Monitorowanie ruchu DFW/GFW w VMware Aria Operations for Logs

Kamil Slomski
12. października 2023
Reading time: 2 min
Monitorowanie ruchu DFW/GFW w VMware Aria Operations for Logs

Postanowiłem opisać zadanie, w jakim niedawno brałem udział, a którego celem było utworzenie dashboardów wizualizujących ilość ruchu przechodzącego przez reguły utworzone w ramach polityk Distributed FireWall (DFW) /Gateway FireWall (GFW) w środowisku NSX-T. Co z tego wynikło? Sami się przekonajcie.

Przygotowanie

Dashboard’y mają zostać utworzone w systemu ARIA OPERATIONS FOR LOGS na podstawie logów przesyłanych przez NSX-T.

Tworzenie wykresów liczących sesje przechodzące przez regułę DFW/GFW musi zostać oparte o Label oraz ID danej reguły – nie ma możliwości wykorzystania nazw reguł.

Ze względu na unikalność Label reguł, należy dodać do nich wyróżnik pozwalający zidentyfikować Labele w logach.

Proponowane wyróżniki:

T_XXX-XXX – środowisko testowe

P_XXX-XXX – środowisko produkcyjne

N_XXX-XXX – środowisko pre-produkcyjne

M_XXX-XXX – środowisko MGMT

Tak tworzone Labele logów pozwalają w prosty sposób wykorzystywać RegularExpresions (RegEx) w celu wyodrębniania Pól (Fields) dla zdarzeń zarejestrowanych w Aria Operations for Logs, bez konieczności budowania rozbudowanych wyrażeń bazujących np. na adresie IP poprzedzającym Labelę reguły. Nie zachodzi także konieczność budowania osobnych wyrażeń dla IPv4 oraz IPv6.

Realizacja zadania

 class=

1. Tworzenie dashboardu

Tworzenie dashboard’ów dla GFW oraz DFW wymaga skonfigurowania odpowiednich filtrów w celu wyciągnięcia jedynie koniecznych danych.

2. Filtry dla DFW

ParametrKryteriumWartośćOpis
hostnameContainsESXi_hostname0*Filtr pozostawia informacje pochodzące z hostów podłączonych do NSX-T
appnameContainsfirewall-pktlogFiltr pozostawia informacje pochodzące z DFW
Vmw_nsxt_firewall_client_to_server_bytesDoes not existFiltr usuwa informacje o ilości przesłanych bajtów
Aria dashboard

3. Filtry dla GFW

ParametrKryteriumWartośćOpis
hostnameContainsEdgeNode_name0*Filtr pozostawia informacje pochodzące Edge Node-ów podłączonych do NSX-T
textContainsfirewallFiltr pozostawia informacje dotyczące zdarzeń z GFW na podstawie zawartej w logu frazy
filtry dla GFW

4. Wyodrębnianie pola „RuleLabel”

W Aria Operations for Logs reguły DFW/GFW można zidentyfikować na podstawie „RuleID” oraz przypisanej przez użytkownika Labeli, która może zawierać dowolny opis dotyczący reguły. W celu wyodrębnienia reguły jako osobnego pola należy skorzystać z RegEx – RegularExpressions. Całe wyrażenie powinno zostać utworzone na podstawie Labelu wzbogaconego o wyróżnik opisany w pierwszym rozdziale.

Aby wyodrębnić pole należy:

  • zaznaczyć obszar logu, który nas interesuje – w tym przypadku label reguły
  • kliknąć „Extract Field”
Wyodrębnianie pola w Aria Operations for Logs

Następnie w wyświetlonym z prawej strony „formularzu” należy:

  • wpisać nazwę pola
  • definiować wyrażenie obejmujące zdefiniowany wcześniej label – w przypadku środowiska testowego labele reguły są sformułowane w następujący sposób:

T_XXX-XXX-XXX

RegEx dla powyższego przykładu wygląda następująco:

Pre context – „T_” – odnoszący się do przedrostka

Post Context – „. *” – oznaczający każdy dowolny znak, jakim kończy się label

RegEx dla wyodrębnionego pola

Po zdefiniowaniu powyższych parametrów z treści logu zostanie wyróżniona treść labeli:

Wyróżniona treść labeli

Po sprawdzeniu, czy zaznaczona została odpowiedni fragment tekstu należy kliknąć przycisk „Save” na dole formularza:

Zapisywanie pola w ARIA OPERATIONS FOR LOGS

Dodanie innego separatora pomiędzy „T” a treścią labeli pozwala uniknąć sytuacji, w których słowo w labeli kończy się znakami „t-” jak w przykładzie T-DEFAULT-DENY-CONNECTION. W takich przypadkach wyrażenie byłoby przetworzone nieprawidłowo.

