Aria Operations for Logs를 사용하면 NSX 환경의 보안 흐름 로그를 볼 수 있습니다.
- TLS 검사
- 게이트웨이 IDPS
- URL 필터링
통합 보안 로그
모든 보안 수직 영역은 통합 보안 흐름 로그를 생성하고 노드의 단일 로그 파일에 통합 보안 로그 형식으로 저장합니다. 이 단일 로그는 Aria Operations for Logs에 대해 구성된 syslog 서버로 내보냅니다. 그런 다음, Aria Operations for Logs는 로그를 처리하여 추가 로그 관리, 분석을 제공하고 NSX 컨텐츠 팩을 사용하여 표시합니다.
Aria Operations for Logs에 로그 표시
NSX 컨텐츠 팩의 대시보드 'NSX - 통합 보안 흐름 로그'에는 보안 흐름 로그의 시각적 표현인 차트 위젯이 표시됩니다.
Aria Operations for Logs 컨텐츠 팩은 플러그인입니다. 여기에는 대시보드, 추출된 필드, 저장된 쿼리 및 특정 제품 또는 로그 집합과 관련된 경고가 포함됩니다.
NSX 컨텐츠 팩은 Aria Operations for Logs 마켓플레이스에서 사용할 수 있습니다.
Aria Operations for Logs 및 컨텐츠 팩 마켓플레이스에서 컨텐츠 팩을 설치하는 방법에 대한 자세한 내용은 Aria Operations for Logs 설명서에서 "컨텐츠 팩 마켓플레이스에서 컨텐츠 팩 설치" 장을 참조하십시오.
상위 N개 및 최근 X시간
대화형 분석 및 컨텐츠 팩을 사용하여 지난 X시간 동안의 상위 N개 정보에 대해 Aria Operations for Logs에서 이벤트를 쿼리할 수도 있습니다.
원격 로깅 서버
원격 로깅 서버에 로그를 보내려면 NSX 장치 및 하이퍼바이저가 각 노드에서 원격 로깅으로 별도로 구성되어야 합니다.
자세한 내용은 원격 로깅 구성을 참조하십시오.
원격 로그 서버에 로그가 수신되지 않을 경우 Syslog 문제 해결을 참조하십시오.
통합 보안 로그 형식
cat /var/log/syslog | grep 'unified-logs'
로그 메시지의 예:
2021-10-12T09:00:46.192Z nsxedge-18734920-1-mps29 NSX 22621 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="tls-proxy" s2comp="unified-logs" level="INFO"] {"event_type": "fw-flow-terminate-log", "event_trigger": ["fw-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "79427614-4a0d-2692-032c-eb4692f717a9", "node_uuid": "ec11a626-f425-3bc2-671d-a656500003b2"}, "flow": {"start": "2021-10-12T09:00:46.723Z", "end": "2021-10-12T09:00:46.773Z", "ip_ver": "ipv4", "flow_id": "0x1e0000704f000018", "src_ip": "192.168.100.160", "src_port": 25700, "dest_ip": "1.1.5.10", "dest_port": 443, "proto": "TCP", "tcp_flags": "", "bytes_toserver": 95, "bytes_toclient": 29873, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 1002, "direction": "", "rule_tag": ""}, "http": {"http_method": "", "hostname": "www.facebook.com", "url": "www.facebook.com/benign_pdf1.pdf", "scheme": "", "http_user_agent": "", "status": "", "site_category": ""SOCIAL_NETWORK"", "site_reputation": "Trustworthy"},"tls_inspection": {"action": "PASS", "rule_id": 1008, "domain": "www.facebook.com", "cert_status": "ok", "tls_version_toserver": "TLSv1.2", "cipher_to_server": "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "reason": "", "tls_rule_tag": "TLS External Rule"}, "idps": {"action": "PASS", "rule_id": 1007, "ids_profile_id": "00000000-0000-0000-0000-000000000000", "alert_event": ["SOCIAL_NETWORK"], "protocol_event": ["http"]}, "app_id": {"app": ""APP_HTTP", "APP_FACEBOOK", "APP_SSL""}
2021-11-11T04:07:37.489Z nsxedge-18866667-2-NAT-fc-3-nov NSX 27330 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="datapathd" s2comp="unified-logs" level="INFO"] {"event_type": "fw-flow-terminate-log", "event_trigger": ["ids-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "544ee558-fad0-e624-019f-e8e3e0472c91", "node_uuid": "dabf16c9-ec11-833c-0c00-8c832f771729"}, "flow": {"start": "2021-11-11T04:07:07.000Z", "end": "2021-11-11T04:07:37.000Z", "ip_ver": "ipv4", "flow_id": "0xd44d00306e0a0004", "src_ip": "1.1.1.10", "src_port": 35714, "dest_ip": "10.142.7.1", "dest_port": 53, "proto": "UDP", "tcp_flags": "FPW", "bytes_toserver": 297878, "bytes_toclient": 71, "pkts_toserver": 71, "pkts_toclient": 1, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 2025, "direction": "", "rule_tag": ""}, "l7profile": {"entry_id": "00000000-0000-0000-0000-000000000000", "action": "PASS"}, "http": {"http_method": "", "hostname": "", "url": "", "scheme": "", "http_user_agent": "", "status": "", "site_category": "", "site_reputation": "UNKNOWN"}, "idps": {"action": "IDP_DETECT", "rule_id": 2028, "ids_profile_id": "9872e27a-ead4-4c93-af5f-4df1ec0c73e1", "alert_event": [], "protocol_event": []}, "app_id": {"app": ""APP_DNS""}}
2021-11-08T08:30:59.208Z nsxedge-18866667-2-NAT-fc-3-nov NSX 9495 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="datapathd" s2comp="unified-logs" level="INFO"] {"event_type": "fw-flow-terminate-log", "event_trigger": ["fw-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "544ee558-fad0-e624-019f-e8e3e0472c91", "node_uuid": "dabf16c9-ec11-833c-0c00-8c832f771729"}, "flow": {"start": "2021-11-08T08:30:57.000Z", "end": "2021-11-08T08:30:59.000Z", "ip_ver": "ipv4", "flow_id": "0x4001006c04000000", "src_ip": "1.1.1.10", "src_port": 43600, "dest_ip": "13.226.234.18", "dest_port": 80, "proto": "TCP", "tcp_flags": "FREW", "bytes_toserver": 54968, "bytes_toclient": 444, "pkts_toserver": 444, "pkts_toclient": 7, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 1004, "direction": "", "rule_tag": ""}, "l7profile": {"entry_id": "e9580107-2749-471c-be82-715d530bf4d4", "action": "PASS"}, "http": {"http_method": "", "hostname": "", "url": "espn.com/", "scheme": "", "http_user_agent": "", "status": "", "site_category": ""SPORTS"", "site_reputation": "TRUSTWORTHY"}, "app_id": {"app": ""APP_HTTP", "APP_ESPN""}}