Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VMware ESX y ESXi

VMware DSM de EMC para JSA recopila eventos de servidor ESX y ESXi mediante el protocolo VMware o syslog. VMware DSM de EMC admite eventos de servidores VMware ESX o ESXi 3.x, 4.x o 5.x.

Para recopilar eventos de VMware ESX o ESXi, puede seleccionar uno de los siguientes métodos de recopilación de eventos:

Configuración de Syslog en servidores VMware ESX y ESXi

Para recopilar eventos syslog para VMware, debe configurar el servidor para reenviar eventos mediante syslogd desde el servidor ESXi a JSA.

  1. Inicie sesión en VMware vSphere Client.

  2. Seleccione el host que administra su inventario de VMware.

  3. Haga clic en la ficha Configuración .

  4. En el panel Software , haga clic en Configuración avanzada.

  5. En el menú de navegación, haga clic en Syslog.

  6. Configure valores para los siguientes parámetros:

    Tabla 1: Parámetros del protocolo VMware Syslog

    Parámetro

    Versión de ESX

    Descripción

    Syslog.Local.DatastorePath

    ESX o ESXi 3.5.x o 4.x

    Escriba la ruta del directorio para los mensajes syslog locales en el servidor ESXi.

    La ruta de directorio predeterminada es [] /scratch/log/messages.

    Syslog.Remote.Hostname

    ESX o ESXi 3.5.x o 4.x

    Escriba la dirección IP o el nombre de host de JSA.

    Syslog.Remote.Port

    ESX o ESXi 3.5.x o 4.x

    Escriba el número de puerto que el servidor ESXi usa para reenviar datos syslog.

    El valor predeterminado es el puerto 514.

    Syslog.global.logHost

    ESXi v5.x

    Escriba la dirección URL y el número de puerto que el servidor ESXi usa para reenviar datos syslog.

    Ejemplos:

    udp://<JSA IP address>:514

    tcp://<JSA IP address>:514

  7. Haga clic en Aceptar para guardar la configuración.

    La configuración predeterminada del firewall de los servidores VMware ESXi v5.x y VMware ESXi v6.x deshabilita las conexiones salientes de forma predeterminada. Las conexiones syslog salientes que están deshabilitadas restringen al reenviador syslog interno de enviar eventos de seguridad y acceso a JSA

    De forma predeterminada, la configuración del firewall syslog para productos VMware solo permite comunicaciones syslog salientes. Para evitar riesgos de seguridad, no edite la regla predeterminada del firewall syslog para habilitar las conexiones syslog entrantes.

Habilitación de la configuración del firewall de Syslog en clientes VSphere

Para reenviar eventos syslog desde ESXi v5.x o ESXi v6.x Server, debe editar la política de seguridad para habilitar las conexiones syslog salientes para eventos.

  1. Inicie sesión en el servidor ESXi v5.x o ESXi v6.x desde un cliente de vSphere.

  2. En la lista Inventario , seleccione el servidor ESXi.

  3. Haga clic en la pestaña Administrar y seleccione Perfil de seguridad.

  4. En la sección Firewall , haga clic en Propiedades.

  5. En la ventana Propiedades del firewall , active la casilla syslog .

  6. Haga clic en Aceptar.

Habilitar la configuración del firewall syslog en clientes VSphere mediante el comando esxcli

Para reenviar eventos syslog desde servidores ESXi v5.x o ESXi v6.x, como alternativa, puede configurar la excepción de firewall de ESXi mediante el comando esxcli.

Nota:

Para reenviar registros syslog, es posible que deba abrir manualmente el conjunto de reglas del firewall. Esta regla de firewall no afecta a la 456551 de compilación de ESXi 5.0. El puerto UDP 514 fluye el tráfico.

Para abrir tráfico saliente a través del firewall ESXi en el puerto UDP 514 y en los puertos TCP 514 y 1514, ejecute los siguientes comandos:

Conjunto de reglas del firewall de red ESXCLI --ruleset-id=syslog --enabled=true

Actualización del firewall de red ESXCLI

Parámetros de origen de registro de Syslog para VMware ESX o ESXi

Si JSA no detecta automáticamente el origen del registro, agregue un origen de registro de VMware de EMC en la consola de JSA mediante el protocolo Syslog.

