稽核記錄符合 RFC 5424,且包含與事項相關的事件的資訊,例如針對 ESXi 主機上發生的事件記錄的時間、狀態、說明和使用者資訊。本機和遠端稽核記錄保留均可用。依預設,稽核記錄保留處於停用狀態。您必須手動啟用本機和遠端稽核模式。

本機 ESXi 稽核記錄作為包含近期稽核訊息的固定大小緩衝區執行。訊息填滿緩衝區後,新記錄將覆寫最早的記錄。遠端稽核記錄以標準 syslog 格式 (RFC 3164) 將相同的稽核記錄串流轉送到遠端伺服器,未加密或加密 (RFC 5425) 形式均可。稽核訊息符合 RFC 5424,但一般 syslog 訊息僅符合 RFC 3164。系統將產生的稽核訊息同時傳送到本機存放區和遠端存放區。

在主機與遠端存放區之間連線中斷期間,遠端存放區會捨棄產生的任何稽核訊息。重新連線後,系統會產生一條稽核訊息,指示可能存在訊息遺失情況。

設定稽核記錄

可以使用 ESXCLI 設定本機稽核記錄保留。如需詳細資訊,請參閱ESXCLI 參考,網址為 https://code.vmware.com/

檢視稽核記錄

您可以按如下方式檢視稽核記錄。

  • 本機:使用 ESXi /bin/viewAudit 應用程式。
  • 遠端:使用 ESXCLI 設定遠端稽核伺服器。

此外,還可以使用 FetchAuditRecords API (在 DiagnosticsManager 受管理物件中) 檢視稽核記錄。