감사 가능한 보안 이벤트

감사 가능한 보안 이벤트는 기록될 수 있도록 보안 런타임 코드에 감사 인스트루먼테이션을 추가한 보안 이벤트입니다. 이벤트 필터는 감사 로그 파일에 기록되는 감사 가능 보안 이벤트를 지정하도록 구성됩니다.

다음 목록은 이벤트 필터를 작성할 때 사용 설정된 이벤트로 지정할 수 있는 유효한 감사 가능 이벤트 각각에 대해 설명합니다.
표 1. 이벤트 유형. 유효한 감사 가능 이벤트는 이벤트 필터를 작성할 때 사용 가능한 이벤트 유형으로 지정할 수 있습니다.
이벤트 이름 설명
SECURITY_AUTHN 모든 인증 이벤트를 감사합니다.
SECURITY_AUTHN_MAPPING 두 사용자 ID가 포함된 신임 정보의 맵핑을 레코드하는 이벤트를 감사합니다.
SECURITY_AUTHN_TERMINATE 양식 기반 로그아웃과 같은 인증 종료 이벤트를 감사합니다.
SECURITY_AUTHZ 시스템이 액세스 제어 정책을 강제 실행 시 권한 검사와 관련된 이벤트를 감사합니다.
SECURITY_RUNTIME 보안 서버의 시작과 중지와 같은 런타임 이벤트를 감사합니다. 이 이벤트 유형은 다른 SECURITY_MGMT_* 이벤트 유형을 사용해야 하는 조작과 같이 시스템 관리자가 수행하는 관리 조작을 위한 것은 아닙니다.
SECURITY_MGMT_AUDIT 감사 서브시스템과 관련된 조작(예: 감사 시작, 감사 중지, 감사 켜기 또는 끄기, 감사 필터 또는 레벨 구성 변경, 감사 데이터 아카이브, 감사 데이터 영구 제거 등)을 레코드하는 이벤트를 감사합니다.
SECURITY_RESOURCE_ACCESS 자원에 대한 모든 액세스를 레코드하는 이벤트를 감사합니다. 예로는 파일에 대한 모든 액세스, 제공된 웹 페이지에 대한 모든 HTTP 요청과 응답 및 중요한 데이터베이스 테이블에 대한 모든 액세스가 있습니다.
SECURITY_SIGNING 웹 서비스에 대한 SOAP 메시지 파트의 유효성을 검증하는 데 사용되는 서명 조작과 같은 서명을 레코드하는 이벤트를 감사합니다.
SECURITY_ENCRYPTION 웹 서비스 암호화와 같은 암호화 정보를 레코드하는 이벤트를 감사합니다.
SECURITY_AUTHN_DELEGATION ID 어설션, RunAs 및 낮은 어설션 등의 위임을 레코드하는 이벤트를 감사합니다. 클라이언트 ID가 전파되거나 위임에 특수 ID의 사용이 포함된 경우에 사용됩니다. 이 이벤트 유형은 지정된 세션 내에서 사용자 ID를 전환할 때에도 사용됩니다.
SECURITY_AUTHN_CREDS_MODIFY 제공된 사용자 ID의 신임정보를 수정하는 이벤트를 감사합니다.
SECURITY_FORM_LOGIN 시간소인 및 결과와 함께 로그인되는 사용자의 이벤트와 로그인이 시작된 원격 IP 주소를 감사합니다.
SECURITY_FORM_LOGOUT 시간소인 및 결과와 함께 로그아웃되는 사용자의 이벤트와 로그아웃이 시작된 원격 IP 주소를 감사합니다.
각 감사 이벤트 유형에서 결과를 지정해야 합니다. 유효한 결과로는, SUCCESS, FAILURE, REDIRECT, ERROR, DENIED, WARNING, INFO가 포함됩니다. 모든 결과가 모든 이벤트 유형에 적용 가능한 것은 아닙니다.
참고: SECURITY_RUNTIME 감사 이벤트 유형에 대한 지원은 WebSphere® Application Server의 이 릴리스에서 완전히 구현되었습니다. 이는 보안 서버의 시작 및 중지와 같은 런타임 이벤트를 감사합니다.
[z/OS]
표 2. 이벤트 유형 SMF 코드. 다음 테이블은 보안 감사 이벤트 유형 및 이벤트 결과를 SMF 해석으로 맵핑합니다.
이벤트 이름 SMF 코드 SMF 로드 해제 키워드
SECURITY_AUTHN 1 *WASAUTN
SECURITY_AUTHN_MAPPING 3 *WASAUTM
SECURITY_AUTHN_TERMINATE 2 *WASAUTT
SECURITY_AUTHZ 4 *WASAUTZ
SECURITY_MGMT_CONFIG 8 *WASCONF
SECURITY_MGMT_POLICY 5 *WASPOLM
SECURITY_MGMT_PROVISIONING 9 *WASPROV
SECURITY_MGMT_RESOURCE 10 *WASRESM
SECURITY_RUNTIME 7 *WASRUNT
SECURITY_RUNTIME_KEY 11 *WASKEYR
SECURITY_MGMT_KEY 12 *WASKEYM
SECURITY_MGMT_AUDIT 13 *WASAUDI
SECURITY_MGMT_REGISTRY 6 *WASREGM
SECURITY_RESOURCE_ACCESS 14 *WASACCE
SECURITY_SIGNING 15 *WASSIGN
SECURITY_ENCRYPTION 16 *WASCRYP
SECURITY_AUTHN_DELEGATION 17 *WASDELE
표 3. 이벤트 결과 SMF 규정자. 다음 테이블은 이벤트 결과 SMF 규정자를 나열합니다.
이벤트 결과 SMF 규정자 SMF 로드 해제 키워드
SUCCESSFUL 0 SUCCESS
INFO 1 INFO
WARNING 2 WARNING
FAILURE 3 FAILURE
REDIRECT 4 REDIRECT
DENIED 5 DENIED

