O ESXi oferece manutenção de registros de auditoria local e remota. A manutenção de registros de auditoria está desativada por padrão. Você deve habilitar manualmente os modos de auditoria local e remoto.
O log de auditoria local do ESXi opera como um buffer de tamanho fixo de mensagens de auditoria recentes. Uma vez que as mensagens preenchem o buffer, novos registros substituem os registros mais antigos. O log de auditoria remota encaminha o mesmo fluxo de registros de auditoria em um formato syslog padrão (RFC 3164) para um servidor remoto, em formato não criptografado ou criptografado (RFC 5425). As mensagens de auditoria estão em conformidade com o RFC 5424, mas as mensagens syslog gerais estão em conformidade apenas com o RFC 3164. O sistema envia a mensagem de auditoria gerada para o armazenamento local e o armazenamento remoto simultaneamente.
Durante uma perda de conexão entre o host e o armazenamento remoto, o armazenamento remoto descarta todas as mensagens de auditoria geradas. Após a reconexão, o sistema gera uma mensagem de auditoria indicando uma possível perda de mensagens.
Configurando registros de auditoria
Use o ESXCLI para configurar a manutenção de registros de auditoria local. Para obter mais informações, consulte Referência ESXCLI em https://code.vmware.com/.
Exibindo registros de auditoria
Você pode visualizar os registros de auditoria da seguinte maneira.
- Local: use o aplicativo ESXi
/bin/auditLogReader
. - Remoto: Configure um servidor de auditoria remoto usando ESXCLI.
Você também pode usar a API FetchAuditRecords (no objeto gerenciado DiagnosticsManager) para exibir os registros de auditoria.