Configuration de fabriques d'événements d'audit à l'aide de scripts

Cette tâche permet de configurer des fabriques d'événements d'audit à l'aide de l'outil wsadmin, avant d'activer l'audit de sécurité. Cette fonction propose de suivre et d'archiver des événements auditables.

Avant de commencer

Avant de configurer des fabriques d'événements d'audit, activez la sécurité administrative dans votre environnement.

Pourquoi et quand exécuter cette tâche

Pour activer l'audit de sécurité dans votre environnement, vous devez configurer une fabrique d'événements d'audit. La fabrique d'événements d'audit rassemble les données associées aux événements de sécurité. La configuration d'audit de sécurité propose une fabrique d'événements par défaut. Cette rubrique permet de personnaliser votre sous-système d'audit de sécurité par la création de fabriques d'événéments d'audit supplémentaires.

Effectuez les opérations ci-après pour configurer le sous-système d'audit de sécurité à l'aide de l'outil wsadmin.

Procédure

  1. Lancez l'outil de script wsadmin via le langage de script Jython. Pour plus d'informations, reportez-vous à l'article Démarrage du client de scriptage wsadmin.
  2. Configurez les filtres d'événements. Vous pouvez utiliser les filtres d'événements par défaut ou suivre l'étape ci-après pour créer des filtres supplémentaires afin de personnaliser la configuration d'audit de sécurité.
    Tableau 1. Filtres d'événement dans le fichier audit.xml. Le serveur d'applications propose les filtres d'événements suivants par défaut, dans le fichier modèle audit.xml :
    Nom de l'événement Sortie de l'événement
    SECURITY_AUTHN SUCCESS
    SECURITY_AUTHN DENIED
    SECURITY_RESOURCE_ACCESS SUCCESS
    SECURITY_AUTHN REDIRECT
    Vous pouvez configurer d'autres types d'événement d'audit pour suivre et archiver divers événements. Utilisez la commande suivante pour répertorier tous les événements auditables pris en charge :
    print AdminTask.getSupportedAuditEvents()
    La commande createAuditFilter suivie des paramètres -eventType et -outcome permet d'activer un ou plusieurs événements et résultats d'audit. Dans un même appel de commande, vous pouvez indiquer plusieurs types d'événement et plusieurs résultats séparés par une virgule. La liste suivante décrit chaque événement auditable valide que vous pouvez indiquer à l'aide du paramètre -eventType :
    Tableau 2. Types d'événements. Des événements auditables valides peuvent être spécifiés en tant que type d'événement activé lors de la création d'un filtre d'événements :
    Nom de l'événement Description
    SECURITY_AUTHN Effectue l'audit de tous les événements d'authentification
    SECURITY_AUTHN_MAPPING Effectue l'audit des événements qui enregistrent le mappage des justificatifs lorsque deux identités utilisateur sont concernées
    SECURITY_AUTHN_TERMINATE Effectue l'audit des événements de fin d'authentification, par exemple une déconnexion reposant sur un formulaire
    SECURITY_AUTHZ Effectue l'audit des événements liés aux contrôles d'autorisation lorsque le système met en application des règles de contrôle d'accès
    SECURITY_RUNTIME Analyse les événements du programme d'exécution tels que le démarrage ou l'arrêt des serveurs de sécurité. Ce type d'événement ne couvre pas les opérations d'administration exécutées par un administrateur système. Ces dernières opérations sont couvertes par les types d'événements SECURITY_MGMT_*.
    SECURITY_MGMT_AUDIT Effectue l'audit des événements qui enregistrent les opérations liées au sous-système d'audit (par exemple, démarrage, arrêt, activation ou désactivation de l'audit, modification de la configuration des filtres ou du niveau d'audit, archivage, purge des données d'audit, etc.).
    SECURITY_RESOURCE_ACCESS Effectue l'audit des événements qui enregistrent tous les accès à une ressource. Par exemple : tous les accès à un fichier, toutes les demandes et réponses HTTP relatives à une page web déterminée, ainsi que tous les accès à une table de base de données critique.
    SECURITY_SIGNING Effectue l'audit des événements qui enregistrent les signatures (par exemple, des opérations de signature permettant de valider les parties d'un message SOAP pour les services Web).
    SECURITY_ENCRYPTION Effectue l'audit des événements qui enregistrent des informations de chiffrement (par exemple, chiffrement destiné aux services Web).
    SECURITY_AUTHN_DELEGATION Effectue l'audit des événements qui enregistrent les opérations de délégation (dont la vérification d'identité, les rôles d'exécution (RunAS) et l'assertion de niveau bas). Cet événement est utilisé lorsque l'identité du client est propagée ou lorsque la délégation implique l'utilisation d'une identité spéciale. Ce type d'événement est également employé lors du changement d'identités utilisateur au cours d'une session déterminée.
    SECURITY_AUTHN_CREDS_MODIFY Effectue l'audit des événements pour modifier les justificatifs d'une identité utilisateur déterminée.
    SECURITY_FORM_LOGIN Evénements d'audit d'un utilisateur connecté et adresse IP distante à partir de laquelle la connexion est effectuée, ainsi que l'horodatage et le résultat.
    SECURITY_FORM_LOGOUT Evénements d'audit d'un utilisateur déconnecté et adresse IP distante à partir de laquelle la déconnexion est effectuée, ainsi que l'horodatage et le résultat.
    Important : Les types d'événement d'audit de sécurité suivants ne sont pas utilisés dans cette version de WebSphere Application Server :
    • SECURITY_MGMT_KEY
    • SECURITY_RUNTIME_KEY
    • SECURITY_MGMT_PROVISIONING
    • SECURITY_MGMT_REGISTRY
    • SECURITY_RUNTIME
    • SECURITY_AUTHN_CREDS_MODIFY
    Pour chaque type d'événement d'audit, vous devez indiquer une sortie. Les sorties valides incluent SUCCESS, FAILURE, REDIRECT, ERROR, DENIED, WARNING et INFO. L'exemple de commande suivant crée un filtre d'audit consignant les utilisateurs qui reçoivent une erreur lors de la modification des justificatifs.
    AdminTask.createAuditFilter('-name uniqueFilterName -eventType 
    SECURITY_RESOURCE_ACCESS,SECURITY_AUTHN_DELEGATION -outcome ERROR,REDIRECT')
  3. Créez une fabrique d'événements d'audit. Vous pouvez utiliser la fabrique d'événements d'audit par défaut ou suivre l'étape ci-après pour en créer une nouvelle.

