セキュリティー監査を使用可能にする前に、wsadmin ツールを使用して、このタスクでイベント・フィルターを構成します。セキュリティー監査は監査可能イベントのトラッキングとアーカイブを提供します。
始める前に
セキュリティー監査フィルターを構成する前に、ご使用の環境で管理セキュリティーを使用可能にします。
このタスクについて
監査イベント・ファクトリーと監査サービス・プロバイダーを構成する前に、イベント・フィルターを構成します。監査サービス・プロバイダーは、プロバイダーの実装に関連付けられたバックエンド・リポジトリーに監査レコードを書き込みます。監査イベント・ファクトリーはセキュリティー・イベントを生成します。
イベント・フィルターにより、システムで監査および記録するイベントのタイプと結果を指定します。各イベント・タイプには、SUCCESS、FAILURE、DENIED、ERROR、WARNING、INFO、および REDIRECT の 7 つのまでの結果を指定できます。このセキュリティー監査構成では、4 つのデフォルトのフィルターが提供されます。このトピックでは、追加の監査イベント・フィルターを作成することによって、セキュリティー監査サブシステムをカスタマイズします。
以下のステップを実行して、wsadmin ツールを使用してセキュリティー監査サブシステムを構成します。
手順
- Jython スクリプト言語を使用する wsadmin スクリプト・ツールを起動します。詳しくは、『wsadmin スクリプト・クライアントの開始』の項目を参照してください。
- イベント・フィルターを構成します。デフォルトのイベント・フィルターを使用するか、またはこのステップに従って追加フィルターを作成し、セキュリティー監査構成をカスタマイズすることができます。
表 1. 提供されているイベント・フィルター. アプリケーション・サーバーの audit.xml テンプレート・ファイルには、以下のイベント・フィルターがデフォルトで用意されています。イベント名 |
イベントの結果 |
SECURITY_AUTHN |
SUCCESS |
SECURITY_AUTHN |
DENIED |
SECURITY_RESOURCE_ACCESS |
SUCCESS |
SECURITY_AUTHN |
REDIRECT |
追加の監査イベント・タイプを構成して、さまざまなイベントを収集できます。次のコマンドを使用して、サポートされているすべての監査可能イベントをリストします。
print AdminTask.getSupportedAuditEvents()
-name、-eventType、および -outcome パラメーターを指定して createAuditFilter コマンドを使用することにより、1 つまたは複数の監査イベントと出力を使用可能にします。1 回のコマンド呼び出しで、複数のイベント・タイプと複数の出力をコンマで区切って指定できます。
表 2. イベント・タイプ. 以下のリストでは、-eventType パラメーターを使用して指定できる、有効な各監査可能イベントについて説明しています。イベント名 |
説明 |
SECURITY_AUTHN |
すべての認証イベントを監査します |
SECURITY_AUTHN_MAPPING |
2 つのユーザー ID が関係するクレデンシャルのマッピングを記録するイベントを監査します |
SECURITY_AUTHZ |
アクセス制御ポリシーがシステムによって実行される場合に、許可検査に関連するイベントを監査します |
SECURITY_MGMT_AUDIT |
監査の開始、監査の停止、監査のオンまたはオフ、監査フィルターまたはレベルの構成の変更、監査データのアーカイブ、監査データのパージなど、監査サブシステムに関連した操作を記録するイベントを監査します。 |
SECURITY_RESOURCE_ACCESS |
リソースに対するすべてのアクセスを記録するイベントを監査します。
例えば、ファイルへのすべてのアクセス、特定の Web ページへのすべての HTTP 要求と応答、および重要なデータベース表へのすべてのアクセスなどがあります。 |
SECURITY_AUTHN_DELEGATION |
ID アサーション、RunAs、および低アサーションなど、委任を記録するイベントを監査します。クライアント ID の伝搬時、または委任で特別な ID を使用する必要がある場合に使用します。
このイベント・タイプは、指定されたセッション内でユーザー ID を切り替える場合にも使用されます。 |
監査イベント・タイプごとに、結果を指定する必要があります。有効な結果には、SUCCESS、FAILURE、REDIRECT、ERROR、DENIED、WARNING、および INFO があります。以下のコマンド例では、監査フィルターを作成して、クレデンシャルの作成時にエラーを受け取るユーザーをログに記録します。
AdminTask.createAuditFilter('-name myUniqueName -eventType SECURITY_RESOURCE_ACCESS,SECURITY_AUTHN_DELEGATION -outcome ERROR,REDIRECT')
- 構成の変更を保存します。
以下のコマンド例を使用して、構成変更を保存します。
AdminConfig.save()
次のタスク
ご使用の環境で、セキュリティー監査を使用可能にします。