Os arquivos de log são um componente importante para solucionar problemas de ataques e obter informações sobre violações. O log em um servidor de log seguro e centralizado pode ajudar a evitar a violação de log. O log remoto também fornece um registro de auditoria de longo prazo.
Para aumentar a segurança do host, tome as seguintes medidas.
- Configure o log persistente em um armazenamento de dados. Por padrão, os logs em hosts ESXi são armazenados no sistema de arquivos na memória. Portanto, eles são perdidos quando você reinicializa o host e apenas 24 horas de dados de log são armazenados. Ao habilitar o log persistente, você tem um registro de atividade dedicado para o host.
- O log remoto em um host central permite coletar arquivos de log em um host central. A partir desse host, você pode monitorar todos os hosts com uma única ferramenta, fazer análises agregadas e pesquisar dados de log. Essa abordagem facilita o monitoramento e revela informações sobre ataques coordenados em vários hosts.
- Configure o syslog remoto seguro em hosts ESXi usando ESXCLI ou PowerCLI, ou usando um cliente de API.
- Consulte a configuração do syslog para garantir que o servidor e a porta do syslog sejam válidos.
Consulte a documentação do vSphere Monitoramento e desempenho para obter informações sobre a configuração do syslog e para obter informações adicionais sobre arquivos de log do ESXi.
Configurar Syslog em hosts ESXi
Você pode usar o comando vSphere Client, VMware Host Client ou esxcli system syslog para configurar o serviço syslog.
Para obter informações sobre como usar o comando esxcli system syslog e outros comandos ESXCLI, consulte Introdução ao ESXCLI. Para obter detalhes sobre como abrir o firewall ESXi para a porta especificada em cada especificação de host remoto, consulte Configurando o firewall ESXi .
Procedimento
- Procure o host no inventário vSphere Client.
- Clique em Configurar (Configure).
- Em Sistema (System), clique em Configurações avançadas do sistema (Advanced System Settings).
- Clique em Editar (Edit).
- Filtre por syslog.
- Para configurar o log globalmente e definir várias configurações avançadas, consulte ESXi Opções de syslog.
- (Opcional) Para substituir o tamanho e a rotação de log padrão para qualquer um dos logs:
- Clique no nome do log que você deseja personalizar.
- Insira o número de rotações e o tamanho do log desejados.
- Clique em OK.
Resultados
As alterações nas opções de syslog entram em vigor.
Observação: As configurações do parâmetro syslog que você define usando vSphere Client ou VMware Host Client entram em vigor imediatamente. No entanto, a maioria das configurações que você define usando o ESXCLI exige que um comando adicional entre em vigor. Para obter mais detalhes, consulte
ESXi Opções de syslog.
ESXi Opções de syslog
Você pode definir o comportamento de ESXi arquivos syslog e transmissões usando um conjunto de opções de syslog.
Além das configurações básicas, como Syslog.global.logHost, a partir do ESXi 7.0 Atualização 1, uma lista de opções avançadas está disponível para personalizações e conformidade com o NIAP.
Observação: Todas as configurações de registro de auditoria, começando com
Syslog.global.auditRecord, entram em vigor imediatamente. No entanto, para outras configurações que você define usando o ESXCLI, certifique-se de executar o comando
esxcli system syslog reload para ativar as alterações.
| Opção | Comando ESXCLI | Descrição |
|---|---|---|
| Syslog.global.logHost | esxcli system syslog config set --loghost=<str> |
Define uma lista delimitada por vírgulas de hosts remotos e especificações para transmissões de mensagens. Se o campo loghost=<str> estiver em branco, nenhum log será encaminhado. Embora não exista um limite rígido para o número de hosts remotos para receber mensagens syslog, a boa prática é manter o número de hosts remotos em cinco ou menos. O formato de uma especificação de host remoto é: protocol://hostname|ipv4|'['ipv6']'[:port]. O protocolo deve ser TCP, UDP ou SSL. O valor de uma porta pode ser qualquer número decimal de 1 a 65535. Se uma porta não for fornecida, o SSL e o TCP usarão 1514. O UDP usa 514. Por exemplo: ssl://hostName1:1514. |
| Syslog.global.defaultRotate | esxcli system syslog config set --default-rotate=<long> | Número máximo de arquivos de log antigos a serem mantidos. Você pode definir esse número globalmente e para subloggers individuais (consulte Syslog.global.defaultSize). |
| Syslog.global.defaultSize | esxcli system syslog config set --default-size=<long> | Tamanho padrão dos arquivos de log, em KiB. Depois que um arquivo atinge o tamanho padrão, o serviço syslog cria um novo arquivo. Você pode definir esse número globalmente e para subloggers individuais. |
