Configuración de fábricas de sucesos de auditoría mediante scripts
Antes de habilitar la auditoría de seguridad, utilice esta tarea para configurar las fábricas de sucesos de auditoría con la herramienta wsadmin. La auditoría de seguridad proporciona el seguimiento y archivado de sucesos que se pueden auditar.
Antes de empezar
Antes de configurar las fábricas de sucesos de auditoría de seguridad, habilite la seguridad administrativa en el entorno.
Acerca de esta tarea
Para habilitar la auditoría de seguridad en el entorno, debe configurar una fábrica de sucesos de auditoría. La fábrica de sucesos de auditoría reúne los datos asociados con los sucesos de seguridad. La configuración de auditoría de seguridad proporciona una fábrica de sucesos predeterminada. Utilice este tema para personalizar el subsistema de auditoría de seguridad creando fábricas de sucesos de auditoría adicionales.
Utilice los pasos siguientes para configurar el subsistema de auditoría de seguridad con la herramienta wsadmin:
Procedimiento
- Inicie la herramienta de scripts wsadmin utilizando el lenguaje de scripts Jython. Para obtener más información, consulte el artículo Inicio del cliente de scripts wsadmin.
- Configure los filtros de suceso. Puede utilizar los filtros de suceso predeterminados o utilizar este paso para crear filtros adicionales para personalizar la
configuración de auditoría de seguridad.
Tabla 1. Filtros de sucesos en el archivo audit.xml. El servidor de aplicaciones proporciona de forma predeterminada los siguientes filtros de suceso en el archivo de plantilla audit.xml: Nombre de suceso Resultado del suceso SECURITY_AUTHN SUCCESS SECURITY_AUTHN DENIED SECURITY_RESOURCE_ACCESS SUCCESS SECURITY_AUTHN REDIRECT Puede configurar tipos de suceso de auditoría adicionales para realizar un seguimiento y archivado de distintos sucesos. Utilice el mandato siguiente para enumerar todos los sucesos que se pueden auditar admitidos:print AdminTask.getSupportedAuditEvents()
Utilice el mandato createAuditFilter con los parámetros -eventType y -outcome para habilitar uno o varios sucesos y resultados de auditoría. Puede especificar varios tipos de suceso y varios resultados separados por coma con una invocación de mandato. En la lista siguiente se describen todos los sucesos válidos que se pueden auditar que puede especificar con el parámetro -eventType:Tabla 2. Tipos de sucesos. Los sucesos auditables válidos se pueden especificar como un tipo de suceso habilitado al crear un filtro de sucesos: Nombre de suceso Descripción SECURITY_AUTHN Audita todos los sucesos de autenticación SECURITY_AUTHN_MAPPING Audita sucesos que registran la correlación de credenciales donde hay dos identidades de usuario implicadas SECURITY_AUTHN_TERMINATE Audita eventos de terminación de autenticación como, por ejemplo, un cierre de sesión basado en formulario. SECURITY_AUTHZ Audita sucesos relativos a comprobaciones de autorización cuando el sistema aplica políticas de control de accesos SECURITY_RUNTIME Realiza una auditoría de sucesos como, por ejemplo, el inicio y detención de los servidores de seguridad. Este tipo de sucesos no están concebidos para operaciones administrativas realizadas por un administrador de sistema ya que dichas operaciones necesitan utilizar los otros tipos de sucesos SECURITY_MGMT_*. SECURITY_MGMT_AUDIT Audita sucesos que registran operaciones relativas al subsistema de auditoría tales como, por ejemplo, iniciar auditoría, detener auditoría, activar o desactivar auditoría, cambiar la configuración de los filtros o el nivel de auditoría, archivar datos de auditoría, depurar datos de auditoría, etc. SECURITY_RESOURCE_ACCESS Audita los sucesos que graban todos los accesos a un recurso. Son ejemplos todos los accesos a un archivo, todas las solicitudes HTTP y respuestas a una página web determinada y todos los accesos a una tabla de base de datos crítica SECURITY_SIGNING Audita sucesos que registran la firma como, por ejemplo, operaciones de firma utilizadas para validar