
(SECURITY), container_name
(sa-events-processor)) 외의 추가 특성은 JSON 스타일 형식으로 제공됩니다. 다음 표에는 이러한 추가 특성이 나열되어 있습니다.
키 | 샘플 값 |
---|---|
id |
0 |
sha256 |
29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d |
sha1 |
549cb3f1c85c4ef7fb06dcd33d68cba073b260ec |
md5 |
65b9b68668bb6860e3144866bf5dab85 |
fileName |
drupdate.dll |
fileType |
PeExeFile |
fileSize |
287024 |
inspectionTime |
1654047770305 |
clientPort |
0 |
clientIP |
null |
clientFqdn |
null |
clientVmId |
500cd1b6-96b6-4567-82f4-231a63dead81 |
serverPort |
0 |
serverIp |
null |
serverFqdn |
null |
serverVmId |
null |
applicationProtocol |
null |
submittedBy |
SYSTEM |
isFoundByAsds |
true |
isBlocked |
false |
allowListed |
false |
verdict |
BENIGN |
score |
0 |
analyticsUuid |
null |
submissionUuid | null |
tnId | 38c58796-9983-4a41-b9f2-dc309bd3458d |
malwareClass |
null |
malwareFamily |
null |
errorCode |
null |
errorMessage |
null |
nodeType |
1 |
gatewayId |
|
analysisStatus |
COMPLETED |
followupEvent |
false |
httpDomain |
null |
httpMethod |
null |
path |
null |
referer |
null |
userAgent |
null |
contentDispositionFileName |
null |
isFileUploaded |
false |
startTime |
1654047768828 |
endTime |
1654047768844 |
ttl |
1654220570304 |
Syslog 문제 해결
구성한 원격 로그 서버가 로그 메시지를 수신할 수 없는 경우 Syslog 문제 해결 항목을 참조하십시오.
지원 번들 수집
- 관리 노드, NSX Edge 및 호스트에 대한 지원 번들을 수집하려면 지원 번들 수집을 참조하십시오.
- NSX Application Platform에 대한 지원 번들을 수집하려면 https://docs.vmware.com/kr/VMware-NSX/index.html에서 "VMware NSX Application Platform 배포 및 관리" 설명서를 참조하십시오.