Les fichiers journaux constituent un élément important dans le dépannage des attaques et l'obtention d'informations relatives aux failles de sécurité de l'hôte. Une journalisation effectuée sur un serveur dédié centralisé et sécurisé peut contribuer à éviter la falsification des journaux. La journalisation à distance fournit également un enregistrement des contrôles à long terme.

Prenez les mesures suivantes pour renforcer la sécurité de l'hôte.

  • Configurez la journalisation permanente d'une banque de données. Les journaux des hôtes ESXi sont stockés par défaut dans le système de fichiers in-memory. Par conséquent, ils sont perdus lorsque vous redémarrez l'hôte et seules 24 heures de données de journalisation sont stockées. Lorsque vous activez la journalisation permanente, vous obtenez un enregistrement dédié de l'activité du serveur, disponible pour l'hôte.

  • La journalisation à distance vers un hôte central vous permet de collecter des fichiers journaux sur un hôte central, où vous pouvez surveiller tous les hôtes à l'aide d'un outil unique. Vous pouvez également effectuer une analyse cumulée et une recherche de données de journalisation, pouvant révéler des informations concernant des choses comme des attaques coordonnées sur plusieurs hôtes.

  • Configurez un syslog à distance sécurisé sur les hôtes ESXi utilisant une ligne de commande distante (comme vCLI ou PowerCLI) ou une API client.

  • Interrogez la configuration syslog pour vous assurer qu'un serveur syslog valide a été configuré, y compris le port correct.