Nutanix CE から Linux の rsyslog サーバに Syslog を転送して、転送先で Prism Element のログイン イベントを確認してみます。
今回の内容です。
今回の環境
Nutanix CE のバージョンは、ce-2020.09.16-stable です。
Syslog サーバは、Oracle Linux 8 の rsyslog です。
[root@lab-syslog-03 ~]# cat /etc/{redhat,oracle}-release
Red Hat Enterprise Linux release 8.7 (Ootpa)
Oracle Linux Server release 8.7
[root@lab-syslog-03 ~]# rpm -q rsyslog
rsyslog-8.2102.0-10.el8.x86_64
下記のような Syslog 転送環境を構成してみます。
rsyslog サーバの受信設定
Linux 側で、rsyslog がリモートからの syslog を受信できるように設定しておきます。今回は、下記のように設定ファイル(/etc/rsyslog.d/remote.conf)を作成しておきます。
[root@lab-syslog-03 ~]# cat /etc/rsyslog.d/remote.conf #$ModLoad imudp #$UDPServerRun 514 #$ModLoad imtcp #$InputTCPServerRun 514 module(load="imudp") input(type="imudp" port="514") module(load="imtcp") input(type="imtcp" port="514") $template remote_host,"/var/log/remote-host-%HOSTNAME%.log" *.* -?remote_host
rsyslog を再起動しておきます。
[root@lab-syslog-03 ~]# systemctl restart rsyslog [root@lab-syslog-03 ~]# systemctl is-active rsyslog [root@lab-syslog-03 ~]# systemctl status rsyslog
検証環境なので、ファイアウォールは停止&無効化してしまいます。
[root@lab-syslog-03 ~]# systemctl stop firewalld [root@lab-syslog-03 ~]# systemctl disable firewalld
Nutanix CE での Syslog 転送設定
Nutanix CE での Syslog(rsyslog)転送は、CVM の ncli で設定します。ここでは、CVM に SSH 接続して設定します。
まず、rsyslog を無効化しておきます。
CVM$ ncli rsyslog-config set-status enable=false
転送先の Syslog サーバを追加します。
- Syslog サーバの名前:lab-syslog-03
- IP アドレス: 192.168.11.98
- プロトコル: UDP
- ポート: 514
CVM$ ncli rsyslog-config add-server name=lab-syslog-03 ip-address=192.168.11.98 network-protocol=udp port=514
Syslog のモジュール(転送対象)を追加します。
- Syslog サーバの名前: lab-syslog-03
- モジュール: PRISM
- レベル: INFO
CVM$ ncli rsyslog-config add-module server-name=lab-syslog-03 module-name=PRISM level=INFO
今回は「PRISM」のみ追加しますが、他のモジュールも追加する場合は、モジュールごとに ncli rsyslog-config add-module コマンドを実行します。
追加できるモジュールの名前は、下記に記載されています。
How to Send Logs to a Remote Syslog Server
rsyslog を有効化しておきます。
CVM$ ncli rsyslog-config set-status enable=true
Syslog でのログイン イベント確認
Syslog サーバのログ ファイルで、Prism のログイン イベントの様子を確認してみます。今回は、Syslog サーバの「/var/log/remote-host-<ホスト名>.log」ファイルにリモート受信したログが出力されるので、下記のように admin ユーザのログイン イベントを確認してみます。
[root@lab-syslog-03 ~]# tail -f /var/log/remote-host-*-CVM.log | grep admin
Prism Element でのログイン
Prism Element に、admin ユーザでログインしてみると・・・
Syslog には、下記のように「~ logged in ~」が出力されました。
Nov 18 13:07:18 NTNX-d1d72885-A-CVM prism_gateway: INFO 2022-11-18 13:07:11,118Z http-nio-0.0.0.0-9081-exec-23 com.nutanix.syslog.generateInfoLevelSyslog:20 User admin with ip 192.168.1.15 has logged in from browser: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36
Prism Element からのログアウト
Prism Element から「Sign out」してみます。
Syslog には、下記のように「~ logged out ~」出力されました。
Nov 18 13:10:38 NTNX-d1d72885-A-CVM prism_gateway: INFO 2022-11-18 13:10:38,408Z http-nio-0.0.0.0-9081-exec-54 com.nutanix.syslog.generateInfoLevelSyslog:20 User admin from ip 192.168.1.15 has logged out from browser: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36
ログイン失敗
Prism Element で、ログイン失敗してみます。
Syslog では、下記のように「An unsuccessful login ~」が出力されました。
Nov 18 13:12:49 NTNX-d1d72885-A-CVM prism_gateway: INFO 2022-11-18 13:12:43,779Z http-nio-0.0.0.0-9081-exec-6 com.nutanix.syslog.generateInfoLevelSyslog:19 An unsuccessful login attempt was made with username: admin from IP: 192.168.1.15 and browser: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36
アカウント ロック
Prism で連続でログイン失敗して、アカウントをロックしてみます。
Syslog では、下記のように出力されました。
Nov 18 13:14:49 NTNX-d1d72885-A-CVM prism_gateway: ERROR 2022-11-18 13:14:47,965Z http-nio-0.0.0.0-9081-exec-32 commands.auth.PAMAuthenticationProvider.authenticate:288 Account locked for user admin due to too many failed attempts.
ちなみに、アカウント ロックは 15分ほど待つと解除されます。
Syslog 転送の解除
Syslog 転送の解除も、CVM に SSH ログインして ncli で設定します。
rsyslog から、PRISM モジュールを削除します。
CVM$ ncli rsyslog-config delete-module server-name=lab-syslog-03 module-name=PRISM
そして、転送先 Syslog サーバも削除します。
CVM$ ncli rsyslog-config delete-server name=lab-syslog-03
rsyslog を無効化しておきます。
CVM$ ncli rsyslog-config set-status enable=false
以上。
