在 VMware ESX 及 ESXi 伺服器上配置 syslog

若要收集 VMware的 syslog 事件,您必須將伺服器配置成使用 syslogd 從 ESXi 伺服器轉遞事件至 IBM® QRadar®

程序

  1. 登入 VMware vSphere 用戶端。
  2. 選取管理 VMware 庫存的主機。
  3. 按一下 配置 標籤。
  4. 從「 軟體 」窗格中,按一下 進階設定
  5. 在導覽功能表中,按一下 系統日誌
  6. 配置下列參數的值:
    表 1. VMware syslog 通訊協定參數

    參數

    ESX 版本

    說明
    Syslog.Local.DatastorePath

    ESX 或 ESXi 3.5.x 或 4.x

    鍵入 ESXi 伺服器上本端 syslog 訊息的目錄路徑。

    預設目錄路徑為 [] /scratch/log/messages
    Syslog.Remote.Hostname

    ESX 或 ESXi 3.5.x 或 4.x

    鍵入 QRadar的 IP 位址或主機名稱。
    Syslog.Remote.Port

    ESX 或 ESXi 3.5.x 或 4.x

    鍵入 ESXi 伺服器用來轉遞 syslog 資料的埠號。

    預設值為埠 514。
    Syslog.global.logHost

    ESXi v5.x、ESXi v6.x 或 ESXi v7.x

    鍵入 ESXi 伺服器用來轉遞 syslog 資料的 URL 及埠號。

    範例:

    udp://<QRadar IP 位址>:514

    tcp://<QRadar IP 位址>:514
  7. 按一下 確定 以儲存配置。

    VMware ESXi v5.x上的預設防火牆配置。 VMware ESXi v6.x 及 VMware ESXi v7.x 伺服器,依預設會停用送出連線。 已停用的送出 syslog 連線會限制內部 syslog 轉遞程式將安全及存取事件傳送至 QRadar