vRealize Log Insight – vSphere Unauthorized Access
vCenter ve ESXi hostlarınız loglarını vRLI sunucusuna gönderiyorsa, vRLI ekranında Interactive Analysis kısmında aşağıdaki query (sorgu) leri kullanarak, ortamınızdaki erişimleri kontrol edebilirsiniz. Bu sorgular daha da çeşitlendirilebilir. Burada sadece bazı örnekleri sizlerle paylaşıyorum.
- SSH Authentication Failure: Aşağıdaki iki metrik ile loglarda SSHD servisine erişmiş ama kimlik denetimini geçememiş kullanıcıları görüntüleyebilirsiniz. Örnek ekran görüntüsü de aşağıdadır.
Text contains authentication failure
Appname contains sshd
- SSH Authentication Success: Aşağıdaki iki metrik ile loglarda SSHD servisine erişmiş ama kimlik denetimini geçememiş kullanıcıları görüntüleyebilirsiniz.
Text contains session opened
Appname contains sshd
- DCUI Authentication Failure:
Text contains “failed with authentication failure”
Appname contains DCUI
- Remote Console Connected:
Test contains remote console connected
Vc_event_type contains com.vmware.vim25.vmremoteconsoleconnectedevent
- vCenter Server Authentication
event_type is v4_52c26184d
vc_username does not contain “ “ (bu kısım boş olacak, tırnak işareti bile koymanıza gerek yok)
appname contains “vcenter-server”
- PowerCLI Authentication Success:
Test contains logged in
Vmw_vc_auth_type contains PowerCLI