Configuration des événements auditables à l'aide de scripts

Cette tâche permet de configurer des filtres d'événements à l'aide de l'outil wsadmin, avant d'activer l'audit de sécurité. Cette fonction propose de suivre et d'archiver des événements auditables.

Avant de commencer

Avant de configurer les filtres d'audit de sécurité, activez la sécurité administrative dans votre environnement.

Pourquoi et quand exécuter cette tâche

Configurez des filtres d'événements, avant de configurer une fabrique d'événements d'audit et un fournisseur de services d'audit. Le fournisseur de services d'audit inscrit les enregistrements d'audit dans le répertoire d'arrière-plan associé à l'implémentation du fournisseur. La fabrique d'événements d'audit génère des événements de sécurité. Les filtres d'événements spécifient les types d'événements et de résultats, audités et enregistrés par le système. Chaque type d'événement aboutit à sept résultats possibles : réussite (SUCCESS), échec (FAILURE), refus (DENIED), erreur (ERROR), avertissement (WARNING), informations (INFO) et réacheminement (REDIRECT). La configuration d'audit de sécurité propose quatre filtres par défaut. Cette rubrique permet de personnaliser votre sous-système d'audit de sécurité par la création de filtres d'événements d'audit supplémentaires.

Effectuez les opérations ci-après pour configurer le sous-système d'audit de sécurité à l'aide de l'outil wsadmin.

Procédure

  1. Lancez l'outil de script wsadmin via le langage de script Jython. Pour plus d'informations, reportez-vous à l'article Démarrage du client de scriptage wsadmin.
  2. Configurez les filtres d'événements. Vous pouvez utiliser les filtres d'événements par défaut ou suivre l'étape ci-après pour créer des filtres supplémentaires afin de personnaliser la configuration d'audit de sécurité.
    Tableau 1. Filtres d'événements fournis. Le serveur d'applications propose les filtres d'événements suivants par défaut, dans le fichier modèle audit.xml :
    Nom de l'événement Sortie de l'événement
    SECURITY_AUTHN SUCCESS
    SECURITY_AUTHN DENIED
    SECURITY_RESOURCE_ACCESS SUCCESS
    SECURITY_AUTHN REDIRECT
    Vous pouvez configurer d'autres types d'événements d'audit pour capturer divers événements. Utilisez la commande suivante pour répertorier tous les événements auditables pris en charge :
    print AdminTask.getSupportedAuditEvents()
    La commande createAuditFilter suivie des paramètres -name, -eventType et -outcome permet d'activer un ou plusieurs événements et résultats d'audit. Dans un même appel de commande, vous pouvez indiquer plusieurs types d'événement et plusieurs résultats séparés par une virgule.
    Tableau 2. Types d'événements. La liste suivante décrit chaque événement auditable valide que vous pouvez indiquer à l'aide du paramètre -eventType :
    Nom de l'événement Description
    SECURITY_AUTHN Effectue l'audit de tous les événements d'authentification
    SECURITY_AUTHN_MAPPING Effectue l'audit des événements qui enregistrent le mappage des justificatifs lorsque deux identités utilisateur sont concernées
    SECURITY_AUTHZ Effectue l'audit des événements liés aux contrôles d'autorisation lorsque le système met en application des règles de contrôle d'accès
    SECURITY_MGMT_AUDIT Effectue l'audit des événements qui enregistrent les opérations liées au sous-système d'audit (par exemple, démarrage, arrêt, activation ou désactivation de l'audit, modification de la configuration des filtres ou du niveau d'audit, archivage, purge des données d'audit, etc.).
    SECURITY_RESOURCE_ACCESS Effectue l'audit des événements qui enregistrent tous les accès à une ressource. Par exemple : tous les accès à un fichier, toutes les demandes et réponses HTTP relatives à une page web déterminée, ainsi que tous les accès à une table de base de données critique.
    SECURITY_AUTHN_DELEGATION Effectue l'audit des événements qui enregistrent les opérations de délégation (dont la vérification d'identité, les rôles d'exécution (RunAS) et l'assertion de niveau bas). Cet événement est utilisé lorsque l'identité du client est propagée ou lorsque la délégation implique l'utilisation d'une identité spéciale. Ce type d'événement est également employé lors du changement d'identités utilisateur au cours d'une session déterminée.
    Pour chaque type d'événement d'audit, vous devez indiquer une sortie. Les sorties valides incluent SUCCESS, FAILURE, REDIRECT, ERROR, DENIED, WARNING et INFO. L'exemple de commande suivant crée un filtre d'audit consignant les utilisateurs qui reçoivent une erreur lors de la modification des justificatifs.
    AdminTask.createAuditFilter('-name myUniqueName -eventType SECURITY_RESOURCE_ACCESS,SECURITY_AUTHN_DELEGATION -outcome ERROR,REDIRECT')
  3. Sauvegardez les modifications.
    Entrez l'exemple de commande suivante pour sauvegarder les modifications de configuration :
    AdminConfig.save()

Que faire ensuite

Activez l'audit de sécurité dans votre environnement.


Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7auditfilter
Nom du fichier : txml_7auditfilter.html