Überwachungsdatensätze entsprechen RFC 5424 und enthalten Informationen zu Ereignissen in Bezug auf Elemente wie Zeit, Status, Beschreibung und Benutzerinformationen, die für Ereignisse protokolliert wurden, die bei Aktionen auf ESXi-Hosts aufgetreten sind. Sowohl lokale als auch Remote-Überwachungsdatensätze sind verfügbar. Die Aufbewahrung von Überwachungsdatensätzen ist standardmäßig deaktiviert. Sie müssen den lokalen und den Remoteüberwachungsmodus manuell aktivieren.

Das lokale ESXi-Überwachungsprotokoll fungiert als Puffer mit fester Größe für kürzlich ausgegebene Überwachungsmeldungen. Wenn der Puffer mit Meldungen gefüllt ist, werden die ältesten Datensätze von neuen Datensätzen überschrieben. Das Remote-Überwachungsprotokoll leitet denselben Stream von Überwachungsdatensätzen entweder unverschlüsselt oder verschlüsselt (RFC 5425) in einem Syslog-Standardformat (RFC 3164) an einen Remoteserver weiter. Überwachungsmeldungen entsprechen RFC 5424, allgemeine Syslog-Meldungen entsprechen jedoch nur RFC 3164. Das System sendet eine generierte Überwachungsmeldung gleichzeitig an den lokalen Speicher und den Remotespeicher.

Während des Verlusts der Verbindung zwischen dem Host und dem Remotespeicher löscht der Remotespeicher alle generierten Überwachungsmeldungen. Bei einer erneuten Verbindung generiert das System eine Überwachungsmeldung, die auf einen potenziellen Verlust von Meldungen hinweist.

Konfigurieren von Überwachungsdatensätzen

Sie konfigurieren die lokale Aufbewahrung von Überwachungsdatensätzen mithilfe von ESXCLI. Weitere Informationen finden Sie in ESXCLI – Referenz unter https://code.vmware.com/.

Anzeigen von Überwachungsdatensätzen

Sie können die Überwachungsdatensätze wie folgt anzeigen.

• Lokal: Verwenden Sie die ESXi-Anwendung /bin/viewAudit.
• Remote: Konfigurieren Sie mithilfe von ESXCLI einen Remote-Überwachungsserver.

Sie können auch die FetchAuditRecords-API (im verwalteten DiagnosticsManager-Objekt) verwenden, um Überwachungsdatensätze anzuzeigen.