監査レコードは RFC 5424 に準拠しており、アイテムに関連するイベントに関する情報(時刻、ステータス、説明など)や ESXi ホストに対するアクションから発生したイベントのログに記録されるユーザー情報を含みます。ローカルとリモートの両方の監査レコードを保持できます。監査レコードの保持はデフォルトで無効になっています。ローカルとリモートの両方の監査モードを手動で有効にする必要があります。
ローカル ESXi 監査ログは、最新の監査メッセージの固定サイズ バッファとして動作します。メッセージでバッファがいっぱいになると、新しいレコードによって最も古いレコードが上書きされます。リモート監査ログは、標準 Syslog 形式 (RFC 3164) の監査レコードの同じストリームを暗号化されていない、または暗号化された (RFC 5425) フォームでリモート サーバに転送します。監査メッセージは RFC 5424 に準拠していますが、一般的な Syslog メッセージは RFC 3164 にのみ準拠しています。生成された監査メッセージは、ローカル ストアとリモート ストアに同時に送信されます。
ホストとリモート ストア間の接続が失われると、リモート ストアは生成された監査メッセージを破棄します。再接続時に、メッセージが失われる可能性があることを示す監査メッセージが生成されます。
監査レコードの構成
ESXCLI を使用して、ローカル監査レコードの保持を構成します。詳細については、『ESXCLI のリファレンス』(https://code.vmware.com/) を参照してください。
監査レコードの表示
監査レコードは次のように表示できます。
- ローカル:ESXi
/bin/viewAudit
アプリケーションを使用します。 - リモート:ESXCLI を使用して、リモート監査サーバを構成します。
FetchAuditRecords API(DiagnosticsManager 管理対象オブジェクト内)を使用して、監査レコードを表示することもできます。