Os arquivos de log são um componente importante para solucionar problemas de ataques e obter informações sobre violações. O log em um servidor de log seguro e centralizado pode ajudar a evitar a violação de log. O log remoto também fornece um registro de auditoria de longo prazo.

Para aumentar a segurança do host, tome as seguintes medidas.
  • Configure o log persistente em um armazenamento de dados. Por padrão, os logs em hosts ESXi são armazenados no sistema de arquivos na memória. Portanto, eles são perdidos quando você reinicializa o host e apenas 24 horas de dados de log são armazenados. Ao habilitar o log persistente, você tem um registro de atividade dedicado para o host.
  • O log remoto em um host central permite coletar arquivos de log em um host central. A partir desse host, você pode monitorar todos os hosts com uma única ferramenta, fazer análises agregadas e pesquisar dados de log. Essa abordagem facilita o monitoramento e revela informações sobre ataques coordenados em vários hosts.
  • Configure o syslog remoto seguro em hosts ESXi usando ESXCLI ou PowerCLI, ou usando um cliente de API.
  • Consulte a configuração do syslog para garantir que o servidor e a porta do syslog sejam válidos.

Consulte a documentação do vSphere Monitoramento e desempenho para obter informações sobre a configuração do syslog e para obter informações adicionais sobre arquivos de log do ESXi.

Configurar Syslog em hosts ESXi

Você pode usar o comando vSphere Client, VMware Host Client ou esxcli system syslog para configurar o serviço syslog.

Para obter informações sobre como usar o comando esxcli system syslog e outros comandos ESXCLI, consulte Introdução ao ESXCLI. Para obter detalhes sobre como abrir o firewall ESXi para a porta especificada em cada especificação de host remoto, consulte Configurando o firewall ESXi .

Procedimento

  1. Procure o host no inventário vSphere Client.
  2. Clique em Configurar (Configure).
  3. Em Sistema (System), clique em Configurações avançadas do sistema (Advanced System Settings).
  4. Clique em Editar (Edit).
  5. Filtre por syslog.
  6. Para configurar o log globalmente e definir várias configurações avançadas, consulte ESXi Opções de syslog.
  7. (Opcional) Para substituir o tamanho e a rotação de log padrão para qualquer um dos logs:
    1. Clique no nome do log que você deseja personalizar.
    2. Insira o número de rotações e o tamanho do log desejados.
  8. Clique em OK.

Resultados

As alterações nas opções de syslog entram em vigor.
Observação: As configurações do parâmetro syslog que você define usando vSphere Client ou VMware Host Client entram em vigor imediatamente. No entanto, a maioria das configurações que você define usando o ESXCLI exige que um comando adicional entre em vigor. Para obter mais detalhes, consulte ESXi Opções de syslog.

ESXi Opções de syslog

Você pode definir o comportamento de ESXi arquivos syslog e transmissões usando um conjunto de opções de syslog.

Além das configurações básicas, como Syslog.global.logHost, a partir do ESXi 7.0 Atualização 1, uma lista de opções avançadas está disponível para personalizações e conformidade com o NIAP.

Observação: Todas as configurações de registro de auditoria, começando com Syslog.global.auditRecord, entram em vigor imediatamente. No entanto, para outras configurações que você define usando o ESXCLI, certifique-se de executar o comando esxcli system syslog reload para ativar as alterações.
Tabela 1. Opções de syslog herdadas
Opção Comando ESXCLI Descrição
Syslog.global.logHost

