NSX 맬웨어 차단 기능은 NSX Edge, 서비스 가상 시스템(ESXi 호스트) 및 NSX Application Platform에서 실행됩니다. NSX Edge 및 서비스 가상 시스템에서 생성된 제품 로그는 RFC 5424 로그 메시지 표준을 준수합니다.

로그 메시지

NSX 장치에서 syslog 메시지는 RFC 5424 표준을 준수합니다. 추가적인 제품 로그는 /var/log 디렉토리에 기록됩니다.

  • NSX Edge에서 추출된 파일에 대한 맬웨어 분석 로그 메시지는 활성 Tier-1 게이트웨이의 게이트웨이 맬웨어 차단 서비스에서 제공됩니다.
  • ESXi 호스트의 경우 호스트에서 실행 중인 워크로드 VM에 다운로드된 파일에 대한 맬웨어 분석 로그 메시지는 ESXi 호스트의 맬웨어 차단 서비스 VM에서 제공됩니다.
  • 게이트웨이 맬웨어 차단 서비스와 분산 맬웨어 차단 서비스 모두에서 추출된 파일의 경우 맬웨어 분석 로그 메시지는 NSX Application Platform에서 실행 중인 Security Analyzer 마이크로 서비스에서 제공됩니다.

원격 로깅도 지원됩니다. NSX 맬웨어 차단 기능 로그를 사용하려면 원격 로그 서버로 로그 메시지를 보내거나 리디렉션하도록 NSX Edge, NSX Application PlatformNSX 맬웨어 차단 서비스 가상 시스템을 구성할 수 있습니다.

NSX Edge에 원격 로깅

NSX Edge 노드에서 개별적으로 원격 로깅을 구성해야 합니다. NSX CLI를 사용하여 NSX Edge 노드에서 원격 로그인 서버를 구성하려면 원격 로깅 구성 항목을 참조하십시오.

NSX Manager UI를 사용하여 NSX Edge 노드에서 원격 로그인 서버를 구성하려면 NSX 노드에 대한 Syslog 서버 추가 항목을 참조하십시오.

NSX Application Platform에 원격 로깅

NSX Application Platform 로그 메시지를 외부 로그 서버로 리디렉션하려면 REST API를 실행해야 합니다.

샘플 요청 본문, 응답 및 코드 샘플과 함께 REST API에 대한 자세한 내용은 VMware 개발자 설명서 포털을 참조하십시오.

NSX 맬웨어 차단 서비스 가상 시스템에 원격 로깅

이 기능은 NSX 4.1.2부터 지원됩니다.

NSX 4.1.2 이상

NSX 맬웨어 차단 SVM(서비스 가상 시스템) 로그 메시지를 외부 로그 서버로 리디렉션하려면 SVM에 admin 사용자로 로그인하고 SVM에서 NSX CLI 명령을 실행할 수 있습니다. 자세한 내용은 NSX 맬웨어 차단 서비스 가상 시스템에서 원격 로깅 구성 항목을 참조하십시오.

NSX 4.1.1 이하

NSX 맬웨어 차단 SVM의 원격 로깅 구성은 지원되지 않습니다. 그러나 SSH 연결을 통해 SVM에 로그온하여 각 NSX 맬웨어 차단 SVM에서 syslog 파일을 복사할 수 있습니다.

SVM의 admin 사용자에 대한 SSH 액세스는 키를 기준으로 합니다(공용-개인 키 쌍). 공용 키는 ESXi 호스트 클러스터에 서비스를 배포할 때 필요하고 SVM에 대한 SSH 세션을 시작하려는 경우에는 개인 키가 필요합니다.

자세한 내용은 NSX 맬웨어 차단 서비스 가상 시스템에 로그인 항목을 참조하십시오.

SVM에 로그인한 후 sftp 또는 scp 명령을 사용하여 특정 시간에 /var/log 디렉토리에서 syslog 파일을 복사합니다. 이 위치에서 여러 syslog 파일을 사용할 수 있는 경우 동일한 경로에 압축되고 저장됩니다.

