Cómo configurar un clúster de virtualización VMware vCenter y sus respectivos hosts hipervisores ESXi para reenviar los log a un servidor de syslog externo.
- Requisitos para enviar los logs de VMware vCenter a servidor syslog.
- Configurar VMware vCenter para enviar logs a syslog.
- Configurar reenvío a syslog en cada hipervisor VMware ESXi.
- Configurar la recepción de log en el servidor syslog.
Requisitos para enviar los logs de VMware vCenter a servidor syslog
Necesitaremos disponer de un servidor de syslog, que será el que reciba los log enviados desde el VMware vCenter. Dicho servidor tendrá una IP de recepción de log, un puerto (habitualmente 514) y un protocolo (habitualmente UDP).
Podremos usar multitud de servidores syslog (rsyslog, syslog-ng, NXlog, Fluentd, Fortianalyzer), incluso los sistemas SIEM suelen tener esta capacidad: Splunk, QRadar, LogRhythm, Wazuh, Graylog y también sistemas de monitorización: PRTG, Pandora FMS, nagios.
Debe existir conectividad de red entre el VMware vCenter y el servidor de syslog.
Y necesitaremos acceso a la consola de gestión del VCSA (vCenter Serer Appliance) y a cada uno de los hosts hipervisores VMware ESXi del clúster.
Configurar VMware vCenter para enviar logs a syslog
Accederemos a la consola de gestión web de VCSA (VMware vCenter También necesitaremos acceso a la consola de gestión vCenter Server Appliance (VCSA), que normalmente está configurada por el puerto 5480:
https://ip_vcenter:5480/ui
Pulsaremos en «Syslog» [1] y en «CONFIGURAR» [2]:
Introduciremos la IP del servidor de syslog, el protocolo y el puerto y pulsaremos en «GUARDAR»:
Configurar reenvío a syslog en cada hipervisor VMware ESXi
Es conveniente, también, configurar el reenvío de log a syslog en cada ESXi que componga el clúster vCenter. Para ello, accediendo a la gestión del propio clúster vCenter, y seleccionando cada ESXi, pulsaremos en el nodo (host) [1] y en «Configuración», desplegaremos «Sistema» y pulsaremos en «Configuración avanzada» [2] y en «EDITAR…» [4]:
Buscaremos «syslog.global.loghost» y estableceremos el valor correspondiente:
udp://192.168.150:514
(IP y puerto del servidor de syslog)
También se podría indicar protocolo SSL (ssl://ip:puerto) y varios servidores syslog de destino, separados por coma.
Es conveniente configurar la regla del firewall de cada VMware ESXi para permitir solo acceso al servicio Syslog solo a la IP del servidor syslog. Para ello, pulsaremos en «Sistema» – «Firewall» y en «EDITAR»:
Buscaremos «syslog», lo marcaremos y desmarcaremos la opción «Permitir conexiones desde cualquier dirección IP», introduciremos en el cuadro de texto la IP del servidor syslog y pulsaremos «ACEPTAR»:
Reiniciaremos el servicio de Syslog Server desde «Sistema» – «Servicios» [1], elegiremos «Syslog Server» [2], pulsaremos con el botón derecho sobre este servicio y elegiremos «Reiniciar» [3]:
También podremos realizar la configuración por cada nodo independiente VMware ESXi, accediendo a su gestión web y a «Host» – «Administrar» – «Sistema» – «Configuración avanzada», buscaremos «syslog.global.loghost» y lo editaremos, pulsando en «Editar opción». Introduciremos el valor:
udp://192.168.1.150:514
(cambiando la IP por la de nuestro servidor syslog)
También se podría indicar protocolo SSL (ssl://ip:puerto) y varios servidores syslog de destino, separados por coma.
Desde «Redes», pulsaremos en la pestaña «Reglas de firewall», buscaremos «syslog», elegiremos la línea «syslog» y pulsaremos en «Acciones» – «Editar configuración»:
Es conveniente marcar «Solo permitir conexiones de las redes siguientes» e introducir la IP de nuestro servidor de syslog:
Habilitaremos la regla pulsando en «Acciones» – «Habilitar»:
Reiniciaremos el servicio vmsyslogd desde «Host» – «Administrar» – «Servicios», buscaremos «syslog», seleccionaremos «vmsyslogd» y pulsaremos con el botón derecho, eligiendo «Reiniciar»:
Configurar la recepción de log en el servidor syslog
Si hemos realizado correctamente la configuración anterior, en el servidor de syslog nos debe aparecer cada nodo de VMware. En función del servidor de syslog o SIEM que estemos usando, tendremos que autorizar el acceso (o cualquier otro mecanismo necesario). En este caso, en Fortianalyzer, deberemos autorizar el dispositivo seleccionándolo y pulsando en «Authorize»:
A partir de la autorización, empezaremos a recibir todos los logs de los ESX en el servidor syslog:
