Los registros de auditoría cumplen con RFC 5424 y contienen información sobre eventos relacionados con elementos como la hora, el estado, la descripción y la información del usuario que se ha registrado para los eventos que se han producido a partir de acciones en hosts ESXi. El mantenimiento de registros de auditoría locales y remotos está disponible. El mantenimiento de registros de auditoría está desactivado de forma predeterminada. Tiene que activar manualmente los modos de auditoría local y remoto.

El registro de auditoría de ESXi local funciona como un búfer de tamaño fijo de los mensajes de auditoría recientes. Una vez que los mensajes llenan el búfer, los registros nuevos sobrescriben los registros más antiguos. El registro de auditoría remoto reenvía la misma secuencia de registros de auditoría en un formato de syslog estándar (RFC 3164) a un servidor remoto, ya sea en formato sin cifrar o cifrado (RFC 5425). Los mensajes de auditoría cumplen con RFC 5424, pero los mensajes de syslog generales solo cumplen con RFC 3164. El sistema envía un mensaje de auditoría generado al almacén local y al almacén remoto de forma simultánea.

Durante una pérdida de conexión entre el host y el almacén remoto, el almacén remoto descarta los mensajes de auditoría generados. Tras la reconexión, el sistema genera un mensaje de auditoría que indica una posible pérdida de mensajes.

Configurar registros de auditoría

Utilice ESXCLI para configurar el mantenimiento de registros de auditoría local. Para obtener más información, consulte Referencia de ESXCLI en https://code.vmware.com/.

Ver registros de auditoría

Puede ver los registros de auditoría de la siguiente manera.

  • Local: utilice la aplicación ESXi /bin/viewAudit.
  • Remoto: configure un servidor de auditoría remoto mediante ESXCLI.

También puede utilizar la API FetchAuditRecords (en el objeto administrado DiagnosticsManager) para ver los registros de auditoría.