审核记录符合 RFC 5424,且包含与事项相关的事件的信息,例如针对 ESXi 主机上发生的事件记录的时间、状态、描述和用户信息。本地和远程审核记录保留均可用。默认情况下,审核记录保留处于取消激活状态。您必须手动激活本地和远程审核模式。
本地 ESXi 审核日志作为包含近期审核消息的固定大小缓冲区运行。消息填满缓冲区后,新记录将覆盖最早的记录。远程审核日志以标准 syslog 格式 (RFC 3164) 将相同的审核记录流转发到远程服务器,未加密或加密 (RFC 5425) 形式均可。审核消息符合 RFC 5424,但常规 syslog 消息仅符合 RFC 3164。系统将生成的审核消息同时发送到本地存储和远程存储。
在主机与远程存储之间连接中断期间,远程存储会丢弃生成的任何审核消息。重新连接后,系统会生成一条审核消息,指示可能存在消息丢失情况。
配置审核记录
可以使用 ESXCLI 配置本地审核记录保留。有关详细信息,请参见《ESXCLI 参考指南》,网址为 https://code.vmware.com/。
查看审核记录
您可以按如下方式查看审核记录。
- 本地:使用 ESXi
/bin/viewAudit
应用程序。 - 远程:使用 ESXCLI 配置远程审核服务器。
您还可以使用 FetchAuditRecords API(在 DiagnosticsManager 受管对象中)查看审核记录。