Prüf-Service-Provider mit Scripting konfigurieren

Bevor Sie die Sicherheitsprüfung aktivieren, verwenden Sie diese Task, um mit dem Tool "wsadmin" Prüf-Service-Provider zu konfigurieren. Die Sicherheitsprüfung unterstützt die Verfolgung und Archivierung prüfbarer Ereignisse.

Vorbereitende Schritte

Bevor Sie Provider für Sicherheitsprüfservices konfigurieren, aktivieren Sie die Verwaltungssicherheit in Ihrer Umgebung.

Anmerkung: Dieser Artikel referenziert eine oder mehrere Protokolldateien des Anwendungsservers. Alternativ dazu wird empfohlen, den Server so zu konfigurieren, dass er die HPEL-Protokoll- und -Traceinfrastruktur (High Performance Extensible Logging) verwendet und nicht die Dateien SystemOut.log , SystemErr.log, trace.log und activity.log auf verteilten oder IBM® i-Systemen. Sie können HPEL auch in Verbindung mit Ihren nativen z/OS-Protokolleinrichtungen verwenden. Wenn Sie HPEL verwenden, können Sie mit dem Befehlszeilentool LogViewer im Verzeichnis "bin" des Serverprofils auf alle Ihre Protokoll- und Tracedaten zugreifen. Weitere Informationen zur Verwendung von HPEL finden Sie in der Dokumentation zum Einsatz von HPEL für die Fehlerbehebung in Anwendungen.

Informationen zu diesem Vorgang

Zum Aktivieren der Sicherheitsprüfung in Ihrer Umgebung müssen Sie einen Prüf-Service-Provider konfigurieren. Der Prüf-Service-Provider schreibt die Prüfdatensätze und Prüfdaten in das Back-End-Repository, das der Service-Provider-Implementierung zugeordnet ist. Für die Konfiguration der Sicherheitsprüfung wird ein Standardserviceprovider bereitgestellt. Verwenden Sie diesen Artikel, um Ihr Subsystem für die Sicherheitsprüfung durch das Erstellen weiterer Prüf-Service-Provider anzupassen.

Verwenden Sie die folgenden Schritte, um Ihr Subsystem für die Sicherheitsprüfung mit dem Tool "wsadmin" zu konfigurieren:

Vorgehensweise

  1. Starten Sie das Scripting-Tool "wsadmin" mit der Scripting-Sprache Jython. Weitere Informationen finden Sie im Artikel "wsadmin-Scripting-Client starten".
  2. Konfigurieren Sie einen Prüf-Service-Provider. Sie können den binärbasierten Standardprüf-Service-Provider verwenden, oder den folgenden Schritt ausführen, um einen neuen Prüf-Service-Provider zu erstellen.

    [z/OS]Es gibt auf Binärdateien basierte Prüf-Service-Provider und Prüf-Service-Provider anderer Anbieter. Zusätzlich zu den auf Binärdateien basierten Service-Providern können Sie einen SMF-Service-Provider oder Prüf-Service-Provider anderer Anbieter konfigurieren.

    [AIX Solaris HP-UX Linux Windows][IBM i]Es gibt auf Binärdateien basierte Prüf-Service-Provider und Prüf-Service-Provider anderer Anbieter. Zusätzlich zu den auf Binärdateien basierten Service-Providern können Sie einen Prüf-Service-Provider eines anderen Anbieters konfigurieren.

    Wählen Sie den Typ des zu erstellenden Service-Providers aus.

    • Verwenden Sie den Befehl "createBinaryEmitter" und die folgenden erforderlichen Parameter, um einen Standardprüf-Service-Provider zu erstellen:
      Tabelle 1. Befehlsparameter. In dieser Tabelle werden die Parameter für den Befehl "createBinaryEmitter" beschrieben.
      Parameter Beschreibung Datentyp Erforderlich
      -uniqueName Gibt einen eindeutigen Namen für die Identifizierung des Prüf-Service-Providers an. Zeichenfolge Ja
      -className Gibt die Klassenimplementierung der Schnittstelle für den Prüf-Service-Provider an. Zeichenfolge Ja
      -fileLocation Gibt die Dateiposition an, an die der Prüf-Service-Provider Prüfprotokolle schreiben soll. Zeichenfolge Ja
      -auditFilters Gibt eine Referenz oder eine Gruppe von Referenzen auf vordefinierte Prüffilter im folgenden Format an: Referenz, Referenz, Referenz Zeichenfolge Ja
      -wrapBehavior Gibt eine Zeichenfolge an, die das anpassbare Verhalten für den Umlauf des binären Prüfprotokolls darstellt.

