Cette tâche permet de configurer des fournisseurs de services d'audit à l'aide de l'outil wsadmin, avant d'activer l'audit de sécurité. Cette
fonction propose de suivre et d'archiver des événements auditables.
Avant de commencer
Avant de configurer des fournisseurs de services d'audit de sécurité, activez la sécurité administrative dans votre environnement.
Remarque : Cette rubrique fait référence à un ou plusieurs des fichiers journaux de serveur d'applications. Il est recommandé de configurer le serveur de telle sorte qu'il utilise l'infrastructure de journalisation et de trace HPEL (High Performance Extensible Logging) à la place des fichiers SystemOut.log, SystemErr.log, trace.log et activity.log sur les systèmes distribués et IBM® i. Vous pouvez également utiliser HPEL conjointement avec vos fonctions de journalisation z/OS natives. Si vous utilisez l'infrastructure HPEL, vous pouvez accéder à toutes les informations de journalisation et de trace en utilisant l'outil de ligne de commande LogViewer à partir de votre répertoire bin de profil de serveur. Pour plus d'informations sur l'utilisation de HPEL, voir les informations sur l'utilisation de HPEL
en vue du traitement des incidents liés aux applications.
Pourquoi et quand exécuter cette tâche
Pour activer l'audit de sécurité dans votre environnement, vous devez configurer un fournisseur de services d'audit. Ce fournisseur de services d'audit inscrit les enregistrements d'audit et les données dans le répertoire d'arrière-plan associé à l'implémentation du fournisseur de services. La configuration d'audit de sécurité propose un fournisseur de service par défaut. Cette rubrique permet de personnaliser votre sous-système d'audit de sécurité par la création de fournisseurs de services d'audit supplémentaires.
Effectuez les opérations ci-après pour configurer
le sous-système d'audit de sécurité à l'aide de l'outil wsadmin.
Procédure
- Lancez l'outil de script wsadmin via le langage de script Jython. Pour plus d'informations, reportez-vous à l'article Démarrage du client de scriptage wsadmin.
- Configurez un fournisseur de services d'audit. Vous pouvez utiliser
le fournisseur de services d'audit par défaut ou suivre l'étape ci-après
pour en créer un nouveau.
Le fournisseur de services d'audit peut être basé sur des fichiers binaires ou tiers. Outre le fournisseur de services par défaut, fondé sur des fichiers binaires, vous pouvez configurer un fournisseur de services SMF ou des fournisseurs de services d'audit tiers.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Le fournisseur de services d'audit peut être basé sur des fichiers binaires ou tiers. Outre le fournisseur de services par défaut, fondé sur des fichiers binaires, vous pouvez configurer un fournisseur de services d'audit tiers.
Choisissez le type de fournisseur de services d'audit à créer.
- Utilisez la commande createBinaryEmitter et les paramètres
obligatoires suivants pour créer un fournisseur de services d'audit par
défaut :
Tableau 1. Paramètres de commande. Ce tableau décrit les paramètres de commande
createBinaryEmitter.Paramètre |
Description |
Type de données |
Obligatoire |
-uniqueName |
Indique le nom unique qui identifie le fournisseur de services d'audit. |
String (chaîne) |
Oui |
-className |
Indique l'implémentation de classe de l'interface de fournisseur de services d'audit. |
String (chaîne) |
Oui |
-fileLocation |
Indique l'emplacement du fichier dans lequel le fournisseur de services d'audit doit inscrire les journaux d'audit. |
String (chaîne) |
Oui |
-auditFilters |
Indique une référence ou un groupe de références à des filtres d'audit prédéfinis, selon le format suivant : reference, reference, reference |
String (chaîne) |
Oui |
-wrapBehavior |
Indique une chaîne représentant le comportement personnalisable pour un encapsulage de journal d'audit binaire. Il y a trois valeurs pour ce paramètre : WRAP, NOWRAP et SILENT_FAIL
Si vous utilisez l'option WRAP, lorsque le nombre maximum de journaux est atteint, le journal d'audit le plus ancien et réécrit ; aucune notification n'est envoyée à l'auditeur.
L'option NOWRAP n'est pas réécrite dans le journal d'audit le plus ancien. Elle arrête le service d'audit, envoie une notification à SystemOut.log et met au repos le serveur d'applications.
L'option SILENT_FAIL n'est pas réécrite dans le journal d'audit le plus ancien. Elle arrête également le service d'audit mais permet au processus WebSphere de continuer. Les notifications ne sont pas publiées dans SystemOut.log.
|
String (chaîne) |
Oui |
-maxFileSize |
Indique la taille maximale qu'un journal d'audit
peut atteindre avant que le système le sauvegarde avec un horodatage et
crée un nouveau fichier.
Indiquez cette taille de fichier en mégaoctets (Mo). Si vous n'indiquez pas ce paramètre, le système fixe la taille maximale de fichier à 10 mégaoctets. |
Integer |
Non |
-maxLogs |
Indique le nombre maximal de journaux d'audit à créer avant de récrire le plus ancien. Si vous n'indiquez pas ce paramètre, le système autorise jusqu'à 100 journaux d'audit avant d'écraser le plus ancien. |
Integer |
Non |
L'exemple suivant crée un fournisseur de services d'audit dans la configuration d'audit de sécurité :
AdminTask.createBinaryEmitter('-uniqueName newASP -wrapBehavior NOWRAP
-className com.ibm.ws.security.audit.BinaryEmitterImpl -fileLocation /AUDIT_logs
-auditFilters "AuditSpecification_1173199825608, AuditSpecification_1173199825609,
AuditSpecification_1173199825610, AuditSpecification_1173199825611"')
- La commande createThirdPartyEmitter permet d'utiliser un fournisseur de services d'audit tiers.
Sur la plateforme z/OS, un fournisseur de services SMF (System Management Facility) est considéré comme un fournisseur de services d'audit tiers. Tableau 2. Paramètres de commande. Utilisez les paramètres suivants avec la commande createThirdPartyEmitter :Paramètre |
Description |
Type de données |
Obligatoire |
-uniqueName |
Indique le nom unique qui identifie le fournisseur de services d'audit. |
String (chaîne) |
Oui |
-className |
Indique l'implémentation de classe de l'interface de fournisseur de services d'audit. |
String (chaîne) |
Oui |
-eventFormatterClass |
Indique la classe qui implémente le mode selon lequel le système formate l'événement d'audit pour la sortie. Su vous n'indiquez pas ce paramètre, le système utilise le format de texte standard pour la sortie. |
String (chaîne) |
Oui |
-auditFilters |
Indique un identificateur de référence ou un groupe
d'identificateurs de références à des filtres d'audit prédéfinis, selon le
format suivant : référence, référence, référence. |
String (chaîne) |
Oui |
-customProperties |
Indique les propriétés personnalisées éventuellement nécessaires pour configurer un fournisseur de services d'audit tiers. |
String (chaîne) |
Non |
L'exemple suivant crée un fournisseur de services d'audit tiers dans la configuration d'audit de sécurité :
AdminTask.createThirdPartyEmitter('-uniqueName myAuditServiceProvider -className
com.mycompany.myclass -fileLocation /auditLogs -auditFilters
"AuditSpecification_1173199825608, AuditSpecification_1173199825609,
AuditSpecification_1173199825610, AuditSpecification_1173199825611"')
- Sauvegardez les modifications.
Entrez l'exemple de commande suivante pour sauvegarder les modifications de
configuration :
AdminConfig.save()
Que faire ensuite
Activez l'audit de sécurité dans votre environnement.