設定 VMware Aria Operations for Logs 與 NSX Identity Firewall (IDFW) 的整合後,將預先定義的第三方身分識別提供者 (例如 GlobalProtect 或 ClearPass) 新增至組態。您也可以新增自訂身分識別提供者。
必要條件
- 確認您是以超級管理員使用者身分,或是以其相關聯角色具有相關權限的使用者身分,來登入 VMware Aria Operations for Logs Web 使用者介面。如需詳細資訊,請參閱建立和修改角色。Web 使用者介面的 URL 格式為 https://operations-for-logs-host,其中,operations-for-logs-host 是 VMware Aria Operations for Logs 虛擬應用裝置的 IP 位址或主機名稱。
- 確認您在 VMware Aria Operations for Logs 中有 IDFW 整合組態。
程序
結果
VMware Aria Operations for Logs 會剖析身分識別提供者的驗證記錄、擷取使用者識別碼對 IP 對應資訊,以及將資料傳送至 NSX Manager。IDFW 根據此資料來定義基於身分的防火牆規則,並將規則套用至使用者以控制存取。
範例: GlobalProtect 和 ClearPass 記錄的 Regex 剖析
以下是來自 GlobalProtect 提供者的記錄範例:
Apr 8 14:35:19 PA-500-GW-1-EAT1 1,2021/04/08 14:35:19,009401010000,USERID,login,2049,2021/04/08 14:35:19,vsys1,10.20.30.40,vmware\john,UID-SJC31,0,1,10800,0,0,agent,,79021111,0x8000000000000000,0,0,0,0,,PA-500-GW-1-EAT1,1,,2021/04/08 14:35:28,1,0x80000000,vmware\john
下表顯示 Regex 模式與記錄範例 (由 VMware Aria Operations for Logs 傳送至 NSX Manager) 的值之間的對應。
選項 Regex 模式 記錄值 使用者名稱 \\(\w+)\, john
IP 位址 \,(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})\, 10.20.30.40
網域 \,(\w+)\\ vmware
事件類型 USERID\,(\w+)\, login
以下是來自 ClearPass 提供者的記錄範例:
2021-08-19 13:47:46,797 10.10.100.10 Insight Logs 10000111 1 0 Auth.Username=smith,Auth.Service=SOF6 vrealize SSID EAP-TLS Service,Auth.NAS-IP-Address=10.02.20.02,Auth.Host-MAC-Address=111aaaaab10b,Auth.Protocol=RADIUS,Auth.Login-Status=9002,Auth.Enforcement-Profiles=[Deny Access Profile]
下表顯示 Regex 模式與記錄範例 (由 VMware Aria Operations for Logs 傳送至 NSX Manager) 的值之間的對應。
選項 Regex 模式 記錄值 使用者名稱 Username=(\w+) smith
IP 位址 Address=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}) 10.02.20.02
網域 SOF6\s+(\w+) vrealize
事件類型 Auth.(\w+)-Status= Login