Monitorowanie ruchu DFW/GFW w VMware Aria Operations for Logs

Kamil Slomski
12. października 2023
Reading time: 2 min
Monitorowanie ruchu DFW/GFW w VMware Aria Operations for Logs

Postanowiłem opisać zadanie, w jakim niedawno brałem udział, a którego celem było utworzenie dashboardów wizualizujących ilość ruchu przechodzącego przez reguły utworzone w ramach polityk Distributed FireWall (DFW) /Gateway FireWall (GFW) w środowisku NSX-T. Co z tego wynikło? Sami się przekonajcie.

Przygotowanie

Dashboard’y mają zostać utworzone w systemu ARIA OPERATIONS FOR LOGS na podstawie logów przesyłanych przez NSX-T.

Tworzenie wykresów liczących sesje przechodzące przez regułę DFW/GFW musi zostać oparte o Label oraz ID danej reguły – nie ma możliwości wykorzystania nazw reguł.

Ze względu na unikalność Label reguł, należy dodać do nich wyróżnik pozwalający zidentyfikować Labele w logach.

Proponowane wyróżniki:

T_XXX-XXX – środowisko testowe

P_XXX-XXX – środowisko produkcyjne

N_XXX-XXX – środowisko pre-produkcyjne

M_XXX-XXX – środowisko MGMT

Tak tworzone Labele logów pozwalają w prosty sposób wykorzystywać RegularExpresions (RegEx) w celu wyodrębniania Pól (Fields) dla zdarzeń zarejestrowanych w Aria Operations for Logs, bez konieczności budowania rozbudowanych wyrażeń bazujących np. na adresie IP poprzedzającym Labelę reguły. Nie zachodzi także konieczność budowania osobnych wyrażeń dla IPv4 oraz IPv6.

https://evoila.com/pl/vmware-aria-co-gdzie-dlaczego/

Realizacja zadania

 class=

1. Tworzenie dashboardu

Tworzenie dashboard’ów dla GFW oraz DFW wymaga skonfigurowania odpowiednich filtrów w celu wyciągnięcia jedynie koniecznych danych.

2. Filtry dla DFW

ParametrKryteriumWartośćOpis
hostnameContainsESXi_hostname0*Filtr pozostawia informacje pochodzące z hostów podłączonych do NSX-T
appnameContainsfirewall-pktlogFiltr pozostawia informacje pochodzące z DFW
Vmw_nsxt_firewall_client_to_server_bytesDoes not existFiltr usuwa informacje o ilości przesłanych bajtów
Aria dashboard

3. Filtry dla GFW

ParametrKryteriumWartośćOpis
hostnameContainsEdgeNode_name0*Filtr pozostawia informacje pochodzące Edge Node-ów podłączonych do NSX-T
textContainsfirewallFiltr pozostawia informacje dotyczące zdarzeń z GFW na podstawie zawartej w logu frazy
filtry dla GFW

4. Wyodrębnianie pola „RuleLabel”

W Aria Operations for Logs reguły DFW/GFW można zidentyfikować na podstawie „RuleID” oraz przypisanej przez użytkownika Labeli, która może zawierać dowolny opis dotyczący reguły. W celu wyodrębnienia reguły jako osobnego pola należy skorzystać z RegEx – RegularExpressions. Całe wyrażenie powinno zostać utworzone na podstawie Labelu wzbogaconego o wyróżnik opisany w pierwszym rozdziale.

Aby wyodrębnić pole należy:

  • zaznaczyć obszar logu, który nas interesuje – w tym przypadku label reguły
  • kliknąć „Extract Field”
Wyodrębnianie pola w Aria Operations for Logs

Następnie w wyświetlonym z prawej strony „formularzu” należy:

  • wpisać nazwę pola
  • definiować wyrażenie obejmujące zdefiniowany wcześniej label – w przypadku środowiska testowego labele reguły są sformułowane w następujący sposób:

T_XXX-XXX-XXX

RegEx dla powyższego przykładu wygląda następująco:

Pre context – „T_” – odnoszący się do przedrostka

Post Context – „. *” – oznaczający każdy dowolny znak, jakim kończy się label

RegEx dla wyodrębnionego pola

Po zdefiniowaniu powyższych parametrów z treści logu zostanie wyróżniona treść labeli:

Wyróżniona treść labeli

Po sprawdzeniu, czy zaznaczona została odpowiedni fragment tekstu należy kliknąć przycisk „Save” na dole formularza:

Zapisywanie pola w ARIA OPERATIONS FOR LOGS

Dodanie innego separatora pomiędzy „T” a treścią labeli pozwala uniknąć sytuacji, w których słowo w labeli kończy się znakami „t-” jak w przykładzie T-DEFAULT-DENY-CONNECTION. W takich przypadkach wyrażenie byłoby przetworzone nieprawidłowo.

