Os eventos de auditoria de Single Sign-On (SSO) são registros de ações do usuário ou do sistema para acessar os serviços de SSO.

vCenter Server 6.7 A Atualização 2 e versões posteriores aprimoram a auditoria VMware vCenter Single Sign-On adicionando eventos para as seguintes operações:

  • Gerenciamento de usuários
  • Entrar
  • Criação de grupo
  • Origem da identidade
  • Atualizações de políticas

As origens de identidade com suporte são vsphere.local, Autenticação Windows Integrada (IWA) e Active Directory sobre LDAP.

Quando um usuário faz login em vCenter Server por meio do Single Sign-On ou faz alterações que afetam o SSO, os seguintes eventos de auditoria são gravados no arquivo de log de auditoria do SSO:
  • Tentativas de login e logout: (Login and Logout Attempts:) eventos para todas as operações de login e logout bem-sucedidas e com falha.
  • Alteração de privilégio: (Privilege Change:) evento para alteração em uma função ou permissões de usuário.
  • Alteração de conta: (Account Change:) evento para alteração nas informações da conta do usuário, por exemplo, nome de usuário, senha ou qualquer informação adicional da conta.
  • Alteração de segurança: (Security Change:) evento para alteração em uma configuração, parâmetro ou política de segurança.
  • Conta ativada ou desativada: (Account Enabled or Disabled:) evento para quando uma conta é ativada ou desativada.
  • Origem de identidade: (Identity Source:) evento para adicionar, excluir ou editar uma fonte de identidade.

No vSphere Client, os dados do evento são exibidos na guia Monitor. Consulte a documentação do vSphere Monitoramento e desempenho.

Os dados do evento de auditoria de SSO incluem os seguintes detalhes:

  • Carimbo de data/hora de quando o evento ocorreu.
  • Usuário que executou a ação.
  • Descrição do evento.
  • Gravidade do evento.
  • Endereço IP do cliente usado para se conectar a vCenter Server, se disponível.

Visão geral do log de eventos de auditoria de SSO

O processo de Single-Sign On do vSphere grava eventos de auditoria no arquivo audit_events.log no diretório /var/log/audit/sso-events/.

Cuidado: Nunca edite manualmente o arquivo audit_events.log, pois isso pode causar falha no log de auditoria.

Lembre-se do seguinte ao trabalhar com o arquivo audit_events.log:

  • O arquivo de log é arquivado quando atinge 50 MB.
  • São mantidos no máximo 10 arquivos. Se o limite for atingido, o arquivo mais antigo será limpo quando um novo arquivo morto for criado.
  • Os arquivos do archive são denominados audit_events-<index>.log.gz, em que o índice é um numeral de 1 a 10. O primeiro archive criado é o índice 1 e é aumentado a cada archive subsequente.
  • Os eventos mais antigos estão no índice de arquivo morto 1. O arquivo indexado mais alto é o arquivo mais recente.