vSphere 6.0 の新機能や機能拡張 について
公開されている範囲(一部予想を含む)でお伝えします。
https://www.vmware.com/files/pdf/vsphere/VMware-vSphere-Platform-Whats-New.pdf
あまり派手な機能拡張ではありませんが、
ESXi 6.0 では、vCenter 経由の操作についてのログ情報に
実際に vCenter にログインしたユーザ名が出力されるようになります。
ESXi では、vCenter からの操作を「vpxuser」という ESXi ローカルユーザで実行しています。
vpxuser ユーザはパスワードが自動変更されるようになっており、
このユーザがいることで ESXi で root や他のユーザのパスワード変更をしても、
vCenter からの接続には影響がありません。
ただ、これまで vCenter からの操作は、
ESXi のログファイル(hostd.log) には vpxuser ユーザが実行したようにしか記録されませんでした。
vSphere 5.5 までは、vCenter ローカルユーザログインしたとしても、
AD ユーザでログインしたとしても、
vCenter からの操作は、下記のように「vpxuser」の操作としてログ出力されていました。
vSphere 6.0 からは、たとえば
AD のユーザアカウントで vCenter にログインして ESXi 5.5 への操作をした場合に
user=vpxuser
とだけ表示されていたvCenter 経由操作のユーザ情報が・・・
ESXi 6.0 からは
user=vpxuser:<ADのドメイン名>\<ユーザ名>
といった感じになるはずです。
vSphere では、vCenter からの操作を基本としていて、ESXi 直接ログインでの操作は推奨されていません。
そのため、ほとんどの vSphere での作業は
vCenter にvSphere Client / Web Client / PowerCLI 等でログインして実行されているはずです。
※ESX Shell や SSH も、デフォルトでは無効化されています。
そして、もともと vCenter からの操作は
vCenter 自身にイベント / タスク情報やログファイルとして記録されているため
ESXi 側のログファイルに実ユーザが記録されていなかったとしても、そんなに問題ないとは思います。
それでも、ESXi のログイン監査や障害解析をするときには
操作の実ユーザがわかりやすくなるため、便利な機能拡張だと思います。
たとえば、Syslog サーバや、LogInsight に ESXi のログを Syslog 転送していて、
ログイン監査を厳密にやりたい場合などにメリットがあるはずです。
以上、ESXi 6.0 のログ出力についての機能拡張の話でした。