    La commande createAuditEventFactory crée une fabrique d'événements d'audit dans la configuration de votre système d'audit de sécurité. Vous pouvez utiliser l'implémentation par défaut de la fabrique d'événements d'audit ou une implémentation tierce. Pour configurer une implémentation tierce, utilisez le paramètre facultatif -customProperties pour indiquer les propriétés nécessaires, le cas échéant.

    Tableau 3. Paramètres obligatoires.. Indiquez les paramètres obligatoires suivants avec la commande createAuditEventFactory pour configurer la fabrique d'événements d'audit :
    Paramètre Description Type de donnée Obligatoire
    -uniqueName Indique le nom unique qui identifie la fabrique d'événements d'audit. String (chaîne) Oui
    -className Indique l'implémentation de classe de l'interface de fabrique d'événements d'audit. String (chaîne) Oui
    -auditFilters Spécifie une référence ou un groupe de références à des filtres d'audit prédéfinis, selon le format suivant : "référence, référence, référence" String (chaîne) Oui
    -provider Indique une référence à une implémentation de fournisseur de services d'audit prédéfinie. String (chaîne) Oui
    -customProperties Spécifie une liste séparée par des virgules (,) des paires de propriétés personnalisées à ajouter à l'objet de sécurité, au format suivant : attribut=valeur,attribut=valeur String (chaîne) Non
    L'exemple de commande suivant crée et active une fabrique d'événements d'audit :
    AdminTask.createAuditEventFactory('-uniqueName eventFactory1 -className 
    com.ibm.ws.security.audit.AuditEventFactoryImpl -auditFilters 
    "AuditSpecification_1173199825608, AuditSpecification_1173199825609, AuditSpecification_1173199825610, 
    AuditSpecification_1173199825611" -provider newASP')
  4. Sauvegardez les modifications.
    Entrez l'exemple de commande suivante pour sauvegarder les modifications de configuration :
    AdminConfig.save()

Que faire ensuite

Configurez le fournisseur de services d'audit.


Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7auditeventfactory
Nom du fichier : txml_7auditeventfactory.html