NSX 惡意程式碼防護 功能在 NSX Edge、服務虛擬機器 (位於 ESXi 主機上) 和 NSX Application Platform 上執行。在 NSX Edge 和服務虛擬機器上產生的產品記錄符合 RFC 5424 記錄訊息標準。僅在 ESXi 主機上才支援 NSX 惡意程式碼防護。
記錄訊息
在 NSX 應用裝置上,Syslog 訊息符合 RFC 5424 標準。其他產品記錄將寫入 /var/log 目錄中。
- 在 NSX Edge 上,已擷取檔案的惡意程式碼分析記錄訊息由作用中第 1 層閘道上的閘道惡意程式碼防護服務提供。
- 在 ESXi 主機上,有關在主機上執行的工作負載虛擬機器上已下載檔案的惡意程式碼分析記錄訊息由 ESXi 主機上的惡意程式碼防護服務虛擬機器提供。
- 對於由閘道惡意程式碼防護服務和分散式惡意程式碼防護服務擷取的檔案,惡意程式碼分析記錄訊息由 NSX Application Platform 上執行的 Security Analyzer 微服務提供。
此外,還支援遠端記錄。若要使用 NSX 惡意程式碼防護功能記錄,您可以設定 NSX Edge 和 NSX Application Platform,使其將記錄傳送或重新導向至遠端記錄伺服器。
在 NSX Edge 上設定遠端記錄
您必須在每個 NSX Edge 節點上個別設定遠端記錄。若要使用 NSX CLI 在 NSX Edge 節點上設定遠端記錄伺服器,請參閱設定遠端記錄。
若要使用 NSX Manager UI 在 NSX Edge 節點上設定遠端記錄伺服器,請參閱為 NSX 節點新增 Syslog 伺服器。
在 NSX Application Platform 上設定遠端記錄
若要將 NSX Application Platform 記錄訊息傳送至外部記錄伺服器,您必須執行 REST API。
如需有關此 REST API 以及範例要求本文、回應和程式碼範例的相關資訊,請參閱 VMware 開發人員說明文件入口網站。
在 NSX 惡意程式碼防護 服務虛擬機器上設定遠端記錄
此功能目前不受支援。但是,做為因應措施,您可以透過使用 SSH 連線登入至 NSX 惡意程式碼防護服務虛擬機器 (SVM) 來從每個 SVM 中複製 Syslog 檔案。
對 SVM 的 admin 使用者的 SSH 存取是基於金鑰 (公開/私密金鑰配對)。在 ESXi 主機叢集上部署服務時需要公開金鑰,而當您想要啟動與 SVM 的 SSH 工作階段時,則需要私密金鑰。
如需詳細資訊,請參閱登入 NSX 惡意程式碼防護服務虛擬機器。
登入至 SVM 後,在該特定時間使用 sftp 或 scp 命令從 /var/log 目錄中複製 Syslog 檔案。如果此位置有多個 Syslog 檔案,則會壓縮並儲存在同一路徑中。
如需有關記錄的詳細資訊
請參閱記錄訊息和錯誤碼。
解譯 NSX 惡意程式碼防護 事件記錄
服務虛擬機器和 NSX Edge 上的 NSX 惡意程式碼防護事件的記錄訊息格式相同。但是,對於 NSX Application Platform 上的事件,記錄訊息格式會有所不同。
以下事件記錄訊息由 sa-events-processor
微服務產生,該微服務是在 NSX Application Platform 上執行的網繭。
範例:
{"log":"{\"log\":\"\\u001b[37m2022-06-01T01:42:58,725\\u001b[m \\u001b[32mINFO \\u001b[m[\\u001b[1;34mfileEventConsumer-1\\u001b[m] \\u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\\u001b[m: SECURITY [nsx@6876 comp=\\\"nsx-manager\\\" level=\\\"INFO\\\" subcomp=\\\"manager\\\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)\\n\",\"stream\":\"stdout\",\"time\":\"2022-06-01T01:42:58.725811209Z\"}","log_processed":{"log":"\u001b[37m2022-06-01T01:42:58,725\u001b[m \u001b[32mINFO \u001b[m[\u001b[1;34mfileEventConsumer-1\u001b[m] \u001b[1;33mc.v.n.s.e.k.EventsProcessorConsumerService\u001b[m: SECURITY [nsx@6876 comp=\"nsx-manager\" level=\"INFO\" subcomp=\"manager\"] Event number 2 received from topic: ams-file-seen-events partition: 0 and offset: 212640 is: FileInspectionEvent(id=0, sha256=29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d, sha1=549cb3f1c85c4ef7fb06dcd33d68cba073b260ec, md5=65b9b68668bb6860e3144866bf5dab85, fileName=drupdate.dll, fileType=PeExeFile, fileSize=287024, inspectionTime=1654047770305, clientPort=0, clientIp=null, clientFqdn=null, clientVmId=500cd1b6-96b6-4567-82f4-231a63dead81, serverPort=0, serverIp=null, serverFqdn=null, serverVmId=null, applicationProtocol=null, submittedBy=