Les événements d'audit sont enregistrés dans le journal des événements d'audit de l'interface Web, sous forme de messages syslog au format standard ou au format CEF. L'enregistrement des événements d'audit doit être activé dans les paramètres du journal des événements d'audit.
Les événements d'audit incluent les types d'événements suivants :
Si l'enregistrement des événements d'audit est désactivée dans les paramètres de l'application, les événements d'authentification sont toujours enregistrés sous forme de messages syslog au format standard avec la catégorie authpriv(10).
Lorsque vous supprimez un nœud du cluster, les événements stockés sur ce nœud sont supprimés.
Si, lors d'un événement d'audit, la taille de l'enregistrement sur les paramètres modifiés dépasse 32 Ko, l'enregistrement d'événement est divisé en parties, chacune ne dépassant pas 32 Ko. Dans ce cas, les caractères qui ne rentrent pas dans une partie sont transférés vers une autre partie sans ajouter de caractère de report. Ainsi, un événement sera représenté dans le journal des événements d'audit sous la forme de plusieurs enregistrements, chacun contenant les mêmes données sur l'événement et une partie des données sur les paramètres modifiés. Les parties d'un événement sont indiquées par un numéro dans le champ Une partie de l'événement. Le nombre total de parties dans lesquelles l'événement est divisé sera indiqué dans le champ Total de parties de l'événement.
Pour enregistrer des événements au format Syslog et CEF, Syslog doit être configuré pour accepter des messages de 65 Ko et prendre en charge la fréquence élevée d'enregistrement des événements.