NSX 맬웨어 차단 SVM(서비스 가상 시스템) 로그 메시지를 원격 로그 서버로 리디렉션하려면 NSX Distributed Malware Prevention 서비스에 대해 활성화된 vSphere 호스트 클러스터의 호스트에서 SVM에 로그인하고 NSX CLI 명령을 실행하여 원격 로깅을 구성할 수 있습니다.

NSX 맬웨어 차단 SVM에 대한 원격 로깅은 NSX 4.1.2부터 지원됩니다.

현재 NSX 맬웨어 차단 파일 분석 수명 주기 이벤트에 대한 로그 메시지만 원격 로그 서버로 리디렉션됩니다. 일반적으로 파일 분석은 NSX 맬웨어 차단 보안 정책으로 보호되는 워크로드 VM에서 파일을 다운로드할 때 시작됩니다. 다운로드한 파일은 다양한 구성 요소에 의해 처리되고 결과가 반환됩니다. 중요한 중간 구성 요소에서 제공하는 결과는 SVM의 syslog 파일에 기록됩니다.

파일 분석 수명 주기 이벤트의 몇 가지 예는 다음과 같습니다.
  • 파일을 가로챔
  • 결과 캐시 적중
  • 로컬(고정) 분석을 위해 파일이 전송됨
  • 클라우드(동적) 분석을 위해 파일이 전송됨
  • 결과를 획득함
  • 정책이 적용됨

SVM 리소스 소비(예: CPU 사용량, 디스크 사용량 및 메모리 사용량)를 포함하는 SVM 상태 모니터링 이벤트에 대한 로그 메시지를 리디렉션하려는 경우 NSX Manager CLI에서 원격 로깅을 구성할 수 있습니다. 또는 NSX Manager UI의 경보 페이지에서 이러한 상태 이벤트를 모니터링할 수 있습니다. NSX 맬웨어 차단 상태 이벤트에 대한 자세한 내용은 NSX 이벤트 카탈로그를 참조하십시오.

다음 프로토콜은 SVM에서 원격 로깅을 구성하는 데 지원됩니다.
  • TCP
  • UDP
  • TLS(보안 원격 로깅)

TCP가 더 안정적이라는 이점이 있지만 UDP는 필요한 시스템 및 네트워크 오버헤드가 적다는 이점이 있습니다. TLS 프로토콜에는 추가적인 오버헤드가 있지만 SVM과 원격 로그 서버 간에 암호화된 트래픽을 제공합니다.

Aria Operations for Logs 프로토콜(LI 및 LI-TLS)은 SVM에서 원격 로깅을 구성하는 데 지원되지 않습니다.

사전 요구 사항

  • VMware vCenter 관리자는 각 호스트에서 SVM에 대한 SSH 액세스를 활성화해야 합니다. 자세한 내용은 NSX 맬웨어 차단 서비스 가상 시스템에 로그인의 "사전 요구 사항" 섹션을 참조하십시오.
  • set logging-server CLI 명령의 사용을 숙지하십시오. 자세한 내용은 "NSX 명령줄 인터페이스 참조" "맬웨어 차단 서비스 VM" 설명서를 참조하십시오.
  • 원격 로그 서버를 구성하기 위한 TLS 프로토콜을 지정하려면 copy url <url> [file <filename>] CLI 명령을 사용하여 서버 인증서, 클라이언트 인증서 및 클라이언트 키를 각 NSX 맬웨어 차단 SVM의 /var/vmware/nsx/file-store에 복사합니다.

    다음 예에서는 copy 명령이 SVM에서 실행됩니다. 따라서 기본적으로 소스 위치의 client-key.pem 파일이 SVM의 /var/vmware/nsx/file-store에 복사됩니다.

    예: 
    svm> copy url scp://[email protected]:/home/user/openssl/client-key.pem
The authenticity of host '1.2.3.4 (1.2.3.4)' can't be established.
ECDSA key fingerprint is SHA256:abcdabcdabcdabcdabcdabcdabcdabcdabcdabcd.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '1.2.3.4' (ECDSA) to the list of known hosts.
[email protected]'s password:
client-key.pem                                100% 1704     8.0KB/s   00:00
  • 원격 로그 서버에 대한 보안 연결을 구성하려면 서버가 CA 서명 인증서로 구성되어 있는지 확인합니다. 예를 들어, Aria Operations for Logs 서버 vrli.prome.local을 로그 서버로 사용하는 경우 클라이언트에서 다음 명령을 실행하여 로그 서버의 인증서 체인을 볼 수 있습니다.
    root@caserver:~# echo -n | openssl s_client -connect vrli.prome.local:443  | sed -ne '/^Certificate chain/,/^---/p'
depth=2 C = US, L = California, O = GS, CN = Orange Root Certification Authority
verify error:num=19:self signed certificate in certificate chain
Certificate chain
 0 s:/C=US/ST=California/L=HTG/O=GSS/CN=vrli.prome.local
   i:/C=US/L=California/O=GS/CN=Green Intermediate Certification Authority
 1 s:/C=US/L=California/O=GS/CN=Green Intermediate Certification Authority
   i:/C=US/L=California/O=GS/CN=Orange Root Certification Authority
 2 s:/C=US/L=California/O=GS/CN=Orange Root Certification Authority
   i:/C=US/L=California/O=GS/CN=Orange Root Certification Authority
---
DONE