성능 사용을 최소화한 연방 규제 준수에 대한 지원을 제공하기 위해 가장 적은 양의 감사 데이터로 Web UI 로그인 및 로그아웃 캡처를 허용하는 지원이 추가됩니다.

audit.xml 파일에서 지원되는 다음 특성이 도입됩니다.
  • com.ibm.audit.terse.form.login, 공백으로 구분된 유효한 결과물로 이루어진 값을 포함합니다.
  • com.ibm.audit.terse.form.logout, 공백으로 구분된 유효한 결과물로 이루어진 값을 포함합니다.
  • com.ibm.audit.terse.form login"value"에 결과물이 지정된 SECURITY_FORM_LOGIN 이벤트를 사용합니다.
  • com.ibm.audit.terse.form.logout"value"에 결과물이 지정된 SECURITY_FORM_LOGOUT 이벤트를 사용합니다.

결과적인 감사 이벤트는 시간소인, 로그인(또는 로그아웃) 중인 사용자, 로그인 또는 로그아웃이 시작된 원격 IP 주소, 결과물만 포함합니다.

다음은 두 특성 세트가 모두 있는 audit.xml 파일 예입니다.

<?xml version="1.0" encoding="UTF-8"?>
<security:Audit xmi:version="2.0" xmlns:xmi="http://www.omg.org/XMI" xmlns:security="http://www.ibm.com/websphere/appserver/schemas/5.0/security.xmi" xmi:id="Audit_1173199825578">
  <auditSpecifications xmi:id="AuditSpecification_1173199825610" enabled="true" name="DefaultAuditSpecification_3">
    <event>SECURITY_AUTHN_TERMINATE</event>
    <outcome>SUCCESS</outcome>
    <outcome>REDIRECT</outcome>
    <outcome>FAILURE</outcome>
  </auditSpecifications>
  <auditPolicy xmi:id="AuditPolicy_1173199825608" auditEnabled="true" auditorId="sadie" auditorPwd="{xor}" sign="false" encrypt="false" batching="false" verbose="false">
    <auditEventFactories xmi:id="AuditEventFactory_1173199825608" name="auditEventFactoryImpl_1" className="com.ibm.ws.security.audit.AuditEventFactoryImpl" auditServiceProvider="AuditServiceProvider_1173199825608" auditSpecifications="AuditSpecification_1173199825610"/>
    <auditServiceProviders xmi:id="AuditServiceProvider_1173199825608" name="auditServiceProviderImpl_1" className="com.ibm.ws.security.audit.BinaryEmitterImpl" eventFormatterClass="" maxFileSize="10" maxLogs="100" fileLocation="$(LOG_ROOT)" auditSpecifications="AuditSpecification_1173199825610"/>
  <properties xmi:id="Property_1" name="com.ibm.audit.terse.form.login" value="SUCCESS FAILURE" description="dtcc custom property"/>
  <properties xmi:id="Property_2" name="com.ibm.audit.terse.form.logout" value="SUCCESS FAILURE ERROR" description="dtcc custom property"/>
  </auditPolicy>
</security:Audit>

Property_1 defines that we will be capturing the terse SECURITY_FORM_LOGIN event type and an audit event will only be captured for outcomes of either success or failure.
Property_2 defines that we will be capturing the terse SECURITY_FORM_LOGOUT event type and an audit event will only be captures if the outcome is success, failure or error.

WebSphere Application Server V9부터, 관리 콘솔 또는 wsadmin 스크립트를 통해 SECURITY_FORM_LOGINSECURITY_FORM_LOGOUT auditevent 유형을 구성할 수 있는 지원이 추가됩니다. 특성 지정이 여전히 지원되며 지정된 경우 관리 콘솔 또는 wsadmin 스크립트를 사용하여 재구성할 필요가 없습니다.


주제 유형을 표시하는 아이콘 참조 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_sa_event_types
파일 이름:rsec_sa_event_types.html