esxcli system syslog config set --loghost=<str>

Define uma lista delimitada por vírgulas de hosts remotos e especificações para transmissões de mensagens. Se o campo loghost=<str> estiver em branco, nenhum log será encaminhado. Embora não exista um limite rígido para o número de hosts remotos para receber mensagens syslog, a boa prática é manter o número de hosts remotos em cinco ou menos. O formato de uma especificação de host remoto é: protocol://hostname|ipv4|'['ipv6']'[:port]. O protocolo deve ser TCP, UDP ou SSL. O valor de uma porta pode ser qualquer número decimal de 1 a 65535. Se uma porta não for fornecida, o SSL e o TCP usarão 1514. O UDP usa 514. Por exemplo: ssl://hostName1:1514.
Syslog.global.defaultRotate esxcli system syslog config set --default-rotate=<long> Número máximo de arquivos de log antigos a serem mantidos. Você pode definir esse número globalmente e para subloggers individuais (consulte Syslog.global.defaultSize).
Syslog.global.defaultSize esxcli system syslog config set --default-size=<long> Tamanho padrão dos arquivos de log, em KiB. Depois que um arquivo atinge o tamanho padrão, o serviço syslog cria um novo arquivo. Você pode definir esse número globalmente e para subloggers individuais.
Syslog.global.logDir esxcli system syslog config set --logdir=<str> Diretório onde os logs residem. O diretório pode estar em volumes NFS ou VMFS montados. Somente o diretório /scratch no sistema de arquivos local é persistente nas reinicializações. Especifique o diretório como [datastorename] path_to_file, em que o caminho é relativo à raiz do volume que suporta o armazenamento de dados. Por exemplo, o caminho [storage1] /systemlogs é mapeado para o caminho /vmfs/volumes/storage1/systemlogs.
Syslog.global.logDirUnique esxcli system syslog config set --logdir-unique=<bool> Especifica o nome do host ESXi a ser concatenado com o valor de Syslog.global.logDir. É essencial que você ative essa configuração quando vários hosts ESXi fizerem login em um sistema de arquivos compartilhado. A seleção dessa opção cria um subdiretório com o nome do host ESXi no diretório especificado por Syslog.global.LogDir. Um diretório exclusivo será útil se o mesmo diretório NFS for usado por vários hosts ESXi.
Syslog.global.certificate.checkSSLCerts esxcli system syslog config set --check-ssl-certs=<bool> Impõe a verificação de certificados SSL ao transmitir mensagens para hosts remotos.
Tabela 2. Opções de syslog disponíveis a partir do ESXi 7.0 Update 1
Opção Comando ESXCLI Descrição
Syslog.global.auditRecord.storageCapacity esxcli system auditrecords local set --size=<long> Especifica a capacidade do diretório de armazenamento de registros de auditoria localizado no host ESXi, no MiB. Você não pode diminuir a capacidade do armazenamento de registros de auditoria. Você pode aumentar a capacidade antes ou depois da ativação do armazenamento de registros de auditoria (consulte Syslog.global.auditRecord.storageEnable).
Syslog.global.auditRecord.remoteEnable esxcli system auditrecords remote enable Habilita o envio de registros de auditoria para hosts remotos. Os hosts remotos são especificados usando o parâmetro Syslog.global.logHost.
Syslog.global.auditRecord.storageDirectory esxcli system auditrecords local set --directory=<dir> Especifica o local do diretório de armazenamento do registro de auditoria. Você não pode alterar o diretório de armazenamento de registros de auditoria enquanto o armazenamento de registros de auditoria estiver ativado (consulte Syslog.global.auditRecord.storageEnable).
Syslog.global.auditRecord.storageEnable esxcli system auditrecords local enable Habilita o armazenamento de registros de auditoria em um host ESXi. Se o diretório de armazenamento de registros de auditoria não existir, ele será criado com a capacidade especificada por Syslog.global.auditRecord.storageCapacity.
Syslog.global.certificate.checkCRL esxcli system syslog config set --crl-check=<bool> Habilita a verificação do status de revogação de todos os certificados em uma cadeia de certificados SSL.

Habilita a verificação de CRLs X.509, que não são verificadas por padrão em conformidade com as convenções do setor. Uma configuração validada pelo NIAP requer verificações de CRL. Devido a limitações de implementação, se as verificações de CRL estiverem ativadas, todos os certificados em uma cadeia de certificados deverão fornecer um link de CRL.

Não ative a opção crl-check para instalações não relacionadas à certificação, devido à dificuldade em configurar corretamente um ambiente que usa verificações de CRL.

Syslog.global.certificate.strictX509Compliance esxcli system syslog config set --x509-strict=<bool> Habilita a estrita conformidade com o X.509. Executa verificações de validade adicionais nos certificados raiz da CA durante a verificação. Essas verificações geralmente não são realizadas, pois as raízes da autoridade de certificação são inerentemente confiáveis e podem causar incompatibilidades com raízes de autoridade de certificação existentes e mal configuradas. Uma configuração validada pelo NIAP requer que até mesmo as raízes da autoridade de certificação sejam aprovadas nas validações.

Não ative a opção x509-strict para instalações não relacionadas à certificação, devido à dificuldade em configurar corretamente um ambiente que usa verificações de CRL.

