통합 보안 로그에 vRealize Log Insight 사용

VMware Aria Operations for Logs를 사용하여 NSX 환경의 보안 흐름 로그를 볼 수 있습니다.

다음 보안 기능은 흐름 로깅을 지원합니다.

TLS 검사
게이트웨이 IDPS
URL 필터링

참고:

NSX 3.2.1부터 TLS 검사 및 게이트웨이 IDPS는 운영 환경에서 사용할 수 있으며 완전히 지원됩니다. NSX 3.2.0에서는 이러한 기능을 기술 미리보기 모드에서만 사용할 수 있었습니다. 자세한 내용은 "NSX 릴리스 정보" 를 참조하십시오.

통합 보안 로그

모든 보안 수직 영역은 통합 보안 흐름 로그를 생성하고 노드의 단일 로그 파일에 통합 보안 로그 형식으로 저장합니다. 이 단일 로그는 VMware Aria Operations for Logs에 대해 구성된 syslog 서버로 내보냅니다. 그런 다음, VMware Aria Operations for Logs는 로그를 처리하여 추가 로그 관리, 분석을 제공하고 NSX 컨텐츠 팩을 사용하여 표시합니다.

vRealize Log Insight 로그 표시

기존 NSX 컨텐츠 팩에 새 대시보드 'NSX - 통합 보안 흐름 로그'가 추가되었습니다. 이 대시보드에는 보안 흐름 로그의 시각적 표현인 차트 위젯이 표시됩니다.

VMware Aria Operations for Logs 컨텐츠 팩은 플러그인입니다. 여기에는 대시보드, 추출된 필드, 저장된 쿼리 및 특정 제품 또는 로그 집합과 관련된 경고가 포함됩니다.

NSX 컨텐츠 팩은 VMware Aria Operations for Logs 마켓플레이스에서 사용할 수 있습니다.

VMware Aria Operations for Logs 및 컨텐츠 팩 마켓플레이스에서 컨텐츠 팩을 설치하는 방법에 대한 자세한 내용은 "VMware Aria Operations for Logs 사용" 제품 설명서에서 "컨텐츠 팩 마켓플레이스에서 컨텐츠 팩 설치" 장을 참조하십시오.

상위 N개 및 최근 X시간

대화형 분석 및 컨텐츠 팩을 사용하여 지난 X시간 동안의 상위 N개 정보에 대해 VMware Aria Operations for Logs에서 이벤트를 쿼리할 수도 있습니다.

원격 로깅 서버

원격 로깅 서버에 로그를 보내려면 NSX 장치 및 하이퍼바이저가 각 노드에서 원격 로깅으로 별도로 구성되어야 합니다.

참고: syslog 서버에 로그를 보내려면 NSX Manager의 특정 규칙에 대해 로깅을 사용하도록 설정해야 합니다.

자세한 내용은 원격 로깅 구성을 참조하십시오.

원격 로그 서버에 로그가 수신되지 않을 경우 Syslog 문제 해결을 참조하십시오.

통합 보안 로그 형식

Edge의 /var/log/syslog | grep 'unified-logs'에서 흐름 로그를 가져올 수도 있습니다. 예제:

TLS 검사:

