ESXi Shell 로그인 및 명령 감사(2004810)

목적

ESXi 5.0 이상은 콘솔에서 액세스하든 SSH를 통해 액세스하든 ESXi Shell에 입력된 모든 명령의 기록을 유지합니다. 이 셸 명령 기록은 shell.log 파일에서 유지됩니다. 명령의 전사 내에서 명령 발급자는 프로세스 또는 월드 ID로 식별됩니다. 이 문서에서는 auth.log 파일의 인증 정보와 ESXi Shell에서 실행된 명령의 기록을 상호 연결하는 방법에 대해 설명합니다.

설명된 로그 파일의 위치에 대한 자세한 내용은 Location of ESXi 5.0 log files (2004201) 및 Location of log files for VMware products (1021806)를 참조하십시오.

해결

ESXi Shell에서 실행된 명령과 요청을 실행한 사용자 및 클라이언트를 확인하려면 다음과 같이 하십시오.

1. auth.log 및 shell.log 로그 파일에 액세스합니다.

• vRealize Log Insight의 syslog를 통해 로그 소비 및 appname=login,sshd,shell에서 필터링
• ESXi Shell에 로그인하고 less 명령을 사용하여 각 로그를 엽니다.
• 웹 브라우저를 사용하여 https://ESXiHostnameOrIP/host/auth.log 및 https://ESXiHostnameOrIP/host/shell.log입니다.
• vCLI의 vifs 명령줄 유틸리티를 사용하여 로그를 클라이언트에 복사하고 로그를 검토합니다.
• vm-support 로그 번들 내에서 파일을 읽습니다.

2. 텍스트 뷰어에서 로그 파일 /var/log/auth.log를 엽니다.

3. 세션에 대한 사용자 이름, 타임스탬프 및 월드 ID를 포함한 인증 레코드를 식별합니다.

• 콘솔의 ESXi Shell 로그인은 다음과 유사한 것으로 나타납니다.

2011-08-29T18:01:00Z login[64386]: root login on 'char/tty/1'

• 대화형 SSH를 통한 ESXi Shell 로그인은 다음과 유사한 것으로 나타납니다.

2011-08-29T18:01:00Z sshd[12345]: Connection from 10.11.12.13 port 2605
2011-08-29T18:01:00Z sshd[12345]: Accepted keyboard-interactive/pam for root from 10.11.12.13 port 2605 ssh2
2011-08-29T18:01:00Z sshd[64386]: Session opened for 'root' on /dev/char/pty/t0
2011-08-29T18:01:00Z sshd[12345]: Session closed for 'root' on /dev/char/pty/t0
…
2011-08-29T18:35:05Z sshd[12345]: Session closed for 'root' 2

• 공개 키가 있는 SSH를 통한 ESXi Shell 로그인은 다음과 유사하게 나타납니다.

2011-08-29T18:01:00Z sshd[12345]: Connection from 10.11.12.13 port 2605
2011-08-29T18:01:00Z sshd[12345]: Accepted publickey for root from 10.11.12.13 port 2605 ssh2
2011-08-29T18:01:00Z sshd[64386]: Session opened for 'root' on /dev/char/pty/t0
2011-08-29T18:01:00Z sshd[12345]: Session closed for 'root' on /dev/char/pty/t0
…
2011-08-29T18:35:05Z sshd[12345]: Session closed for 'root' 2

이러한 인증 기록은 8월 29일 GMT 18시 1분에 사용자 root에 대한 성공적인 인증을 나타낸다. SSH 방법에는 연결이 시작된 IP 주소도 포함된다. 셸 세션은 World 64386에서 처리 중입니다.

4. /var/log/auth.log 파일을 닫습니다.

5. 텍스트 뷰어에서 /var/log/shell.log 파일을 엽니다.

6. 3단계에서 확인한 것과 동일한 World ID를 포함하는 다음과 유사한 명령을 입력합니다.

2011-08-29T18:01:01Z shell[64386]: Interactive shell session started
2011-08-29T18:05:02Z shell[64386]: cd /var/log
2011-08-29T18:05:03Z shell[64386]: ls
2011-08-29T18:13:04Z shell[64386]: vmware -v
2011-08-29T18:35:05Z shell[64386]: exit

7. World ID 64386에서 처리한 콘솔 세션에 명령이 입력되었기 때문에 3단계에서 설명한 대로 사용자 루트에 의해 설정된 인증 세션에 해당합니다.