Single Sign-On (SSO) 审核事件是访问 SSO 服务的用户或系统操作的记录。
vCenter Server 6.7 Update 2 及更高版本通过为以下操作添加事件来改进 VMware vCenter Single Sign-On审核:
- 用户管理
- 登录
- 组创建
- 标识源
- 策略更新
支持的标识源为 vsphere.local、集成 Windows 身份验证 (IWA) 和基于 LDAP 的 Active Directory。
当用户通过 Single Sign-On 登录到
vCenter Server时,或执行影响 SSO 的更改时,下面的审核事件写入到 SSO 审核日志文件:
- 登录和注销的尝试次数:所有成功和失败登录和注销操作的事件。
- 特权更改:更改用户角色或权限的事件。
- 帐户更改:更改用户帐户信息的事件,例如用户名、密码或任何其他帐户信息。
- 安全性更改:安全性配置、参数或策略更改的事件。
- 启用或禁用帐户:激活或停用帐户的事件。
- 标识源:添加、删除或编辑标识源的事件。
在 vSphere Client中,事件数据显示在监控选项卡中。请参见《vSphere 监控和性能》文档。
SSO 审核事件数据包括以下详细信息:
- 事件发生时的时间戳。
- 执行该操作的用户。
- 事件的描述。
- 事件的严重性。
- 用于连接到 vCenter Server(如果可用)的客户端 IP 地址。
SSO 审核事件日志概述
vSphere Single-Sign On 过程将审核事件写入到 /var/log/audit/sso-events/ 目录中的 audit_events.log 文件。
小心: 永远不要手动编辑
audit_events.log 文件,因为这样做可能会导致审核日志记录失败。
使用 audit_events.log 文件时,请牢记以下信息:
- 日志文件在达到 50 MB 时存档一次。
- 最多将保留 10 个存档文件。如果达到限制,创建新的存档时将清除最早的文件。
- 存档文件将命名为 audit_events-<index>.log.gz,其中索引是从 1 到 10 的数字。创建的第一个存档是索引 1,且每个后续存档的索引编号将依次加 1。
- 最早的事件位于存档索引 1 中。索引编号最大的文件是最近的存档。
