Antes de habilitar la auditoría de seguridad, utilice esta tarea para
configurar los filtros de sucesos con la herramienta wsadmin. La auditoría de seguridad proporciona el seguimiento y archivado de sucesos
que se pueden auditar.
Antes de empezar
Antes de configurar los filtros de auditoría de seguridad, habilite la seguridad
administrativa en el entorno.
Acerca de esta tarea
Antes de configurar una fábrica de sucesos de auditoría y un proveedor de
servicios de auditoría, configure los filtros de sucesos. El proveedor del servicio de
auditoría graba los registros de auditoría en el repositorio de fondo asociado con
la implementación. La fábrica de sucesos de auditoría genera sucesos de seguridad.
Los
filtros de sucesos especifican qué tipos de suceso y qué resultados audita y graba el
sistema. Cada tipo de suceso tiene hasta siete resultados posibles, entre los que se
incluyen: satisfactorio, anomalía, denegado, error, aviso, info y redirigir. La
configuración de auditoría de seguridad proporciona cuatro filtros predeterminados. Utilice este tema para personalizar el subsistema de auditoría de seguridad creando
filtros de sucesos de auditoría adicionales.
Utilice los pasos siguientes para configurar el
subsistema de auditoría de seguridad con la herramienta wsadmin:
Procedimiento
- Inicie la herramienta de scripts wsadmin utilizando el lenguaje de scripts Jython. Para obtener más información, consulte el artículo Inicio del cliente de scripts wsadmin.
- Configure los filtros de suceso. Puede utilizar los filtros de suceso predeterminados o utilizar este paso para crear filtros adicionales para personalizar la
configuración de auditoría de seguridad.
Tabla 1. Filtros de sucesos suministrados. El servidor de aplicaciones
proporciona de forma predeterminada los siguientes filtros de suceso en el archivo de
plantilla audit.xml:Nombre de suceso |
Resultado del suceso |
SECURITY_AUTHN |
SUCCESS |
SECURITY_AUTHN |
DENIED |
SECURITY_RESOURCE_ACCESS |
SUCCESS |
SECURITY_AUTHN |
REDIRECT |
Puede configurar tipos de suceso de auditoría adicionales para capturar
distintos sucesos. Utilice el mandato siguiente para enumerar todos los sucesos que se
pueden auditar admitidos:
print AdminTask.getSupportedAuditEvents()
Utilice el mandato createAuditFilter con los parámetros -name, -eventType, y -outcome
para habilitar uno o varios sucesos y resultados de auditoría. Puede especificar varios tipos de
suceso y varios resultados separados por coma con una invocación de mandato.
Tabla 2. Tipos de sucesos. En la lista siguiente se describen todos los sucesos válidos que se pueden auditar que puede especificar
con el parámetro -eventType:Nombre del suceso |
Descripción |
SECURITY_AUTHN |
Audita todos los sucesos de autenticación |
SECURITY_AUTHN_MAPPING |
Audita sucesos que registran la correlación de credenciales donde
hay dos identidades de usuario implicadas |
SECURITY_AUTHZ |
Audita sucesos relativos a comprobaciones de autorización cuando el
sistema aplica políticas de control de accesos |
SECURITY_MGMT_AUDIT |
Audita sucesos que registran operaciones relativas al subsistema de
auditoría tales como, por ejemplo, iniciar auditoría, detener auditoría, activar o
desactivar auditoría, cambiar la configuración de los filtros o el nivel de auditoría,
archivar datos de auditoría, depurar datos de auditoría, etc. |
SECURITY_RESOURCE_ACCESS |
Audita los sucesos que graban todos los accesos a un recurso. Son ejemplos todos los accesos a un archivo, todas las solicitudes HTTP y
respuestas a una página web determinada y todos los accesos a una tabla de
base de datos crítica |
SECURITY_AUTHN_DELEGATION |
Audita los sucesos que graban la delegación, que incluyen la
aserción de identidad, RunAs y aserción débil. Se utiliza cuando se propaga la
identidad del cliente o cuando la delegación conlleva el uso de una identidad especial. Este tipo de suceso también se utiliza al conmutar identidades de usuario en una sesión
determinada. |
Para cada tipo de suceso de auditoría, debe especificar un resultado. Entre lo resultados válidos se encuentran
SUCCESS, FAILURE, REDIRECT, ERROR, DENIED, WARNING e INFO. En el ejemplo
de mandato siguiente se crea un filtro de auditoría para registrar los usuarios que reciben un error
al modificar las credenciales:
AdminTask.createAuditFilter('-name miNombreExclusivo -eventType SECURITY_RESOURCE_ACCESS,SECURITY_AUTHN_DELEGATION -outcome ERROR,REDIRECT')
- Guarde los cambios de configuración.
Utilice el siguiente ejemplo de mandatos para guardar
los cambios de configuración:
AdminConfig.save()
Qué hacer a continuación
Habilite la auditoría de seguridad en el entorno.