Les fichiers journaux constituent un élément important dans le dépannage des attaques et l'obtention d'informations relatives aux failles. Une journalisation effectuée sur un serveur dédié centralisé et sécurisé peut contribuer à éviter la falsification des journaux. La journalisation à distance fournit également un enregistrement des contrôles à long terme.
Pour renforcer la sécurité de l'hôte, prenez les mesures suivantes
- Configurez la journalisation permanente d'une banque de données. Les journaux des hôtes ESXi sont stockés par défaut dans le système de fichiers en mémoire. Par conséquent, ils sont perdus lorsque vous redémarrez l'hôte et seules 24 heures de données de journalisation sont stockées. Lorsque vous activez la journalisation permanente, vous obtenez un enregistrement dédié de l'activité de l'hôte.
- La connexion à distance à un hôte central vous permet de rassembler les fichiers journaux sur celui-ci. À partir de cet hôte, vous pouvez surveiller tous les hôtes à l'aide d'un outil unique, effectuer une analyse regroupée et rechercher des données dans les journaux. Cette approche facilite la surveillance et révèle des informations sur les attaques coordonnées sur plusieurs hôtes.
- Configurez le protocole syslog sécurisé à distance sur les hôtes ESXi en utilisant une interface de ligne de commande comme vCLI ou PowerCLI ou une API de client.
- Effectuez une requête dans la configuration syslog pour vous assurer que le serveur et le port syslog sont valides.
Pour des informations sur la configuration du protocole syslog, reportez à la documentation Surveillance et performances de vSphere sur les fichiers journaux ESXi.