| Syslog.global.logDir | esxcli system syslog config set --logdir=<str> | Diretório onde os logs residem. O diretório pode estar em volumes NFS ou VMFS montados. Somente o diretório /scratch no sistema de arquivos local é persistente nas reinicializações. Especifique o diretório como [datastorename] path_to_file, em que o caminho é relativo à raiz do volume que suporta o armazenamento de dados. Por exemplo, o caminho [storage1] /systemlogs é mapeado para o caminho /vmfs/volumes/storage1/systemlogs. |
| Syslog.global.logDirUnique | esxcli system syslog config set --logdir-unique=<bool> | Especifica o nome do host ESXi a ser concatenado com o valor de Syslog.global.logDir. É essencial que você ative essa configuração quando vários hosts ESXi fizerem login em um sistema de arquivos compartilhado. A seleção dessa opção cria um subdiretório com o nome do host ESXi no diretório especificado por Syslog.global.LogDir. Um diretório exclusivo será útil se o mesmo diretório NFS for usado por vários hosts ESXi. |
| Syslog.global.certificate.checkSSLCerts | esxcli system syslog config set --check-ssl-certs=<bool> | Impõe a verificação de certificados SSL ao transmitir mensagens para hosts remotos. |
| Opção | Comando ESXCLI | Descrição |
|---|---|---|
| Syslog.global.auditRecord.storageCapacity | esxcli system auditrecords local set --size=<long> | Especifica a capacidade do diretório de armazenamento de registros de auditoria localizado no host ESXi, no MiB. Você não pode diminuir a capacidade do armazenamento de registros de auditoria. Você pode aumentar a capacidade antes ou depois da ativação do armazenamento de registros de auditoria (consulte Syslog.global.auditRecord.storageEnable). |
| Syslog.global.auditRecord.remoteEnable | esxcli system auditrecords remote enable | Habilita o envio de registros de auditoria para hosts remotos. Os hosts remotos são especificados usando o parâmetro Syslog.global.logHost. |
| Syslog.global.auditRecord.storageDirectory | esxcli system auditrecords local set --directory=<dir> | Especifica o local do diretório de armazenamento do registro de auditoria. Você não pode alterar o diretório de armazenamento de registros de auditoria enquanto o armazenamento de registros de auditoria estiver ativado (consulte Syslog.global.auditRecord.storageEnable). |
| Syslog.global.auditRecord.storageEnable | esxcli system auditrecords local enable | Habilita o armazenamento de registros de auditoria em um host ESXi. Se o diretório de armazenamento de registros de auditoria não existir, ele será criado com a capacidade especificada por Syslog.global.auditRecord.storageCapacity. |
| Syslog.global.certificate.checkCRL | esxcli system syslog config set --crl-check=<bool> | Habilita a verificação do status de revogação de todos os certificados em uma cadeia de certificados SSL. Habilita a verificação de CRLs X.509, que não são verificadas por padrão em conformidade com as convenções do setor. Uma configuração validada pelo NIAP requer verificações de CRL. Devido a limitações de implementação, se as verificações de CRL estiverem ativadas, todos os certificados em uma cadeia de certificados deverão fornecer um link de CRL. Não ative a opção crl-check para instalações não relacionadas à certificação, devido à dificuldade em configurar corretamente um ambiente que usa verificações de CRL. |
| Syslog.global.certificate.strictX509Compliance | esxcli system syslog config set --x509-strict=<bool> | Habilita a estrita conformidade com o X.509. Executa verificações de validade adicionais nos certificados raiz da CA durante a verificação. Essas verificações geralmente não são realizadas, pois as raízes da autoridade de certificação são inerentemente confiáveis e podem causar incompatibilidades com raízes de autoridade de certificação existentes e mal configuradas. Uma configuração validada pelo NIAP requer que até mesmo as raízes da autoridade de certificação sejam aprovadas nas validações. Não ative a opção x509-strict para instalações não relacionadas à certificação, devido à dificuldade em configurar corretamente um ambiente que usa verificações de CRL. |
| Syslog.global.droppedMsgs.fileRotate | esxcli system syslog config set --drop-log-rotate=<long> | Especifica o número de arquivos de log de mensagens descartados antigos a serem mantidos. |
| Syslog.global.droppedMsgs.fileSize | esxcli system syslog config set --drop-log-size=<long> | Especifica o tamanho de cada arquivo de log de mensagens descartado antes de alternar para um novo, em KiB. |
| Syslog.global.logCheckSSLCerts | esxcli system syslog config set --check-ssl-certs=<bool> | Impõe a verificação de certificados SSL ao transmitir mensagens para hosts remotos.