프로시저

  1. NSX 맬웨어 차단 SVM에 admin 사용자로 로그인합니다.
    자세한 내용은 NSX 맬웨어 차단 서비스 가상 시스템에 로그인 항목을 참조하십시오.
  2. 다음 명령을 실행하여 SVM에서 원격 로그 서버를 구성합니다. 
    svm> set logging-server <hostname-or-ip-address[:port]> proto <proto> level <level> messageid SECURITY [facility <facility>] [serverca <filename>] [clientca <filename>] [certificate <filename>] [key <filename>] [structured-data <structured-data>]

    이 명령은 SVM 로그 메시지를 지정된 포트에 있는 서버의 지정된 IP 주소 또는 FQDN으로 리디렉션합니다. 포트가 언급되지 않은 경우 지정된 프로토콜에 대한 기본 포트가 사용됩니다. 예: TCP 및 UDP의 경우 포트 514, TLS의 경우 포트 6514

    messageid 매개 변수가 미리 구성됩니다. 현재 보안 메시지 ID가 있는 로그만 지원됩니다.

    이 명령의 로그 메시지 필터링 및 기능 지정에 대한 자세한 내용은 "NSX 명령줄 인터페이스 참조" 에서 "맬웨어 차단 서비스 VM" 설명서를 참조하십시오.

    예 1: UDP 프로토콜을 사용하여 SVM 로그 메시지를 10.1.1.1 로그 서버로 리디렉션하려면 다음 명령을 실행합니다.

    svm> set logging-server 10.1.1.1 proto udp level info messageid SECURITY
    예 2: TLS 프로토콜을 사용하여 SVM 로그 메시지를 원격 로그 서버로 안전하게 리디렉션하려면 다음 명령을 실행합니다. 
    svm> set logging-server <hostname-or-ip-address[:port]> proto tls level info messageid SECURITY serverca <ca-cert.pem> clientca <ca-cert.pem> certificate <client-cert.pem>  key <client-key.pem>

    이 설명서의 "사전 요구 사항" 섹션에 설명된 것처럼 서버 인증서, 클라이언트 인증서 및 클라이언트 키를 각 NSX 맬웨어 차단 SVM의 /var/vmware/nsx/file-store에 복사해야 합니다.

    다음에 유의하십시오.
    • serverCA 매개 변수의 경우, 전체 체인이 아닌 루트 인증서만 필요합니다.
    • clientCAserverCA와 다른 경우 루트 인증서만 필요합니다.
    • 인증서에는 NSX 맬웨어 차단 SVM의 전체 체인이 있어야 합니다. 인증서는 NDcPP 규격 - EKU, BASIC 및 CDP여야 합니다(CDP 검사를 무시할 수 있음).
    /var/log/syslog의 성공적인 로깅 예: 
    2023-06-26T18:22:21.504Z NSX 3671 - [nsx@6876 comp="nsx-mps-svm" subcomp="cli" username="admin" level="INFO"] {10000} CMD: set logging-server 1.2.3.4 proto tls level info serverca ca-cert.pem clientca ca-cert.pem certificate client-cert.pem key client-key.pem
 
2023-06-26T18:22:24.677Z rsyslogd - - -  nsd_ossl: TLS Connection initiated with remote syslog server. [v8.2304.0]
2023-06-26T18:22:26.894Z NSX 932 - [nsx@6876 comp="nsx-mps-svm" subcomp="node-mgmt" username="admin" level="INFO"] Connection to 1.2.3.4:6514 is established
 
2023-06-26T18:22:28.116Z NSX 3671 - [nsx@6876 comp="nsx-mps-svm" subcomp="cli" username="admin" level="INFO" audit="true"] CMD: set logging-server 1.2.3.4 proto tls level info serverca ca-cert.pem clientca ca-cert.pem certificate client-cert.pem key client-key.pem (duration: 6.611s), Operation status: CMD_EXECUTED
    참고: syslog 내보내기 구성을 완료한 후에는 잠재적인 보안 취약성을 방지하기 위해 /var/vmware/nsx/file-store에서 모든 인증서와 키를 삭제해야 합니다.

    예 3: NSX 맬웨어 차단 상태 모니터링 이벤트에 대한 로그 메시지를 리디렉션하려면 NSX Manager CLI에서 다음 명령을 실행합니다.

    nsx> set logging-server 10.1.1.1 proto udp level info messageid MONITORING structured-data eventFeatureName="malware_prevention_health"

    이 명령에서 messageid 매개 변수가 [모니터링]으로 설정되어 있는지 확인합니다.

  3. SVM에 대한 로깅 구성을 보려면 get logging-servers 명령을 실행합니다.

    예: 로그 메시지를 원격 로그 서버로 안전하게 리디렉션하려면

    svm> get logging-servers
Tue Jun 27 2023 UTC 05:18:57.098
1.2.3.4:514 proto udp level info messageid SECURITY exporter_name 694ab1dc-0250-4cae-a7a4-3dde205225a3
  4. (선택 사항) 모든 로깅 서버에 대한 IP 테이블 규칙을 확인하려면 verify logging-servers 명령을 실행합니다.
  5. (선택 사항) 특정 로깅 서버 구성을 삭제하려면 다음 명령을 실행합니다.
    예: 
    svm> del logging-server 1.2.3.4:514 proto udp level info messageid SECURITY