Single Sign-On (SSO) の監査イベントは、SSO サービスにアクセスする際のユーザーまたはシステムのアクションの記録です。
vCenter Server 6.7 Update 2 以降では、次の操作のイベントを追加することで、VMware vCenter Single Sign-On 監査機能が向上しています。
- ユーザー管理
- ログイン
- グループの作成
- ID ソース
- ポリシーの更新
サポートされている ID ソースは vsphere.local、統合 Wiindows 認証 (IWA)、および LDAP を介した Active Directory です。
Single Sign-On を使用して
vCenter Server にログインしたり、SSO に影響する変更を加えた場合、SSO 監査ログ ファイルに次の監査イベントが書き込まれます。
- [ログインおよびログアウトの試行:]成功または失敗したログインおよびログアウト操作すべてに関するイベント
- [権限の変更:]ユーザー ロールまたは権限の変更に関するイベント
- [アカウントの変更:]ユーザーのアカウント情報(ユーザー名、パスワード、その他のアカウント情報)の変更に関するイベント
- [セキュリティの変更:]セキュリティ設定、パラメータ、ポリシーの変更に関するイベント
- [アカウントの有効化または無効化:]アカウントの有効と無効の切り替えに関するイベント
- [ID ソース:]ID ソースの追加、削除、編集に関するイベント
vSphere Client の [監視] タブに、イベント データが表示されます。『vSphere の監視とパフォーマンス』を参照してください。
SSO 監査イベント データには、次の詳細事項が含まれます。
- イベントが発生した時点のタイムスタンプ
- アクションを実行したユーザー
- イベントの説明
- イベントの重要度
- vCenter Server への接続に使用されるクライアントの IP アドレス(該当する場合)
SSO 監査イベント ログの概要
vSphere Single-Sign On 処理で、監査イベントが /var/log/audit/sso-events/ ディレクトリの audit_events.log ファイルに書き込まれます。
注意:
audit_events.log ファイルは、手動で編集しないでください。監査ログを記録できなくなる可能性があります。
audit_events.log ファイルを使用する場合は、次の点に注意してください。
- ログ ファイルは、50 MB に達するとアーカイブされます。
- 最大 10 個のアーカイブ ファイルが保存されます。上限に達すると、新しいアーカイブの作成時に最も古いファイルが消去されます。
- アーカイブ ファイルの名前は audit_events- <インデックス>.log.gz です。このインデックスは 1 から 10 までの数字です。最初に作成されたアーカイブは、インデックス 1 です。以降、アーカイブが作成されるごとに数字が増えていきます。
- 最も古いイベントは、アーカイブ インデックス 1 です。最も大きい数字のインデックス ファイルが最新のアーカイブです。