partes de un mensaje SOAP para servicios Web SECURITY_ENCRYPTION Audita sucesos que registran información de cifrado como, por ejemplo, el cifrado de servicios Web SECURITY_AUTHN_DELEGATION Audita los sucesos que graban la delegación, que incluyen la aserción de identidad, RunAs y aserción débil. Se utiliza cuando se propaga la identidad del cliente o cuando la delegación conlleva el uso de una identidad especial. Este tipo de suceso también se utiliza al conmutar identidades de usuario en una sesión determinada. SECURITY_AUTHN_CREDS_MODIFY Audita sucesos para modificar credenciales para una identidad de usuario determinada SECURITY_FORM_LOGIN Audita los sucesos del usuario que está iniciando sesión y la dirección IP remota desde la que se lleva a cabo el inicio de sesión junto con la indicación de fecha y hora y el resultado. SECURITY_FORM_LOGOUT Audita los sucesos del usuario que está finalizando la sesión y la dirección IP remota desde la que se lleva a cabo el cierre de sesión junto con la indicación de fecha y hora y el resultado. Importante: Los siguientes tipos de sucesos de auditoría de seguridad no se utilizan en este release de WebSphere Application Server:Para cada tipo de suceso de auditoría, debe especificar un resultado. Entre lo resultados válidos se encuentran SUCCESS, FAILURE, REDIRECT, ERROR, DENIED, WARNING e INFO. En el ejemplo de mandato siguiente se crea un filtro de auditoría para registrar los usuarios que reciben un error al modificar las credenciales:- SECURITY_MGMT_KEY
- SECURITY_RUNTIME_KEY
- SECURITY_MGMT_PROVISIONING
- SECURITY_MGMT_REGISTRY
- SECURITY_RUNTIME
- SECURITY_AUTHN_CREDS_MODIFY
AdminTask.createAuditFilter('-name uniqueFilterName -eventType SECURITY_RESOURCE_ACCESS,SECURITY_AUTHN_DELEGATION -outcome ERROR,REDIRECT')
- Cree una fábrica de sucesos de auditoría. Puede utilizar la fábrica de sucesos
predeterminada o este paso para crear una nueva fábrica de sucesos de auditoría.
Utilice el mandato createAuditEventFactory para crear una fábrica de sucesos de auditoría en la configuración de seguridad. Puede utilizar la implementación de la fábrica de sucesos predeterminada o una implementación de terceros. Para configurar una implementación de terceros, utilice el parámetro -customProperties opcional para especificar las propiedades necesarias para configurar la implementación de la fábrica de sucesos de auditoría.
Tabla 3. Parámetros necesarios. Especifique los parámetros necesarios siguientes con el mandato createAuditEventFactory para configurar la fábrica de sucesos de auditoría: Parámetro Descripción Tipo de datos Required -uniqueName Especifica un nombre único que identifica la fábrica de sucesos de auditoría. Serie Sí -className Especifica la implementación de clase de la interfaz de fábrica de sucesos de auditoría. Serie Sí -auditFilters Especifica una referencia a un grupo de referencias a filtros de auditoría predefinidos, con el formato siguiente: "reference, reference, reference" Serie Sí -provider Especifica una referencia a una implementación del proveedor de servicios de auditoría predefinido. Serie Sí -customProperties Especifica una lista separada por comas (,) de pares de propiedades personalizadas que se añaden al objeto de seguridad con el siguiente formato: attribute=value,attribute=value Serie No En el mandato de ejemplo siguiente se crea y habilita una fábrica de sucesos de auditoría:AdminTask.createAuditEventFactory('-uniqueName eventFactory1 -className com.ibm.ws.security.audit.AuditEventFactoryImpl -auditFilters "AuditSpecification_1173199825608, AuditSpecification_1173199825609, AuditSpecification_1173199825610, AuditSpecification_1173199825611" -provider newASP')
- Guarde los cambios de configuración. Utilice el siguiente ejemplo de mandatos para guardar los cambios de configuración:
AdminConfig.save()
Qué hacer a continuación
Configure el proveedor de servicios de auditoría.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7auditeventfactory
File name: txml_7auditeventfactory.html