SYSTEM, isFoundByAsds=true, isBlocked=false, allowListed=false, verdict=BENIGN, score=0, analystUuid=null, submissionUuid=null, tnId=38c58796-9983-4a41-b9f2-dc309bd3458d, malwareClass=null, malwareFamily=null, errorCode=null, errorMessage=null, nodeType=1, gatewayId=, analysisStatus=COMPLETED, followupEvent=false, httpDomain=null, httpMethod=null, path=null, referer=null, userAgent=null, contentDispositionFileName=null, isFileUpload=false, startTime=1654047768828, endTime=1654047768844, ttl=1654220570304)","stream":"stdout","time":"2022-06-01T01:42:58.725811209Z"},"kubernetes":{"pod_name":"sa-events-processor-55bcfcc46d-4jftf","namespace_name":"nsxi-platform","pod_id":"305953f7-836b-4bbb-ba9e-00fdf68de4ae","host":"worker03","container_name":"sa-events-processor","docker_id":"93f81f278898e6ce3e14d9a37e0e10a502c46fe53c9ad61680aed48b94f7f8bf","container_hash":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor@sha256:b617f4bb9f3ea5767839e39490a78169f7f3d54826b89638e4a950e391405ae4","container_image":"projects.registry.vmware.com/nsx_application_platform/clustering/sa-events-processor:19067767"}}
在此範例事件記錄訊息中,可以看到,除了標準記錄屬性 (例如 date
(2022-06-01T00:42:58,326)、log level
(INFO)) 和可篩選屬性 (例如 module
(SECURITY)、container_name
(sa-events-processor)) 之外,其他屬性將以 JSON 樣式格式顯示。下表列出了這些其他屬性。
金鑰 | 範例值 |
---|---|
id |
0 |
sha256 |
29fbd4604acb1da497e8127cd688bf2614f565fc4d4c808989df41c4a6fb924d |
sha1 |
549cb3f1c85c4ef7fb06dcd33d68cba073b260ec |
md5 |
65b9b68668bb6860e3144866bf5dab85 |
fileName |
drupdate.dll |
fileType |
PeExeFile |
fileSize |
287024 |
inspectionTime |
1654047770305 |
clientPort |
0 |
clientIP |
null |
clientFqdn |
null |
clientVmId |
500500cd1b6-96b6-4567-82f4-231a63dead81 |
serverPort |
0 |
serverIp |
null |
serverFqdn |
null |
serverVmId |
null |
applicationProtocol |
null |
submittedBy |
SYSTEM |
isFoundByAsds |
true |
isBlocked |
false |
allowListed |
false |
verdict |
BENIGN |
score |
0 |
analystUuid |
null |
submissionUuid | null |
tnId | 3838c58796-9983-4a41-b9f2-dc309bd3458d |
malwareClass |
null |
malwareFamily |
null |
errorCode |
null |
errorMessage |
null |
nodeType |
1 |
gatewayId |
|
analysisStatus |
COMPLETED |
followupEvent |
false |
httpDomain |
null |
httpMethod |
null |
path |
null |
referer |
null |
userAgent |
null |
contentDispositionFileName |
null |
isFileUploaded |
false |
startTime |
1654047768828 |
endTime |
1654047768844 |
ttl |
1654220570304 |
對 Syslog 問題進行疑難排解
如果您設定的遠端記錄伺服器無法接收記錄訊息,請參閱對 Syslog 問題進行疑難排解。
收集支援服務包
- 若要收集管理節點、NSX Edge 和主機的支援服務包,請參閱收集支援服務包。
- 若要收集 NSX Application Platform 的支援服務包,請參閱《部署和管理 VMware NSX Application Platform》 說明文件 (網址:https://docs.vmware.com/tw/VMware-NSX/index.html)。