نحوه فعالسازی لاگ ESXi
ESXi یکی از اجزای اصلی مجموعه نرم افزارهای VMware از نوع Hypervisor1 است، به این معنی که بدون نیاز به سیستم عامل مستقیما روی سخت افزار اجرا میشود.
به منظور فعالسازی لاگهای ESXi، ابتدا پس از ورود به محیط وب کنسول روی آیکن تنظیمات مطابق تصویر زیر کلیک میکنیم.
سپس از منوی System، روی گزینه Advance Settings کلیک کرده و عبارت Syslog را در کادر جستجو وارد میکنیم تا لیست لاگهای Syslog نمایش داده شود.
گزینههای Syslog از بهروزرسانی ESXi 7.0 1
- global.auditRecord.storageCapacity : این گزینه ظرفیت دایرکتوری ذخیره رکورد audit واقع در میزبان ESXi را برحسب MiB مشخص میکند. امکان کاهش ظرفیت ذخیره سازی audit وجود ندارد، اما میتوانید قبل یا بعد از فعال شدن ذخیرهسازی، ظرفیت را افزایش دهید.
- global.auditRecord.remoteEnable: این گزینه، ارسال رکوردهای audit را به سمت هاست راهدور فعال میکند. هاست راهدور با استفاده از پارامتر Syslog.global.logHost مشخص میشود.
- global.auditRecord.storageDirectory: این گزینه محل دایرکتوری ذخیره لاگهای audit را مشخص میکند. در صورتیکه دایرکتوری ذخیره رکوردها فعال است، نمیتوانید دایرکتوری را تغییر دهید.
- global.auditRecord.storageEnable: این گزینه ذخیره سازی رکوردهای audit را روی ESXi فعال میکند. در صورتیکه دایرکتوری ذکر شده وجود نداشته باشد، توسط گزینه Syslog.global.auditRecord.storageCapacity دایرکتوری با ظرفیت مشخصی ایجاد میگردد.
- global.logFilters : این گزینه مشخصات فیلتر ورود به سیستم را مشخص میکند. هر فیلتر لاگ با “||” از هم جدا میشود. فرمت یک فیلتر log به صورت زیر است:
شماره لاگ | شناسه | logRegexp
- شماره لاگ، حداکثر تعداد ورودیهای لاگ را برای پیامهای لاگ مشخص شده تنظیم میکند. پس از رسیدن به این عدد، پیامهای ثبت مشخص شده فیلتر شده و نادیده گرفته میشوند.
- ident یا شناسه، یک یا چند جزء سیستم را برای اعمال فیلتر بر روی پیامهای لاگی که این مؤلفهها تولید میکنند، مشخص میکند.
- logRegexp یک عبارت حساس به حروف بزرگ و کوچک را مشخص میکند تا پیامهای گزارش را بر اساس محتوای آنها فیلتر کند.
- global.logFiltersEnable : استفاده از فیلترهای لاگ را فعال میکند.
- global.logLevel : در این قسمت، جهت تعیین سطح لاگگیری گزینه Syslog.global.loglevel را انتخاب کرده و مطابق تصویر زیر، گزینه Warning که لاگ تمامی Warring ها و Errorهایی که در ESXI رخ میدهد را شامل میشود، انتخاب کرده و Save میکنیم.
- global.remoteHost.connectRetryDelay: تأخیر قبل از تلاش مجدد برای اتصال به میزبان راه دور پس از شکست تلاش برای اتصال را در چند ثانیه مشخص میکند.
- global.remoteHost.maxMsgLen: برای پروتکلهای TCP و SSL، این پارامتر حداکثر طول انتقال Syslog را قبل از اجرا، بر حسب بایت مشخص میکند. حداکثر طول پیشفرض برای پیامهای میزبان راه دور 1 کیلوبایت است. میتوانید حداکثر طول پیام را تا 16 کیلوبایت افزایش دهید. با این حال، بالا بردن این مقدار به بالای 1 کیلوبایت تضمین نمیکند که ارسالهای طولانی بدون کوتاهی به یک جمع کننده Syslog میرسند.
نکته: RFC 5426 حداکثر طول انتقال پیام را برای پروتکل UDP روی 480 بایت برای IPV4 و 1180 بایت برای IPV6 تنظیم میکند.
پیکربندی فایروال ESXi
در مرحله بعد، نیاز است که Firewall سرور ESXi را به منظور برقراری ارتباطات پیکربندی کنیم. به این منظور در محیط وب کنسول، روی آیکن Network کلیک میکنیم.
سپس از منوی Firewall rules، گزینه Syslog را انتخاب مینماییم. سپس روی گزینهی Edit setting کلیک کرده و در نهایت رنج IP یا تک IP هایی که قرار است ارتباط آنها برقرار شود را وارد میکنیم.
نیاز به راهاندازی مرکز عملیات امنیت دارید؟ با شرکت امنیتی سورین تماس بگیرید.