日志文件是对攻击进行故障排除以及获取有关违反情况的信息的一个重要组件。在安全、集中式日志服务器上记录日志有助于防止日志篡改。远程日志记录也能提供长期的审核记录。
为了提高主机安全性,请采取下列措施
- 配置持久日志记录到数据存储。默认情况下,ESXi 主机上的日志存储在内存文件系统中。因此,当您重新引导主机时,日志将会丢失,并且仅存储 24 小时的日志数据。启用持久日志记录时,您将拥有主机的专用活动记录。
- 远程日志记录到中央主机允许您在中央主机上收集日志文件。在该主机中,使用一个工具即可监控所有主机,并可以执行汇总分析和搜索日志数据。这种方法有助于监控和揭示多个主机上协调攻击的相关信息。
- 使用 CLI(如 vCLI 或 PowerCLI)或使用 API 客户端在 ESXi 主机上配置远程安全 syslog。
- 查询 syslog 配置,确保 syslog 服务器和端口有效。
有关 syslog 设置的信息和 ESXi 日志文件的其他信息,请参见《vSphere 监控和性能》文档。