Observação: Obsoleto. Use
Syslog.global.certificate.checkSSLCerts no ESXi 7.0 Atualização 1 e posterior.
|
| Syslog.global.logFilters | esxcli system syslog logfile [add | remove | set] ... | Especifica uma ou mais especificações de filtragem de log. Cada filtro de log deve ser separado por uma barra vertical dupla "||". O formato de um filtro de log é: numLogs | ident | logRegexp. numLogs define o número máximo de entradas de log para as mensagens de log especificadas. Depois de atingir esse número, as mensagens de log especificadas são filtradas e ignoradas. ident especifica um ou mais componentes do sistema para aplicar o filtro às mensagens de log que esses componentes geram. logRegexp especifica uma frase que diferencia maiúsculas de minúsculas com a sintaxe de expressão regular do Python para filtrar as mensagens de log por seu conteúdo. |
| Syslog.global.logFiltersEnable | Habilita o uso de filtros de log. | |
| Syslog.global.logLevel | esxcli system syslog config set --log-level=<str> | Especifica o nível de filtragem de log. Você deve alterar esse parâmetro somente ao solucionar um problema com o daemon syslog. Você pode usar os valores debug para o nível mais detalhado, info para o nível de detalhe padrão, warning apenas para avisos ou erros ou error, apenas para erros. |
| Syslog.global.msgQueueDropMark | esxcli system syslog config --queue-drop-mark=<long>) | Especifica a porcentagem da capacidade da fila de mensagens na qual as mensagens são descartadas. |
| Syslog.global.remoteHost.connectRetryDelay | esxcli system syslog config set --default-timeout=<long> | Especifica o atraso antes de tentar se conectar a um host remoto após uma falha na tentativa de conexão, em segundos. |
| Syslog.global.remoteHost.maxMsgLen | esxcli system syslog config set --remote-host-max-msg-len=<long> | Para os protocolos TCP e SSL, esse parâmetro especifica o comprimento máximo de uma transmissão syslog antes do truncamento, em bytes. O comprimento máximo padrão para mensagens de host remoto é de 1 KiB. Você pode aumentar o comprimento máximo da mensagem para até 16 KiB. No entanto, aumentar esse valor acima de 1 KiB não garante que transmissões longas cheguem sem truncamento a um coletor syslog. Por exemplo, quando a infraestrutura syslog que emite uma mensagem é externa a ESXi. A RFC 5426 define o comprimento máximo de transmissão de mensagens para o protocolo UDP como 480 bytes para IPV4 e 1180 bytes para IPV6. |
| Syslog.global.vsanBacking | esxcli system syslog config set --vsan-backing=<bool> | Permite que os arquivos de log e o diretório de armazenamento de registros de auditoria sejam colocados em um cluster vSAN. No entanto, a ativação desse parâmetro pode fazer com que o host ESXi pare de responder. |
ESXi Locais do arquivo de log
ESXi registra a atividade do host em arquivos de log, usando um recurso syslog.
| Componente | Localização | Finalidade |
|---|---|---|
| Autenticação | /var/log/auth.log | Contém todos os eventos relacionados à autenticação do sistema local. |
| ESXi log do agente do host | /var/log/hostd.log | Contém informações sobre o agente que gerencia e configura o host ESXi e suas máquinas virtuais. |
| Log de shell | /var/log/shell.log | Contém um registro de todos os comandos digitados no Shell ESXi e nos eventos de shell (por exemplo, quando o shell foi ativado). |
| Mensagens do sistema | /var/log/syslog.log | Contém todas as mensagens de log gerais e pode ser usado para solução de problemas. Essas informações anteriormente estavam localizadas no arquivo de log de mensagens. |
| vCenter Server log do agente | /var/log/vpxa.log | Contém informações sobre o agente que se comunica com vCenter Server (se o host for gerenciado por vCenter Server). |
| Máquinas virtuais | O mesmo diretório que os arquivos de configuração da máquina virtual afetada, denominados vmware.log e vmware*.log. Por exemplo, /vmfs/volumes/datastore/virtual machine/vwmare.log | Contém eventos de energia da máquina virtual, informações de falha do sistema, status e atividade das ferramentas, sincronização de hora, alterações de hardware virtual, migrações do vMotion, clones de máquina e assim por diante. |
| VMkernel | /var/log/vmkernel.log | Registra atividades relacionadas a máquinas virtuais e ESXi. |
| Resumo do VMkernel | /var/log/vmksummary.log | Usado para determinar as estatísticas de tempo de atividade e disponibilidade para ESXi (separados por vírgula). |
| Avisos do VMkernel | /var/log/vmkwarning.log | Registra atividades relacionadas a máquinas virtuais. |
| Quick Boot | /var/log/loadESX.log | Contém todos os eventos relacionados à reinicialização de um host ESXi por meio de Quick Boot. |
| Agente de infraestrutura confiável | /var/run/log/kmxa.log | Registra as atividades relacionadas ao Serviço do Cliente no ESXi Host Confiável. |
| Serviço de provedor de chaves | /var/run/log/kmxd.log | Registra atividades relacionadas ao vSphere Trust Authority Serviço de Provedor de Chaves. |
| Serviço de Atestado | /var/run/log/attestd.log | Registra atividades relacionadas ao Serviço de Atestado vSphere Trust Authority. |
| Serviço de token ESX | /var/run/log/esxtokend.log | Registra atividades relacionadas ao Serviço de Token vSphere Trust Authority ESX. |
| ESX Encaminhador de API | /var/run/log/esxapiadapter.log | Registra atividades relacionadas ao encaminhador de API vSphere Trust Authority. |
