Configuring audit event factories using scripting

Before enabling security auditing, use this task to configure audit event factories using the wsadmin tool. Security auditing provides tracking and archiving of auditable events.

Before you begin

Before configuring security auditing event factories, enable administrative security in your environment.

About this task

In order to enable security auditing in your environment, you must configure an audit event factory. The audit event factory gathers the data that is associated with security events. The security auditing configuration provides a default event factory. Use this topic to customize your security auditing subsystem by creating additional audit event factories.

Use the following steps to configure your security auditing subsystem using the wsadmin tool:

Procedure

  1. Launch the wsadmin scripting tool using the Jython scripting language. See the Starting the wsadmin scripting client article for more information.
  2. Configure event filters. You can use the default event filters or use this step to create additional filters to customize your security auditing configuration.
    Table 1. Event filters in the audit.xml file. The application server provides the following event filters by default in the audit.xml template file:
    Event Name Outcome of event
    SECURITY_AUTHN SUCCESS
    SECURITY_AUTHN DENIED
    SECURITY_RESOURCE_ACCESS SUCCESS
    SECURITY_AUTHN REDIRECT
    You can configure additional audit event types to track and archive various events. Use the following command to list all supported auditable events:
    print AdminTask.getSupportedAuditEvents()
    Use the createAuditFilter command with the -eventType and -outcome parameters to enable one or multiple audit events and outcomes. You can specify multiple event types and multiple outcomes separated by a comma with one command invocation. The following list describes each valid auditable event that you can specify with the -eventType parameter:
    Table 2. 이벤트 유형. 유효한 감사 가능 이벤트는 이벤트 필터를 작성할 때 사용 가능한 이벤트 유형으로 지정할 수 있습니다.
    이벤트 이름 설명
    SECURITY_AUTHN 모든 인증 이벤트를 감사합니다.
    SECURITY_AUTHN_MAPPING 두 사용자 ID가 포함된 신임 정보의 맵핑을 레코드하는 이벤트를 감사합니다.
    SECURITY_AUTHN_TERMINATE 양식 기반 로그아웃과 같은 인증 종료 이벤트를 감사합니다.
    SECURITY_AUTHZ 시스템이 액세스 제어 정책을 강제 실행 시 권한 검사와 관련된 이벤트를 감사합니다.
    SECURITY_RUNTIME 보안 서버의 시작과 중지와 같은 런타임 이벤트를 감사합니다. 이 이벤트 유형은 다른 SECURITY_MGMT_* 이벤트 유형을 사용해야 하는 조작과 같이 시스템 관리자가 수행하는 관리 조작을 위한 것은 아닙니다.
    SECURITY_MGMT_AUDIT 감사 서브시스템과 관련된 조작(예: 감사 시작, 감사 중지, 감사 켜기 또는 끄기, 감사 필터 또는 레벨 구성 변경, 감사 데이터 아카이브, 감사 데이터 영구 제거 등)을 레코드하는 이벤트를 감사합니다.
    SECURITY_RESOURCE_ACCESS 자원에 대한 모든 액세스를 레코드하는 이벤트를 감사합니다. 예로는 파일에 대한 모든 액세스, 제공된 웹 페이지에 대한 모든 HTTP 요청과 응답 및 중요한 데이터베이스 테이블에 대한 모든 액세스가 있습니다.
    SECURITY_SIGNING 웹 서비스에 대한 SOAP 메시지 파트의 유효성을 검증하는 데 사용되는 서명 조작과 같은 서명을 레코드하는 이벤트를 감사합니다.
    SECURITY_ENCRYPTION 웹 서비스 암호화와 같은 암호화 정보를 레코드하는 이벤트를 감사합니다.
    SECURITY_AUTHN_DELEGATION ID 어설션, RunAs 및 낮은 어설션 등의 위임을 레코드하는 이벤트를 감사합니다. 클라이언트 ID가 전파되거나 위임에 특수 ID의 사용이 포함된 경우에 사용됩니다. 이 이벤트 유형은 지정된 세션 내에서 사용자 ID를 전환할 때에도 사용됩니다.
    SECURITY_AUTHN_CREDS_MODIFY 제공된 사용자 ID의 신임정보를 수정하는 이벤트를 감사합니다.
    SECURITY_FORM_LOGIN 시간소인 및 결과와 함께 로그인되는 사용자의 이벤트와 로그인이 시작된 원격 IP 주소를 감사합니다.
    SECURITY_FORM_LOGOUT 시간소인 및 결과와 함께 로그아웃되는 사용자의 이벤트와 로그아웃이 시작된 원격 IP 주소를 감사합니다.
    Important: The following security audit event types are not used in this release of WebSphere® Application Server:
    • SECURITY_MGMT_KEY
    • SECURITY_RUNTIME_KEY
    • SECURITY_MGMT_PROVISIONING
    • SECURITY_MGMT_REGISTRY
    • SECURITY_RUNTIME
    • SECURITY_AUTHN_CREDS_MODIFY
    For each audit event type, you must specify an outcome. Valid outcomes include SUCCESS, FAILURE, REDIRECT, ERROR, DENIED, WARNING, and INFO. The following command example creates an audit filter to log users who receive an error when modifying credentials:
    AdminTask.createAuditFilter('-name uniqueFilterName -eventType 
    SECURITY_RESOURCE_ACCESS,SECURITY_AUTHN_DELEGATION -outcome ERROR,REDIRECT')
  3. Create an audit event factory. You can use the default audit event factory or use this step to create a new audit event factory.

    Use the createAuditEventFactory command to create an audit event factory in your security configuration. You can use the default implementation of the audit event factory or use a third-party implementation. To configure a third-party implementation, use the optional -customProperties parameter to specify any properties necessary to configure the audit event factory implementation.

    Table 3. Required parameters. Specify the following required parameters with the createAuditEventFactory to configure your audit event factory:
    Parameter Description Data type Required
    -uniqueName Specifies a unique name that identifies the audit event factory. String Yes
    -className Specifies the class implementation of the audit event factory interface. String Yes
    -auditFilters Specifies a reference or a group of references to predefined audit filters, using the following format: "reference, reference, reference" String Yes
    -provider Specifies a reference to a predefined audit service provider implementation. String Yes
    -customProperties Specifies a comma (,) separated list of custom property pairs to add to the security object in the following format: attribute=value,attribute=value String No
    The following sample command creates an enables an audit event factory:
    AdminTask.createAuditEventFactory('-uniqueName eventFactory1 -className 
    com.ibm.ws.security.audit.AuditEventFactoryImpl -auditFilters 
    "AuditSpecification_1173199825608, AuditSpecification_1173199825609, AuditSpecification_1173199825610, 
    AuditSpecification_1173199825611" -provider newASP')
  4. Save your configuration changes.
    다음 명령 예제를 사용하여 구성 변경사항을 저장하십시오.
    AdminConfig.save()

What to do next

Configure the audit service provider.


주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: July 9, 2016 6:14
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7auditeventfactory
파일 이름:txml_7auditeventfactory.html