Cuando se utiliza el protocolo Syslog, hay parámetros específicos que debe utilizar.

En la tabla siguiente se describen los parámetros que requieren valores específicos para recopilar eventos Syslog de VMware ESX o ESXi:

Tabla 2: Parámetros de origen de registro de Syslog para VMware DSM de EMC

Parámetro

Descripción

Nombre del origen del registro (opcional)

Escriba un nombre para el origen del registro.

Tipo de origen de registro

EMC VMware

Configuración del protocolo

Syslog

Identificador de origen de registro

Escriba la dirección IP o el nombre de host del origen del registro como identificador de eventos desde su servidor VMware de EMC.

Habilitado

Active esta casilla para habilitar el origen del registro. De forma predeterminada, la casilla de verificación está activada.

Credibilidad

En la lista, seleccione la credibilidad del origen del registro. El rango es 0 - 10.

La credibilidad indica la integridad de un evento u ofensa según lo determinado por la calificación de credibilidad de los dispositivos fuente. La credibilidad aumenta si varias fuentes informan del mismo evento. El valor predeterminado es 5.

Recopilador de eventos de destino

En la lista, seleccione el recopilador de eventos de destino que desea utilizar como destino del origen de registro.

Eventos coalescentes

Active esta casilla para permitir que el origen del registro se fusione (agrupe) eventos.

De forma predeterminada, los orígenes de registro detectados automáticamente heredan el valor de la lista Eventos coalescentes de la Configuración del sistema en JSA. Al crear un origen de registro o editar una configuración existente, puede invalidar el valor predeterminado configurando esta opción para cada origen de registro.

Carga de evento entrante

En la lista, seleccione el codificador de carga entrante para analizar y almacenar los registros.

Carga útil del evento de la tienda

Active esta casilla para permitir que el origen de registro almacene información de carga de eventos.

De forma predeterminada, los orígenes de registro detectados automáticamente heredan el valor de la lista Carga de eventos de almacén de Configuración del sistema en JSA. Al crear un origen de registro o editar una configuración existente, puede invalidar el valor predeterminado configurando esta opción para cada origen de registro.

Configuración del protocolo VMWare para servidores ESX o ESXi

Puede configurar el protocolo VMware para leer eventos desde el servidor VMware ESXi. El protocolo de VMware utiliza HTTPS para sondear eventos en busca de eventos en los servidores ESX y ESXi.

Antes de configurar el origen de registro para utilizar el protocolo VMware, se sugiere crear un usuario único para sondear eventos. Este usuario se puede crear como miembro del grupo raíz o administrativo, pero debe proporcionar al usuario un rol asignado de permiso de solo lectura. Esto garantiza que JSA pueda recopilar el número máximo de eventos y conservar un nivel de seguridad para sus servidores virtuales. Para obtener más información acerca de las funciones de usuario, consulte la documentación de VMware.

Para integrar VMware de EMC con JSA, debe completar las siguientes tareas:

  1. Cree una cuenta de ESX para JSA.

  2. Configure los permisos de cuenta para el usuario de JSA .

  3. Configure el protocolo de VMware en JSA.

La creación de un usuario que no forma parte de la raíz o de un grupo administrativo puede provocar que JSA no recopile algunos eventos. Se sugiere que cree su usuario JSA para incluir privilegios administrativos, pero asigne a este usuario personalizado un rol de solo lectura.

Crear una cuenta para JSA en ESX

Puede crear una cuenta de usuario JSA para VMware de EMC a fin de permitir que el protocolo sondee correctamente los eventos.

