如何配置 ESXi 的日志审计，跟踪和分析安全事件？

1. 配置ESXi日志持久化存储：

   • 通过vSphere Client登录ESXi主机，进入"配置"→"系统"→"高级设置"。
   • 搜索并修改Syslog.global.logDir为持久化存储路径（如/vmfs/volumes/datastore1/logs），或配置远程syslog服务器（如Kiwi Syslog/Splunk）。
   • 执行命令行：esxcli system syslog config set --loghost='udp://<syslog-ip>:514'，重启服务：service syslog restart。

2. 启用审计日志：

   • 通过SSH登录ESXi，编辑/etc/vmware/esx.conf，添加/system/audit/record = "true"。
   • 使用命令：esxcli system auditrecords config set --enabled=true --maxage=30（保留30天日志）。

3. 日志收集与分析工具部署：

   • 部署ELK Stack（Elasticsearch+Logstash+Kibana）或Splunk，配置Logstash/Syslog-ng接收ESXi日志。
   • 在Kibana/Splunk中创建仪表板，筛选关键事件（如用户登录失败、权限变更）。

4. 安全事件跟踪规则：

   • 在vSphere中设置警报：检测esx/audit/host_session_login_failure等事件。
   • 通过脚本定期解析日志（如grep 'UserLogin' /var/log/hostd.log）并触发邮件告警。

5. 定期审查与合规：

   • 使用PowerCLI脚本导出审计日志：Get-VIEvent -Type Security，结合时间范围过滤异常操作。
   • 生成月度报告，重点审查root登录、防火墙规则修改及虚拟机敏感操作记录。

配置ESXi日志审计及安全事件分析需遵循以下步骤：

1. 启用远程日志存储：

   • 通过vSphere Client或命令行配置syslog服务，指定远程日志服务器（如rsyslog/Splunk），使用esxcli system syslog config set --loghost=<IP:端口>。
   • 确保防火墙开放514/UDP或加密端口（如TLS 6514）。

2. 配置日志保留策略：

   • 使用esxcli system syslog rotation调整日志轮转策略，避免本地日志溢出。
   • 启用ESXi审计日志（/var/log/audit.log），记录关键操作如权限变更。

3. 集成SIEM工具：

   • 将syslog数据导入Splunk/ELK等平台，设置告警规则（如多次登录失败、异常VM操作）。
   • 使用正则表达式过滤关键事件（如/Permission denied/gi）。

4. 强化审计粒度：

   • 在vCenter高级设置中启用Config.HostAgent.log.level=verbose，记录详细API调用。
   • 通过PowerCLI脚本定期导出操作日志：Get-VIEvent -Start (Get-Date).AddHours(-24)。

5. 合规与加密：

   • 对传输日志启用TLS加密（esxcli system syslog tls set --tls-enable=true）。
   • 按GDPR/HIPAA要求保留日志至少6个月。

6. 自动化监控：

   • 部署Ansible playbook批量验证日志配置一致性。
   • 使用Prometheus+Alertmanager监控syslog服务状态。

补充：建议启用ESXi Host Profiles锁定配置，并通过vCenter Event Broker Appliance（VEBA）实时解析vSphere事件流。

在ESXi日志审计配置中，核心步骤包括：1. Syslog定向：通过vSphere Client或esxcli命令（如esxcli system syslog config set --loghost='tls://192.168.1.100:6514'）将日志发送至加密传输的集中式syslog服务器，避免本地存储覆盖风险；2. 日志分级：在/etc/vmware/esx.conf中调整VpxaLogLevel参数，启用DEBUG级别追踪敏感操作；3. 审计规则强化：通过Host Profiles强制开启SSH登录审计（vim-cmd hostsvc/audit_enable）及vSAN文件操作记录。

实践难点：

• 日志爆炸：虚拟机热迁移可能触发每秒上千条日志，需在Logstash中配置Grok过滤器丢弃非安全类事件；
• 时间漂移：曾因NTP不同步导致取证时间线混乱，现强制所有ESXi主机与审计服务器采用PTP精准时钟协议；
• 隐蔽攻击检测：通过ELK建立基线模型，当vpxuser账户API调用频率超过3σ时触发告警。

关键工具链：

• 采用Splunk CIM模型解析ESXi日志字段，结合ATT&CK框架映射攻击模式；
• 在vRealize Log Insight中预置合规包，自动生成PCI-DSS要求的每日特权命令审计报告；
• 对加密日志流实施FIPS 140-2验证的TLS 1.2传输，避免中间人窃听。

案例教训：某次勒索事件溯源中发现攻击者通过vSphere API批量关闭防火墙，但因默认审计未记录API参数而难以重建攻击链，后续在vCenter高级设置中启用config.log.readOnly全参数捕获模式。