如何配置 ESXi 主机的系统审计和警报功能，以便及时发现异常活动？

为什么不考虑使用集中式日志管理工具如SIEM解决方案，以聚合和分析来自ESXi及其他设备的日志，实现更全面的异常检测？

1. 配置syslog日志转发：通过vSphere Client登录ESXi主机，进入【管理】→【系统】→【高级设置】，编辑Syslog.global.logHost，填入远程syslog服务器地址（如udp://192.168.1.100:514），确保审计日志集中存储。

2. 启用审计事件记录：在ESXi Shell中执行esxcli system auditrecords set -a -m，开启所有审计事件记录模式，并记录特权操作。

3. 配置vCenter警报：在vCenter中选中ESXi主机，进入【配置】→【警报定义】，创建自定义警报（如检测root登录、配置变更、存储异常等），设置触发器阈值并绑定邮件/SMTP通知。

4. 启用SNMP监控：在ESXi主机【管理】→【系统】→【SNMP】中配置社区字符串和陷阱接收端IP，实时推送硬件及安全事件。

5. 加固日志保护：通过Host Profiles或命令行设置日志文件只读权限，防止篡改，并定期使用esxcli system auditrecords check验证完整性。

1. 配置ESXi审计日志

   • 通过vSphere Client登录ESXi主机或vCenter，进入"主机配置"→"高级设置"。
   • 修改Config.HostAgent.log.level为info，Vpx.Vpxa.config.log.level为verbose以增强日志记录。
   • 使用命令行配置远程syslog：

     esxcli system syslog config set --loghost='udp://<syslog_server_ip>:514'
     esxcli system syslog reload

2. 启用vCenter警报规则

   • 在vCenter中选中ESXi主机，进入"监控"→"警报"→"定义"。
   • 创建自定义警报（如："异常登录检测"）：

     触发器：用户登录失败次数 > 3次/5分钟
     动作：发送邮件/SMTP告警

   • 启用预置警报："主机CPU/内存过载""存储空间不足"等。

3. 配置SNMP监控

   • 在ESXi命令行执行：

     esxcli system snmp set --enable=true --communities=<community_string>
     esxcli system snmp set --targets=<snmp_server_ip@162>/<community_string>

   • 在监控平台（如Zabbix）设置ESXI健康状态触发器。

4. 定期审计加固

   • 通过PowerCLI导出日志：

     Get-VMHostSysLog -VMHost <hostname> | Export-Csv -Path audit_log.csv

   • 检查/var/log/auth.log中的异常SSH访问，禁用未用服务（DCUI/SSH可临时启用）。

5. 关键配置验证

   • 执行tail -f /var/log/hostd.log实时观测操作日志
   • 通过esxcli hardware ipmi sel list检查硬件级告警事件