NTNX>日記

個人的な趣味による Nutanix Community Edition 日記。Japanese のみですみません。

Nutanix CE の Syslog 転送で Prism のログイン イベントを確認してみる。

Nutanix CE から Linux の rsyslog サーバに Syslog を転送して、転送先で Prism Element のログイン イベントを確認してみます。

今回の内容です。

今回の環境

Nutanix CE のバージョンは、ce-2020.09.16-stable です。

Syslog サーバは、Oracle Linux 8 の rsyslog です。

[root@lab-syslog-03 ~]# cat /etc/{redhat,oracle}-release
Red Hat Enterprise Linux release 8.7 (Ootpa)
Oracle Linux Server release 8.7
[root@lab-syslog-03 ~]# rpm -q rsyslog
rsyslog-8.2102.0-10.el8.x86_64

rsyslog サーバの受信設定

Linux 側で、rsyslog がリモートからの syslog を受信できるように設定しておきます。今回は、下記のように設定ファイル(/etc/rsyslog.d/remote.conf)を作成しておきます。

[root@lab-syslog-03 ~]# cat /etc/rsyslog.d/remote.conf
#$ModLoad imudp
#$UDPServerRun 514

#$ModLoad imtcp
#$InputTCPServerRun 514

module(load="imudp")
input(type="imudp" port="514")

module(load="imtcp")
input(type="imtcp" port="514")

$template remote_host,"/var/log/remote-host-%HOSTNAME%.log"
*.* -?remote_host

rsyslog を再起動しておきます。

[root@lab-syslog-03 ~]# systemctl restart rsyslog
[root@lab-syslog-03 ~]# systemctl is-active rsyslog
[root@lab-syslog-03 ~]# systemctl status rsyslog

検証環境なので、ファイアウォールは停止&無効化してしまいます。

[root@lab-syslog-03 ~]# systemctl stop firewalld
[root@lab-syslog-03 ~]# systemctl disable firewalld

Nutanix CE での Syslog 転送設定

Nutanix CE での Syslog(rsyslog)転送は、CVM の ncli で設定します。ここでは、CVM に SSH 接続して設定します。

まず、rsyslog を無効化しておきます。

CVM$ ncli rsyslog-config set-status enable=false

転送先の Syslog サーバを追加します。

  • Syslog サーバの名前:lab-syslog-03
  • IP アドレス: 192.168.11.98
  • プロトコル: UDP
  • ポート: 514
CVM$ ncli rsyslog-config add-server name=lab-syslog-03 ip-address=192.168.11.98 network-protocol=udp port=514

Syslog のモジュール(転送対象)を追加します。

  • Syslog サーバの名前: lab-syslog-03
  • モジュール: PRISM
  • レベル: INFO
CVM$ ncli rsyslog-config add-module server-name=lab-syslog-03 module-name=PRISM level=INFO

今回は「PRISM」のみ追加しますが、他のモジュールも追加する場合は、モジュールごとに ncli rsyslog-config add-module コマンドを実行します。

追加できるモジュールの名前は、下記に記載されています。

How to Send Logs to a Remote Syslog Server

rsyslog を有効化しておきます。

CVM$ ncli rsyslog-config set-status enable=true

Syslog でのログイン イベント確認

Syslog サーバのログ ファイルで、Prism のログイン イベントの様子を確認してみます。今回は、Syslog サーバの「/var/log/remote-host-<ホスト名>.log」ファイルにリモート受信したログが出力されるので、下記のように admin ユーザのログイン イベントを確認してみます。

[root@lab-syslog-03 ~]# tail -f /var/log/remote-host-*-CVM.log | grep admin

Prism Element でのログイン

Prism Element に、admin ユーザでログインしてみると・・・

Syslog には、下記のように「~ logged in ~」が出力されました。

Nov 18 13:07:18 NTNX-d1d72885-A-CVM prism_gateway: INFO  2022-11-18 13:07:11,118Z http-nio-0.0.0.0-9081-exec-23 com.nutanix.syslog.generateInfoLevelSyslog:20 User admin with ip 192.168.1.15 has logged in from browser: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36

Prism Element からのログアウト

Prism Element から「Sign out」してみます。

Syslog には、下記のように「~ logged out ~」出力されました。

Nov 18 13:10:38 NTNX-d1d72885-A-CVM prism_gateway: INFO  2022-11-18 13:10:38,408Z http-nio-0.0.0.0-9081-exec-54 com.nutanix.syslog.generateInfoLevelSyslog:20 User admin from ip 192.168.1.15 has logged out from browser: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36

ログイン失敗

Prism Element で、ログイン失敗してみます。

Syslog では、下記のように「An unsuccessful login ~」が出力されました。

Nov 18 13:12:49 NTNX-d1d72885-A-CVM prism_gateway: INFO  2022-11-18 13:12:43,779Z http-nio-0.0.0.0-9081-exec-6 com.nutanix.syslog.generateInfoLevelSyslog:19 An unsuccessful login attempt was made with username: admin from IP: 192.168.1.15 and browser: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36

アカウント ロック

Prism で連続でログイン失敗して、アカウントをロックしてみます。

Syslog では、下記のように出力されました。

Nov 18 13:14:49 NTNX-d1d72885-A-CVM prism_gateway: ERROR 2022-11-18 13:14:47,965Z http-nio-0.0.0.0-9081-exec-32 commands.auth.PAMAuthenticationProvider.authenticate:288 Account locked for user admin due to too many failed attempts.

ちなみに、アカウント ロックは 15分ほど待つと解除されます。

Syslog 転送の解除

Syslog 転送の解除も、CVM に SSH ログインして ncli で設定します。

rsyslog から、PRISM モジュールを削除します。

CVM$ ncli rsyslog-config delete-module server-name=lab-syslog-03 module-name=PRISM

そして、転送先 Syslog サーバも削除します。

CVM$ ncli rsyslog-config delete-server name=lab-syslog-03

rsyslog を無効化しておきます。

CVM$ ncli rsyslog-config set-status enable=false

以上。

©2022 gowatana
クリエイティブ・コモンズ・ライセンスこの 作品 は クリエイティブ・コモンズ 表示 4.0 国際 ライセンスの下に提供されています。