Cấu hình đẩy log ESXi về Splunk
Để cấu hình đẩy log ESXi về Splunk, tiến hành đăng nhập ESXi. Sau đó chọn Host > Manage > System > Advanced settings:
![1642945281069.png 1642945281069.png](https://cdn.securityzone.vn/2022/01/5238_0da848408031bef5124ff2f59b9c7196.png)
Tìm kiếm tới phần Syslog.global.logHost:
![1642945293322.png 1642945293322.png](https://cdn.securityzone.vn/2022/01/5239_7f3c267d756f1b6389dc50cac59f0d84.png)
Chọn Syslog.global.logHost, sau đó chọn Edit option:
![1642945310118.png 1642945310118.png](https://cdn.securityzone.vn/2022/01/5240_8b09fa063c9a65a20ac7fec9baaec67f.png)
Trong phần New Value, nhập giá trị như sau: udp://10.x.x.212:514 , sau đó chọn Save. Trong đó các giá trị tương ứng như sau:
- udp: Chọn giao thức đẩy log
- 10.x.x.212: địa chỉ IP của Remote syslog servers( địa chỉ IP nhận log của hệ thống Splunk).
- 514: Nhập số port của log vCenter (tùy sizing datasource trên Splunk để có port cho từng datasource)
![1642945322625.png 1642945322625.png](https://cdn.securityzone.vn/2022/01/5241_8aa347bb267924ad4e986656ea170aae.png)
Tiếp theo, tiến hành mở rules Firewall. Chọn Networking > Firewall rules:
![1642945337742.png 1642945337742.png](https://cdn.securityzone.vn/2022/01/5242_bd44098d93426d8aefc4c5b4fa964f03.png)
Tìm kiếm và đi đến phần syslog như hình dưới:
![1642945349638.png 1642945349638.png](https://cdn.securityzone.vn/2022/01/5243_576e72e98f4e4c5e56670c2bf20e5e3c.png)
Chọn phần syslog, chọn phần Edit setting , cấu hình Outgoing Ports có giá trị 514, Protocols UDP như hình dưới đây:
![1642945359143.png 1642945359143.png](https://cdn.securityzone.vn/2022/01/5244_4cf6246e867bdd82e46cce18a36ed003.png)
Sau khi hoàn thành cấu hình, chọn Actions > Enable để bật rules trên Firewall:
![1642945374833.png 1642945374833.png](https://cdn.securityzone.vn/2022/01/5245_6ea702ca25ca1339d31318ac9557433a.png)
Sau khi Enable rule, trạng thái rule syslog như sau:
![1642945399057.png 1642945399057.png](https://cdn.securityzone.vn/2022/01/5247_8d57550c70b2fb2cebed6f88a1bb2ecb.png)
Truy cập hệ thống Splunk, kiểm tra xem đã có đủ và đúng log của DELL iDRAC hay chưa ( chú ý, đã sử dụng Citrix để đổi port đẩy log của ESXi từ 514 sang 5532):
![1642945410667.png 1642945410667.png](https://cdn.securityzone.vn/2022/01/5248_f21971670265fa45ae4495b888784830.png)
Như vậy, đã hoàn thành đẩy log ESXi về hệ thống Splunk.