vRealize Log Insight와 IDFW(NSX Identity Firewall) 간의 통합을 구성한 후 GlobalProtect 또는 ClearPass와 같은 미리 정의된 타사 ID 제공자를 구성에 추가합니다. 사용자 지정 ID 제공자를 추가할 수도 있습니다.

사전 요구 사항

  • 슈퍼 관리자 또는 관련 사용 권한이 있는 역할에 연결된 사용자로 vRealize Log Insight 웹 사용자 인터페이스에 로그인했는지 확인합니다. 자세한 내용은 역할 생성 및 수정의 내용을 참조하십시오. 웹 사용자 인터페이스의 URL 형식은 https://log-insight-host이며 여기서 log-insight-hostvRealize Log Insight 가상 장치의 IP 주소 또는 호스트 이름입니다.
  • vRealize Log Insight에 IDFW 통합 구성이 있는지 확인합니다.

프로시저

  1. 기본 메뉴를 확장하고 통합 > NSX ID 방화벽으로 이동합니다.
  2. [제공자]에서 새 제공자를 클릭합니다.
  3. 다음 정보를 입력합니다.
    옵션 설명
    이름 ID 제공자의 고유한 이름입니다.
    유형

    ID 제공자 유형입니다. GlobalProtect 또는 ClearPass와 같은 미리 정의된 제공자 또는 사용자 지정 제공자를 선택할 수 있습니다.

    미리 정의된 제공자를 선택하는 경우 사용자 이름, IP 주소, 도메인이벤트 유형에 관한 정규식 패턴이 제공자를 기준으로 채워집니다. 이러한 값은 수정할 수 있습니다.

    사용자 지정 제공자를 선택하는 경우 사용자 이름, IP 주소도메인에 관한 정규식 패턴을 입력해야 합니다.

    사용자 이름 제공자의 로그에서 사용자 이름을 식별하는 정규식 패턴입니다.
    IP 주소 제공자의 로그에서 IP 주소를 식별하는 정규식 패턴입니다.
    도메인 제공자의 로그에서 도메인을 식별하는 정규식 패턴입니다.
    이벤트 유형

    제공자의 로그에서 이벤트 유형을 식별하는 정규식 패턴입니다.

    사용자 지정 제공자에 관한 이벤트 유형은 로그인이며 필수는 아닙니다. 다른 값이 필요한 경우 이벤트 유형을 식별하는 정규식 패턴을 입력합니다.

    소스

    하나 이상의 소스 IP 주소 또는 FQDN입니다. 쉼표를 사용하여 여러 항목을 구분할 수 있습니다.

    vRealize Log Insight는 최적의 성능 및 보안을 위해 제공자에 대해 입력한 소스의 로그만 구문 분석합니다.
    • 최적의 성능을 보장하기 위해 vRealize Log Insight는 선택한 소스의 로그에만 정규식 패턴을 적용합니다.
    • 보안을 보장하기 위해 vRealize Log Insight는 알려진 소스의 유효한 데이터만 NSX Manager로 전송합니다.
    참고:
    • syslog를 통해 로그를 전송하는 사용자 지정 제공자의 경우 syslog 헤더가 아닌 필드의 정규식 패턴이 메시지에 적용됩니다.
    • 정규식 패턴은 대/소문자를 구분합니다.
    • 정규식 필드 정의의 경우 Java 기반 정규식을 사용해야 합니다.
    • vRealize Log Insight 인스턴스에서 로그를 전달하면 제공자 구성에 사용되는 소스가 변경될 수 있습니다. 대신 ID 제공자에서 vRealize Log Insight로 직접 로그를 전송합니다.
    • 제공자 소스가 NSX IDFW 통합 구성의 범위 내에서 고유한지 확인합니다.
    • 미리 정의된 제공자는 특정 버전의 ID 제공자에 대해 구성되며, 이러한 버전은 vRealize Log Insight 사용자 인터페이스에서 사용할 수 있습니다. 다른 버전에서는 미리 채워진 정규식 패턴이 정확하지 않을 수 있습니다.
  4. 저장을 클릭합니다.

결과

vRealize Log Insight는 ID 제공자의 인증 로그를 구문 분석하고 사용자 ID-IP 매핑 정보를 추출한 후 데이터를 NSX Manager에 전송합니다. IDFW는 이 데이터를 기준으로 ID 기반 방화벽 규칙을 정의하고 액세스 제어를 위해 사용자에게 규칙을 적용합니다.

예: GlobalProtect 및 ClearPass 로그에 관한 정규식 구문 분석

  • GlobalProtect 제공자의 다음 로그 샘플을 고려하십시오.

    Apr 8 14:35:19 PA-500-GW-1-EAT1 1,2021/04/08 14:35:19,009401010000,USERID,login,2049,2021/04/08 14:35:19,vsys1,10.20.30.40,vmware\john,UID-SJC31,0,1,10800,0,0,agent,,79021111,0x8000000000000000,0,0,0,0,,PA-500-GW-1-EAT1,1,,2021/04/08 14:35:28,1,0x80000000,vmware\john

    다음 표에서는 정규식 패턴과 vRealize Log InsightNSX Manager에 전송하는 로그 샘플 값 간의 매핑을 보여 줍니다.

    옵션 정규식 패턴 로그 값
    사용자 이름 \\(\w+)\, john
    IP 주소 \,(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})\, 10.20.30.40
    도메인 \,(\w+)\\ vmware
    이벤트 유형 USERID\,(\w+)\, login
  • ClearPass 제공자의 다음 로그 샘플을 고려하십시오.

    2021-08-19 13:47:46,797 10.10.100.10 Insight Logs 10000111 1 0 Auth.Username=smith,Auth.Service=SOF6 vrealize SSID EAP-TLS Service,Auth.NAS-IP-Address=10.02.20.02,Auth.Host-MAC-Address=111aaaaab10b,Auth.Protocol=RADIUS,Auth.Login-Status=9002,Auth.Enforcement-Profiles=[Deny Access Profile]

    다음 표에서는 정규식 패턴과 vRealize Log InsightNSX Manager에 전송하는 로그 샘플 값 간의 매핑을 보여 줍니다.

    옵션 정규식 패턴 로그 값
    사용자 이름 Username=(\w+) smith
    IP 주소 Address=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}) 10.02.20.02
    도메인 SOF6\s+(\w+) vrealize
    이벤트 유형 Auth.(\w+)-Status= Login