一連の Syslog オプションを使用して、ESXi Syslog ファイルと転送の動作を定義することができます。
ESXi 7.0 Update 1 以降では、Syslog.global.logHost などの基本設定とは別に、カスタマイズおよび NIAP コンプライアンス用の一連の詳細オプションを使用できます。
注: 監査レコード パラメータまたは
Syslog.global.logDir パラメータのいずれかを設定する前には、常にパーシステント ストレージを構成してください。
注:
Syslog.global.auditRecord 以降のすべての監査レコード設定がすぐに有効になります。ただし、ESXCLI を使用して定義された他の設定については、
esxcli system syslog reload コマンドを実行して変更を有効にするようにしてください。
| オプション | ESXCLI コマンド | 説明 |
|---|---|---|
| Syslog.global.logHost | esxcli system syslog config set --loghost=<str> |
リモート ホストのカンマ区切りリストとメッセージ転送の仕様を定義します。loghost=<str> フィールドが空白の場合、ログは転送されません。Syslog メッセージを受信するリモート ホストの数にハード制限はありませんが、リモート ホストの数は 5 台以下にすることを推奨します。リモート ホストの仕様の形式は、protocol://hostname|ipv4|'['ipv6']'[:port] です。プロトコルは、TCP、UDP、または SSL のいずれかにする必要があります。ポートの値には、1 ~ 65,535 の任意の 10 進数を指定できます。ポートが指定されていない場合、SSL と TCP では 1514 が使用されます。UDP では 514 が使用されます。たとえば、ssl://hostName1:1514 です。 |
| Syslog.global.defaultRotate | esxcli system syslog config set --default-rotate=<long> | 古いログ ファイルの最大保持数。この数字はグローバルに、また個別のサブロガーについて設定できます(Syslog.global.defaultSize を参照してください)。 |
| Syslog.global.defaultSize | esxcli system syslog config set --default-size=<long> | ログ ファイルのデフォルト サイズ(KiB 単位)。ファイルがデフォルト サイズに達すると、Syslog サービスによって新しいファイルが作成されます。この数字はグローバルに、また個別のサブロガーについて設定できます。 |
| Syslog.global.logDir | esxcli system syslog config set --logdir=<str> | ログが配置されたディレクトリ。ディレクトリは、マウントされた NFS または VMFS ボリュームに配置できます。リブート後も変わらないのは、ローカル ファイル システムの /scratch ディレクトリのみです。ディレクトリを [datastorename] path_to_file と指定します。ここで、パスはデータストアをバッキングするボリュームのルートへの相対パスです。例えば、パスの [storage1] /systemlogs はパスの /vmfs/volumes/storage1/systemlogs にマッピングします。 |
| Syslog.global.logDirUnique | esxcli system syslog config set --logdir-unique=<bool> | Syslog.global.logDir の値に連結する ESXi ホスト名を指定します。複数の ESXi ホストのログが共有ファイル システムに記録される場合は、この設定を有効にすることが重要です。このオプションを選択すると、ESXi ホストの名前を持つサブディレクトリを [Syslog.global.LogDir] で指定されるディレクトリの下に作成します。同一の NFS ディレクトリが複数の ESXi ホストによって使用される場合、固有のディレクトリを作成しておくと便利です。 |
| Syslog.global.certificate.checkSSLCerts | esxcli system syslog config set --check-ssl-certs=<bool> | リモート ホストへのメッセージの転送時に SSL 証明書の確認を実施します。 |
| オプション | ESXCLI コマンド | 説明 |
|---|---|---|
| Syslog.global.auditRecord.storageCapacity | esxcli system auditrecords local set --size=<long> | ESXi ホストにある監査レコード ストレージ ディレクトリの容量を MiB 単位で指定します。監査レコード ストレージの容量を減らすことはできません。監査レコード ストレージが有効になる前または後に、ストレージの容量を増やすことが実行できます(Syslog.global.auditRecord.storageEnable 参照)。 |
| Syslog.global.auditRecord.remoteEnable | esxcli system auditrecords remote enable | リモート ホストへの監査レコードの転送を有効にします。リモート ホストは、Syslog.global.logHost パラメータを使用して指定します。 |
| Syslog.global.auditRecord.storageDirectory | esxcli system auditrecords local set --directory=<dir> | 監査レコード ストレージ ディレクトリを作成します。指定がなければ /scratch/auditLog がデフォルトの場所として設定されます。監査レコード ストレージ ディレクトリは手動で作成しないでください。また、監査レコード ストレージが有効になっている間は、監査レコード ストレージ ディレクトリを変更できません(Syslog.global.auditRecord.storageEnable を参照)。 |
| Syslog.global.auditRecord.storageEnable | esxcli system auditrecords local enable | ESXi ホストで監査レコードのストレージを有効にします。監査レコード ストレージ ディレクトリが存在しない場合は、Syslog.global.auditRecord.storageCapacity で指定された容量で作成されます。 |
