Aria Operations for Logs #3 vCenter PowerCLI Failed Logins
Bu makalede vCenter dan elde ettiğimiz loglar ile PowerCLI üzerinden başarısız giriş denemelerinin alarmını ve dashboardlarını oluşturmayı anlatacağım. Bir önceki makalemde vCenter yapılan başarısız SSH denemelerinin alarmlarından bahsetmiştim. Bu makaleyi incelemek isterseniz aşağıda bulabilirsiniz.
Explore Logs – Query filtering
Öncelikle Explore Logs menüsünde appname değeri vpxd-main ve text olarak içerisinde (vim.fault.invalidlogin) {\n–> faultcause = (vmodl.methodfault) metinlerini içeren log kayıtlarını filtreliyoruz.
Bu şekilde vCenter a PowerCLI ile başarısız giriş denemesine sahip log kayıtlarını görüntüleyebiliyoruz.
Alert Definitions – Creating Alert from Query
Şimdi de bu filtreye ait bir alarm tanımı oluşturalım. Bunun için kırmızı alarm butonuna basıp Create Alert from Query… ile alarm tanımlamaya geçiş yapıyoruz.
Bu kısımda alarm adı ve açıklama bilgilerini dolduruyoruz. Sonrasında Trigger Condition da bu alarmı Real Time olarak seçiyoruz. Mevcut durumda event sayısı 1 olduğu an e-mail ve Slack Webhook aracılığıyla bildirim alacağız.
vCenter PowerCLI Access – Failed Login Count
Şimdi yukarıda alarm tanımını yaptığımız aynı filtreleri kullanarak Add query to Dashboard butonu ile toplam hatalı girişlerini bir dashboard a aktarıyoruz. Böylelikle aşağıdaki gibi toplam event sayısını içeren bir görüntü elde ediyoruz.
vCenter PowerCLI Access – Failed Logins by Source
Bir önceki konu başlığında yaptığımız gibi aynı filtreler ile bu eventları bu sefer non-time series olarak seçip Group By ile Source’a göre filtreliyoruz. Bu sayede vCenter a PowerCLI bağlantısı ile Source bazlı user login denemelerini dashboarda aktararak görebiliyoruz.
Bu serinin devamında vCenter Failed Logins dashboarduna ait rapor oluşturduğumuz makaleye aşağıdan ulaşabilirsiniz.