Single Sign-On (SSO) 稽核事件是用於存取 SSO 服務的使用者或系統動作的記錄。

vCenter Server 6.7 Update 2 及更新版本透過為以下操作新增事件來改善 VMware vCenter Single Sign-On 稽核:

  • 使用者管理
  • 登入
  • 群組建立
  • 身分識別來源
  • 原則更新

支援的身分識別來源包括 vsphere.local、整合式 Windows 驗證 (IWA) 和 Active Directory over LDAP。

當使用者透過 Single Sign-On 登入 vCenter Server,或做出影響 SSO 的變更時,下列稽核事件會寫入到 SSO 稽核記錄檔:
  • 登入和登出嘗試:所有成功和失敗的登入及登出作業的事件。
  • 變更權限:變更使用者角色或權限的事件。
  • 帳戶變更:變更使用者帳戶資訊的事件,例如,使用者名稱、密碼或任何其他帳戶資訊。
  • 安全性變更:變更安全性組態、參數或原則的事件。
  • 帳戶已啟用或停用:啟用或停用帳戶時的事件。
  • 身分識別來源:新增、刪除或編輯身分識別來源的事件。

vSphere Client 中,事件資料顯示在監控索引標籤中。請參閱 vSphere 監控和效能說明文件。

SSO 稽核事件資料包含下列詳細資料:

  • 事件發生時的時間戳記。
  • 執行動作的使用者。
  • 事件的說明。
  • 事件的嚴重性。
  • 用於連線到 vCenter Server 的用戶端的 IP 位址 (如果可用)。

SSO 稽核事件記錄概觀

vSphere Single-Sign On 程序會將稽核事件寫入 /var/log/audit/sso-events/ 目錄中的 audit_events.log 檔案。

注意: 絕不手動編輯 audit_events.log 檔案,因為這麼做可能會導致稽核記錄失敗。

使用 audit_events.log 檔案時,請謹記下列事項:

  • 一旦達到 50 MB,便會封存記錄檔。
  • 最多保留 10 個封存檔。如果達到該限制,會在建立新封存檔時清除最舊的檔案。
  • 封存檔命名為 audit_events- <index>.log.gz,其中 index 是從 1 到 10 的數字。建立的第一個封存檔是索引 1,且隨著每個後續封存檔而增加。
  • 最舊的事件在封存檔索引 1 中。最高的索引檔案為最新的封存檔。