2021-10-12T09:00:46.192Z nsxedge-18734920-1-mps29 NSX 22621 SYSTEM [nsx@6876 comp="nsx-edge" 
subcomp="tls-proxy" s2comp="unified-logs" level="INFO"] {"event_type": "fw-flow-terminate-log", 
"event_trigger": ["fw-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "79427614-4a0d-2692-032c-eb4692f717a9", 
"node_uuid": "ec11a626-f425-3bc2-671d-a656500003b2"}, "flow": {"start": "2021-10-12T09:00:46.723Z", 
"end": "2021-10-12T09:00:46.773Z", "ip_ver": "ipv4", "flow_id": "0x1e0000704f000018", 
"src_ip": "192.168.100.160", "src_port": 25700, "dest_ip": "1.1.5.10", "dest_port": 443, "proto": "TCP", "tcp_flags": "",
"bytes_toserver": 95, "bytes_toclient": 29873, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 1002,
"direction": "", "rule_tag": ""}, "http": {"http_method": "", "hostname": "www.facebook.com", "url": "www.facebook.com/benign_pdf1.pdf", "scheme": "", "http_user_agent": "", "status": "",
"site_category": ""SOCIAL_NETWORK"", "site_reputation": "Trustworthy"},"tls_inspection": {"action": "PASS", "rule_id": 1008, "domain": "www.facebook.com", "cert_status": "ok", "tls_version_toserver": "TLSv1.2",
"cipher_to_server": "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "reason": "", "tls_rule_tag": "TLS External Rule"}, "idps": {"action": "PASS", "rule_id": 1007,
"ids_profile_id": "00000000-0000-0000-0000-000000000000", "alert_event": ["SOCIAL_NETWORK"], "protocol_event": ["http"]}, "app_id": {"app": ""APP_HTTP", "APP_FACEBOOK", "APP_SSL""}

게이트웨이 IDPS:

2021-11-11T04:07:37.489Z nsxedge-18866667-2-NAT-fc-3-nov NSX 27330 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="datapathd" s2comp="unified-logs" level="INFO"]
 {"event_type": "fw-flow-terminate-log", "event_trigger": ["ids-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "544ee558-fad0-e624-019f-e8e3e0472c91", 
"node_uuid": "dabf16c9-ec11-833c-0c00-8c832f771729"}, "flow": {"start": "2021-11-11T04:07:07.000Z", "end": "2021-11-11T04:07:37.000Z",
"ip_ver": "ipv4", "flow_id": "0xd44d00306e0a0004", "src_ip": "1.1.1.10", "src_port": 35714, "dest_ip": "10.142.7.1", "dest_port": 53,
"proto": "UDP", "tcp_flags": "FPW", "bytes_toserver": 297878, "bytes_toclient": 71, "pkts_toserver": 71, "pkts_toclient": 1, 
"reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 2025, "direction": "", "rule_tag": ""},
"l7profile": {"entry_id": "00000000-0000-0000-0000-000000000000", "action": "PASS"}, 
"http": {"http_method": "", "hostname": "", "url": "", "scheme": "", "http_user_agent": "", "status": "", "site_category": "", 
"site_reputation": "UNKNOWN"}, "idps": {"action": "IDP_DETECT", "rule_id": 2028, "ids_profile_id": "9872e27a-ead4-4c93-af5f-4df1ec0c73e1", 
"alert_event": [], "protocol_event": []}, "app_id": {"app": ""APP_DNS""}}

URL 필터링:

2021-11-08T08:30:59.208Z nsxedge-18866667-2-NAT-fc-3-nov NSX 9495 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="datapathd" s2comp="unified-logs" level="INFO"]
{"event_type": "fw-flow-terminate-log", "event_trigger": ["fw-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "544ee558-fad0-e624-019f-e8e3e0472c91",
"node_uuid": "dabf16c9-ec11-833c-0c00-8c832f771729"}, "flow": {"start": "2021-11-08T08:30:57.000Z", "end": "2021-11-08T08:30:59.000Z",
"ip_ver": "ipv4", "flow_id": "0x4001006c04000000", "src_ip": "1.1.1.10", "src_port": 43600, "dest_ip": "13.226.234.18", 
"dest_port": 80, "proto": "TCP", "tcp_flags": "FREW", "bytes_toserver": 54968, "bytes_toclient": 444, 
"pkts_toserver": 444, "pkts_toclient": 7, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 1004, "direction": "",
"rule_tag": ""}, "l7profile": {"entry_id": "e9580107-2749-471c-be82-715d530bf4d4", "action": "PASS"},
"http": {"http_method": "", "hostname": "", "url": "espn.com/", "scheme": "", "http_user_agent": "", "status": "",
"site_category": ""SPORTS"", "site_reputation": "TRUSTWORTHY"}, "app_id": {"app": ""APP_HTTP", "APP_ESPN""}}