Należy również unikać stosowania znaku „.” (kropka), który może spowodować, że wyrażenie będzie traktowało domeny xxx.net.pl jako wyróżnik dla labeli.

https://evoila.com/pl/vmware-vrealize-operations-aria-operations-jak-monitorowac/

Po zapisaniu nowe pole wyświetla się w następujący sposób:

Wyodrębnione pole z labelem

5. Konfiguracja wykresów DFW

W celu konfiguracji wykresów zliczających ruch związany z konkretną regułą należy w lewym dolnym rogu pola wykresu wybrać następujące opcje:

  • Count of events – wyświetlający ilość zdarzeń
Konfiguracja wykresu zliczającego ilość zdarzeń na podstawie logów – ARIA OPERATIONS FOR LOGS

W celu konfiguracji serii wyświetlanych na wykresie należy wybrać następujące pola zaznaczyć następujące opcje:

  • Non-time series – wyświetli dane bez uwzględniania znacznika czasowego – zliczy ilość uderzeń w regułę w określonym czasie
Konfiguracja wykresu nieuwzględniającego znaczników czasowych
  • Time series – wyświetli dane uwzględniające znacznik czasowy – wyświetli ilość uderzeń w regułę w konkretnym czasie
 class=

UWAGA! Przy większej ilości reguł wykres może być nieczytelny. W takim wypadku najlepiej użyć filtrów do wyświetlenia informacji o konkretnej regule.

oraz wybrać pola:

  • RuleLabel – pole utworzone z wykorzystaniem RegEx wyodrębniające label reguły jako osobne pole
  • vmw_nsxt_firewall_ruleid – pole zawierające ID reguły DFW

Powyższe czynności należy zatwierdzić przyciskiem „Apply”

Zatwierdzenie parametrów wykresu

Następnym krokiem, w przypadku wykresu zliczającego, jest zmiana rodzaju wyświetlanego wykresu na wykres typu „Bar”, który zwiększa czytelność wyświetlanych danych. Parametry wykresu pozostają domyślne.

Ustawienia wykresu w Aria Operations for Logs

Efektem powyższych działań jest następujący wykres:

  • Wykres zliczający:
Wykres zliczający ruch przechodzący przez reguły DFW
  • Wykres zliczający zdarzenia w czasie:
Wykres zliczający ruch przechodzący przez reguły DFW w konkretnym czasie

W celu zapisania wykresu należy w prawym górnym rogu kliknąć przycisk “Add to dashboard” oraz zapisać wykres w istniejącym lub nowo utworzonym dashboard’zie:

Zapisywanie wykresu

6. Konfiguracja wykresów GFW

W celu konfiguracji wykresów zliczających ruch związany z konkretną regułą należy w lewym dolnym rogu pola wykresu wybrać następujące opcje:

  • Count of events – wyświetlający ilość zdarzeń
Konfiguracja wykresu zliczającego ilość zdarzeń na podstawie logów – ARIA OPERATIONS FOR LOGS

W celu konfiguracji serii wyświetlanych na wykresie należy zaznaczyć następujące opcje:

  • Non-time series – wyświetli dane bez uwzględniania znacznika czasowego
Konfiguracja wykresu nieuwzględniającego znaczników czasowych
  • Time series – wyświetli dane uwzględniające znacznik czasowy – wyświetli ilość uderzeń w regułę w konkretnym czasie
Konfiguracja wykresu uwzględniającego znacznik czasowy

UWAGA! Przy większej ilości reguł wykres może być nieczytelny. W takim wypadku najlepiej użyć filtrów do wyświetlenia informacji o konkretnej regule.

oraz wybrać pola:

  • RuleLabel – pole utworzone z wykorzystaniem RegEx wyodrębniające label reguły jako osobne pole
  • vmw_nsxt_edge_firewall_ruleid – pole zawierające ID reguły GFW

Powyższe czynności należy zatwierdzić przyciskiem „Apply”

Zatwierdzenie parametrów wykresu

Efektem powyższych działań jest następujący wykres:

Wykres zliczający ruch przechodzący przez reguły GFW
  • Wykres zliczający zdarzenia w czasie:
Wykres zliczający ruch przechodzący przez reguły GFW w konkretnym czasie

W celu zapisania wykresu należy w prawym górnym rogu kliknąć przycisk “Add to dashboard” oraz zapisać wykres w istniejącym lub nowo utworzonym dashboardzie:

Zapisywanie wykresu

7. Widok gotowego dashboardu

Widok gotowych wykresów w dashboardzie

Widok wykresów w dashboardzie

Podsumowanie

Mam nadzieję, że dobrnęliście do końca. Starałaem się krok po kroku wskazać sposób postępowania, którego finałem jest utworzenie etykiet do pracy z VMware Aria Operations for Logs. Ma być łatwo, prosto i szybko. Spróbujcie sami i dajcie znać w komentarzach czy tak właśnie się udało. W razie pytań, służę pomocą.

Artykuł powstał przy współpracy z dostawcą usługi VMware

 class=