Los eventos de auditoría de Single Sign-On (SSO) son registros de acciones del usuario o del sistema para obtener acceso a los servicios de SSO.

vCenter Server 6.7 Update 2 y versiones posteriores mejora la auditoría de VMware vCenter Single Sign-On al agregar eventos para las siguientes operaciones:

  • Administración de usuarios
  • Inicio de sesión
  • Creación de grupos
  • Origen de identidad
  • Actualizaciones de directivas

Los orígenes de identidades compatibles son vsphere.local, autenticación integrada de Windows (Integrated Windows Authentication, IWA) y Active Directory en LDAP.

Cuando un usuario inicia sesión en vCenter Server a través de Single Sign-On, o realiza cambios que afectan a SSO, se escriben los siguientes eventos de auditoría en el archivo de registro de auditoría de SSO:
  • Intentos de inicio y cierre de sesión: los eventos para todas las operaciones de inicio y cierre de sesión correctas y con errores.
  • Cambio de privilegio: los eventos de cambio en el rol o los permisos de un usuario.
  • Cambio de cuenta: los eventos de cambio en la información de la cuenta de usuario, por ejemplo, nombre de usuario, contraseña u otra información adicional de la cuenta.
  • Cambio de seguridad: los eventos de cambio en una configuración, un parámetro o una directiva de seguridad.
  • Cuenta habilitada o deshabilitada: los eventos para cuando se habilita o se deshabilita una cuenta.
  • Origen de identidad: los eventos para agregar, eliminar o editar un origen de identidad.

En vSphere Client, los datos de eventos se muestran en la pestaña Supervisar. Consulte la documentación de Supervisión y rendimiento de vSphere.

Los datos de eventos de auditoría de SSO incluyen los siguientes detalles:

  • Marca de tiempo de cuando se produjo el evento.
  • Usuario que realizó la acción.
  • Descripción del evento.
  • Gravedad del evento.
  • Dirección IP del cliente utilizado para conectarse a vCenter Server, si está disponible.

Descripción general del registro de eventos de auditoría de SSO

El proceso de vSphere Single-Sign On escribe los eventos de auditoría en el archivo audit_events.log en el directorio /var/log/audit/sso-events/.

Precaución: Nunca edite manualmente el archivo audit_events.log, ya que esto puede provocar un error en el registro de auditoría.

Al trabajar con el archivo audit_events.log, tenga en cuenta lo siguiente:

  • El archivo de registro se archiva al alcanzar 50 MB.
  • Se conservan 10 archivos de almacenamiento como máximo. Si se alcanza el límite, el archivo más antiguo se depura al crear un nuevo archivo.
  • Los archivos llevan el nombre audit_events-<índice>.log.gz, donde el índice es un número del 1 al 10. El primer archivo que se crea es el índice 1 y ese número aumenta con cada archivo subsiguiente.
  • Los eventos más antiguos se encuentran en el índice 1 del archivo. El archivo con el índice más alto es el archivo más reciente.