Należy również unikać stosowania znaku „.” (kropka), który może spowodować, że wyrażenie będzie traktowało domeny xxx.net.pl jako wyróżnik dla labeli.

Po zapisaniu nowe pole wyświetla się w następujący sposób:

Wyodrębnione pole z labelem

5. Konfiguracja wykresów DFW

W celu konfiguracji wykresów zliczających ruch związany z konkretną regułą należy w lewym dolnym rogu pola wykresu wybrać następujące opcje:

  • Count of events – wyświetlający ilość zdarzeń
Konfiguracja wykresu zliczającego ilość zdarzeń na podstawie logów – ARIA OPERATIONS FOR LOGS

W celu konfiguracji serii wyświetlanych na wykresie należy wybrać następujące pola zaznaczyć następujące opcje:

  • Non-time series – wyświetli dane bez uwzględniania znacznika czasowego – zliczy ilość uderzeń w regułę w określonym czasie
Konfiguracja wykresu nieuwzględniającego znaczników czasowych
  • Time series – wyświetli dane uwzględniające znacznik czasowy – wyświetli ilość uderzeń w regułę w konkretnym czasie
 class=

UWAGA! Przy większej ilości reguł wykres może być nieczytelny. W takim wypadku najlepiej użyć filtrów do wyświetlenia informacji o konkretnej regule.

oraz wybrać pola:

  • RuleLabel – pole utworzone z wykorzystaniem RegEx wyodrębniające label reguły jako osobne pole
  • vmw_nsxt_firewall_ruleid – pole zawierające ID reguły DFW

Powyższe czynności należy zatwierdzić przyciskiem „Apply”

Zatwierdzenie parametrów wykresu

Następnym krokiem, w przypadku wykresu zliczającego, jest zmiana rodzaju wyświetlanego wykresu na wykres typu „Bar”, który zwiększa czytelność wyświetlanych danych. Parametry wykresu pozostają domyślne.

Ustawienia wykresu w Aria Operations for Logs

Efektem powyższych działań jest następujący wykres:

  • Wykres zliczający:
Wykres zliczający ruch przechodzący przez reguły DFW
  • Wykres zliczający zdarzenia w czasie:
Wykres zliczający ruch przechodzący przez reguły DFW w konkretnym czasie

W celu zapisania wykresu należy w prawym górnym rogu kliknąć przycisk “Add to dashboard” oraz zapisać wykres w istniejącym lub nowo utworzonym dashboard’zie:

Zapisywanie wykresu

6. Konfiguracja wykresów GFW

W celu konfiguracji wykresów zliczających ruch związany z konkretną regułą należy w lewym dolnym rogu pola wykresu wybrać następujące opcje:

  • Count of events – wyświetlający ilość zdarzeń
Konfiguracja wykresu zliczającego ilość zdarzeń na podstawie logów – ARIA OPERATIONS FOR LOGS

W celu konfiguracji serii wyświetlanych na wykresie należy zaznaczyć następujące opcje:

  • Non-time series – wyświetli dane bez uwzględniania znacznika czasowego
Konfiguracja wykresu nieuwzględniającego znaczników czasowych
  • Time series – wyświetli dane uwzględniające znacznik czasowy – wyświetli ilość uderzeń w regułę w konkretnym czasie
Konfiguracja wykresu uwzględniającego znacznik czasowy

UWAGA! Przy większej ilości reguł wykres może być nieczytelny. W takim wypadku najlepiej użyć filtrów do wyświetlenia informacji o konkretnej regule.

oraz wybrać pola:

  • RuleLabel – pole utworzone z wykorzystaniem RegEx wyodrębniające label reguły jako osobne pole
  • vmw_nsxt_edge_firewall_ruleid – pole zawierające ID reguły GFW

Powyższe czynności należy zatwierdzić przyciskiem „Apply”

Zatwierdzenie parametrów wykresu

Efektem powyższych działań jest następujący wykres:

Wykres zliczający ruch przechodzący przez reguły GFW
  • Wykres zliczający zdarzenia w czasie:
Wykres zliczający ruch przechodzący przez reguły GFW w konkretnym czasie

W celu zapisania wykresu należy w prawym górnym rogu kliknąć przycisk “Add to dashboard” oraz zapisać wykres w istniejącym lub nowo utworzonym dashboardzie:

Zapisywanie wykresu

7. Widok gotowego dashboardu

Widok gotowych wykresów w dashboardzie

Widok wykresów w dashboardzie

Podsumowanie

Mam nadzieję, że dobrnęliście do końca. Starałaem się krok po kroku wskazać sposób postępowania, którego finałem jest utworzenie etykiet do pracy z VMware Aria Operations for Logs. Ma być łatwo, prosto i szybko. Spróbujcie sami i dajcie znać w komentarzach czy tak właśnie się udało. W razie pytań, służę pomocą.

Artykuł powstał przy współpracy z dostawcą usługi VMware

 class=