Os registros de auditoria estão em conformidade com a RFC 5424 e contêm informações sobre eventos relacionados a itens, como hora, status, descrição e informações do usuário registradas para eventos que ocorreram de ações em hosts ESXi. A manutenção de registros de auditoria local e remota está disponível. A manutenção de registros de auditoria é desativada por padrão. Você deve ativar manualmente os modos de auditoria local e remoto.
O log de auditoria ESXi local opera como um buffer de tamanho fixo de mensagens de auditoria recentes. Quando as mensagens enchem o buffer, os novos registros substituem os registros mais antigos. O log de auditoria remoto encaminha o mesmo fluxo de registros de auditoria em um formato syslog padrão (RFC 3164) para um servidor remoto, no formato não criptografado ou criptografado (RFC 5425). As mensagens de auditoria estão em conformidade com a RFC 5424, mas as mensagens gerais do syslog estão em conformidade apenas com a RFC 3164. O sistema envia a mensagem de auditoria gerada ao repositório local e ao repositório remoto simultaneamente.
Durante uma perda de conexão entre o host e o repositório remoto, o repositório remoto descarta todas as mensagens de auditoria geradas. Após a reconexão, o sistema gera uma mensagem de auditoria indicando uma possível perda de mensagem.
Configurando registros de auditoria
Use o ESXCLI para configurar a manutenção de registros de auditoria local. Para obter mais informações, consulte Referência de ESXCLI em https://code.vmware.com/.
Visualizando Registros de Auditoria
Você pode visualizar os registros de auditoria da seguinte maneira.
- Local: Use o aplicativo ESXi
/bin/viewAudit
. - Remoto: configure um servidor de auditoria remoto usando o ESXCLI.
Você também pode usar a API FetchAuditRecords (no objeto gerenciado DiagnosticsManager) para exibir registros de auditoria.