監査可能なセキュリティー・イベント
監査可能なセキュリティー・イベントとは、セキュリティー・イベントを記録可能にするために セキュリティー・ランタイム・コードに監査計測機能が追加されたセキュリティー・イベントです。イベント・フィルターは、監査ログ・ファイルに記録する監査可能なセキュリティー・イベントを指定するよう構成されます。
以下のリストは、イベント・フィルターを作成する際に、使用可能なイベント・タイプとして指定できる有効な監査可能イベントについてそれぞれ説明しています。
監査イベント・タイプごとに、結果を指定する必要があります。有効な結果には、SUCCESS、FAILURE、REDIRECT、ERROR、DENIED、WARNING、および INFO があります。すべての結果が、すべてのイベント・タイプに適用できるわけではありません。
イベント名 | 説明 |
---|---|
SECURITY_AUTHN | すべての認証イベントを監査します |
SECURITY_AUTHN_MAPPING | 2 つのユーザー ID が関係するクレデンシャルのマッピングを記録するイベントを監査します |
SECURITY_AUTHN_TERMINATE | フォーム・ベースのログアウトなどの認証終了イベントを監査します |
SECURITY_AUTHZ | アクセス制御ポリシーがシステムによって実行される場合に、許可検査に関連するイベントを監査します |
SECURITY_RUNTIME | セキュリティー・サーバーの開始や停止など、ランタイム・イベントを監査します。 このイベント・タイプは、システム管理者によって実行される管理操作用のものではありません。このような操作は、他の SECURITY_MGMT_* イベント・タイプを使用する必要があります。 |
SECURITY_MGMT_AUDIT | 監査の開始、監査の停止、監査のオンまたはオフ、監査フィルターまたはレベルの構成の変更、監査データのアーカイブ、監査データのパージなど、監査サブシステムに関連した操作を記録するイベントを監査します。 |
SECURITY_RESOURCE_ACCESS | リソースに対するすべてのアクセスを記録するイベントを監査します。 例えば、ファイルへのすべてのアクセス、特定の Web ページへのすべての HTTP 要求と応答、および重要なデータベース表へのすべてのアクセスなどがあります。 |
SECURITY_SIGNING | Web サービスの SOAP メッセージの一部を検証するために使用する署名操作など、署名を記録するイベントを監査します |
SECURITY_ENCRYPTION | Web サービスの暗号化など、暗号化情報を記録するイベントを監査します。 |
SECURITY_AUTHN_DELEGATION | ID アサーション、RunAs、および低アサーションなど、委任を記録するイベントを監査します。クライアント ID が伝搬するとき、または委任で特別な ID の使用が必要とされるときに使用します。 このイベント・タイプは、指定されたセッション内でユーザー ID を切り替える場合にも使用されます。 |
SECURITY_AUTHN_CREDS_MODIFY | 指定されたユーザー ID のクレデンシャルを変更するイベントを監査します |
SECURITY_FORM_LOGIN | ユーザーのログインのイベントと、ログインが開始されたリモート IP アドレスを、タイム・スタンプおよび結果と共に監査します。 |
SECURITY_FORM_LOGOUT | ユーザーのログアウトのイベントと、ログアウトが開始されたリモート IP アドレスを、タイム・スタンプおよび結果と共に監査します。 |
注: SECURITY_RUNTIME 監査イベント・タイプは、WebSphere® Application Server のこのリリースで完全に実装されています。
これは、セキュリティー・サーバーの開始や停止など、ランタイム・イベントを監査します。
![[z/OS]](../images/ngzos.gif)
イベント名 | SMF コード | SMF アンロード・キーワード |
---|---|---|
SECURITY_AUTHN | 1 | *WASAUTN |
SECURITY_AUTHN_MAPPING | 3 | *WASAUTM |
SECURITY_AUTHN_TERMINATE | 2 | *WASAUTT |
SECURITY_AUTHZ | 4 | *WASAUTZ |
SECURITY_MGMT_CONFIG | 8 | *WASCONF |
SECURITY_MGMT_POLICY | 5 | *WASPOLM |
SECURITY_MGMT_PROVISIONING | 9 | *WASPROV |
SECURITY_MGMT_RESOURCE | 10 | *WASRESM |
SECURITY_RUNTIME | 7 | *WASRUNT |
SECURITY_RUNTIME_KEY | 11 | *WASKEYR |
SECURITY_MGMT_KEY | 12 | *WASKEYM |
SECURITY_MGMT_AUDIT | 13 | *WASAUDI |
SECURITY_MGMT_REGISTRY | 6 | *WASREGM |
SECURITY_RESOURCE_ACCESS | 14 | *WASACCE |
SECURITY_SIGNING | 15 | *WASSIGN |
SECURITY_ENCRYPTION | 16 | *WASCRYP |
SECURITY_AUTHN_DELEGATION | 17 | *WASDELE |
イベント結果 | SMF 修飾子 | SMF アンロード・キーワード |
---|---|---|
SUCCESSFUL | 0 | SUCCESS |
INFO | 1 | INFO |
WARNING | 2 | WARNING |
FAILURE | 3 | FAILURE |
REDIRECT | 4 | REDIRECT |
