Single Sign-On (SSO)-Überwachungsereignisse sind Aufzeichnungen von Benutzer- oder Systemaktionen für den Zugriff auf die SSO-Dienste.

In vCenter Server 6.7 Update 2 und höher wurde die VMware vCenter Single Sign-On-Überwachung verbessert, indem Ereignisse für die folgenden Vorgänge hinzugefügt wurden:

  • Benutzerverwaltung
  • Anmelden
  • Gruppenerstellung
  • Identitätsquelle
  • Richtlinienaktualisierungen

Die unterstützten Identitätsquellen sind vsphere.local, integrierte Windows-Authentifizierung (IWA) und Active Directory über LDAP.

Wenn ein Benutzer sich bei vCenter Server über Single Sign-On anmeldet oder Änderungen vornimmt, die SSO betreffen, werden die folgenden Überwachungsereignisse in die SSO-Überwachungsprotokolldatei geschrieben:
  • Anmeldungs- und Abmeldungsversuche: Ereignisse für alle erfolgreichen und fehlgeschlagenen Anmeldungs- und Abmeldungsvorgänge.
  • Berechtigungsänderung: Ereignis für eine Änderung an einer Benutzerrolle oder Berechtigungen.
  • Kontoänderung: Ereignis für die Änderung an den Benutzerkontoinformationen, z. B. Benutzername, Kennwort oder zusätzliche Kontoinformationen.
  • Sicherheitsänderung: Ereignis für eine Änderung an einer Konfiguration, einem Parameter oder einer Richtlinie im Zusammenhang mit der Sicherheit.
  • Konto aktiviert oder deaktiviert: Ereignis, wenn ein Konto aktiviert oder deaktiviert wird.
  • Identitätsquelle: Ereignis für das Hinzufügen, Löschen oder Bearbeiten einer Identitätsquelle.

Im vSphere Client werden Ereignisdaten auf der Registerkarte Überwachen angezeigt. Informationen finden Sie in der Dokumentation vSphere-Überwachung und -Leistung.

SSO-Überwachungsereignisdaten enthalten die folgenden Details:

  • Zeitpunkt, zu dem das Ereignis stattfand.
  • Benutzer, der die Aktion durchgeführt hat.
  • Beschreibung des Ereignisses.
  • Schweregrad des Ereignisses.
  • IP-Adresse des Clients, der für die Verbindung zum vCenter Server verwendet wurde, falls verfügbar.

Übersicht über das SSO-Überwachungsereignisprotokoll

Der vSphere Single Sign-On-Vorgang schreibt Überwachungsereignisse in die Datei audit_events.log im Verzeichnis /var/log/audit/sso-events/,

Vorsicht: Bearbeiten Sie die Datei audit_events.log nie manuell, da damit die Überwachungsprotokollierung fehlschlagen könnte.

Beachten Sie Folgendes bei der Arbeit mit der Datei audit_events.log:

  • Die Protokolldatei wird archiviert, sobald sie 50 MB erreicht.
  • Es werden maximal 10 Archivdateien aufbewahrt. Wenn die maximale Anzahl erreicht ist, wird die älteste Datei entfernt, wenn ein neues Archiv erstellt wird.
  • Die Archivdateien werden mit dem Namen audit_events-<index>.log.gz benannt, wobei „index“ eine Zahl zwischen 1 und 10 ist. Das erste erstellte Archiv ist „index 1“, und die Zahl wird mit jedem nachfolgenden Archiv erhöht.
  • Die ältesten Ereignisse befinden sich im Archiv „index 1“. Die Datei mit der höchsten Indexnummer ist das neueste Archiv.