Eventos de auditoria de logon único (SSO) são registros de ações do usuário ou do sistema para acessar os serviços de SSO.
Quando um usuário faz login no
vCenter Server por meio do Single Sign-On ou faz alterações que afetam o SSO, os seguintes eventos de auditoria são gravados no arquivo de log de auditoria do SSO:
- Tentativas de login e logout: (Login and Logout Attempts:) eventos para todas as operações bem-sucedidas e com falha de login e logout.
- Alteração de privilégio: (Privilege Change:) evento para alteração em uma função ou permissões do usuário.
- Alteração de conta: (Account Change:) Evento para alteração nas informações da conta do usuário, por exemplo, nome de usuário, senha ou qualquer informação adicional da conta.
- Alteração de segurança: (Security Change:) evento para alteração em uma configuração de segurança, parâmetro ou política.
- Conta ativada ou desativada: (Account Enabled or Disabled:) Evento para quando uma conta é ativada ou desativada.
- Origem da identidade: (Identity Source:) Evento para adicionar, excluir ou editar uma origem da identidade.
No vSphere Client, os dados do evento são exibidos na guia Monitorar (Monitor). Consulte a documentação do Monitoramento e desempenho do vSphere .
Os dados do evento de auditoria SSO incluem os seguintes detalhes:
- Carimbo de data / hora de quando o evento ocorreu.
- Usuário que executou a ação.
- Descrição do evento.
- Gravidade do evento.
- Endereço IP do cliente usado para se conectar a vCenter Server, se disponível.
Visão geral do log de eventos de auditoria de SSO
O processo do vSphere Single Sign On grava eventos de auditoria no arquivo audit_events.log no diretório / var / log / audit / sso-events / .
Cuidado: Nunca edite manualmente o arquivo
audit_events.log , pois isso pode fazer com que o log de auditoria falhe.
Tenha em mente o seguinte ao trabalhar com o arquivo audit_events.log :
- O arquivo de log é arquivado quando atinge 50 MB.
- Um máximo de 10 arquivos de arquivamento é mantido. Se o limite for atingido, o arquivo mais antigo será removido quando um novo arquivo for criado.
- Os arquivos são denominados audit_events- <index> .log.gz , onde o índice é um numeral de 1 a 10. O primeiro arquivo criado é o índice 1 e é aumentado com cada arquivo subsequente.
- Os eventos mais antigos estão no índice de arquivamento 1. O arquivo com maior índice é o arquivo mais recente.