Bevor Sie die Sicherheitsprüfung aktivieren, verwenden Sie diese Task, um mit dem Tool "wsadmin" Prüf-Service-Provider zu konfigurieren.
Die Sicherheitsprüfung unterstützt die Verfolgung und Archivierung prüfbarer Ereignisse.
Vorbereitende Schritte
Bevor Sie Provider für Sicherheitsprüfservices konfigurieren, aktivieren Sie die Verwaltungssicherheit in Ihrer Umgebung.
Anmerkung: Dieser Artikel referenziert eine oder mehrere Protokolldateien des Anwendungsservers. Alternativ dazu wird empfohlen, den Server
so zu konfigurieren, dass er die HPEL-Protokoll- und -Traceinfrastruktur (High Performance Extensible Logging) verwendet und nicht die Dateien SystemOut.log , SystemErr.log,
trace.log und activity.log auf verteilten oder IBM® i-Systemen. Sie können HPEL auch in Verbindung
mit Ihren nativen z/OS-Protokolleinrichtungen verwenden. Wenn Sie HPEL verwenden, können Sie
mit dem Befehlszeilentool LogViewer im Verzeichnis "bin" des Serverprofils auf alle Ihre Protokoll- und Tracedaten zugreifen. Weitere Informationen zur Verwendung von
HPEL finden Sie in der Dokumentation zum Einsatz von HPEL für die Fehlerbehebung in Anwendungen.
Informationen zu diesem Vorgang
Zum Aktivieren der Sicherheitsprüfung in Ihrer Umgebung müssen Sie einen Prüf-Service-Provider konfigurieren.
Der Prüf-Service-Provider schreibt die Prüfdatensätze und Prüfdaten in das Back-End-Repository, das der Service-Provider-Implementierung zugeordnet ist.
Für die Konfiguration der Sicherheitsprüfung wird ein Standardserviceprovider bereitgestellt.
Verwenden Sie diesen Artikel, um Ihr Subsystem für die Sicherheitsprüfung durch das Erstellen weiterer Prüf-Service-Provider
anzupassen.
Verwenden Sie die folgenden Schritte, um Ihr Subsystem für die Sicherheitsprüfung mit dem Tool
"wsadmin" zu konfigurieren:
Vorgehensweise
- Starten Sie das Scripting-Tool "wsadmin" mit der Scripting-Sprache Jython.
Weitere Informationen finden Sie im Artikel "wsadmin-Scripting-Client starten".
- Konfigurieren Sie einen Prüf-Service-Provider.
Sie können den binärbasierten Standardprüf-Service-Provider
verwenden, oder den folgenden Schritt ausführen, um einen neuen Prüf-Service-Provider zu erstellen.
Es gibt auf Binärdateien basierte Prüf-Service-Provider und Prüf-Service-Provider anderer Anbieter.
Zusätzlich zu den auf Binärdateien basierten Service-Providern können Sie einen
SMF-Service-Provider oder Prüf-Service-Provider anderer Anbieter konfigurieren.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Es gibt auf Binärdateien basierte Prüf-Service-Provider und Prüf-Service-Provider anderer Anbieter.
Zusätzlich zu den auf Binärdateien basierten Service-Providern können Sie einen
Prüf-Service-Provider eines anderen Anbieters konfigurieren.
Wählen Sie den Typ des zu erstellenden
Service-Providers aus.
- Verwenden Sie den Befehl "createBinaryEmitter" und die folgenden erforderlichen Parameter, um einen
Standardprüf-Service-Provider zu erstellen:
Tabelle 1. Befehlsparameter. In dieser Tabelle werden die Parameter für den Befehl "createBinaryEmitter" beschrieben.Parameter |
Beschreibung |
Datentyp |
Erforderlich |
-uniqueName |
Gibt einen eindeutigen Namen für die Identifizierung des Prüf-Service-Providers an. |
Zeichenfolge |
Ja |
-className |
Gibt die Klassenimplementierung der Schnittstelle für den Prüf-Service-Provider an. |
Zeichenfolge |
Ja |
-fileLocation |
Gibt die Dateiposition an, an die der Prüf-Service-Provider Prüfprotokolle schreiben soll. |
Zeichenfolge |
Ja |
-auditFilters |
Gibt eine Referenz oder eine Gruppe von Referenzen auf vordefinierte Prüffilter
im folgenden Format an: Referenz, Referenz, Referenz |
Zeichenfolge |
Ja |
-wrapBehavior |
Gibt eine Zeichenfolge an, die das anpassbare Verhalten für den Umlauf des binären
Prüfprotokolls darstellt.
