監査可能なセキュリティー・イベント

監査可能なセキュリティー・イベントとは、セキュリティー・イベントを記録可能にするために セキュリティー・ランタイム・コードに監査計測機能が追加されたセキュリティー・イベントです。イベント・フィルターは、監査ログ・ファイルに記録する監査可能なセキュリティー・イベントを指定するよう構成されます。

以下のリストは、イベント・フィルターを作成する際に、使用可能なイベント・タイプとして指定できる有効な監査可能イベントについてそれぞれ説明しています。
表 1. イベント・タイプ. 以下の有効な監査可能イベントは、イベント・フィルター作成時に 使用可能なイベント・タイプとして指定できます。
イベント名 説明
SECURITY_AUTHN すべての認証イベントを監査します
SECURITY_AUTHN_MAPPING 2 つのユーザー ID が関係するクレデンシャルのマッピングを記録するイベントを監査します
SECURITY_AUTHN_TERMINATE フォーム・ベースのログアウトなどの認証終了イベントを監査します
SECURITY_AUTHZ アクセス制御ポリシーがシステムによって実行される場合に、許可検査に関連するイベントを監査します
SECURITY_RUNTIME セキュリティー・サーバーの開始や停止など、ランタイム・イベントを監査します。 このイベント・タイプは、システム管理者によって実行される管理操作用のものではありません。このような操作は、他の SECURITY_MGMT_* イベント・タイプを使用する必要があります。
SECURITY_MGMT_AUDIT 監査の開始、監査の停止、監査のオンまたはオフ、監査フィルターまたはレベルの構成の変更、監査データのアーカイブ、監査データのパージなど、監査サブシステムに関連した操作を記録するイベントを監査します。
SECURITY_RESOURCE_ACCESS リソースに対するすべてのアクセスを記録するイベントを監査します。 例えば、ファイルへのすべてのアクセス、特定の Web ページへのすべての HTTP 要求と応答、および重要なデータベース表へのすべてのアクセスなどがあります。
SECURITY_SIGNING Web サービスの SOAP メッセージの一部を検証するために使用する署名操作など、署名を記録するイベントを監査します
SECURITY_ENCRYPTION Web サービスの暗号化など、暗号化情報を記録するイベントを監査します。
SECURITY_AUTHN_DELEGATION ID アサーション、RunAs、および低アサーションなど、委任を記録するイベントを監査します。クライアント ID が伝搬するとき、または委任で特別な ID の使用が必要とされるときに使用します。 このイベント・タイプは、指定されたセッション内でユーザー ID を切り替える場合にも使用されます。
SECURITY_AUTHN_CREDS_MODIFY 指定されたユーザー ID のクレデンシャルを変更するイベントを監査します
SECURITY_FORM_LOGIN ユーザーのログインのイベントと、ログインが開始されたリモート IP アドレスを、タイム・スタンプおよび結果と共に監査します。
SECURITY_FORM_LOGOUT ユーザーのログアウトのイベントと、ログアウトが開始されたリモート IP アドレスを、タイム・スタンプおよび結果と共に監査します。
監査イベント・タイプごとに、結果を指定する必要があります。有効な結果には、SUCCESS、FAILURE、REDIRECT、ERROR、DENIED、WARNING、および INFO があります。すべての結果が、すべてのイベント・タイプに適用できるわけではありません。
注: SECURITY_RUNTIME 監査イベント・タイプは、WebSphere® Application Server のこのリリースで完全に実装されています。 これは、セキュリティー・サーバーの開始や停止など、ランタイム・イベントを監査します。
[z/OS]
表 2. イベント・タイプの SMF コード. 以下の表に、セキュリティー監査イベント・タイプおよびイベント結果と SMF 解釈の間の対応付けを示します。
イベント名 SMF コード SMF アンロード・キーワード
SECURITY_AUTHN 1 *WASAUTN
SECURITY_AUTHN_MAPPING 3 *WASAUTM
SECURITY_AUTHN_TERMINATE 2 *WASAUTT
SECURITY_AUTHZ 4 *WASAUTZ
SECURITY_MGMT_CONFIG 8 *WASCONF
SECURITY_MGMT_POLICY 5 *WASPOLM
SECURITY_MGMT_PROVISIONING 9 *WASPROV
SECURITY_MGMT_RESOURCE 10 *WASRESM
SECURITY_RUNTIME 7 *WASRUNT
SECURITY_RUNTIME_KEY 11 *WASKEYR
SECURITY_MGMT_KEY 12 *WASKEYM
SECURITY_MGMT_AUDIT 13 *WASAUDI
SECURITY_MGMT_REGISTRY 6 *WASREGM
SECURITY_RESOURCE_ACCESS 14 *WASACCE
SECURITY_SIGNING 15 *WASSIGN
SECURITY_ENCRYPTION 16 *WASCRYP
SECURITY_AUTHN_DELEGATION 17 *WASDELE
表 3. イベント結果の SMF 修飾子. 以下の表は、イベント結果の SMF 修飾子をリストしています。
イベント結果 SMF 修飾子 SMF アンロード・キーワード
SUCCESSFUL 0 SUCCESS
INFO 1 INFO
WARNING 2 WARNING
FAILURE 3 FAILURE
REDIRECT 4 REDIRECT
DENIED 5 DENIED

