Os eventos de auditoria de Single Sign-On (SSO) são registros de ações do usuário ou do sistema para acessar os serviços de SSO.
vCenter Server 6.7 A Atualização 2 e versões posteriores aprimoram a auditoria VMware vCenter Single Sign-On adicionando eventos para as seguintes operações:
- Gerenciamento de usuários
- Entrar
- Criação de grupo
- Origem da identidade
- Atualizações de políticas
As origens de identidade com suporte são vsphere.local, Autenticação Windows Integrada (IWA) e Active Directory sobre LDAP.
- Tentativas de login e logout: (Login and Logout Attempts:) eventos para todas as operações de login e logout bem-sucedidas e com falha.
- Alteração de privilégio: (Privilege Change:) evento para alteração em uma função ou permissões de usuário.
- Alteração de conta: (Account Change:) evento para alteração nas informações da conta do usuário, por exemplo, nome de usuário, senha ou qualquer informação adicional da conta.
- Alteração de segurança: (Security Change:) evento para alteração em uma configuração, parâmetro ou política de segurança.
- Conta ativada ou desativada: (Account Enabled or Disabled:) evento para quando uma conta é ativada ou desativada.
- Origem de identidade: (Identity Source:) evento para adicionar, excluir ou editar uma fonte de identidade.
No vSphere Client, os dados do evento são exibidos na guia Monitor. Consulte a documentação do vSphere Monitoramento e desempenho.
Os dados do evento de auditoria de SSO incluem os seguintes detalhes:
- Carimbo de data/hora de quando o evento ocorreu.
- Usuário que executou a ação.
- Descrição do evento.
- Gravidade do evento.
- Endereço IP do cliente usado para se conectar a vCenter Server, se disponível.
Visão geral do log de eventos de auditoria de SSO
O processo de Single-Sign On do vSphere grava eventos de auditoria no arquivo audit_events.log no diretório /var/log/audit/sso-events/.
Lembre-se do seguinte ao trabalhar com o arquivo audit_events.log:
- O arquivo de log é arquivado quando atinge 50 MB.
- São mantidos no máximo 10 arquivos. Se o limite for atingido, o arquivo mais antigo será limpo quando um novo arquivo morto for criado.
- Os arquivos do archive são denominados audit_events-<index>.log.gz, em que o índice é um numeral de 1 a 10. O primeiro archive criado é o índice 1 e é aumentado a cada archive subsequente.
- Os eventos mais antigos estão no índice de arquivo morto 1. O arquivo indexado mais alto é o arquivo mais recente.