Single Sign-On (SSO) 审核事件是访问 SSO 服务的用户或系统操作的记录。

vCenter Server 6.7 Update 2 及更高版本通过为以下操作添加事件来改进 VMware vCenter Single Sign-On审核:

  • 用户管理
  • 登录
  • 组创建
  • 标识源
  • 策略更新

支持的标识源为 vsphere.local、集成 Windows 身份验证 (IWA) 和基于 LDAP 的 Active Directory。

当用户通过 Single Sign-On 登录到 vCenter Server时,或执行影响 SSO 的更改时,下面的审核事件写入到 SSO 审核日志文件:
  • 登录和注销的尝试次数:所有成功和失败登录和注销操作的事件。
  • 特权更改:更改用户角色或权限的事件。
  • 帐户更改:更改用户帐户信息的事件,例如用户名、密码或任何其他帐户信息。
  • 安全性更改:安全性配置、参数或策略更改的事件。
  • 启用或禁用帐户:激活或停用帐户的事件。
  • 标识源:添加、删除或编辑标识源的事件。

vSphere Client中,事件数据显示在监控选项卡中。请参见《vSphere 监控和性能》文档。

SSO 审核事件数据包括以下详细信息:

  • 事件发生时的时间戳。
  • 执行该操作的用户。
  • 事件的描述。
  • 事件的严重性。
  • 用于连接到 vCenter Server(如果可用)的客户端 IP 地址。

SSO 审核事件日志概述

vSphere Single-Sign On 过程将审核事件写入到 /var/log/audit/sso-events/ 目录中的 audit_events.log 文件。

小心: 永远不要手动编辑 audit_events.log 文件,因为这样做可能会导致审核日志记录失败。

使用 audit_events.log 文件时,请牢记以下信息:

  • 日志文件在达到 50 MB 时存档一次。
  • 最多将保留 10 个存档文件。如果达到限制,创建新的存档时将清除最早的文件。
  • 存档文件将命名为 audit_events-<index>.log.gz,其中索引是从 1 到 10 的数字。创建的第一个存档是索引 1,且每个后续存档的索引编号将依次加 1。
  • 最早的事件位于存档索引 1 中。索引编号最大的文件是最近的存档。