I file di registro sono un componente importante per la risoluzione dei problemi degli attacchi e per ottenere informazioni sulle violazioni. La registrazione in un server di registro centralizzato e sicuro può impedire la manomissione dei registri. La registrazione remota fornisce anche un record di controllo a lungo termine.
Per aumentare la sicurezza dell'host, adottare le seguenti misure.
- Configurare la registrazione persistente in un datastore. Per impostazione predefinita, i registri degli host ESXi vengono archiviati nel file system in memoria. Pertanto, andranno persi quando si riavvia l'host e vengono archiviate solo 24 ore di dati del registro. Quando si abilita la registrazione persistente, si dispone di un record di attività dedicato per l'host.
- La registrazione remota in un host centrale consente di raccogliere i file di registro in un host centrale. Da tale host, è possibile monitorare tutti gli host con un singolo strumento, eseguire l'analisi aggregata e cercare i dati del registro. Questo approccio facilita il monitoraggio e rivela informazioni sugli attacchi coordinati a più host.
- Configurare il syslog sicuro remoto negli host ESXi utilizzando ESXCLI o PowerCLI oppure utilizzando un client API.
- Eseguire una query sulla configurazione di syslog per assicurarsi che il server e la porta syslog siano validi.
Consultare la documentazione di Monitoraggio e prestazioni di vSphere per informazioni sulla configurazione di syslog e per ulteriori informazioni sui file di registro di ESXi.
