В составе дистрибутива платформы виртуализации VMware vSphere 5 идет новая служба позволяющая удаленно собирать логи с хост-серверов ESX/ESXi (как пятой так и более ранних версий) - VMware Syslog Collector. Это средство идет в стандартной поставке вместе с VMware vCenter 5 и подходит для тех, кому лень заморачиваться с платными и новороченными Syslog-серверами, которых сейчас на рынке немало. Зачем вообще нужен Syslog-сервер в вашей инфраструктуре? Очень просто - безопасность и централизованный сбор логов в целях аудита и решения проблем.

Первая часть статьи: Где находятся логи VMware ESX и что они значат?

В первой части статьи о файлах журнала VMware ESX (логах) мы описали их размещение и назначение. Но поскольку готовящаяся к выходу платформа VMware vSphere 5 будет построена только на базе платформы VMware ESXi (см. нашу серию статей), то сегодня мы поговорим о том, где находятся логи ESXi и как их можно посмотреть.

Если открыть консоль ESXi через консоль Tech Support Mode или по SSH мы можем увидеть следующую структуру основных логов:

• /var/log/vmware/hostd.log – это лог службы хоста VMware ESXi (host daemon - служба, управляющая хостом)
• /var/log/vmware/vpx/vpxa.log – лог агента vCenter (который управляет через агент хоста). Этого лога не будет если ESXi работает не под управлением vCenter.
• /var/log/messages – Syslog Log (это комбинация логов vmkernel и hostd)
• /var/log/sysboot.log - System boot log (лог загрузчика хоста)
• /var/log/vmware/aam/vmware_<hostname>-xxx.log - Automatic Availability Manager (AAM) logs (лог агента VMware HA). Этого лога не будет если ESXi работает не под управлением vCenter.

NB: Обратите внимание, что при установке VMware ESXi по умолчанию логи хранятся в разделе Scratch Partition, который находится в памяти в виде RAM-диска. После перезагрузки хоста - они будут удалены, если вы не настроили этот раздел для хранения, в том числе, логов.

Теперь как эти логи на ESXi можно посмотреть. Есть аж 5 способов.

1. Через DCUI (Direct Console User Interface).

В главном меню System Customization, куда вы попадаете по кнопке F2 на самом сервере, выберите пункт "View System Logs":

Также в DCUI можно по комбинации клавиш Alt+F12 увидеть лог vmkernel.

Также вы можете зайти в консоль и перейти в папку с логами (/var/logs):

2. Через веб-браузер.

Просто наберите в адресной строке https://<esxi ip address>/host, после чего введите имя пользователя и пароль root.

3. Использование Syslog-сервера для VMware ESXi.

Вы можете настроить Syslog-сервер для ваших хостов ESXi в целях организации удаленного логирования. Для этих целей вполне можно использовать бесплатный продукт vSphere Management Assistant (vMA). Подробно это описано тут:

• Enabling syslog on ESXi
• vMA в роли Syslog сервера для ESX/ESXi хостов
• Using vMA As Your ESXi Syslog Server

4. Экспорт логов через vSphere Client.

Логи можно экспортировать через vSphere Client при прямом подключении к ESXi или при соединении через vCenter. Делается это так:

Далее распаковываете выгруженный архив Winrar-ом и смотрите нужные логи.

5. Экспорт логов ESXi через PowerCLI.

Если вы используете PowerShell / PowerCLI, то можно выполнить такую команду:

Get-Log -VMHost <ESXi Host> -Bundle -DestinationPath C:\logs

Кстати, по умолчанию сообщения логов  vpxa и hostd (/var/log/vmware/vpx/vpxa.log и /var/log/vmware/hostd.log) дублируются в /var/log/messages. Если вы хотите это отключить (чтобы там было меньше флуда), используйте вот эту заметку.

Продолжаем рассказывать о решении StarWind Enterprise, которое позволяет вам создать отказоустойчивое iSCSI-хранилище для виртуальных машин на базе существующей Ethernet-инфраструктуры (то есть, с наименьшими вложениями).

