Es bastante normal trabajar ocn entornos que tienen un Syslog o un SIEM que necesita de logs de nuestros dispositivos para poder tener controlados los entornos, como hacíamos en cierto modo monitorizando con Nagios.

El SIEM, aporta otro nivel de complejidad e inteligencia que los sistemas de monitorización no son capaces de proveer, mediante la correlación de los eventos de los logs de muchos dispositivos.

En este artículo aprendemos a configurar nuestro ESXi para que pueda reenviar los logs a una aplicación de tipo Syslog o SIEM.

El proceso es bastante sencillo, lo primero que debemos hacer es cargar en nuestro navegador favorito, (ATENCIÓN: Edge o Internet Explore no puede contar nunca como navegador favorito 🙂 ) la interfaz de administración de nuestro ESXi.

Una vez nos logueamos nos muestra el dashboard.

Ahora nos vamos a “Manage” luego a System”, después “Advanced settings” y en el buscador de la derecha, escribimos “syslog.global.loghost” hasta que en el panel central nos muestra la opción

Sobre la opción , hacemos click derecho y elegimos “Edit Option

Ahí configuramos la IP del servidor SIEM o Syslog que va a recolectar nuestros log que enviemos desde nuestro ESXi, indicando que usaremos el protocolo UDP y el puerto por defecto, 514, si usáis otro puerto, lo especificáis y listos. La sintaxis sería uedp://IPServidorSyslog:Puerto

Una vez lo salvamos, nos vamos en el menú de la izquierda a “Networking” porque tenemos que habilitarlo en el firewall.

En la pestana “Firewall rules”, buscamos por la palabra syslog, hasta que nos aparezca como resultado “syslog” (Evidentemente iba aparecer syslog y no otra cosa 🙂 ).

Seleccionamos “syslog” y en el botón de acciones de damos a habilitar.

Lo mismo, pero por línea de comando

Nos logueamos vía SSH a nuestro servidor ESXi, ya sea desde línea de comando o usando Putty si te da alergia la consola, (si es así, no sé por qué lées esto si es la configuración de lo de arriba pero por comando).

Ejecutáis el siguiente comando para indicar el protocolo y la IP del servidor Syslog.

esxcli system syslog config set --loghost=udp://10.134.0.100:514

Ahora las reglas del firewall

esxcli network firewall ruleset set --ruleset-id=syslog --enabled=true
esxcli network firewall refresh

Y por último, comprobamos que todo esté “fetén”.

esxcli system syslog config get

Os dejo un pantallazo de mi configuración:

Vídeo

error: ooops!