  1. Inicie sesión en el host ESX mediante vSphere Client.

  2. Haga clic en la pestaña Usuarios y grupos locales .

  3. Haga clic en Usuarios.

  4. Haga clic con el botón derecho y seleccione Agregar.

  5. Configure los siguientes parámetros:

    1. Inicio de sesión Escriba un nombre de inicio de sesión para el nuevo usuario.

    2. UID opcional. Escriba un ID de usuario.

    3. Nombre de usuarioEscriba un nombre de usuario para la cuenta.

    4. Contraseña Escriba una contraseña para la cuenta.

    5. Confirmar contraseña Vuelva a escribir la contraseña como confirmación.

    6. Grupo En la lista Grupo, seleccione raíz

  6. Haga clic en Agregar.

  7. Haga clic en Aceptar.

Configuración de permisos de cuenta de solo lectura

Por motivos de seguridad, configure su cuenta de usuario de JSA como miembro de su grupo raíz o administrador, pero seleccione un rol asignado de permisos de solo lectura.

El permiso de solo lectura permite a la cuenta de usuario de JSA ver y recopilar eventos mediante el protocolo VMware.

  1. Haga clic en la ficha Permisos .

  2. Haga clic con el botón derecho y seleccione Agregar permisos.

  3. En la ventana Usuarios y grupos , haga clic en Agregar.

  4. Seleccione su usuario JSA y haga clic en Agregar.

  5. Haga clic en Aceptar.

  6. En la lista Función asignada , seleccione Solo lectura.

  7. Haga clic en Aceptar.

Parámetros de origen de registro de VMware de EMC para VMware ESX o ESXi

Si JSA no detecta automáticamente el origen del registro, agregue un origen de registro de EMC VMware en la consola de JSA mediante el protocolo EMC VMware.

Cuando se utiliza el protocolo VMware de EMC, hay parámetros específicos que debe utilizar.

En la siguiente tabla se describen los parámetros que requieren valores específicos para recopilar eventos de VMware de EMC de VMware de VMware ESX o ESXi:

Tabla 3: Parámetros del protocolo de VMware

Parámetro

Descripción

Nombre del origen del registro (opcional)

Escriba un nombre para el origen del registro.

Tipo de origen de registro

EMC VMware

Identificador de origen de registro

Escriba la dirección IP o el nombre de host del origen del registro. Este valor debe coincidir con el valor configurado en el campo IP de ESX .

IP de ESX

Escriba la dirección IP del servidor VMware ESX o ESXi.

El protocolo VMware antepone la dirección IP del servidor VMware ESX o ESXi con HTTPS antes de que el protocolo solicite datos de eventos.

Nombre de usuario

Escriba el nombre de usuario necesario para acceder al servidor VMware.

Contraseña

Escriba la contraseña necesaria para acceder al servidor VMware.

Mensajes de eventos de ejemplo de EMC VMWare

Utilice estos mensajes de eventos de ejemplo para verificar una integración correcta con JSA.

Nota:

Debido a problemas de formato, pegue el formato del mensaje en un editor de texto y, a continuación, elimine los caracteres de retorno de carro o de avance de línea.

Mensaje de ejemplo de EMC VMWare cuando se utiliza el protocolo Syslog

Ejemplo 1: Los siguientes mensajes de eventos de ejemplo muestran que el proceso hostd genera un evento en un host ESXi/ESX para informar de que un usuario ha cerrado sesión.

Tabla 4: Valores resaltados en el evento VMWare de EMC

Nombre de campo JSA

Valores resaltados en la carga de evento

ID. de evento

Usuario

IP de origen

10.21.120.237

Nombre de usuario

Raíz

IP de identidad

10.21.120.237

Nombre de usuario de identidad

Raíz

Ejemplo 2: El siguiente mensaje de evento de ejemplo muestra que una máquina virtual (VM) está apagada.

Tabla 5: Valores resaltados en el evento VMWare de EMC

Nombre de campo JSA

Valores resaltados en la carga de evento

ID. de evento

VmPoweredOffEvent

IP de origen

10.16.210.163

Nombre de usuario

nombre de usuario

Ejemplo 3: El siguiente mensaje de evento de ejemplo muestra que hay una sesión de inicio de sesión de usuario en curso.

Tabla 6: Valores resaltados en el evento VMWare de EMC

Nombre de campo JSA

Valores resaltados en la carga de evento

ID. de evento

UserLoginSessionEvent

Fuente

172.16.210.35

IP de destino

172.16.210.175

Nombre de usuario

Raíz