Les enregistrements d'audit sont conformes à la norme RFC 5424 et contiennent des informations sur les événements relatifs aux éléments tels que l'heure, l'état, la description et les informations utilisateur consignées pour les événements qui se sont produits à partir d'actions sur les hôtes ESXi. Il est possible de conserver les enregistrements d'audit localement et à distance. La conservation des enregistrements d'audit est désactivée par défaut. Vous devez activer manuellement les modes d'audit local et distant.
Le journal d'audit local ESXi fonctionne comme un tampon de taille fixe des messages d'audit récents. Une fois que les messages remplissent la mémoire tampon, les nouveaux enregistrements remplacent les enregistrements les plus anciens. Le journal d'audit distant transfère le même flux d'enregistrements d'audit au format Syslog standard (RFC 3164) vers un serveur distant, sous forme non chiffrée ou chiffrée (RFC 5425). Les messages d'audit sont conformes à la norme RFC 5424, mais les messages Syslog généraux sont uniquement conformes à la norme RFC 3164. Le système envoie simultanément le message d'audit généré au magasin local et au magasin distant.
Lors d'une perte de connexion entre l'hôte et le magasin distant, le magasin distant abandonne tous les messages d'audit générés. Lors de la reconnexion, le système génère un message d'audit indiquant une perte de message potentielle.
Configuration des enregistrements d'audit
Utilisez ESXCLI pour configurer la conservation des enregistrements d'audit local. Pour plus d'informations, consultez Référence d'ESXCLI à l'adresse https://code.vmware.com/.
Affichage des enregistrements d'audit
Vous pouvez afficher les enregistrements d'audit comme suit.
- Local : utilisez l'appplication ESXi
/bin/viewAudit
. - À distance : configurez un serveur d'audit distant à l'aide d'ESXCLI.
Vous pouvez également utiliser l'API FetchAuditRecords (dans l'objet géré DiagnosticsManager) pour afficher les enregistrements d'audit.