Syslog.global.droppedMsgs.fileRotate esxcli system syslog config set --drop-log-rotate=<long> Especifica o número de arquivos de log de mensagens descartados antigos a serem mantidos.
Syslog.global.droppedMsgs.fileSize esxcli system syslog config set --drop-log-size=<long> Especifica o tamanho de cada arquivo de log de mensagens descartado antes de alternar para um novo, em KiB.
Syslog.global.logCheckSSLCerts esxcli system syslog config set --check-ssl-certs=<bool> Impõe a verificação de certificados SSL ao transmitir mensagens para hosts remotos.
Observação: Obsoleto. Use Syslog.global.certificate.checkSSLCerts no ESXi 7.0 Atualização 1 e posterior.
Syslog.global.logFilters esxcli system syslog logfile [add | remove | set] ... Especifica uma ou mais especificações de filtragem de log. Cada filtro de log deve ser separado por uma barra vertical dupla "||". O formato de um filtro de log é: numLogs | ident | logRegexp. numLogs define o número máximo de entradas de log para as mensagens de log especificadas. Depois de atingir esse número, as mensagens de log especificadas são filtradas e ignoradas. ident especifica um ou mais componentes do sistema para aplicar o filtro às mensagens de log que esses componentes geram. logRegexp especifica uma frase que diferencia maiúsculas de minúsculas com a sintaxe de expressão regular do Python para filtrar as mensagens de log por seu conteúdo.
Syslog.global.logFiltersEnable Habilita o uso de filtros de log.
Syslog.global.logLevel esxcli system syslog config set --log-level=<str> Especifica o nível de filtragem de log. Você deve alterar esse parâmetro somente ao solucionar um problema com o daemon syslog. Você pode usar os valores debug para o nível mais detalhado, info para o nível de detalhe padrão, warning apenas para avisos ou erros ou error, apenas para erros.
Syslog.global.msgQueueDropMark esxcli system syslog config --queue-drop-mark=<long>) Especifica a porcentagem da capacidade da fila de mensagens na qual as mensagens são descartadas.
Syslog.global.remoteHost.connectRetryDelay esxcli system syslog config set --default-timeout=<long> Especifica o atraso antes de tentar se conectar a um host remoto após uma falha na tentativa de conexão, em segundos.
Syslog.global.remoteHost.maxMsgLen esxcli system syslog config set --remote-host-max-msg-len=<long> Para os protocolos TCP e SSL, esse parâmetro especifica o comprimento máximo de uma transmissão syslog antes do truncamento, em bytes. O comprimento máximo padrão para mensagens de host remoto é de 1 KiB. Você pode aumentar o comprimento máximo da mensagem para até 16 KiB. No entanto, aumentar esse valor acima de 1 KiB não garante que transmissões longas cheguem sem truncamento a um coletor syslog. Por exemplo, quando a infraestrutura syslog que emite uma mensagem é externa a ESXi.

A RFC 5426 define o comprimento máximo de transmissão de mensagens para o protocolo UDP como 480 bytes para IPV4 e 1180 bytes para IPV6.

Syslog.global.vsanBacking esxcli system syslog config set --vsan-backing=<bool> Permite que os arquivos de log e o diretório de armazenamento de registros de auditoria sejam colocados em um cluster vSAN. No entanto, a ativação desse parâmetro pode fazer com que o host ESXi pare de responder.

ESXi Locais do arquivo de log

ESXi registra a atividade do host em arquivos de log, usando um recurso syslog.

Tabela 3. ESXi Locais do arquivo de log
Componente Localização Finalidade
Autenticação /var/log/auth.log Contém todos os eventos relacionados à autenticação do sistema local.
ESXi log do agente do host /var/log/hostd.log Contém informações sobre o agente que gerencia e configura o host ESXi e suas máquinas virtuais.
Log de shell /var/log/shell.log Contém um registro de todos os comandos digitados no Shell ESXi e nos eventos de shell (por exemplo, quando o shell foi ativado).
Mensagens do sistema /var/log/syslog.log Contém todas as mensagens de log gerais e pode ser usado para solução de problemas. Essas informações anteriormente estavam localizadas no arquivo de log de mensagens.
vCenter Server log do agente /var/log/vpxa.log Contém informações sobre o agente que se comunica com vCenter Server (se o host for gerenciado por vCenter Server).
Máquinas virtuais O mesmo diretório que os arquivos de configuração da máquina virtual afetada, denominados vmware.log e vmware*.log. Por exemplo, /vmfs/volumes/datastore/virtual machine/vwmare.log Contém eventos de energia da máquina virtual, informações de falha do sistema, status e atividade das ferramentas, sincronização de hora, alterações de hardware virtual, migrações do vMotion, clones de máquina e assim por diante.
VMkernel /var/log/vmkernel.log Registra atividades relacionadas a máquinas virtuais e ESXi.
Resumo do VMkernel /var/log/vmksummary.log Usado para determinar as estatísticas de tempo de atividade e disponibilidade para ESXi (separados por vírgula).
Avisos do VMkernel /var/log/vmkwarning.log Registra atividades relacionadas a máquinas virtuais.
Quick Boot /var/log/loadESX.log Contém todos os eventos relacionados à reinicialização de um host ESXi por meio de Quick Boot.
Agente de infraestrutura confiável /var/run/log/kmxa.log Registra as atividades relacionadas ao Serviço do Cliente no ESXi Host Confiável.
Serviço de provedor de chaves /var/run/log/kmxd.log Registra atividades relacionadas ao vSphere Trust Authority Serviço de Provedor de Chaves.
Serviço de Atestado /var/run/log/attestd.log Registra atividades relacionadas ao Serviço de Atestado vSphere Trust Authority.
Serviço de token ESX /var/run/log/esxtokend.log Registra atividades relacionadas ao Serviço de Token vSphere Trust Authority ESX.
ESX Encaminhador de API /var/run/log/esxapiadapter.log Registra atividades relacionadas ao encaminhador de API vSphere Trust Authority.