Les événements d'audit Single Sign-On (SSO) sont des enregistrements d'actions système ou utilisateur pour l'accès aux services SSO.

vCenter Server 6.7 Update 2 et versions ultérieures améliore l'audit de VMware vCenter Single Sign-On en ajoutant des événements pour les opérations suivantes :

  • Gestion d'utilisateurs
  • Connexion
  • Création de groupe
  • Source d'identité
  • Mises à jour de stratégie

Les sources d'identité prises en charge sont vsphere.local, Integrated Windows Authentication (IWA) et Active Directory sur LDAP.

Lorsqu'un utilisateur se connecte à vCenter Server via Single Sign-On, ou apporte des modifications qui affectent SSO, les événements d'audit suivants sont consignés dans le fichier journal d'audit SSO :
  • Tentatives de connexion et de déconnexion : événements liés aux opérations de connexion et de déconnexion ayant échoué et réussi.
  • Modification de privilège : événement de modification d'un rôle ou d'autorisations d'utilisateur.
  • Modification de compte : événement de modification des informations relatives à un compte d'utilisateur, par exemple, nom d'utilisateur, mot de passe ou informations de compte supplémentaires.
  • Modification de la sécurité : événement de modification d'une configuration, d'un paramètre ou d'une stratégie de sécurité.
  • Compte activé ou désactivé : événement marquant l'activation ou la désactivation d'un compte.
  • Source d'identité : événement d'ajout, de suppression ou de modification d'une source d'identité.

Dans vSphere Client, les données d'événement sont affichées dans l'onglet Surveiller. Consultez la documentation de Surveillance et performances de vSphere.

Les données d'événement d'audit SSO incluent les détails suivants :

  • Horodatage de l'événement.
  • Utilisateur ayant effectué l'action.
  • Description de l'événement.
  • Gravité de l'événement.
  • Adresse IP du client utilisée pour se connecter à vCenter Server, le cas échéant.

Présentation de journal des événements d'audit SSO

Le processus Single Sign-On vSphere écrit des événements d'audit dans le fichier audit_events.log dans le répertoire /var/log/audit/sso-events/.

Attention : Ne modifiez jamais manuellement le fichier audit_events.log, car cela peut provoquer l'échec de la journalisation d'audit.

Tenez compte des observations suivantes lorsque vous travaillez avec le fichier audit_events.log :

  • Le fichier journal est archivé dès qu'il atteint une taille de 50 Mo.
  • Un maximum de 10 fichiers d'archive est conservé. Si la limite est atteinte, le fichier le plus ancien est supprimé de la création d'une nouvelle archive.
  • Les fichiers d'archive sont nommés audit_events-<index>.log.gz, où l'index est un nombre compris entre 1 et 10. La première archive créée est index 1 et cet index augmente à chaque archive suivante.
  • Les événements les plus anciens se trouvent dans l'index d'archive 1. Le fichier indexé le plus élevé correspond à la dernière archive.