VMware Aria Operations vous permet d'afficher, de surveiller et d'effectuer des recherches dans toutes les instances de vCenter Server de votre infrastructure.

Les événements d'audit améliorent l'efficacité opérationnelle, la transparence et la responsabilité. Ces améliorations facilitent les audits de sécurité et de conformité, et fournissent des détails essentiels pour effectuer des analyses de sécurité. Votre organisation peut être tenue de fournir des données d'audit pour prendre en charge les révisions d'audit internes et externes. En affichant les événements d'audit, vous pouvez réduire le temps requis pour les cycles d'audit en collectant des données auprès de diverses ressources sur les instances de vCenter Server et les voir dans une interface unifiée. Actuellement, les événements d'audit signalent les événements liés à l'authentification et à la sécurité.

Fonctionnement de la journalisation des audits

VMware Aria Operations peut afficher des événements d'audit après l'intégration à VMware Aria Operations for Logs. Les événements d'audit incluent des interactions au sein de la plate-forme, telles que les recherches, les connexions, les déconnexions, les vérifications de capacité et les modifications de configuration qui entraînent la création d'enregistrements d'audit pertinents.

Par défaut, VMware Aria Operations affiche les événements d'audit pour l'instance de vCenter Server, les machines virtuelles, les hôtes, les ressources vSAN et les ressources NSX.

Si votre infrastructure virtuelle dispose de plusieurs instances de vCenter, VMware Aria Operations peut surveiller les ressources sur toutes ces instances. Les événements d'audit s'affichent uniquement pour les instances de vCenter surveillées par VMware Aria Operations for Logs, même si ces instances sont directement configurées avec VMware Aria Operations. Vous devez configurer manuellement VMware Aria Operations for Logs pour surveiller les instances de vCenter dans votre infrastructure virtuelle. Vous pouvez utiliser le transfert de journaux pour configurer plusieurs instances de VMware Aria Operations for Logs afin d'effectuer l'analyse des journaux. Sur ces instances, une seule est intégrée à VMware Aria Operations, tandis que les autres transfèrent les journaux à l'instance de VMware Aria Operations for Logs intégrée.
Note : Les instances de VMware Aria Operations for Logs utilisées pour le transfert de journaux doivent être de la version prise en charge. Sinon, les événements d'audit ne s'affichent pas pour les instances de vCenter surveillées par ces redirecteurs de journaux vCenter.
Pour plus d'informations, reportez-vous aux rubriques suivantes :
Pour résumer, VMware Aria Operations affiche les événements d'audit provenant des instances de vCenter qui sont :
  • Configurées dans l'instance de VMware Aria Operations for Logs intégrée à VMware Aria Operations.
  • Configurées dans les instances de VMware Aria Operations for Logs qui transfèrent les journaux vers l'instance de VMware Aria Operations for Logs intégrée à VMware Aria Operations.

Catégorie d'événements d'audit

VMware Aria Operations génère des événements d'audit pour la catégorie d'actions suivante :
  • Accès
  • Access_control
  • Account_management
  • Configuration
  • Data_access
  • Réseau
  • Notification
  • Autorisations
  • Session
  • Système
  • Règle
  • Pare-feu

Les événements d'audit peuvent avoir plusieurs catégories.

L'intervalle de temps par défaut pour lequel les événements d'audit sont affichés est de 24 heures. Vous pouvez sélectionner des événements d'audit dans les dernières 1, 6, 12, 24 et 48 dernières heures, mais cela dépend de la rétention des données configurée dans l'instance de VMware Aria Operations for Logs. En outre, vous pouvez spécifier une plage horaire personnalisée pour n'importe quelle période dans le passé, à condition qu'elle ne dépasse pas la limite maximale de 48 heures.