Посмотрим, что продукт умеет в плане отслеживания различных событий, что полезно администратору. Во-первых, у нас есть вкладка Events, где отображаются наиболее значимые события сервера хранения StarWind iSCSI:

Во-вторых, у нас есть возможность смотреть логи сервера StarWind прямо из GUI с возможностью выбора лога:

Логи можно гибко настраивать:

В-третьих, мы можем настроить оповещения о различных событиях по e-mail:

В-четвертых, в версии StarWind 5.7 появились нотификации в системном трее:

Они тоже настраиваются:

Правда вот, по WMI и SNMP StarWind пока события не отдает, но это обещано в следующих релизах.

Как вы знаете, VMware vSphere 5 будет построена только на базе гипервизора VMware ESXi (а ESX больше не будет) и выйдет уже в этом году, поэтому мы публикуем серию заметок о том, как перейти на ESXi с ESX (вот тут - раз и два).

Сегодня мы поговорим о таком различии, как Scratch Partition в ESXi. Scratch Partition - это специальный раздел на хранилище для хост-сервера, который не обязательно, но рекомендуется создавать. Он хранит в себе различную временную информацию для ESXi, как то: логи Syslog'а, вывод команды vm-support (для отправки данных в службу поддержки VMware) и userworld swapfile (когда он включен). Он создается, начиная с vSphere 4.1 Update 1 автоматически, и, если есть возможность, на локальном диске.

Так как данный раздел является необязательным, то в случае его отсутствия вся перечисленная информация хранится на ramdisk хост-сервера (который, кстати, отъедает память - 512 MB). И, так как это ramsidk, после перезагрузки эта информация (если у вас нет scratch partition) очищается. Поэтому неплохо бы этот раздел, все-таки, создать.

По умолчанию, этот раздел создается в системе vfat и составляет 4 ГБ. Это много. Почему так много? Объяснение такое, что местечко оставлено под будущие версии ESXi. Этот раздел может размещаться локально или на SAN-хранилище. При этом его могут использовать несколько хостов ESXi одновременно, поэтому рекомендуется сделать его гигов 20. Но для каждого должна быть своя locker-директория на этом разделе.

Через vSphere Client scratch partition настраивается так:

1. Соединяемся с хостом ESXi из vSphere Client.
2. Переходим на вкладку Configuration.
3. Переходим в категорию Storage.
4. Нажимаем правой кнопкой на datastore и выбираем Browse.
5. Создаем уникальную директорию для хоста ESXi (например, .locker-ESXiHostname)
6. Закрываем Datastore Browser.
7. Переходим в категорию Software.
8. Нажимаем Advanced Settings.
9. Переходим в раздел ScratchConfig.
10. Устанавливаем в качестве значения ScratchConfig.ConfiguredScratchLocation директорию, которую только что создали, например:
    
    /vmfs/volumes/DatastoreName/.locker-ESXiHostname
    
    
11. Нажимаем OK.
12. Перезагружаем ESXi.

Все это можно настроить и при автоматизированном развертывании VMware ESXi через kickstart. А можно и через vCLI и PowerCLI. О том, как это сделать, читайте в KB 1033696.

В очень интересной презентации "Transitioning to ESXi with vSphere 4.1" от Mark'а Monce (которую неплохо бы просмотреть всем администраторам VMware ESX в связи со скорым обязательным переходом VMware на гипервизор ESXi) обнаружились интересные моменты:

1. Если через веб-браузер по https зайти на VMware ESXi по ссылке:

https://<hostname>/host

мы увидим его конфигурационные файлы:

2. Если зайти на VMware ESXi по адресу:

https://<hostname>/host/messages

мы увидим его лог-файлы:

3. А если сходить на ESXi по этому адресу:

https://<hostname>/folder

То мы увидим содержимое VMFS-томов:

Напишите в комментариях, пожалуйста, если что-то из этого не работает.

Для обнаружения и решения проблем в инфраструктуре виртуализации настольных ПК VMware View 4.5 вам может быть полезен анализ логов. Файлы журнала (VMware View Logs) ведутся для различных компонентов продукта.

В папке %TEMP%\vminst.log_date_timestamp при установке будут создаваться логи для следующих компонентов View 4.5:

• Connection Server
• Security Server
• Composer
• View Agent
• View Client

Кроме того, лог установщика MSI создается в файле %TEMP%\vmmsi.log_date_timestamp. 

