VMware Sanal Sunucuyu Kimin Sildiğini Bulma

Merhabalar,

“Sanal sunucuyu kim sildi?”, “Sanal sunucu ne zaman silindi?”  gibi sorular hepimize sorulmuştur değil mi? 🙂 Peki cevabını verebiliyor muyuz?

Bu makalemde, VMware sanal sunucuların, kim tarafından ve ne zaman silindiğini bulma konusunda bilgiler aktarmak istiyorum. VMware sanallaştırma altyapısı üzerindeki en önemli hareketlerden biri de sunucu silme hareketleridir. Eğer log korelasyonu yapan herhangi bir ürününüz yoksa, bu bilgiyi çekebilmek için oldukça fazla log okumanız gerekebilir. İşte bu noktada komut satırı imdadımıza yetişiyor.

Konumuz zaten oldukça basit ve hemen işlemlerimiz üzerinden devam edelim. vCenter sunucum üzerinde bir test sanal sunucumu “Delete from Disk” seçeneği ile ortamdan siliyorum.

vSphere ESXi 6.5 ve sonrası versiyonlarda bu bilgiyi /var/log dizinindeki hostd.log dosyasından elde edebiliyoruz. VM silme aktivitesi, bu VM’in bulunduğu ESXi sunucu üzerinde, “Destroy VM called” ifadesiyle hostd.log dosyası içinde kayıt altına alınmaktadır. Yapacağımız tek şey cat ve grep komutlarıyla bu dosya içinde, ilgili ifadeyi filtrelemek olacak.

Bu sanal sunucum, esx1 üzerinde konumluydu. Dolayısıyla, esx1 sunucusuna SSH bağlantısı yaparak aşağıdaki komutu çalıştırıyorum.

cat /var/log/hostd.log  | grep “Destroy VM called”

Çıktımızı kontrol ettiğimizde, OK işareti ile gösterdiğim satırda, silinen VM ismini, kutu içine aldığım kısımda ise, bu VM’i silen kullanıcıyı görebilirsiniz. Ayrıca işlem tarihini de görebilmekteyiz. Sonrasında, kullanıcıdan hesabımızı sorabiliriz 🙂

Yalnız burada şunu göz ardı etmeyiniz, PowerCLI komutları kullanmadığımız için, hangi ESXi sunucu üzerinden silinmişse o sunucuya bağlanarak bu bilgiyi elde edebiliriz. Yani buradaki işlem sonucunu görmek için, her bir ESXi host üzerine SSH bağlantısı yapıp bu komutu çalıştırmamız gerekiyor. Çünkü eğer komutu uyguladığımız ESXi sunucu üzerinden VM silinmemişse, komut çıktısını göremeyiz ve yanılgı olabilir.

Sonuç olarak, vCenter sunucunuz yoksa ve stand-alone ESXi sunucular kullanıyorsanız bu komut kullanılabilir.

Bu konuların özel ve tek başına kısa makale konuları olması için, PowerCLI komutlarıyla yapabileceğimiz işlemlere, sonraki makalemde değineceğim. Böylece vCenter sunucu üzerinden, bu tip bilgileri elde edebileceğiz ve ayrı ayrı ESXi sunucularda komut çalıştırmak zorunda da kalmayacağız.

Yararlı olması dileğiyle.

Yusuf İşleyen