SSO(Single Sign-On) 감사 이벤트는 SSO 서비스에 액세스하기 위한 사용자 또는 시스템 작업의 기록입니다.
vCenter Server 6.7 업데이트 2 이상에서는 다음 작업에 대한 이벤트를 추가하여 VMware vCenter Single Sign-On 감사가 향상됩니다.
- 사용자 관리
- 로그인
- 그룹 생성
- ID 소스
- 정책 업데이트
지원되는 ID 소스는 vsphere.local, IWA(통합 Windows 인증) 및 LDAP를 통한 Active Directory입니다.
사용자가 Single Sign-On을 통해
vCenter Server에 로그인하거나, SSO에 영향을 주는 변경 작업을 수행하면 다음과 같은 감사 이벤트가 SSO 감사 로그 파일에 기록됩니다.
- Login and Logout Attempts: 성공하거나 실패한 모든 로그인/로그아웃 작업에 대한 이벤트입니다.
- Privilege Change: 사용자 역할 또는 사용 권한의 변경에 대한 이벤트입니다.
- Account Change: 사용자 계정 정보(예: 사용자 이름, 암호 또는 기타 계정 정보)의 변경에 대한 이벤트입니다.
- Security Change: 보안 구성, 매개 변수 또는 정책의 변경에 대한 이벤트입니다.
- Account Enabled or Disabled: 계정을 사용하도록 설정하거나 사용하지 않도록 설정했을 때의 이벤트입니다.
- Identity Source: ID 소스의 추가, 삭제 또는 편집에 대한 이벤트입니다.
vSphere Client에서 이벤트 데이터는 모니터 탭에 표시됩니다. "vSphere 모니터링 및 성능" 설명서를 참조하십시오.
SSO 감사 이벤트 데이터에는 다음과 같은 세부 정보가 포함됩니다.
- 이벤트가 발생했을 때의 타임 스탬프
- 작업을 수행한 사용자
- 이벤트에 대한 설명
- 이벤트의 심각도
- vCenter Server에 연결하는 데 사용된 클라이언트의 IP 주소(가능한 경우)
SSO 감사 이벤트 로그 개요
vSphere Single-Sign On 프로세스는 /var/log/audit/sso-events/ 디렉토리에 있는 audit_events.log 파일에 감사 이벤트를 기록합니다.
경고:
audit_events.log 파일을 수동으로 편집하면 감사 로깅이 실패할 수 있으므로 절대 이 파일을 수동으로 편집하지 마십시오.
audit_events.log 파일을 사용할 때는 다음 사항에 유의하십시오.
- 로그 파일은 크기가 50MB에 도달하면 아카이브됩니다.
- 최대 10개의 아카이브 파일이 보관됩니다. 이 제한에 도달하면 새 아카이브가 생성될 때 가장 오래된 파일이 삭제됩니다.
- 아카이브 파일은 audit_events-<인덱스>.log.gz 형식으로 이름이 지정됩니다. 여기서 인덱스는 1부터 10까지의 숫자입니다. 생성되는 첫 번째 아카이브의 인덱스가 1이고, 아카이브가 생성될 때마다 인덱스가 증가합니다.
- 가장 오래된 이벤트는 아카이브 인덱스 1에 있습니다. 인덱스가 가장 높은 파일이 가장 최근 아카이브입니다.