NSX 惡意程式碼防護 功能在 NSX Edge、服務虛擬機器 (位於 ESXi 主機上) 和 NSX Application Platform 上執行。在 NSX Edge 和服務虛擬機器上產生的產品記錄符合 RFC 5424 記錄訊息標準。僅在 ESXi 主機上才支援 NSX 惡意程式碼防護

記錄訊息

NSX 應用裝置上,Syslog 訊息符合 RFC 5424 標準。其他產品記錄將寫入 /var/log 目錄中。

  • NSX Edge 上,已擷取檔案的惡意程式碼分析記錄訊息由作用中第 1 層閘道上的閘道惡意程式碼防護服務提供。
  • ESXi 主機上,有關在主機上執行的工作負載虛擬機器上已下載檔案的惡意程式碼分析記錄訊息由 ESXi 主機上的惡意程式碼防護服務虛擬機器提供。
  • 對於由閘道惡意程式碼防護服務和分散式惡意程式碼防護服務擷取的檔案,惡意程式碼分析記錄訊息由 NSX Application Platform 上執行的 Security Analyzer 微服務提供。

此外,還支援遠端記錄。若要使用 NSX 惡意程式碼防護功能記錄,您可以設定 NSX Edge 和 NSX Application Platform,使其將記錄傳送或重新導向至遠端記錄伺服器。

NSX Edge 上設定遠端記錄

您必須在每個 NSX Edge 節點上個別設定遠端記錄。若要使用 NSX CLI 在 NSX Edge 節點上設定遠端記錄伺服器,請參閱設定遠端記錄

若要使用 NSX Manager UI 在 NSX Edge 節點上設定遠端記錄伺服器,請參閱為 NSX 節點新增 Syslog 伺服器

NSX Application Platform 上設定遠端記錄

若要將 NSX Application Platform 記錄訊息傳送至外部記錄伺服器,您必須執行 REST API。

如需有關此 REST API 以及範例要求本文、回應和程式碼範例的相關資訊,請參閱 VMware 開發人員說明文件入口網站。

NSX 惡意程式碼防護 服務虛擬機器上設定遠端記錄

此功能目前不受支援。但是,做為因應措施,您可以透過使用 SSH 連線登入至 NSX 惡意程式碼防護服務虛擬機器 (SVM) 來從每個 SVM 中複製 Syslog 檔案。

對 SVM 的 admin 使用者的 SSH 存取是基於金鑰 (公開/私密金鑰配對)。在 ESXi 主機叢集上部署服務時需要公開金鑰,而當您想要啟動與 SVM 的 SSH 工作階段時,則需要私密金鑰。

如需詳細資訊,請參閱登入 NSX 惡意程式碼防護服務虛擬機器

登入至 SVM 後,在該特定時間使用 sftpscp 命令從 /var/log 目錄中複製 Syslog 檔案。如果此位置有多個 Syslog 檔案,則會壓縮並儲存在同一路徑中。

如需有關記錄的詳細資訊

請參閱記錄訊息和錯誤碼

解譯 NSX 惡意程式碼防護 事件記錄

服務虛擬機器和 NSX Edge 上的 NSX 惡意程式碼防護事件的記錄訊息格式相同。但是,對於 NSX Application Platform 上的事件,記錄訊息格式會有所不同。

以下事件記錄訊息由 sa-events-processor 微服務產生,該微服務是在 NSX Application Platform 上執行的網繭。

範例:

{"log":"{\"log\":\"\\u001b[37m2022-06-01T01:42:58,725\\u001b[m \\u001b[32mINFO \\u001b[m[\\u001b[1;34mfileEventConsumer-1\\u001b[m] \\u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\\u001b[m: SECURITY [nsx@6876 comp=\\\"nsx-manager\\\" level=\\\"INFO\\\" subcomp=\\\"manager\\\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)\\n\",\"stream\":\"stdout\",\"time\":\"2022-06-01T01:42:58.725811209Z\"}","log_processed":{"log":"\u001b[37m2022-06-01T01:42:58,725\u001b[m \u001b[32mINFO \u001b[m[\u001b[1;34mfileEventConsumer-1\u001b[m] \u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\u001b[m: SECURITY [nsx@6876 comp=\"nsx-manager\" level=\"INFO\" subcomp=\"manager\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)","stream":"stdout","time":"2022-06-01T01:42:58.725811209Z"},"kubernetes":{"pod_name":"sa-events-processor-55bcfcc46d-4jftf","namespace_name":"nsxi-platform","pod_id":"305953f7-836b-4bbb-ba9e-00fdf68de4ae","host":"worker03","container_name":"sa-events-processor","docker_id":"93f81f278898e6ce3e14d9a37e0e10a502c46fe53c9ad61680aed48b94f7f8bf","container_hash":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor@sha256:b617f4bb9f3ea5767839e39490a78169f7f3d54826b89638e4a950e391405ae4","container_image":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor:19067767"}}
備註: 此範例事件記錄訊息僅用於說明目的。格式和內容可能會隨主要 NSX 版本的不同而變更。

在此範例事件記錄訊息中,可以看到,除了標準記錄屬性 (例如 date (2022-06-01T00:42:58,326)、log level (INFO)) 和可篩選屬性 (例如 module (SECURITY)、container_name (sa-events-processor)) 之外,其他屬性將以 JSON 樣式格式顯示。下表列出了這些其他屬性。

金鑰 範例值

id

0

sha256

29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d

sha1

549cb3f1c85c4ef7fb06dcd33d68cba073b260ec

md5

65b9b68668bb6860e3144866bf5dab85

fileName

drupdate.dll

fileType

PeExeFile

fileSize

287024

inspectionTime

1654047770305

clientPort

0

clientIP

null

clientFqdn

null

clientVmId

500500cd1b6-96b6-4567-82f4-231a63dead81

serverPort

0

serverIp

null

serverFqdn

null

serverVmId

null

applicationProtocol

null

submittedBy

SYSTEM

isFoundByAsds

true

isBlocked

false

allowListed

false

verdict

BENIGN

score

0

analystUuid

null
submissionUuid null
tnId 3838c58796-9983-4a41-b9f2-dc309bd3458d

malwareClass

null

malwareFamily

null

errorCode

null

errorMessage

null

nodeType

1

gatewayId

analysisStatus

COMPLETED

followupEvent

false

httpDomain

null

httpMethod

null

path

null

referer

null

userAgent

null

contentDispositionFileName

null

isFileUploaded

false

startTime

1654047768828

endTime

1654047768844

ttl

1654220570304

對 Syslog 問題進行疑難排解

如果您設定的遠端記錄伺服器無法接收記錄訊息,請參閱對 Syslog 問題進行疑難排解

收集支援服務包