VMware ESXi syslog イベントをリモートのLinuxサーバにストアすることは災害時には役立ちます。
例えばセキュリティ侵害が起こったときに、何が悪かったのかを分析することは重要なことです。VMware ESXiはネットワーク・インターフェイスの状況やSAN(Storage Area Network)への接続の変化などの重要なイベントの情報をsyslogへ記録します。これらのESXi syslogイベントを検証することで、ユーザの仮想環境での問題を調べることができます。
しかし、もしVMware ESXi syslogイベントが生成された同じサーバ上でストアされていた場合には侵害を受けている間では重要な情報をアクセスすることができません。これはsyslogメッセージをリモート・サーバを使用して外部にストアすることは安全なログ・インフラには重要なことです。ちょっとした追加のハードウェア、ソフトウェア、ESXi hypervisorへの微調整で、低価格で、リモートLinuxサーバへVMware ESXi syslogイベントを記録することができます。
●ESXi syslogイベントをリモートLinuxサーバへの設定:
デフォルトではsyslogはホスト自体のESXiログに保存されます。外部ログ・ホストの設定が望ましく、Linuxはそのサーバとして便利なプラットフォームです。Linuxには色々な選択がありますが、特にどのLinuxでもログ・ホストとして利用できます。ここではOpenSUSEを使用します。
OpenSUSEのデフォルトでのインストール後に、OpenSUSEで稼動するログ・サーバ、rsyslogd を設定する必要があります。最初に他のホストからログ・メッセージを受け取るためにsyslogを設定し、ログ・ファイルをTCP(Transmission Control Protocol)か、UDP(User Datagram Protocol)のどちら経由で受け取るのかを選択します。デフォルトでは rsyslogd は転送メカニズムとしてUDPを使用します。もし使用するネットワークが信頼性のあるものであれば、それで充分です。しかしログ・メッセージを送るネットワークがパケット・ロスのリスクのある信頼性の低いネットワークであればTCPの方がログ・ホストへのメッセージ転送の確実性ではよりよい選択になります。
syslogホストでのUDPでのログ受け取りを確認するにはgedit、viなどのエディタで
etc/rsyslog.d/remote.conf の設定ファイルをオープンします。
次のラインがファイルの最初に含まれていることを確認します。
$ModLoad imudp.so
$UDPServerRun 514
これで、リモートのLinuxサーバ上のrsyslogを有効にしたので、それを再起動します。これを行うには、コマンドサービスを使用してrsyslogdの再起動を行います。次に、設定されたばかりのリモートLinuxサーバへのsyslogイベントを送信するようにESXiホストを設定します。
ソース:SearchVMware
関連トピックス:
- ESXiのシステムログ作成場所の変更手順【仮想化プラットホーム VMware vSphere】
- VMware ESXi syslog設定を中央管理ログへコンフィグレーション
- ESXiコンソール テック・サポート・モード(tech support mode)
- vSphere CLI コマンド(vmware-cmd)【仮想化プラットホーム VMware vSphere】
- コマンドでのストレージの状態の確認方法【仮想化プラットホーム VMware vSphere】
- VMware vSphere 5でのトップ5セキュリティ機能
- VMware vSphere 5アップデート/インストール参考サイト【VMware vSphere 5】
- Linux仮想マシンでVMware Toolsではなくopen-vm-toolsを使う
RSSフィードを取得する
