Quantcast
Channel: VMware Communities : Blog List - All Communities
Viewing all articles
Browse latest Browse all 3135

vRealize Log Insight と NSX DFW で通信の様子を可視化してみる。Part.1

$
0
0

NSX for vSphere の分散ファイアウォールでは、許可された通信のログを出力することができます。

そこで、特定の対象の通信をすべて許可するルールを作成して、

vRalize Log Insight(vRLI)で通信を可視化してみます。

 

今回の構成概要です。

ひとつの論理スイッチに接続された 3つの VM で、どのような通信が発生しているかを見てみます。

通信を確認する対象として VM を3台用意していますが、それらはすべて「ls-tenant-03」という

NSX 論理スイッチに接続しています。

DFW で許可された通信は「pass」として ESXi のログファイルに出力されるので、

それを vRLI に Syslog 転送しています。

vrli-dfw-story2-pass.png

 

今回の製品構成は、以前に投稿した下記と同様です。

vRealize Log Insight で NSX DFW の Drop を確認してみる。Part.1

 

分散ファイアウォールに許可ルールを追加してあります。

  • すべての通信を許可するかわりに、適用先を論理スイッチ「ls-tenant-03」に絞っています。
  • ルール ID は、1095 です。

vrli-dfw-2-1-01.png

 

このルールは「ログを記録」に変更してあります。

vrli-dfw-2-1-02.png

 

「ls-tenant-03」には、通信を見る対象にする VM 3台だけが接続されています。

vrli-dfw-2-1-03.png

 

それぞれの VM には、10.1.30.0/24 の IP アドレスが付与されています。

vrli-dfw-2-1-04.png

 

すでに、それぞれの VM からは通信が発生している状態です。

「Distributed Firewall - Overview」ダッシュボードで、

ルール ID 1095 にヒットして、通信が許可されている(pass している)ことがわかります。

ちなみに今回の環境では、ID 1095 のルールのみで「ログの出力」をしているので、

対象の VM にまったく関係しない通信ログは出力されません。

vrli-dfw-2-1-05.png

 

「Distributed Firewall - Traffic」ダッシュボードを見ると、受信したログの

通信の、通信元 / 先 の IP アドレス、宛先ポート番号がわかります。

「Firewall top sources」には、期待どおり 10.1.30.100 ~ 10.1.30.102 が表示されています。

vrli-dfw-2-1-06.png

 

この受信したログを、インタラクティブ分析で見てみます。

 

つづく・・・

vRealize Log Insight と NSX DFW で通信の様子を可視化してみる。Part.2


Viewing all articles
Browse latest Browse all 3135

Trending Articles



<script src="https://jsc.adskeeper.com/r/s/rssing.com.1596347.js" async> </script>