Данные логи создаются для ролей серверов Connection Server, Security Server и Replica Server. На всех этих хостах они находятся в следующих директориях:

• %ALLUSERSPROFILE%\Application Data\VMware\VDM\logs
• <DriveLetter>:\Documents and Settings\All Users\Application Data\VMware\VDM\logs 
  

Данные логи зависят от версии гостевой ОС, которая используется для виртуальных ПК. Они находятся в следующих директориях:

• Windows XP – <DriveLetter>:\Documents and Settings\All Users\ApplicationData\VMware\VDM\logs
• Windows Vista и Windows 7 – <DriveLetter>:\ProgramData\VMware\VDM\logs

Примечание: если вы используете диск типа User Data Disk (UDD) профиль пользователя может перенаправлять логи на UDD. В этом случае вместо <DriveLetter> укажите букву UDD.

Данные логи зависят от версии ОС, в которой устанавливается клиент View. Они находятся в следующих директориях:

• Windows XP – C:\Documents and Settings\%username%\Local Settings\Application Data\VMware\VDM\Logs\
• Windows 7 и Windows Vista – C:\Users\%username%\AppData\VMware\VDM\Logs\ 
  

Лог View Composer log содержит информацию о выполнении сценариев QuickPrep и Sysprep. Эти логи содержат информацию о времени начала и конца операций, а также сообщения об ошибках. View Composer log находится во временной папке на связанном клоне (linked clone desktop) в директории %system_drive%\Windows\Temp\vmware-viewcomposer-ga-new.log.

На Techtarget появилась хорошая статья Eric'а Siebert'а о безопасности виртуальных машин на сервере виртуализации VMware ESX. Статья достаточно длинная, поэтому постараюсь привести краткое содержание с пояснениями.

Чтобы украсть виртуальную машину с VMware ESX вместе со всеми ее данными и приложениями нужно сделать 3 вещи:

1. Сделать Snapshot виртуальной машины, что переведет ее основной виртуальный диск vmdk в режим только чтения.

2. Загрузить диск vmdk с общего или локального хранилища на машину злоумышленника с помощью FastSCP или WinSCP (можно использовать встроенный в vSphere Client Datastore Browser).

3. Импортировать виртуальную машину на VMware Workstation (для запуска и доступа к данным и приложениям), либо смонтировать диск ВМ в операционную систему Windows или Linux с помощью утилиты vmware-mount из комплекта VMware's Virtual Disk Development Kit (VDDK).

Комментарии:

1. Поскольку основной vmx-файл виртуальной машины будет ссылаться не только на основной vmdk, но и на файл снапшота (отличия от исходного состояния ВМ), нужно будет этот vmx подправить. Кроме того, после того, как файлы vmdk и vmx будут скопированы злоумышленником, он удаляет снапшот - для администратора будто бы ничего и не было.

2. Чтобы запустить импортированную виртуальную машину потребуется пароль администратора гостевой ОС. Как известно, есть утилиты для подбора пароля администратора под Windows Server.

3. Чтобы смонтировать виртуальный диск vmdk и получить доступ ко всем данным - никакого пароля не нужно (если не было шифрования средствами гостевой ОС). Представьте, что вы украли обычный физический диск и воткнули его в компьютер.

4. Файлы vmdk не шифруются в VMware vSphere, но судя по тому, что возможность шифрования в VMware Workstation 7 появилась, в скором времени ее можно ожидать и для VMware vSphere / ESX.

Как не допустить кражи виртуальной машины со своего сервера VMware ESX:

1. Разграничивайте доступ к VMware vCenter, а также к томам VMFS, где хранятся виртуальные машины (в том числе на уровне SAN).

2. Анализируйте логи сервера VMware ESX и проверяйте лог /var/log/security.

3. Защищайте данные средствами шифрования на уровне гостевой ОС. Тогда диск vmdk будет бесполезен злоумышленнику.

4. Предоставьте доступ к сервисной консоли только тем лицам, которым это действительно требуется. Используйте sudo.

5. Используйте специализированные средства безопасности инфраструктуры VMware vSphere, например, HyTrust Virtual Appliance.