VMware ESXi audit log yönetimi, yalnız host üzerinde birkaç log dosyasını saklamak değildir. Sağlam model; hangi kayıtların denetim kanıtı taşıdığını anlamak, bu kayıtları kalıcı hale getirmek, merkezi platforma taşımak ve erişim değişiklikleriyle olay akışını birlikte izlenebilir kılmaktır. Kısa cevap şudur: ISO 27001 açısından ESXi audit log mimarisi, persistent logging, local audit record storage, remote syslog, privilege review ve düzenli doğrulama adımlarını aynı kontrol setine bağladığınızda savunulabilir hale gelir.
Bu rehber özellikle şu ekipler içindir:
- VMware ve vSphere yöneticileri
- bilgi güvenliği ve uyum ekipleri
- SOC, SIEM ve merkezi log yönetimi ekipleri
- ISO 27001 denetimine hazırlanan BT yöneticileri
Hızlı Özet
- Broadcom, ESXi loglarının varsayılan olarak scratch volume veya ramdisk üzerinde tutulduğunu; daha kalıcı yapı için disk veya remote syslog hedefi tanımlanması gerektiğini açıkça belirtir.
Syslog.global.logDir,Syslog.global.logHostveSyslog.global.logDirUniqueayarları, audit trail tarafında kalıcılık ve ayrışma için kritik rol oynar.- Broadcom KB
408693, local audit logging için hedef klasörün önceden var olmaması ve yeniden konumlandırma sırasında audit logging'in kapatılıp açılması gerektiğini gösterir. - Broadcom KB
386607, scratch değişikliği sonrası audit record storage'ın sessiz biçimde pasif hale gelebileceğini ve bunun doğrudan denetim izi riski yarattığını gösterir. - SSL tabanlı remote syslog akışında IP yerine FQDN kullanımı önemlidir; aksi halde sertifika doğrulaması başarısız olabilir.
- Aynı datastore üzerinde benzersiz log dizini kullanmamak, çoklu host ortamında log dosyası kilitlenmesi ve karışık audit izi üretir.
İçindekiler
- ISO 27001 Açısından ESXi Audit Log Neyi Kapsar?
- Persistent Logging Neden İlk Kontroldür?
- Local Audit Records Nasıl Tasarlanmalıdır?
- Remote Syslog ve SIEM Akışı Nasıl Kurulmalıdır?
- En Sık Yapılan Hatalar Nelerdir?
- İlgili İçerikler
- ISO 27001 İçin Kanıt Seti Nasıl Oluşturulur?
- Kontrol Listesi
- LeonX ile Sonraki Adım
- Sık Sorulan Sorular
- Kaynaklar
Görsel: Wikimedia Commons - NetworkOperations.
ISO 27001 Açısından ESXi Audit Log Neyi Kapsar?
ISO/IEC 27001, belirli bir ürün özelliğini değil; gizlilik, bütünlük ve erişilebilirliği destekleyen risk bazlı kontrol modelini ister. ESXi audit log bu çerçevede yalnız hostd.log veya vmkernel.log dosyalarıyla sınırlı düşünülmemelidir. Asıl soru şudur:
- hangi olaylar kalıcı olarak saklanıyor
- hangi kayıtlar merkezi olarak toplanıyor
- kim bu kayıtları gözden geçiriyor
- log akışının bozulduğu nasıl fark ediliyor
- bu yapı denetimde nasıl kanıtlanıyor
Bu yüzden ESXi audit log kontrolü en az şu başlıkları içerir:
- persistent local logging
- local audit record storage
- remote syslog forwarding
- log retention ve rotation mantığı
- privilege ve erişim değişikliklerinin görünürlüğü
- periyodik test ve review kayıtları
ISO 27001 açısından güçlü model, “log üretiyoruz” demekten çok “hangi log neden kritik, ne kadar kalıyor, kim inceliyor ve akış koptuğunda nasıl fark ediyoruz” sorularına cevap verebilen modeldir.
Persistent Logging Neden İlk Kontroldür?
Broadcom KB 302451, ESXi'nin logları dahili olarak ramdisk üzerinde tuttuğunu, kalıcı yapı için ise persistent scratch veya remote syslog hedefi gerektiğini açıkça belirtir. Bu kritik, çünkü yalnız geçici disk üstünde kalan loglar reboot veya storage değişikliği sonrasında denetim değeri kaybedebilir.
Broadcom KB 318939 ise syslog tarafında beş ana ayar olduğunu gösterir:
Syslog.global.logDirSyslog.global.logHostSyslog.global.logDirUniqueSyslog.global.defaultRotateSyslog.global.defaultSize
Bu ayarlar üzerinden şu iki katman birlikte düşünülmelidir:
1. Yerel kalıcılık
Host üstündeki logların scratch veya datastore üzerinde kalıcı şekilde tutulması, kısa süreli incelemelerde ve erişim kesintilerinde önemlidir.
