若要將 NSX 惡意軟體防護服務虛擬機器 (SVM) 記錄訊息重新導向至遠端記錄伺服器,您可以在為 NSX 分散式惡意程式碼防護服務啟用的 vSphere 主機叢集中的主機上登入 SVM,並執行 NSX CLI 命令來設定遠端記錄。

NSX 4.1.2 開始,NSX 惡意軟體防護 SVM 上支援遠端記錄。

目前,只會將 NSX 惡意軟體防護檔案分析生命週期事件的記錄訊息重新導向至遠端記錄伺服器。一般而言,將檔案下載到受 NSX 惡意軟體防護安全性原則保護的工作負載虛擬機器上後,就會啟動檔案分析。下載的檔案由各種元件處理,並傳回判定結果。重要中繼元件提供的結果會記錄在 SVM 上的 Syslog 檔案中。

檔案分析生命週期事件的一些範例如下所示:
  • 已攔截檔案
  • 判定快取叫用
  • 已傳送檔案進行本機 (靜態) 分析
  • 已傳送檔案進行雲端 (動態) 分析
  • 已取得判定
  • 已強制執行原則

如果要重新導向 SVM 健全狀況監控事件 (包括 SVM 資源耗用量,例如:CPU 使用率、磁碟使用量和記憶體使用量) 的記錄訊息,您可以在 NSX Manager CLI 上設定遠端記錄。或者,您可以在 NSX Manager UI 的警示頁面上監控這些健全狀況事件。如需有關 NSX 惡意軟體防護健全狀況事件的詳細資訊,請參閱 NSX 事件目錄

下列通訊協定支援在 SVM 上設定遠端記錄:
  • TCP
  • UDP
  • TLS (安全遠端記錄)

TCP 的優點是更可靠,而 UDP 的優點是需要較少的系統和網路額外負荷。TLS 通訊協定具有其他額外負荷,但會在 SVM 和遠端記錄伺服器之間提供加密流量。

不支援使用 Aria Operations for Logs 通訊協定 (LI 和 LI-TLS) 在 SVM 上設定遠端記錄。

必要條件

  • VMware vCenter 管理員必須啟用 SSH,藉以存取每個主機上的 SVM。如需詳細資訊,請參閱登入 NSX 惡意軟體防護服務虛擬機器中的必要條件一節。
  • 請自行熟悉 set logging-server CLI 命令。如需詳細資訊,請參閱《NSX 命令列介面參考》中的惡意程式碼防護服務虛擬機器說明文件。
  • 如果要指定 TLS 通訊協定,以用來設定遠端記錄伺服器,請使用 copy url <url> [file <filename>] CLI 命令,將伺服器憑證、用戶端憑證和用戶端金鑰複製到每個 NSX 惡意軟體防護 SVM 上的 /var/vmware/nsx/file-store 中。

    在以下範例中,copy 命令是在 SVM 上執行。因此,依預設,會將來源位置中的 client-key.pem 檔案複製到 SVM 上的 /var/vmware/nsx/file-store

    範例:
    svm> copy url scp://[email protected]:/home/user/openssl/client-key.pem
    The authenticity of host '1.2.3.4 (1.2.3.4)' can't be established.
    ECDSA key fingerprint is SHA256:abcdabcdabcdabcdabcdabcdabcdabcdabcdabcd.
    Are you sure you want to continue connecting (yes/no)? yes
    Warning: Permanently added '1.2.3.4' (ECDSA) to the list of known hosts.
    [email protected]'s password:
    client-key.pem                                100% 1704     8.0KB/s   00:00
  • 若要設定與遠端記錄伺服器的安全連線,請確認伺服器已設定為使用 CA 簽署憑證。例如,如果您使用 Aria Operations for Logs 伺服器 vrli.prome.local 作為記錄伺服器,則可以從用戶端執行下列命令,以查看記錄伺服器上的憑證鏈結:
    root@caserver:~# echo -n | openssl s_client -connect vrli.prome.local:443  | sed -ne '/^Certificate chain/,/^---/p'
    depth=2 C = US, L = California, O = GS, CN = Orange Root Certification Authority
    verify error:num=19:self signed certificate in certificate chain
    Certificate chain
     0 s:/C=US/ST=California/L=HTG/O=GSS/CN=vrli.prome.local
       i:/C=US/L=California/O=GS/CN=Green Intermediate Certification Authority
     1 s:/C=US/L=California/O=GS/CN=Green Intermediate Certification Authority
       i:/C=US/L=California/O=GS/CN=Orange Root Certification Authority
     2 s:/C=US/L=California/O=GS/CN=Orange Root Certification Authority
       i:/C=US/L=California/O=GS/CN=Orange Root Certification Authority
    ---
    DONE