DENIED | 5 | DENIED |
パフォーマンスへの影響を最小限にして連邦政府の規制に準拠するために、Web UI のログインとログアウトを記録する監査データ量を最小化するためのサポートが追加されました。
audit.xml ファイルでサポートされる以下のプロパティーが導入されました。
- com.ibm.audit.terse.form.login。値は、有効な結果をスペースで区切ったリストです。
- com.ibm.audit.terse.form.logout。値は、有効な結果をスペースで区切ったリストです。
- com.ibm.audit.terse.form login を使用すると、"value" で指定した結果になった SECURITY_FORM_LOGIN イベントが有効になります。
- com.ibm.audit.terse.form.logout を使用すると、"value" で指定した結果になった SECURITY_FORM_LOGOUT イベントが有効になります。
監査イベントには、タイム・スタンプ、ログインする (またはログアウトする) ユーザー、ログインまたはログアウトが開始されたリモート IP アドレス、結果の情報だけが組み込まれます。
両方のプロパティーを設定した audit.xml ファイルの例を以下に示します。
<?xml version="1.0" encoding="UTF-8"?>
<security:Audit xmi:version="2.0" xmlns:xmi="http://www.omg.org/XMI" xmlns:security="http://www.ibm.com/websphere/appserver/schemas/5.0/security.xmi" xmi:id="Audit_1173199825578">
<auditSpecifications xmi:id="AuditSpecification_1173199825610" enabled="true" name="DefaultAuditSpecification_3">
<event>SECURITY_AUTHN_TERMINATE</event>
<outcome>SUCCESS</outcome>
<outcome>REDIRECT</outcome>
<outcome>FAILURE</outcome>
</auditSpecifications>
<auditPolicy xmi:id="AuditPolicy_1173199825608" auditEnabled="true" auditorId="sadie" auditorPwd="{xor}" sign="false" encrypt="false" batching="false" verbose="false">
<auditEventFactories xmi:id="AuditEventFactory_1173199825608" name="auditEventFactoryImpl_1" className="com.ibm.ws.security.audit.AuditEventFactoryImpl" auditServiceProvider="AuditServiceProvider_1173199825608" auditSpecifications="AuditSpecification_1173199825610"/>
<auditServiceProviders xmi:id="AuditServiceProvider_1173199825608" name="auditServiceProviderImpl_1" className="com.ibm.ws.security.audit.BinaryEmitterImpl" eventFormatterClass="" maxFileSize="10" maxLogs="100" fileLocation="$(LOG_ROOT)" auditSpecifications="AuditSpecification_1173199825610"/>
<properties xmi:id="Property_1" name="com.ibm.audit.terse.form.login" value="SUCCESS FAILURE" description="dtcc custom property"/>
<properties xmi:id="Property_2" name="com.ibm.audit.terse.form.logout" value="SUCCESS FAILURE ERROR" description="dtcc custom property"/>
</auditPolicy>
</security:Audit>
Property_1 defines that we will be capturing the terse SECURITY_FORM_LOGIN event type and an audit event will only be captured for outcomes of either success or failure.
Property_2 defines that we will be capturing the terse SECURITY_FORM_LOGOUT event type and an audit event will only be captures if the outcome is success, failure or error.
WebSphere Application Server V9 以降、管理コンソールまたは wsadmin スクリプトによって、SECURITY_FORM_LOGIN と SECURITY_FORM_LOGOUT の auditevent タイプを構成できるようにするサポートが追加されました。それらのプロパティーを指定することも、引き続きサポートされます。指定した場合は、管理コンソールまたは wsadmin スクリプトで再構成する必要はありません。