パフォーマンスへの影響を最小限にして連邦政府の規制に準拠するために、Web UI のログインとログアウトを記録する監査データ量を最小化するためのサポートが追加されました。

audit.xml ファイルでサポートされる以下のプロパティーが導入されました。
  • com.ibm.audit.terse.form.login。値は、有効な結果をスペースで区切ったリストです。
  • com.ibm.audit.terse.form.logout。値は、有効な結果をスペースで区切ったリストです。
  • com.ibm.audit.terse.form login を使用すると、"value" で指定した結果になった SECURITY_FORM_LOGIN イベントが有効になります。
  • com.ibm.audit.terse.form.logout を使用すると、"value" で指定した結果になった SECURITY_FORM_LOGOUT イベントが有効になります。

監査イベントには、タイム・スタンプ、ログインする (またはログアウトする) ユーザー、ログインまたはログアウトが開始されたリモート IP アドレス、結果の情報だけが組み込まれます。

両方のプロパティーを設定した audit.xml ファイルの例を以下に示します。

<?xml version="1.0" encoding="UTF-8"?>
<security:Audit xmi:version="2.0" xmlns:xmi="http://www.omg.org/XMI" xmlns:security="http://www.ibm.com/websphere/appserver/schemas/5.0/security.xmi" xmi:id="Audit_1173199825578">
  <auditSpecifications xmi:id="AuditSpecification_1173199825610" enabled="true" name="DefaultAuditSpecification_3">
    <event>SECURITY_AUTHN_TERMINATE</event>
    <outcome>SUCCESS</outcome>
    <outcome>REDIRECT</outcome>
    <outcome>FAILURE</outcome>
  </auditSpecifications>
  <auditPolicy xmi:id="AuditPolicy_1173199825608" auditEnabled="true" auditorId="sadie" auditorPwd="{xor}" sign="false" encrypt="false" batching="false" verbose="false">
    <auditEventFactories xmi:id="AuditEventFactory_1173199825608" name="auditEventFactoryImpl_1" className="com.ibm.ws.security.audit.AuditEventFactoryImpl" auditServiceProvider="AuditServiceProvider_1173199825608" auditSpecifications="AuditSpecification_1173199825610"/>
    <auditServiceProviders xmi:id="AuditServiceProvider_1173199825608" name="auditServiceProviderImpl_1" className="com.ibm.ws.security.audit.BinaryEmitterImpl" eventFormatterClass="" maxFileSize="10" maxLogs="100" fileLocation="$(LOG_ROOT)" auditSpecifications="AuditSpecification_1173199825610"/>
  <properties xmi:id="Property_1" name="com.ibm.audit.terse.form.login" value="SUCCESS FAILURE" description="dtcc custom property"/>
  <properties xmi:id="Property_2" name="com.ibm.audit.terse.form.logout" value="SUCCESS FAILURE ERROR" description="dtcc custom property"/>
  </auditPolicy>
</security:Audit>

Property_1 defines that we will be capturing the terse SECURITY_FORM_LOGIN event type and an audit event will only be captured for outcomes of either success or failure.
Property_2 defines that we will be capturing the terse SECURITY_FORM_LOGOUT event type and an audit event will only be captures if the outcome is success, failure or error.

WebSphere Application Server V9 以降、管理コンソールまたは wsadmin スクリプトによって、SECURITY_FORM_LOGINSECURITY_FORM_LOGOUTauditevent タイプを構成できるようにするサポートが追加されました。それらのプロパティーを指定することも、引き続きサポートされます。指定した場合は、管理コンソールまたは wsadmin スクリプトで再構成する必要はありません。


トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_sa_event_types
ファイル名:rsec_sa_event_types.html