程序

  1. admin 使用者身分登入 NSX 惡意軟體防護 SVM。
    如需詳細資訊,請參閱 登入 NSX 惡意軟體防護服務虛擬機器
  2. 執行下列命令以在 SVM 上設定遠端記錄伺服器:
    svm> set logging-server <hostname-or-ip-address[:port]> proto <proto> level <level> messageid SECURITY [facility <facility>] [serverca <filename>] [clientca <filename>] [certificate <filename>] [key <filename>] [structured-data <structured-data>]

    此命令會將 SVM 記錄訊息重新導向至指定連接埠上伺服器的指定 IP 位址或 FQDN。如果未提及連接埠,則會使用指定通訊協定的預設連接埠。例如,連接埠 514 用於 TCP 和 UDP;連接埠 6514 用於 TLS。

    已預先設定了 messageid 參數。目前,支援僅包含 SECURITY 訊息識別碼的記錄。

    若要瞭解如何在此命令中篩選記錄訊息並指定設施,請參閱《NSX 命令列介面參考》中的惡意程式碼防護服務虛擬機器說明文件。

    範例 1:若要使用 UDP 通訊協定將 SVM 記錄訊息重新導向至 10.1.1.1 記錄伺服器,請執行下列命令:

    svm> set logging-server 10.1.1.1 proto udp level info messageid SECURITY
    範例 2:若要使用 TLS 通訊協定將 SVM 記錄訊息安全地重新導向至遠端記錄伺服器,請執行下列命令:
    svm> set logging-server <hostname-or-ip-address[:port]> proto tls level info messageid SECURITY serverca <ca-cert.pem> clientca <ca-cert.pem> certificate <client-cert.pem>  key <client-key.pem>

    如本說明文件的必要條件一節中所述,必須將伺服器憑證、用戶端憑證和用戶端金鑰複製到每個 NSX 惡意軟體防護 SVM 上的 /var/vmware/nsx/file-store 中。

    請注意下列事項:
    • serverCA 參數只需要根憑證,而不需要完整鏈結。
    • 如果 clientCAserverCA 不同,則只需要根憑證。
    • 憑證應保留 NSX 惡意軟體防護 SVM 的完整鏈結。憑證應符合 NDcPP - EKU、BASIC 和 CDP (可忽略 CDP 檢查)。
    /var/log/syslog 中記錄成功的範例:
    2023-06-26T18:22:21.504Z NSX 3671 - [nsx@6876 comp="nsx-mps-svm" subcomp="cli" username="admin" level="INFO"] {10000} CMD: set logging-server 1.2.3.4 proto tls level info serverca ca-cert.pem clientca ca-cert.pem certificate client-cert.pem key client-key.pem
     
    2023-06-26T18:22:24.677Z rsyslogd - - -  nsd_ossl: TLS Connection initiated with remote syslog server. [v8.2304.0]
    2023-06-26T18:22:26.894Z NSX 932 - [nsx@6876 comp="nsx-mps-svm" subcomp="node-mgmt" username="admin" level="INFO"] Connection to 1.2.3.4:6514 is established
     
    2023-06-26T18:22:28.116Z NSX 3671 - [nsx@6876 comp="nsx-mps-svm" subcomp="cli" username="admin" level="INFO" audit="true"] CMD: set logging-server 1.2.3.4 proto tls level info serverca ca-cert.pem clientca ca-cert.pem certificate client-cert.pem key client-key.pem (duration: 6.611s), Operation status: CMD_EXECUTED
    備註: 完成 Syslog 匯出工具組態後,您必須從 /var/vmware/nsx/file-store 中刪除所有憑證和金鑰,以免出現潛在的安全漏洞。

    範例 3:若要重新導向 NSX 惡意軟體防護 健全狀況監控事件的記錄訊息,請在 NSX Manager CLI 上執行以下命令:

    nsx> set logging-server 10.1.1.1 proto udp level info messageid MONITORING structured-data eventFeatureName="malware_prevention_health"

    請注意,在此命令中,messageid 參數設定為 MONITORING。

  3. 若要檢視 SVM 上的記錄組態,請執行 get logging-servers 命令。

    範例:將記錄訊息重新導向至安全遠端記錄伺服器

    svm> get logging-servers
    Tue Jun 27 2023 UTC 05:18:57.098
    1.2.3.4:514 proto udp level info messageid SECURITY exporter_name 694ab1dc-0250-4cae-a7a4-3dde205225a3
  4. (選擇性) 若要驗證所有記錄伺服器的 IP 資料表規則,請執行 verify logging-servers 命令。
  5. (選擇性) 若要刪除特定的記錄伺服器組態,請執行下列命令:
    範例:
    svm> del logging-server 1.2.3.4:514 proto udp level info messageid SECURITY