Configuration de fabriques d'événements d'audit à l'aide de scripts
Cette tâche permet de configurer des fabriques d'événements d'audit à l'aide de l'outil wsadmin, avant d'activer l'audit de sécurité. Cette fonction propose de suivre et d'archiver des événements auditables.
Avant de commencer
Avant de configurer des fabriques d'événements d'audit, activez la sécurité administrative dans votre environnement.
Pourquoi et quand exécuter cette tâche
Pour activer l'audit de sécurité dans votre environnement, vous devez configurer une fabrique d'événements d'audit. La fabrique d'événements d'audit rassemble les données associées aux événements de sécurité. La configuration d'audit de sécurité propose une fabrique d'événements par défaut. Cette rubrique permet de personnaliser votre sous-système d'audit de sécurité par la création de fabriques d'événéments d'audit supplémentaires.
Effectuez les opérations ci-après pour configurer le sous-système d'audit de sécurité à l'aide de l'outil wsadmin.
Procédure
- Lancez l'outil de script wsadmin via le langage de script Jython. Pour plus d'informations, reportez-vous à l'article Démarrage du client de scriptage wsadmin.
- Configurez les filtres d'événements. Vous pouvez utiliser les filtres d'événements par défaut ou suivre l'étape ci-après pour créer des filtres supplémentaires afin de personnaliser la configuration d'audit de sécurité.
Tableau 1. Filtres d'événement dans le fichier audit.xml. Le serveur d'applications propose les filtres d'événements suivants par défaut, dans le fichier modèle audit.xml : Nom de l'événement Sortie de l'événement SECURITY_AUTHN SUCCESS SECURITY_AUTHN DENIED SECURITY_RESOURCE_ACCESS SUCCESS SECURITY_AUTHN REDIRECT Vous pouvez configurer d'autres types d'événement d'audit pour suivre et archiver divers événements. Utilisez la commande suivante pour répertorier tous les événements auditables pris en charge :print AdminTask.getSupportedAuditEvents()
La commande createAuditFilter suivie des paramètres -eventType et -outcome permet d'activer un ou plusieurs événements et résultats d'audit. Dans un même appel de commande, vous pouvez indiquer plusieurs types d'événement et plusieurs résultats séparés par une virgule. La liste suivante décrit chaque événement auditable valide que vous pouvez indiquer à l'aide du paramètre -eventType :Tableau 2. Types d'événements. Des événements auditables valides peuvent être spécifiés en tant que type d'événement activé lors de la création d'un filtre d'événements : Nom de l'événement Description SECURITY_AUTHN Effectue l'audit de tous les événements d'authentification SECURITY_AUTHN_MAPPING Effectue l'audit des événements qui enregistrent le mappage des justificatifs lorsque deux identités utilisateur sont concernées SECURITY_AUTHN_TERMINATE Effectue l'audit des événements de fin d'authentification, par exemple une déconnexion reposant sur un formulaire SECURITY_AUTHZ Effectue l'audit des événements liés aux contrôles d'autorisation lorsque le système met en application des règles de contrôle d'accès SECURITY_RUNTIME Analyse les événements du programme d'exécution tels que le démarrage ou l'arrêt des serveurs de sécurité. Ce type d'événement ne couvre pas les opérations d'administration exécutées par un administrateur système. Ces dernières opérations sont couvertes par les types d'événements SECURITY_MGMT_*. SECURITY_MGMT_AUDIT Effectue l'audit des événements qui enregistrent les opérations liées au sous-système d'audit (par exemple, démarrage, arrêt, activation ou désactivation de l'audit, modification de la configuration des filtres ou du niveau d'audit, archivage, purge des données d'audit, etc.). SECURITY_RESOURCE_ACCESS Effectue l'audit des événements qui enregistrent tous les accès à une ressource. Par exemple : tous les accès à un fichier, toutes les demandes et réponses HTTP relatives à une page web déterminée, ainsi que tous les accès à une table de base de données critique. SECURITY_SIGNING Effectue l'audit des événements qui enregistrent les signatures (par exemple, des opérations de signature permettant de valider