      Es gibt drei Werte für diesen Parameter: WRAP, NOWRAP und SILENT_FAIL.

      Wenn Sie die Option WRAP auswählen und die maximale Protokollanzahl erreicht ist, wird das älteste Prüfprotokoll neu geschrieben. Es wird keine Benachrichtigung an den Prüfer gesendet.

      Wenn Sie die Option NOWRAP auswählen, wird das älteste Prüfprotokoll nicht neu geschrieben. Der Prüpfservice wird gestoppt, es wird eine Benachrichtigung an SystemOut.log gesendet, und der Anwendungsserver wird stillgelegt.

      Wenn Sie die Option SILENT_FAIL auswählen, wird das älteste Prüfprotokoll nicht neu geschrieben. Der Prüfservice wird gestoppt, aber die Fortsetzung des WebSphere-Prozesses wird nicht zugelassen. Es werden keine Benachrichtigungen in SystemOut.log veröffentlicht.

      Zeichenfolge Ja
      -maxFileSize Gibt die maximale Größe an, die jedes Prüfprotokoll erreichen muss, bevor das System das Protokoll mit einer Zeitmarke speichert und eine neue Datei erstellt. Geben Sie die Dateigröße in Megabytes an. Wenn Sie diesen Parameter nicht angeben, legt das System die maximale Dateigröße auf 10 Megabytes fest. Integer Nein
      -maxLogs Gibt die maximale Anzahl an Prüfprotokollen an, die erstellt werden, bevor das älteste Protokoll überschrieben wird. Wenn Sie diesen Parameter nicht angeben, lässt das System bis zu 100 Prüfprotokoll zu, bevor es das älteste Protokoll überschreibt. Integer Nein
      Im folgenden Beispiel wird ein neuer Prüf-Service-Provider in Ihrer Konfiguration für die Sicherheitsprüfung erstellt.
      AdminTask.createBinaryEmitter('-uniqueName newASP  -wrapBehavior NOWRAP
      -className com.ibm.ws.security.audit.BinaryEmitterImpl -fileLocation /AUDIT_logs 
      -auditFilters "AuditSpecification_1173199825608, AuditSpecification_1173199825609, 
      AuditSpecification_1173199825610, AuditSpecification_1173199825611"')
    • Verwenden Sie den Befehl "createThirdPartyEmitter", um einen Prüf-Service-Provider eines anderen Anbieters zu verwenden. [z/OS]Auf der Plattform z/OS wird ein SMF-Service-Provider (System Management Facility) als Prüf-Service-Provider eines anderen Anbieters betrachtet.
      Tabelle 2. Befehlsparameter. Verwenden Sie die folgenden Parameter mit dem Befehl "createThirdPartyEmitter":
      Parameter Beschreibung Datentyp Erforderlich
      -uniqueName Gibt einen eindeutigen Namen für die Identifizierung des Prüf-Service-Providers an. Zeichenfolge Ja
      -className Gibt die Klassenimplementierung der Schnittstelle für den Prüf-Service-Provider an. Zeichenfolge Ja
      -eventFormatterClass Gibt die Klasse an, die implementiert, wie das Prüfereignis für die Ausgabe formatiert wird. Wenn Sie diesen Parameter nicht angeben, verwendet das System das Standardtextformat für die Ausgabe. Zeichenfolge Ja
      -auditFilters Gibt eine Referenzkennung oder eine Gruppe von Referenzkennungen für vordefinierte Prüffilter im folgenden Format an: Referenz, Referenz, Referenz. Zeichenfolge Ja
      -customProperties Gibt alle angepassten Eigenschaften an, die für die Konfiguration eines Prüf-Service-Providers eines anderen Anbieters möglicherweise erforderlich sind. Zeichenfolge Nein
      Im folgenden Beispiel wird ein neuer Prüf-Service-Provider eines anderen Anbieters in Ihrer Konfiguration für die Sicherheitsprüfung erstellt.
      AdminTask.createThirdPartyEmitter('-uniqueName myAuditServiceProvider -className 
      com.mycompany.myclass -fileLocation /auditLogs -auditFilters 
      "AuditSpecification_1173199825608, AuditSpecification_1173199825609, 
      AuditSpecification_1173199825610, AuditSpecification_1173199825611"')
  3. Sichern Sie die Konfigurationsänderungen.
    Verwenden Sie den folgenden Beispielbefehl, um Ihre Konfigurationsänderungen zu speichern:
    AdminConfig.save()

Nächste Schritte

Aktivieren Sie die Sicherheitsprüfung in Ihrer Umgebung.


Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7auditsp
Dateiname:txml_7auditsp.html