Los eventos de auditoría de Single Sign-On (SSO) son registros de acciones del usuario o del sistema para obtener acceso a los servicios de SSO.
vCenter Server 6.7 Update 2 y versiones posteriores mejora la auditoría de VMware vCenter Single Sign-On al agregar eventos para las siguientes operaciones:
- Administración de usuarios
- Inicio de sesión
- Creación de grupos
- Origen de identidad
- Actualizaciones de directivas
Los orígenes de identidades compatibles son vsphere.local, autenticación integrada de Windows (Integrated Windows Authentication, IWA) y Active Directory en LDAP.
- Intentos de inicio y cierre de sesión: los eventos para todas las operaciones de inicio y cierre de sesión correctas y con errores.
- Cambio de privilegio: los eventos de cambio en el rol o los permisos de un usuario.
- Cambio de cuenta: los eventos de cambio en la información de la cuenta de usuario, por ejemplo, nombre de usuario, contraseña u otra información adicional de la cuenta.
- Cambio de seguridad: los eventos de cambio en una configuración, un parámetro o una directiva de seguridad.
- Cuenta habilitada o deshabilitada: los eventos para cuando se habilita o se deshabilita una cuenta.
- Origen de identidad: los eventos para agregar, eliminar o editar un origen de identidad.
En vSphere Client, los datos de eventos se muestran en la pestaña Supervisar. Consulte la documentación de Supervisión y rendimiento de vSphere.
Los datos de eventos de auditoría de SSO incluyen los siguientes detalles:
- Marca de tiempo de cuando se produjo el evento.
- Usuario que realizó la acción.
- Descripción del evento.
- Gravedad del evento.
- Dirección IP del cliente utilizado para conectarse a vCenter Server, si está disponible.
Descripción general del registro de eventos de auditoría de SSO
El proceso de vSphere Single-Sign On escribe los eventos de auditoría en el archivo audit_events.log en el directorio /var/log/audit/sso-events/.
Al trabajar con el archivo audit_events.log, tenga en cuenta lo siguiente:
- El archivo de registro se archiva al alcanzar 50 MB.
- Se conservan 10 archivos de almacenamiento como máximo. Si se alcanza el límite, el archivo más antiguo se depura al crear un nuevo archivo.
- Los archivos llevan el nombre audit_events-<índice>.log.gz, donde el índice es un número del 1 al 10. El primer archivo que se crea es el índice 1 y ese número aumenta con cada archivo subsiguiente.
- Los eventos más antiguos se encuentran en el índice 1 del archivo. El archivo con el índice más alto es el archivo más reciente.