2. Uzak merkeze iletim
Uzun süreli saklama, korelasyon ve denetim kanıtı için remote syslog veya SIEM hedefi gerekir. Broadcom da retention ve splitting davranışının remote syslog sunucusu tarafından yönetildiğini açıkça ifade eder; yani ESXi tarafında logu yollamak yetmez, alıcı platformun retention politikası ayrıca tanımlanmalıdır.
Persistent logging olmadan audit log zinciri kesintiye açık hale gelir. ISO 27001 denetiminde bu durum, olay sonrası geriye dönük inceleme kabiliyetini zayıflatır.
Local Audit Records Nasıl Tasarlanmalıdır?
Broadcom KB 408693, local audit logging'in varsayılan olarak /scratch/auditLog dizinini kullandığını ve yeni dizine geçerken özel bir işlem sırası gerektiğini gösterir. Buna göre:
- local audit logging açıkken hedef dizin doğrudan değiştirilemez
- mevcut audit record storage devre dışı bırakılmalıdır
- yeni hedef klasör önceden var olmamalıdır
- ESXi dizini etkinleştirme sırasında kendisi oluşturur
Bu bilgi operasyonel olarak önemlidir, çünkü birçok ekip audit dizinini UI üzerinden değiştirip “Internal error” alınca kontrolün çalıştığını sanmaya devam eder.
Broadcom KB 386607 daha da kritik bir risk gösterir: ESXi 8.0 U3e ve sonrası bir yükseltme veya scratch değişikliği sonrasında audit record storage pasif hale gelebilir. esxcli system auditrecords get çıktısında:
Audit Record Storage Active: false
görülmesi, audit record zincirinin fiilen koptuğu anlamına gelir. ISO 27001 açısından bu, teknik bir uyarı değil; kanıt üretimi ve olay inceleme kapasitesinde boşluk anlamına gelir.
Bu yüzden local audit records için minimum yaklaşım şu olmalıdır:
- auditrecords durumunu düzenli kontrol et
- scratch değişikliklerinden sonra yeniden doğrula
- local path erişilebilir ve yazılabilir mi test et
- audit storage devre dışı alarmını merkezi izleme sistemine taşı
Remote Syslog ve SIEM Akışı Nasıl Kurulmalıdır?
ESXi audit log mimarisi yalnız local storage ile sınırlı kalmamalıdır. Broadcom KB 318939, remote syslog için tcp://, udp:// ve ssl:// formatlarının kullanılabildiğini, değişiklik sonrası esxcli system syslog reload gerektiğini ve nc -z ile erişim testinin yapılmasını açıkça anlatır.
Pratikte doğru kurulum şu katmanları içermelidir:
1. Remote host tanımı
Syslog.global.logHost ayarı boşsa log forwarding yoktur. Bu yüzden host profilleri veya standart host baseline içinde syslog hedefi açıkça tanımlanmalıdır.
2. Ulaşılabilirlik testi
Broadcom, port erişimi için nc -z <RemoteHostname> 514 benzeri kontrol önerir. Ayrıca test mesajı üretmek için:
esxcli system syslog mark --message "Syslog Test Message"
kullanılabilir. Bu, teorik konfigürasyon yerine fiili akışı doğrular.
3. SSL kullanılıyorsa FQDN disiplini
Broadcom KB 432290, SSL syslog akışında IP ile bağlanıldığında sertifika SAN/CN ile eşleşme bozulduğu için bağlantının düşebildiğini gösterir. Yani:
ssl://IP:6514yerinessl://fqdn:6514
kullanımı daha güvenlidir.
4. SIEM entegrasyonu
Audit log değeri, merkezi korelasyonla artar. Bu nedenle bu rehberde yalnız ESXi host logging değil; aynı zamanda Hardware & Software Hizmetleri altında sunduğumuz SIEM ve Güvenlik Olay Yönetimi Entegrasyonu gibi merkezi log toplama yaklaşımıyla ele alınmalıdır. Sanallaştırma katmanı tarafında ise Kurumsal Sanallaştırma Platformları Satış ve Lisanslama hizmetiyle uyumlu standart host profilleri ve log baseline'ları kurulabilir.
En Sık Yapılan Hatalar Nelerdir?
Aynı datastore üzerinde benzersiz dizin kullanmamak
Broadcom KB 387609, birden fazla ESXi host aynı log konumuna yazdığında dosya kilidi ve Device or resource busy hatası oluşabileceğini açıkça gösterir. Bu nedenle Syslog.global.logDirUnique özellikle çoklu host ortamında kritik hale gelir.
Syslog'u tanımlayıp akışı test etmemek
Konfigürasyon kaydedilmiş olsa bile log hedefi log almıyor olabilir. mark testi yapılmadan veya merkezi platformda olay görünmeden “audit log tamam” demek zayıf yaklaşımdır.
Local audit records alarmını izlememek
Audit Record Storage Active: false durumu yalnız CLI çıktısında fark ediliyorsa kontrol olgun değildir. Bu bilgi merkezi alarm ve review akışına bağlanmalıdır.
