Habilitación de la auditoría de seguridad con scripts

Utilice esta tarea para habilitar y configurar la auditoría de seguridad en el entorno con la herramienta wsadmin. La auditoría de seguridad proporciona el seguimiento y archivado de sucesos que se pueden auditar.

Antes de empezar

Antes de habilitar la auditoría de seguridad, habilite la seguridad administrativa en el entorno.

Si ha configurado anteriormente la auditoría de seguridad y no desea modificar los valores de configuración, utilice los mandatos enableAudit y disableAudit para iniciar y detener la auditoría de seguridad. Después de habilitar o inhabilitar la auditoría de seguridad, reinicie el servidor para que se apliquen los cambios de configuración.

Acerca de esta tarea

La auditoría de seguridad garantiza la integridad de un entorno de sistemas de seguridad. La auditoría de seguridad reúne y anota los sucesos de autenticación, autorización, gestión de sistemas, seguridad y política de auditoría en registros de sucesos de auditoría. Puede analizar los registros de sucesos de auditoría para determinar posibles infracciones contra la seguridad, amenazas, ataques y posibles puntos de debilidad en la configuración de seguridad del entorno.

Utilice los pasos siguientes para habilitar y configurar la auditoría de seguridad en el entorno:

Procedimiento

  1. Inicie la herramienta de scripts wsadmin utilizando el lenguaje de scripts Jython. Para obtener más información, consulte el artículo Inicio del cliente de scripts wsadmin.
  2. Verifique que se ha configurado el subsistema de auditoría de seguridad.

    Para habilitar la auditoría de seguridad, debe configurar filtros de sucesos, un emisor de auditoría y una fábrica de sucesos de auditoría. Los filtros de sucesos especifican qué tipos de suceso audita y graba el sistema, y el resultado del suceso. El proveedor del servicio de auditoría graba los registros de auditoría en el repositorio de fondo que se asocia con la implementación. La fábrica de sucesos de auditoría genera sucesos de seguridad.

    De manera predeterminada, el sistema de auditoría de seguridad incluye un proveedor de servicios de auditoría y una fábrica de sucesos de auditoría.

    Los grupos de mandatos de auditoría proporcionan varios mandatos para consultar filtros de sucesos, emisores de auditoría, fábricas de sucesos y sus atributos de configuración respectivos. Utilice la referencia de mandato de auditoría para utilizar mandatos de consulta determinados. Los mandatos de ejemplo siguientes consultan la configuración de auditoría de seguridad a alto nivel.
    • Utilice el mandato getAuditFilters para mostrar una lista de referencias a todos los filtros de auditoría definidos en la configuración, como se muestra en el ejemplo siguiente:
      AdminTask.getAuditFilters()
    • Utilice el mandato listAuditEmitters para mostrar una lista de todos los emisores de auditoría de la configuración, como se muestra en el ejemplo siguiente:
      AdminTask.listAuditEmitters()
    • Utilice el mandato listAuditEventFactories para mostrar una lista de todos los emisores de auditoría de la configuración, como se muestra en el ejemplo siguiente:
      AdminTask.listAuditEventFactories()
  3. Habilite la auditoría de seguridad en el entorno. Utilice el mandato modifyAuditPolicy para habilitar la auditoría de seguridad en el entorno.
    Tabla 1. Parámetros de mandato. Utilice los parámetros opcionales siguientes del mandato modifyAuditPolicy para personalizar la configuración de auditoría de seguridad:
    Parámetro Descripción Tipo de datos Required
    -auditEnabled Especifica si se debe habilitar la auditoría de seguridad. Booleano No
    -auditPolicy Especifica el comportamiento del proceso servidor si el subsistema de auditoría produce un error. Los valores válidos son: WARN, NOWARN y FATAL. El valor WARN notifica al auditor cuando se produce un error y cesa la auditoría cuando se produce un error en el subsistema de auditoría, pero se sigue ejecutando el proceso servidor de aplicaciones. El valor NOWARN no notifica al auditor cuando se produce un error y cesa la auditoría, pero se continúa ejecutando el proceso servidor de aplicaciones. El valor FATAL notifica al auditor del error y detiene el proceso servidor de aplicaciones. De forma predeterminada, el mandato asigna el valor NOWARN. Serie No
    -auditorId Especifica el ID del usuario al que se le va a asignar el rol de auditor. Serie No
    -auditorPwd Especifica la contraseña del rol de auditor. Serie No
    -sign Especifica si se van a firmar los registros de auditoría. De forma predeterminada, el sistema de auditoría de seguridad no firma los registros de auditoría. Debe configurar la firma de los registros de auditoría antes de poder especificar este parámetro. Booleano No
    -encrypt Especifica si se van a cifrar los registros de auditoría. De forma predeterminada, el sistema de auditoría de seguridad no cifra los registros de auditoría. Debe configurar el cifrado de los registros de auditoría antes de poder especificar este parámetro. Booleano No
    -verbose Especifica si se van a capturar los datos de auditoría de forma detallada. De forma predeterminada, el sistema de auditoría de seguridad no captura los datos de auditoría de forma detallada. Booleano No
    -encryptionCert Especifica el ID de referencia del certificado que debe utilizares para el cifrado. Especifique este parámetro si establece el parámetro -encrypt en true. Serie No
    En el mandato de ejemplo siguiente se habilita la auditoría de seguridad y se identifica el auditor principal asignando un usuario y contraseña.
    AdminTask.modifyAuditPolicy('-auditEnabled true -auditorId securityAdmin -auditorPwd security4you')
  4. Guarde los cambios de configuración.
    Utilice el siguiente ejemplo de mandatos para guardar los cambios de configuración:
    AdminConfig.save()
  5. Reinicie el servidor.

Resultados

Después de completar los pasos para habilitar y configurar la auditoría de seguridad, el perfil de interés audita las configuraciones de seguridad para tipos de sucesos concretos que se pueden auditar.

Qué hacer a continuación

Una vez configurada la política de auditoría por primera vez, utilice los mandatos enableAudit y disableAudit para activar y desactivar el sistema de auditoría de seguridad. El sistema mantiene los valores definidos con el mandato modifyAuditPolicy al habilitar e inhabilitar el sistema de auditoría de seguridad.
Nota: Debe reiniciar el servidor para que se apliquen los cambios de configuración.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7enableaudit
File name: txml_7enableaudit.html