Los eventos de auditoría de Single Sign-On (SSO) son registros de acciones del usuario o del sistema para obtener acceso a los servicios de SSO.

vCenter Server 6.7 Update 2 y versiones posteriores mejora la auditoría de VMware vCenter Single Sign-On al agregar eventos para las siguientes operaciones:

  • Administración de usuarios
  • Inicio de sesión
  • Creación de grupos
  • Origen de identidad
  • Actualizaciones de directivas

Los orígenes de identidades compatibles son vsphere.local, autenticación integrada de Windows (Integrated Windows Authentication, IWA) y Active Directory en LDAP.

Cuando un usuario inicia sesión en vCenter Server a través de Single Sign-On, o realiza cambios que afectan a SSO, se escriben los siguientes eventos de auditoría en el archivo de registro de auditoría de SSO:
  • Intentos de inicio y cierre de sesión: los eventos para todas las operaciones de inicio y cierre de sesión correctas y con errores.
  • Cambio de privilegio: los eventos de cambio en el rol o los permisos de un usuario.
  • Cambio de cuenta: los eventos de cambio en la información de la cuenta de usuario, por ejemplo, nombre de usuario, contraseña u otra información adicional de la cuenta.
  • Cambio de seguridad: los eventos de cambio en una configuración, un parámetro o una directiva de seguridad.
  • Cuenta habilitada o deshabilitada: los eventos para cuando se habilita o se deshabilita una cuenta.
  • Origen de identidad: los eventos para agregar, eliminar o editar un origen de identidad.

En vSphere Client y vSphere Web Client, los datos de eventos se muestran en la pestaña Supervisar. Consulte la documentación de Supervisión y rendimiento de vSphere.

Nota: La capacidad de ver los eventos mediante uno de los clientes de GUI solo está habilitada para vCenter Server Appliance.

Los datos de eventos de auditoría de SSO incluyen los siguientes detalles:

  • Marca de tiempo de cuando se produjo el evento.
  • Usuario que realizó la acción.
  • Descripción del evento.
  • Gravedad del evento.
  • Dirección IP del cliente utilizado para conectarse a vCenter Server, si está disponible.

Descripción general del registro de eventos de auditoría de SSO

El proceso de Single Sign-On de vSphere escribe los eventos de auditoría en el archivo audit_events.log en las siguientes ubicaciones.

Tabla 1. Ubicación del registro de auditoría de SSO
Sistema operativo Ubicación
vCenter Server Appliance /var/log/audit/sso-events/
vCenter Server Windows C:\ProgramData\VMware\vCenterServer\runtime\VMwareSTSService\logs\
Precaución: Nunca edite manualmente el archivo audit_events.log, ya que esto puede provocar un error en el registro de auditoría.

Al trabajar con el archivo audit_events.log, tenga en cuenta lo siguiente:

  • El archivo de registro se archiva al alcanzar 50 MB.
  • Se conservan 10 archivos de almacenamiento como máximo. Si se alcanza el límite, el archivo más antiguo se depura al crear un nuevo archivo.
  • Los archivos llevan el nombre audit_events-<índice>.log.gz, donde el índice es un número del 1 al 10. El primer archivo que se crea es el índice 1 y ese número aumenta con cada archivo subsiguiente.
  • Los eventos más antiguos se encuentran en el índice 1 del archivo. El archivo con el índice más alto es el archivo más reciente.