日志文件是对攻击进行故障排除和获取有关违反主机安全的信息的一个重要组件。在安全、集中式日志服务器上记录日志有助于防止日志篡改。远程日志记录也能提供长期的审核记录。

采取下列措施来提高主机的安全性。

  • 配置持久日志记录到数据存储。默认情况下,ESXi 主机上的日志存储在内存文件系统中。因此,当您重新引导主机时,日志将会丢失,并且仅存储 24 小时的日志数据。当启用持久日志记录时,您将会有专用的服务器活动记录用于主机。

  • 中央主机上的远程日志记录可让您将日志文件收集到中央主机上,其中您使用单一工具便能监控所有主机。您也可以执行汇总分析和搜索日志数据,这可能会泄漏某些信息,例如对多个主机的协同攻击。

  • 使用远程命令行(例如 vCLI 或 PowerCLI)或使用 API 客户端在 ESXi 主机上配置远程安全 syslog。

  • 查询 syslog 配置以确保配置了有效的 syslog 服务器,包括正确的端口。