les parties d'un message SOAP pour les services Web). SECURITY_ENCRYPTION Effectue l'audit des événements qui enregistrent des informations de chiffrement (par exemple, chiffrement destiné aux services Web). SECURITY_AUTHN_DELEGATION Effectue l'audit des événements qui enregistrent les opérations de délégation (dont la vérification d'identité, les rôles d'exécution (RunAS) et l'assertion de niveau bas). Cet événement est utilisé lorsque l'identité du client est propagée ou lorsque la délégation implique l'utilisation d'une identité spéciale. Ce type d'événement est également employé lors du changement d'identités utilisateur au cours d'une session déterminée. SECURITY_AUTHN_CREDS_MODIFY Effectue l'audit des événements pour modifier les justificatifs d'une identité utilisateur déterminée. SECURITY_FORM_LOGIN Evénements d'audit d'un utilisateur connecté et adresse IP distante à partir de laquelle la connexion est effectuée, ainsi que l'horodatage et le résultat. SECURITY_FORM_LOGOUT Evénements d'audit d'un utilisateur déconnecté et adresse IP distante à partir de laquelle la déconnexion est effectuée, ainsi que l'horodatage et le résultat. Important : Les types d'événement d'audit de sécurité suivants ne sont pas utilisés dans cette version de WebSphere Application Server :Pour chaque type d'événement d'audit, vous devez indiquer une sortie. Les sorties valides incluent SUCCESS, FAILURE, REDIRECT, ERROR, DENIED, WARNING et INFO. L'exemple de commande suivant crée un filtre d'audit consignant les utilisateurs qui reçoivent une erreur lors de la modification des justificatifs.- SECURITY_MGMT_KEY
- SECURITY_RUNTIME_KEY
- SECURITY_MGMT_PROVISIONING
- SECURITY_MGMT_REGISTRY
- SECURITY_RUNTIME
- SECURITY_AUTHN_CREDS_MODIFY
AdminTask.createAuditFilter('-name uniqueFilterName -eventType SECURITY_RESOURCE_ACCESS,SECURITY_AUTHN_DELEGATION -outcome ERROR,REDIRECT')
- Créez une fabrique d'événements d'audit. Vous pouvez utiliser la
fabrique d'événements d'audit par défaut ou suivre l'étape ci-après pour
en créer une nouvelle.
La commande createAuditEventFactory crée une fabrique d'événements d'audit dans la configuration de votre système d'audit de sécurité. Vous pouvez utiliser l'implémentation par défaut de la fabrique d'événements d'audit ou une implémentation tierce. Pour configurer une implémentation tierce, utilisez le paramètre facultatif -customProperties pour indiquer les propriétés nécessaires, le cas échéant.
Tableau 3. Paramètres obligatoires.. Indiquez les paramètres obligatoires suivants avec la commande createAuditEventFactory pour configurer la fabrique d'événements d'audit : Paramètre Description Type de donnée Obligatoire -uniqueName Indique le nom unique qui identifie la fabrique d'événements d'audit. String (chaîne) Oui -className Indique l'implémentation de classe de l'interface de fabrique d'événements d'audit. String (chaîne) Oui -auditFilters Spécifie une référence ou un groupe de références à des filtres d'audit prédéfinis, selon le format suivant : "référence, référence, référence" String (chaîne) Oui -provider Indique une référence à une implémentation de fournisseur de services d'audit prédéfinie. String (chaîne) Oui -customProperties Spécifie une liste séparée par des virgules (,) des paires de propriétés personnalisées à ajouter à l'objet de sécurité, au format suivant : attribut=valeur,attribut=valeur String (chaîne) Non L'exemple de commande suivant crée et active une fabrique d'événements d'audit :AdminTask.createAuditEventFactory('-uniqueName eventFactory1 -className com.ibm.ws.security.audit.AuditEventFactoryImpl -auditFilters "AuditSpecification_1173199825608, AuditSpecification_1173199825609, AuditSpecification_1173199825610, AuditSpecification_1173199825611" -provider newASP')
- Sauvegardez les modifications. Entrez l'exemple de commande suivante pour sauvegarder les modifications de configuration :
AdminConfig.save()
Que faire ensuite
Configurez le fournisseur de services d'audit.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7auditeventfactory
Nom du fichier : txml_7auditeventfactory.html