Es gibt drei Werte für diesen Parameter:
WRAP, NOWRAP und SILENT_FAIL.
Wenn Sie die Option WRAP auswählen und die maximale Protokollanzahl
erreicht ist, wird das
älteste Prüfprotokoll neu geschrieben. Es wird keine Benachrichtigung an den Prüfer gesendet.
Wenn Sie die Option NOWRAP auswählen, wird das älteste Prüfprotokoll nicht neu geschrieben.
Der Prüpfservice wird gestoppt, es wird eine Benachrichtigung
an SystemOut.log gesendet, und der Anwendungsserver wird stillgelegt.
Wenn Sie die Option SILENT_FAIL auswählen, wird das älteste Prüfprotokoll nicht neu geschrieben.
Der Prüfservice wird gestoppt, aber die Fortsetzung des WebSphere-Prozesses wird nicht zugelassen.
Es werden keine Benachrichtigungen in SystemOut.log veröffentlicht.
|
Zeichenfolge |
Ja |
-maxFileSize |
Gibt die maximale Größe an, die jedes Prüfprotokoll erreichen muss, bevor das System das Protokoll
mit einer Zeitmarke speichert und eine neue Datei erstellt. Geben Sie die Dateigröße in Megabytes an.
Wenn Sie diesen Parameter nicht angeben, legt das System die maximale Dateigröße auf 10 Megabytes fest. |
Integer |
Nein |
-maxLogs |
Gibt die maximale Anzahl an Prüfprotokollen an, die erstellt werden, bevor das
älteste Protokoll überschrieben wird. Wenn Sie diesen Parameter nicht angeben,
lässt das System bis zu 100 Prüfprotokoll zu, bevor es das älteste Protokoll überschreibt. |
Integer |
Nein |
Im folgenden Beispiel wird ein neuer Prüf-Service-Provider in Ihrer Konfiguration für die Sicherheitsprüfung
erstellt.
AdminTask.createBinaryEmitter('-uniqueName newASP -wrapBehavior NOWRAP
-className com.ibm.ws.security.audit.BinaryEmitterImpl -fileLocation /AUDIT_logs
-auditFilters "AuditSpecification_1173199825608, AuditSpecification_1173199825609,
AuditSpecification_1173199825610, AuditSpecification_1173199825611"')
- Verwenden Sie den Befehl "createThirdPartyEmitter", um einen Prüf-Service-Provider eines anderen Anbieters zu verwenden.
Auf der Plattform z/OS wird ein SMF-Service-Provider (System Management Facility) als Prüf-Service-Provider eines anderen Anbieters betrachtet. Tabelle 2. Befehlsparameter. Verwenden Sie die folgenden
Parameter mit dem Befehl "createThirdPartyEmitter":Parameter |
Beschreibung |
Datentyp |
Erforderlich |
-uniqueName |
Gibt einen eindeutigen Namen für die Identifizierung des Prüf-Service-Providers an. |
Zeichenfolge |
Ja |
-className |
Gibt die Klassenimplementierung der Schnittstelle für den Prüf-Service-Provider an. |
Zeichenfolge |
Ja |
-eventFormatterClass |
Gibt die Klasse an, die implementiert, wie das Prüfereignis für die Ausgabe formatiert wird.
Wenn Sie diesen Parameter nicht angeben, verwendet das System das Standardtextformat für die Ausgabe. |
Zeichenfolge |
Ja |
-auditFilters |
Gibt eine Referenzkennung oder eine Gruppe von Referenzkennungen für vordefinierte
Prüffilter im folgenden Format an: Referenz, Referenz, Referenz. |
Zeichenfolge |
Ja |
-customProperties |
Gibt alle angepassten Eigenschaften an, die für die Konfiguration eines Prüf-Service-Providers eines anderen Anbieters möglicherweise erforderlich sind. |
Zeichenfolge |
Nein |
Im folgenden Beispiel wird ein neuer Prüf-Service-Provider eines anderen Anbieters in Ihrer Konfiguration für die Sicherheitsprüfung
erstellt.
AdminTask.createThirdPartyEmitter('-uniqueName myAuditServiceProvider -className
com.mycompany.myclass -fileLocation /auditLogs -auditFilters
"AuditSpecification_1173199825608, AuditSpecification_1173199825609,
AuditSpecification_1173199825610, AuditSpecification_1173199825611"')
- Sichern Sie die Konfigurationsänderungen.
Verwenden Sie den folgenden Beispielbefehl, um Ihre Konfigurationsänderungen zu speichern:
AdminConfig.save()
Nächste Schritte
Aktivieren Sie die Sicherheitsprüfung in Ihrer Umgebung.