VMware ESX サーバーおよび ESXi サーバーでの syslog の構成

VMware の syslog イベントを収集するには、syslog を使用して ESXi サーバーから IBM® QRadar® にイベントを転送するようにサーバーを構成する必要があります。

手順

  1. VMware vSphere Client にログインします。
  2. VMware インベントリーを管理するホストを選択します。
  3. 「構成 (Configuration)」タブをクリックします。
  4. 「ソフトウェア (Software)」ペインで「詳細設定 (Advanced Settings)」をクリックします。
  5. ナビゲーション・メニューで「Syslog」をクリックします。
  6. 以下のパラメーターの値を構成します。
    表 1. VMware syslog プロトコルのパラメーター

    パラメーター

    ESX バージョン

    説明
    Syslog.Local.DatastorePath

    ESX、または ESXi 3.5.x または 4.x

    ESXi サーバー上のローカル syslog メッセージのディレクトリー・パスを入力します。

    デフォルト・ディレクトリーは、[] /scratch/log/messages です。
    Syslog.Remote.Hostname

    ESX、または ESXi 3.5.x または 4.x

    QRadar の IP アドレスまたはホスト名を入力します。
    Syslog.Remote.Port

    ESX、または ESXi 3.5.x または 4.x

    ESXi サーバーが syslog データの転送に使用するポート番号を入力します。

    デフォルトはポート 514 です。
    Syslog.global.logHost

    ESXi v5.x または ESXi v6.x

    ESXi サーバーが syslog データの転送に使用する URL とポート番号を入力します。

    例:

    udp://<QRadar IP address>:514

    tcp://<QRadar IP address>:514
  7. 「OK」をクリックして構成を保存します。

    VMware ESXi v5.x および VMware ESXi v6.x サーバーのデフォルトのファイアウォール構成では、発信接続がデフォルトで無効になっています。発信 syslog 接続が無効になっていると、内部の syslog フォワーダーによる、QRadar へのセキュリティー・イベントおよびアクセス・イベントの送信が制限されます。

    デフォルトでは、VMware 製品の syslog ファイアウォール構成は、発信 syslog 通信のみを許可します。セキュリティー上のリスクを防ぐため、受信 syslog 接続を有効にするように、デフォルトの syslog ファイアウォール・ルールを編集しないでください。

親トピック: VMware ESX および ESXi