NSX 멀웨어 방지 SVM(서비스 가상 시스템) 로그 메시지를 원격 로그 서버로 리디렉션하려면 NSX Distributed Malware Prevention 서비스에 대해 활성화된 vSphere 호스트 클러스터의 호스트에서 SVM에 로그인하고 NSX CLI 명령을 실행하여 원격 로깅을 구성할 수 있습니다.
NSX 멀웨어 방지 SVM에 대한 원격 로깅은 NSX 4.1.2부터 지원됩니다.
현재 NSX 멀웨어 방지 파일 분석 수명 주기 이벤트에 대한 로그 메시지만 원격 로그 서버로 리디렉션됩니다. 일반적으로 파일 분석은 NSX 멀웨어 방지 보안 정책으로 보호되는 워크로드 VM에서 파일을 다운로드할 때 시작됩니다. 다운로드한 파일은 다양한 구성 요소에 의해 처리되고 결과가 반환됩니다. 중요한 중간 구성 요소에서 제공하는 결과는 SVM의 syslog 파일에 기록됩니다.
- 파일을 가로챔
- 결과 캐시 적중
- 로컬(고정) 분석을 위해 파일이 전송됨
- 클라우드(동적) 분석을 위해 파일이 전송됨
- 결과를 획득함
- 정책이 적용됨
SVM 리소스 소비(예: CPU 사용량, 디스크 사용량 및 메모리 사용량)를 포함하는 SVM 상태 모니터링 이벤트에 대한 로그 메시지를 리디렉션하려는 경우 NSX Manager CLI에서 원격 로깅을 구성할 수 있습니다. 또는 NSX Manager UI의 경보 페이지에서 이러한 상태 이벤트를 모니터링할 수 있습니다. NSX 멀웨어 방지 상태 이벤트에 대한 자세한 내용은 NSX 이벤트 카탈로그를 참조하십시오.
- TCP
- UDP
- TLS(보안 원격 로깅)
TCP가 더 안정적이라는 이점이 있지만 UDP는 필요한 시스템 및 네트워크 오버헤드가 적다는 이점이 있습니다. TLS 프로토콜에는 추가적인 오버헤드가 있지만 SVM과 원격 로그 서버 간에 암호화된 트래픽을 제공합니다.
Aria Operations for Logs 프로토콜(LI 및 LI-TLS)은 SVM에서 원격 로깅을 구성하는 데 지원되지 않습니다.
사전 요구 사항
- VMware vCenter 관리자는 각 호스트에서 SVM에 대한 SSH 액세스를 활성화해야 합니다. 자세한 내용은 NSX 멀웨어 방지 서비스 가상 시스템에 로그인의 "사전 요구 사항" 섹션을 참조하십시오.
- set logging-server CLI 명령의 사용을 숙지하십시오. 자세한 내용은 "NSX 명령줄 인터페이스 참조" "맬웨어 차단 서비스 VM" 설명서를 참조하십시오.
- 원격 로그 서버를 구성하기 위한 TLS 프로토콜을 지정하려면 copy url <url> [file <filename>] CLI 명령을 사용하여 서버 인증서, 클라이언트 인증서 및 클라이언트 키를 각 NSX 멀웨어 방지 SVM의 /var/vmware/nsx/file-store에 복사합니다.
다음 예에서는 copy 명령이 SVM에서 실행됩니다. 따라서 기본적으로 소스 위치의 client-key.pem 파일이 SVM의 /var/vmware/nsx/file-store에 복사됩니다.
예:svm> copy url scp://[email protected]:/home/user/openssl/client-key.pem The authenticity of host '1.2.3.4 (1.2.3.4)' can't be established. ECDSA key fingerprint is SHA256:abcdabcdabcdabcdabcdabcdabcdabcdabcdabcd. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '1.2.3.4' (ECDSA) to the list of known hosts. [email protected]'s password: client-key.pem 100% 1704 8.0KB/s 00:00
- 원격 로그 서버에 대한 보안 연결을 구성하려면 서버가 CA 서명 인증서로 구성되어 있는지 확인합니다. 예를 들어, Aria Operations for Logs 서버 vrli.prome.local을 로그 서버로 사용하는 경우 클라이언트에서 다음 명령을 실행하여 로그 서버의 인증서 체인을 볼 수 있습니다.
root@caserver:~# echo -n | openssl s_client -connect vrli.prome.local:443 | sed -ne '/^Certificate chain/,/^---/p' depth=2 C = US, L = California, O = GS, CN = Orange Root Certification Authority verify error:num=19:self signed certificate in certificate chain Certificate chain 0 s:/C=US/ST=California/L=HTG/O=GSS/CN=vrli.prome.local i:/C=US/L=California/O=GS/CN=Green Intermediate Certification Authority 1 s:/C=US/L=California/O=GS/CN=Green Intermediate Certification Authority i:/C=US/L=California/O=GS/CN=Orange Root Certification Authority 2 s:/C=US/L=California/O=GS/CN=Orange Root Certification Authority i:/C=US/L=California/O=GS/CN=Orange Root Certification Authority --- DONE