vRealize Log Insight – vSphere Unauthorized Access

vCenter ve ESXi hostlarınız loglarını vRLI sunucusuna gönderiyorsa, vRLI ekranında Interactive Analysis kısmında aşağıdaki query (sorgu) leri kullanarak, ortamınızdaki erişimleri kontrol edebilirsiniz. Bu sorgular daha da çeşitlendirilebilir. Burada sadece bazı örnekleri sizlerle paylaşıyorum.

SSH Authentication Failure: Aşağıdaki iki metrik ile loglarda SSHD servisine erişmiş ama kimlik denetimini geçememiş kullanıcıları görüntüleyebilirsiniz. Örnek ekran görüntüsü de aşağıdadır.

Text contains authentication failure

Appname contains sshd

SSH Authentication Success: Aşağıdaki iki metrik ile loglarda SSHD servisine erişmiş ama kimlik denetimini geçememiş kullanıcıları görüntüleyebilirsiniz.

Text contains session opened

Appname contains sshd

DCUI Authentication Failure:

Text contains “failed with authentication failure”

Appname contains DCUI

Remote Console Connected:

Test contains remote console connected

Vc_event_type contains com.vmware.vim25.vmremoteconsoleconnectedevent

vCenter Server Authentication

event_type is v4_52c26184d

vc_username does not contain “ “ (bu kısım boş olacak, tırnak işareti bile koymanıza gerek yok)

appname contains “vcenter-server”

PowerCLI Authentication Success:

Test contains logged in

Vmw_vc_auth_type contains PowerCLI

Categories:VMware

Tags:Log Insight VMware vRLI vSphere

tolgaasik

General / VMware / VMware vSAN

Share

Related Posts

Announcing vSAN 7 Update 3 – Coming Soon !!!

vSphere 5.0 – Space Reclaimation

Vmware Documentation Libraries and Websites -1

VM – Windows Server 2022 – Boot Issue

vSphere Web Client & Desktop Client Only

Four Years in a Row: VMware Named a Leader in…