この記事は Nicolas Vibert 氏のブログ Export Firewall Logs on VMware Cloud on AWS to VMware Log Intelligence and Splunk の翻訳です。 翻訳の一覧はこちら

このブログ記事では、VMware Cloud on AWS のファイアウォール ログを Splunk などの SIEM(Security Information and Event Management) にエクスポートする方法を紹介します。

私のブログ記事のほとんどは顧客からの質問に基づいて書かれています。その中で何度か出てくるのが、ファイアウォールを通るネットワーク フローをログに記録する必要があるというものです。

これは通常、監査やトラブルシューティング、セキュリティ分析の目的で必要になります。私は最近、自分のラボで接続性の問題をトラブルシューティングするために必要になりました。

VMware Cloud on AWS のファイアウォールを通過するトラフィックからファイアウォールのログをエクスポートするには、Log Intelligence 経由でログを転送する必要があります。

VMware Cloud on AWS は、VMware のクラウド ロギング プラットフォームである VMware Log Intelligence と統合されています。VMware Log Intelligence は基本的には Logging-As-A-Service プラットフォームです

この件については、以前に VMware Cloud のブログで非常に良い記事が書かれています。私の記事では Splunk へのセキュリティログのエクスポートによりフォーカスしています。

Log Intelligence は VMware Cloud on AWS の NSX-T のネットワーク パケットログを可視化します。特定の NSX ファイアウォールのルールにマッチするパケットを可視化することで、アプリケーションのフローを分析し、トラブルシューティングすることができます。

実際には、VMware Log Intelligence は、VMware Cloud ポータル(console.cloud.vmware.com)からアクセスできる VMware Cloud on AWS とは別のサービスです。

Log Intelligence ポータルで、Log Management - NSX-T の「NSX-T Firewall Logs Collection」を有効にするだけです。

これで、VMware Cloud on AWS のコンソールに戻ることができます。

ファイアウォールルールを作成する際に(ゲートウェイのいずれかまたは分散ファイアウォール上で)、ファイアウォール ルール上のログ収集を有効にするだけです。

例えば、SDDC NSX Manager へのトラフィックをキャプチャしたい場合は、右側のルールでロギングを有効にするだけです(以下の例ではソースは「Any」となっていますが、許可する送信元 IP を指定することができるのは明らかです)。

VMware Log Intelligence にログが表示されます。

これらのログの一部を掘り下げてみると、例えば、172.30.0.177(vRealize Network Insight のオンプレミスに配置されたプロキシ)から 10.56.224.4 の VMware Cloud on AWS の vCenter に HTTPS(443)経由で送信されたパケットが確認できます。ファイアウォール アクション (PASS) に気づくでしょう。トラフィックを許可していることがわかります。

さらに強力なのは、これらのログを SIEM に転送する機能です。ここでは、最も一般的で広く導入されているSIEM である Splunk に転送します。

私は AWS Marketplace の AMI から EC2 インスタンスに Splunk Enterprise Version 7.2.5.1 のクラウドホスト版をデプロイしてみました。インストールは、Splunk を使ったことがない人にとってはかなり簡単でした。もちろん、Splunk はオンプレミスでも VMware Cloud on AWS でも、その他の場所に導入することができます。

Splunk が VMC から HTTP/HTTPS でログを受け付けるためには、まずデータ入力の設定と HTTP Event Collector の設定を行う必要があります。Splunk の Web サイトに掲載されている手順が参考になりました。

Splunk の管理者は、認証に使用するトークンを新たに作成するだけです。私たちの Splunk では、トークンの値は e0b3fac1-4110-a51c-3d6ddccfc213 です。

VMware の Log Intelligence でログを転送するには、Cloud Proxy (Log Intelligence が通信して SIEM にログを転送する仮想アプライアンス) を使用する必要があります。インストールと設定は本当に簡単です。私たちのラボでは、すでに VMware Cloud Assembly を活用するために Cloud Proxy を導入しているので、それを再利用することができました。

Log Intelligence ポータルで、Log Forwarding セクションに移動し、Destination (On-Prem) を選択し、Cloud Proxy を選択し、私の例では Endpoint Type (Splunk) を選択します。

エンドポイントの URL は Splunk コレクター (https://splunk-url:8088/services/collector) とし、Authorization ヘッダが以下のモデルに従っていることを確認してください (“Splunk API-token” の場合、API トークンは以前に設定したものです)。

これですべてのログを Splunk に転送することができます。実際に必要な分以上の転送になるかもしれませんが…

あるいは、ファイアウォールのログだけに興味があるのであれば、以下の方法を使ってログのサブセットをエクスポートするだけです。

設定したら、どれだけのイベントとログが Splunk に転送されているかを確認することができます。

Splunk への 8008 ポートへのトラフィックを許可していることを確認してください(私は AWS のセキュリティグループで許可しなければなりませんでした)。

以上となります。この記事は少しニッチなものかもしれませんが、一部の顧客から問い合わせがあったので、別の誰かの役に立つかもしれません。読んで頂きありがとうございました。