如何配置 ESXi 的日志审计，跟踪和分析安全事件？

1. 配置ESXi日志持久化存储：

   • 通过vSphere Client登录ESXi主机，进入"配置"→"系统"→"高级设置"。
   • 搜索并修改Syslog.global.logDir为持久化存储路径（如/vmfs/volumes/datastore1/logs），或配置远程syslog服务器（如Kiwi Syslog/Splunk）。
   • 执行命令行：esxcli system syslog config set --loghost='udp://<syslog-ip>:514'，重启服务：service syslog restart。

2. 启用审计日志：

   • 通过SSH登录ESXi，编辑/etc/vmware/esx.conf，添加/system/audit/record = "true"。
   • 使用命令：esxcli system auditrecords config set --enabled=true --maxage=30（保留30天日志）。

3. 日志收集与分析工具部署：

   • 部署ELK Stack（Elasticsearch+Logstash+Kibana）或Splunk，配置Logstash/Syslog-ng接收ESXi日志。
   • 在Kibana/Splunk中创建仪表板，筛选关键事件（如用户登录失败、权限变更）。

4. 安全事件跟踪规则：

   • 在vSphere中设置警报：检测esx/audit/host_session_login_failure等事件。
   • 通过脚本定期解析日志（如grep 'UserLogin' /var/log/hostd.log）并触发邮件告警。

5. 定期审查与合规：

   • 使用PowerCLI脚本导出审计日志：Get-VIEvent -Type Security，结合时间范围过滤异常操作。
   • 生成月度报告，重点审查root登录、防火墙规则修改及虚拟机敏感操作记录。

在ESXi日志审计配置中，核心步骤包括：1. Syslog定向：通过vSphere Client或esxcli命令（如esxcli system syslog config set --loghost='tls://192.168.1.100:6514'）将日志发送至加密传输的集中式syslog服务器，避免本地存储覆盖风险；2. 日志分级：在/etc/vmware/esx.conf中调整VpxaLogLevel参数，启用DEBUG级别追踪敏感操作；3. 审计规则强化：通过Host Profiles强制开启SSH登录审计（vim-cmd hostsvc/audit_enable）及vSAN文件操作记录。

实践难点：

• 日志爆炸：虚拟机热迁移可能触发每秒上千条日志，需在Logstash中配置Grok过滤器丢弃非安全类事件；
• 时间漂移：曾因NTP不同步导致取证时间线混乱，现强制所有ESXi主机与审计服务器采用PTP精准时钟协议；
• 隐蔽攻击检测：通过ELK建立基线模型，当vpxuser账户API调用频率超过3σ时触发告警。

关键工具链：

• 采用Splunk CIM模型解析ESXi日志字段，结合ATT&CK框架映射攻击模式；
• 在vRealize Log Insight中预置合规包，自动生成PCI-DSS要求的每日特权命令审计报告；
• 对加密日志流实施FIPS 140-2验证的TLS 1.2传输，避免中间人窃听。

案例教训：某次勒索事件溯源中发现攻击者通过vSphere API批量关闭防火墙，但因默认审计未记录API参数而难以重建攻击链，后续在vCenter高级设置中启用config.log.readOnly全参数捕获模式。

配置ESXi日志审计和分析安全事件需遵循以下步骤：

1. 启用远程日志：通过vSphere Client或命令行配置ESXi将日志发送至Syslog服务器（如rsyslog或专用SIEM工具），确保使用加密传输（如TLS）。
2. 设置审计策略：通过ESXi命令行或PowerCLI调整审计级别（如esxcli system audit records set --level=info），记录用户操作、权限变更及虚拟机配置变更等关键事件。
3. 集成分析工具：使用Splunk、ELK或vRealize Log Insight对日志进行聚合，设置警报规则（如异常登录、敏感操作）。
4. 权限控制：限制root访问，启用RBAC并定期审查账户权限。
5. 日志保留与加密：配置日志轮转策略，归档至安全存储并启用完整性校验（如HMAC）。 注：需定期验证日志完整性，并参考VMware KB文档适配版本差异。