Protokolldateien sind eine wichtige Komponente bei der Fehlersuche nach Angriffen und für die Suche nach Informationen über Sicherheitsverletzungen. Das Protokollieren auf einem sicheren, zentralen Protokollserver kann die Manipulation von Protokollen verhindern. Die Remoteprotokollierung bietet auch eine Möglichkeit zur Führung langfristiger Prüfungsaufzeichnungen.
Treffen Sie folgende Maßnahmen, um die Sicherheit des Hosts zu erhöhen.
- Konfigurieren Sie die dauerhafte Protokollierung in einem Datenspeicher. Standardmäßig werden die Protokolldateien auf ESXi-Hosts im speicherresidenten Dateisystem gespeichert. Sie gehen daher verloren, wenn Sie den Host neu starten, und Protokolldaten werden nur für 24 Stunden gespeichert. Wenn Sie die dauerhafte Protokollierung aktivieren, verfügen Sie über eine dedizierte Aufzeichnung der Aktivitäten für den Host.
- Mithilfe der Remoteprotokollierung auf einem zentralen Host können Sie Protokolldateien auf einem zentralen Host speichern. Über diesen Host können Sie alle Hosts mit einem einzigen Tool überwachen, zusammenfassende Analysen durchführen und Protokolldaten durchsuchen. Diese Vorgehensweise vereinfacht die Überwachung und macht Informationen zu koordinierten Angriffen auf mehreren Hosts verfügbar.
- Konfigurieren Sie das Remotesicherheits-Syslog auf ESXi-Hosts mithilfe von ESXCLI oder PowerCLI oder mithilfe eines API-Clients.
- Führen Sie eine Abfrage der Syslog-Konfiguration durch, um sicherzustellen, dass der Syslog-Server und der Port gültig sind.
In der Dokumentation vSphere-Überwachung und -Leistung finden Sie Informationen zum Syslog-Setup sowie zusätzliche Informationen zu ESXi-Protokolldateien.