Single Sign-On (SSO)-Überwachungsereignisse sind Aufzeichnungen von Benutzer- oder Systemaktionen für den Zugriff auf die SSO-Dienste.
In vCenter Server 6.7 Update 2 und höher wurde die VMware vCenter Single Sign-On-Überwachung verbessert, indem Ereignisse für die folgenden Vorgänge hinzugefügt wurden:
- Benutzerverwaltung
- Anmelden
- Gruppenerstellung
- Identitätsquelle
- Richtlinienaktualisierungen
Die unterstützten Identitätsquellen sind vsphere.local, integrierte Windows-Authentifizierung (IWA) und Active Directory über LDAP.
- Anmeldungs- und Abmeldungsversuche: Ereignisse für alle erfolgreichen und fehlgeschlagenen Anmeldungs- und Abmeldungsvorgänge.
- Berechtigungsänderung: Ereignis für eine Änderung an einer Benutzerrolle oder Berechtigungen.
- Kontoänderung: Ereignis für die Änderung an den Benutzerkontoinformationen, z. B. Benutzername, Kennwort oder zusätzliche Kontoinformationen.
- Sicherheitsänderung: Ereignis für eine Änderung an einer Konfiguration, einem Parameter oder einer Richtlinie im Zusammenhang mit der Sicherheit.
- Konto aktiviert oder deaktiviert: Ereignis, wenn ein Konto aktiviert oder deaktiviert wird.
- Identitätsquelle: Ereignis für das Hinzufügen, Löschen oder Bearbeiten einer Identitätsquelle.
Im vSphere Client werden Ereignisdaten auf der Registerkarte Überwachen angezeigt. Informationen finden Sie in der Dokumentation vSphere-Überwachung und -Leistung.
SSO-Überwachungsereignisdaten enthalten die folgenden Details:
- Zeitpunkt, zu dem das Ereignis stattfand.
- Benutzer, der die Aktion durchgeführt hat.
- Beschreibung des Ereignisses.
- Schweregrad des Ereignisses.
- IP-Adresse des Clients, der für die Verbindung zum vCenter Server verwendet wurde, falls verfügbar.
Übersicht über das SSO-Überwachungsereignisprotokoll
Der vSphere Single Sign-On-Vorgang schreibt Überwachungsereignisse in die Datei audit_events.log im Verzeichnis /var/log/audit/sso-events/,
Beachten Sie Folgendes bei der Arbeit mit der Datei audit_events.log:
- Die Protokolldatei wird archiviert, sobald sie 50 MB erreicht.
- Es werden maximal 10 Archivdateien aufbewahrt. Wenn die maximale Anzahl erreicht ist, wird die älteste Datei entfernt, wenn ein neues Archiv erstellt wird.
- Die Archivdateien werden mit dem Namen audit_events-<index>.log.gz benannt, wobei „index“ eine Zahl zwischen 1 und 10 ist. Das erste erstellte Archiv ist „index 1“, und die Zahl wird mit jedem nachfolgenden Archiv erhöht.
- Die ältesten Ereignisse befinden sich im Archiv „index 1“. Die Datei mit der höchsten Indexnummer ist das neueste Archiv.