로깅에 대한 추가 정보

로그 메시지 및 오류 코드 항목을 참조하십시오.

NSX 맬웨어 차단 이벤트 로그 메시지 해석

서비스 가상 시스템 및 NSX EdgeNSX 맬웨어 차단 이벤트에 대한 로그 메시지 형식은 동일합니다. 그러나 NSX Application Platform 이벤트의 경우 로그 메시지의 형식이 다릅니다.

다음 이벤트 로그 메시지는 NSX Application Platform에서 실행되는 포드인 sa-events-processor 마이크로 서비스에 의해 생성되었습니다.

예:

{"log":"{\"log\":\"\\u001b[37m2022-06-01T01:42:58,725\\u001b[m \\u001b[32mINFO \\u001b[m[\\u001b[1;34mfileEventConsumer-1\\u001b[m] \\u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\\u001b[m: SECURITY [nsx@6876 comp=\\\"nsx-manager\\\" level=\\\"INFO\\\" subcomp=\\\"manager\\\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)\\n\",\"stream\":\"stdout\",\"time\":\"2022-06-01T01:42:58.725811209Z\"}","log_processed":{"log":"\u001b[37m2022-06-01T01:42:58,725\u001b[m \u001b[32mINFO \u001b[m[\u001b[1;34mfileEventConsumer-1\u001b[m] \u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\u001b[m: SECURITY [nsx@6876 comp=\"nsx-manager\" level=\"INFO\" subcomp=\"manager\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)","stream":"stdout","time":"2022-06-01T01:42:58.725811209Z"},"kubernetes":{"pod_name":"sa-events-processor-55bcfcc46d-4jftf","namespace_name":"nsxi-platform","pod_id":"305953f7-836b-4bbb-ba9e-00fdf68de4ae","host":"worker03","container_name":"sa-events-processor","docker_id":"93f81f278898e6ce3e14d9a37e0e10a502c46fe53c9ad61680aed48b94f7f8bf","container_hash":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor@sha256:b617f4bb9f3ea5767839e39490a78169f7f3d54826b89638e4a950e391405ae4","container_image":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor:19067767"}}
참고: 이 예제 이벤트 로그 메시지는 설명용으로만 제공됩니다. 형식 및 컨텐츠는 주요 NSX 버전 간에 변경될 수 있습니다.

이 샘플 이벤트 로그 메시지에서는 표준 로그 특성(예: date(2022-06-01T00:42:58,326), log level(INFO)) 및 필터링 가능한 특성(예: module(SECURITY), container_name(sa-events-processor)) 외의 추가 특성은 JSON 스타일 형식으로 제공됩니다. 다음 표에는 이러한 추가 특성이 나열되어 있습니다.

샘플 값

id

0

sha256

29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d

sha1

549cb3f1c85c4ef7fb06dcd33d68cba073b260ec

md5

65b9b68668bb6860e3144866bf5dab85

fileName

drupdate.dll

fileType

PeExeFile

fileSize

287024

inspectionTime

1654047770305

clientPort

0

clientIP

null

clientFqdn

null

clientVmId

500cd1b6-96b6-4567-82f4-231a63dead81

serverPort

0

serverIp

null

serverFqdn

null

serverVmId

null

applicationProtocol

null

submittedBy

SYSTEM

isFoundByAsds

true

isBlocked

false

allowListed

false

verdict

BENIGN

score

0

analyticsUuid

null
submissionUuid null
tnId 38c58796-9983-4a41-b9f2-dc309bd3458d

malwareClass

null

malwareFamily

null

errorCode

null

errorMessage

null

nodeType

1

gatewayId

analysisStatus

COMPLETED

followupEvent

false

httpDomain

null

httpMethod

null

path

null

referer

null

userAgent

null

contentDispositionFileName

null

isFileUploaded

false

startTime

1654047768828

endTime

1654047768844

ttl

1654220570304

Syslog 문제 해결

구성한 원격 로그 서버가 로그를 수신할 수 없는 경우 Syslog 문제 해결을 참조하십시오.

지원 번들 수집