Retention sorumluluğunu ESXi üstüne bırakmak
Broadcom açıkça belirtir: remote syslog retention mantığını ESXi yönetmez. Bu yüzden SIEM veya syslog sunucusundaki retention süresi, sıkıştırma ve arşivleme politikasının ayrıca tanımlanması gerekir.
İlgili İçerikler
- ISO 27001 için VMware Monitoring Nasıl Yapılır?
- VMware ESXi Hardening Guide ISO 27001 Uyumu Rehberi
- VMware Datastore Encryption ISO 27001 Uyumu Rehberi
ISO 27001 İçin Kanıt Seti Nasıl Oluşturulur?
Denetimde güçlü bir ESXi audit log kanıt seti yalnız ekran görüntüsü değildir. Daha iyi yaklaşım şunları birlikte toplamaktır:
esxcli system syslog config getçıktılarıesxcli system auditrecords getçıktıları- syslog test mesajının merkezi platformda göründüğüne dair kayıt
- host profili veya standard baseline tanımı
- retention süresi ve review sorumluluk matrisi
- log forwarding arızası için olay/ticket kayıtları
- privilege değişiklik review kayıtları
Özellikle aşağıdaki örnekler denetimde daha güçlü görünür:
- son
12 ayiçindeki syslog doğrulama kayıtları - upgrade veya scratch değişikliği sonrası auditrecords kontrol çıktıları
- benzersiz log directory standardının belge haline getirilmiş olması
- SIEM içinde ESXi kaynaklı güvenlik/alarm korelasyon örnekleri
Bu noktada yalnız teknik kurulum değil; Siber Güvenlik Değerlendirme Hizmeti gibi yönetişim ve kontrol gözden geçirme adımları da önem kazanır.
Kontrol Listesi
-
Syslog.global.logDir,logHostvelogDirUniqueayarları standartlaştırıldı -
esxcli system auditrecords getçıktısı tüm ilgili hostlarda doğrulandı - Local audit record storage için path ve yazılabilirlik kontrolü yapıldı
- Scratch değişikliği veya upgrade sonrası audit record durumu yeniden teyit edildi
- Remote syslog hedefi gerçek test mesajıyla doğrulandı
- SSL syslog kullanımında FQDN ve sertifika uyumu kontrol edildi
- Merkezi SIEM veya log platformunda ESXi audit olayları korele edildi
- Retention, review ve audit export prosedürü yazılı hale getirildi
LeonX ile Sonraki Adım
VMware ESXi audit log mimarisi, yalnız logları bir yerde toplamak değil; denetimde savunulabilir ve olay anında gerçekten kullanılabilir kayıt zinciri kurmaktır. LeonX, VMware ortamlarınızda host logging standardı, merkezi korelasyon, retention politikası ve denetim kanıt setini aynı çalışma planında ele alarak daha izlenebilir ve daha audit-ready bir yapı kurmanıza yardımcı olur.
İlgili sayfalar:
- Hardware & Software Hizmetleri
- SIEM ve Güvenlik Olay Yönetimi Entegrasyonu
- Kurumsal Sanallaştırma Platformları Satış ve Lisanslama
- İletişim
Sık Sorulan Sorular
ESXi audit log ile syslog aynı şey midir?
Hayır. ESXi audit log kontrolü local audit records, syslog forwarding, kalıcılık ve merkezi review katmanlarının birleşimidir. Syslog bunun yalnız bir parçasıdır.
Sadece local scratch kullanmak yeterli olur mu?
Tek başına güçlü değildir. Reboot, scratch değişikliği veya host erişim problemi olduğunda merkezi görünürlük zayıflar. Remote syslog ve SIEM entegrasyonu bu yüzden önemlidir.
SSL syslog'ta IP adresi kullanmak neden risklidir?
Broadcom KB 432290, IP ile bağlanıldığında sertifika eşleşmesinin bozulabildiğini ve bağlantının düşebildiğini gösterir. FQDN kullanımı daha güvenlidir.
Aynı datastore içinde tüm hostlar aynı log klasörünü kullanabilir mi?
Önerilmez. Broadcom KB 387609, aynı konuma yazan hostlarda dosya kilidi oluşabildiğini gösterir. Her host için benzersiz dizin daha doğru yaklaşımdır.
ISO 27001 denetiminde hangi kayıtlar en çok işime yarar?
Persistent logging ayarları, auditrecords durumu, test mesajı doğrulaması, retention politikası ve düzenli review kayıtları en savunulabilir kanıt setini oluşturur.
Kaynaklar
- ISO/IEC 27001 standardı
- Broadcom KB 318939 - Configuring syslog on ESXi
- Broadcom KB 302451 - Determining whether an ESXi host has persistent logging
- Broadcom KB 408693 - Configuring Local Audit Logging ESXi hosts fails with the error: "Internal error"
- Broadcom KB 386607 - ESXi shows auditing disabled events after upgrading to 8.0 U3e
- Broadcom KB 432290 - Configuring ESXi syslog over SSL fails with error: "certificate verify failed: IP address mismatch"
- Broadcom KB 387609 - Error "Device or resource busy" when viewing log files on the ESXi host
- Wikimedia Commons - NetworkOperations