| Syslog.global.certificate.checkCRL | esxcli system syslog config set --crl-check=<bool> | SSL 証明書チェーン内のすべての証明書の失効ステータスの確認を有効にします。 X.509 CRL の検証を有効にします。この CRL 検証は、業界の規則に従ってデフォルトでチェックされることはありません。NIAP で検証された構成の場合は、CRL チェックが必要です。実装上の制限により、CRL チェックが有効になっている場合は、証明書チェーン内のすべての証明書が CRL リンクを提供する必要があります。 CRL チェックを使用する環境を適切に構成するのは困難なため、証明に関連しないインストール環境の場合は、crl-check オプションを有効にしないでください。 |
| Syslog.global.certificate.strictX509Compliance | esxcli system syslog config set --x509-strict=<bool> | X.509 への厳密なコンプライアンスを有効にします。検証中に CA ルート証明書に対して追加の妥当性チェックを実行します。これらのチェックは一般に実行されません。CA ルートは本来信頼されるものであり、構成に誤りのある既存の CA ルートとの互換性が失われる可能性があるためです。NIAP で検証された構成の場合は、CA ルートも検証に合格する必要があります。 CRL チェックを使用する環境を適切に構成するのは困難なため、証明に関連しないインストール環境の場合は、x509-strict オプションを有効にしないでください。 |
| Syslog.global.droppedMsgs.fileRotate | esxcli system syslog config set --drop-log-rotate=<long> | ドロップされた古いメッセージ ログ ファイルの保持数を指定します。 |
| Syslog.global.droppedMsgs.fileSize | esxcli system syslog config set --drop-log-size=<long> | ドロップされた各メッセージ ログ ファイルが新しいログ ファイルに切り替わるサイズ(KiB 単位)を指定します。 |
| Syslog.global.logCheckSSLCerts | esxcli system syslog config set --check-ssl-certs=<bool> | リモート ホストへのメッセージの転送時に SSL 証明書の確認を実施します。
注: 廃止されました。ESXi 7.0 Update 1 以降では
Syslog.global.certificate.checkSSLCerts を使用します。
|
| Syslog.global.logFilters | esxcli system syslog config logfilter [add | remove | set] ... | 1 つ以上のログ フィルタリング仕様を指定します。各ログ フィルタは、二重の縦棒「||」で区切る必要があります。ログ フィルタの形式は、numLogs | ident | logRegexp です。numLogs では、指定したログ メッセージの最大ログ エントリ数を設定します。この数に達すると、指定したログ メッセージがフィルタリングされて無視されます。ident では、1 つ以上のシステム コンポーネントを指定し、これらのコンポーネントで生成されるログ メッセージにフィルタを適用します。logRegexp では、Python 正規表現構文を使用して大文字と小文字を区別する語句を指定し、ログ メッセージを内容でフィルタリングします。 |
| Syslog.global.logFiltersEnable | ログ フィルタの使用を有効にします。 | |
| Syslog.global.logLevel | esxcli system syslog config set --log-level=<str> | ログ フィルタリング レベルを指定します。このパラメータを変更する必要があるのは、Syslog デーモンの問題をトラブルシューティングする場合のみです。debug 値は最も詳細なレベル、info 値はデフォルトの詳細レベル、warning 値は警告またはエラーの場合のみ、error 値はエラーの場合のみ使用できます。 |
| Syslog.global.msgQueueDropMark | esxcli system syslog config --queue-drop-mark=<long>) | メッセージのドロップが開始されるメッセージ キューの容量の割合を指定します。 |
| Syslog.global.remoteHost.connectRetryDelay | esxcli system syslog config set --default-timeout=<long> | 接続の試行が失敗してからリモート ホストへの接続を再試行するまでの遅延時間を秒単位で指定します。 |
| Syslog.global.remoteHost.maxMsgLen | esxcli system syslog config set --remote-host-max-msg-len=<long> | TCP および SSL プロトコルの場合、このパラメータは、切り詰める前の Syslog 転送の最大長をバイト単位で指定します。リモート ホスト メッセージのデフォルトの最大長は 1 KiB です。メッセージの最大長を最大 16 KiB まで増やすことができます。ただし、この値を 1 KiB より大きい値にしても、長い転送が切り詰められないで Syslog コレクタに到着するとは限りません。たとえば、メッセージを発行する Syslog インフラストラクチャが ESXi の外部にある場合などです。 この設定は、UDP プロトコルには影響しません。RFC 5426 は、UDP プロトコルの最大メッセージ転送長を、IPV4 の場合は 480 バイト、IPV6 の場合は 1,180 バイトに設定します。この制限のため、また、UDP パケットはネットワーク インフラストラクチャによって予期せずドロップされる可能性があるため、重要な Syslog メッセージの転送に UDP を使用することは推奨されません。 |
| Syslog.global.vsanBacking | esxcli system syslog config set --vsan-backing=<bool> | ログ ファイルと監査レコード ストレージ ディレクトリを vSAN クラスタに配置できるようにします。ただし、このパラメータを有効にすると、ESXi ホストが応答しなくなる可能性があります。 |
