감사 가능한 보안 이벤트
감사 가능한 보안 이벤트는 기록될 수 있도록 보안 런타임 코드에 감사 인스트루먼테이션을 추가한 보안 이벤트입니다. 이벤트 필터는 감사 로그 파일에 기록되는 감사 가능 보안 이벤트를 지정하도록 구성됩니다.
다음 목록은 이벤트 필터를 작성할 때 사용 설정된 이벤트로 지정할 수 있는 유효한 감사 가능 이벤트 각각에 대해 설명합니다.
각 감사 이벤트 유형에서 결과를 지정해야 합니다. 유효한 결과로는,
SUCCESS, FAILURE, REDIRECT, ERROR, DENIED, WARNING,
INFO가 포함됩니다. 모든 결과가 모든 이벤트 유형에 적용 가능한 것은 아닙니다.
이벤트 이름 | 설명 |
---|---|
SECURITY_AUTHN | 모든 인증 이벤트를 감사합니다. |
SECURITY_AUTHN_MAPPING | 두 사용자 ID가 포함된 신임 정보의 맵핑을 레코드하는 이벤트를 감사합니다. |
SECURITY_AUTHN_TERMINATE | 양식 기반 로그아웃과 같은 인증 종료 이벤트를 감사합니다. |
SECURITY_AUTHZ | 시스템이 액세스 제어 정책을 강제 실행 시 권한 검사와 관련된 이벤트를 감사합니다. |
SECURITY_RUNTIME | 보안 서버의 시작과 중지와 같은 런타임 이벤트를 감사합니다. 이 이벤트 유형은 다른 SECURITY_MGMT_* 이벤트 유형을 사용해야 하는 조작과 같이 시스템 관리자가 수행하는 관리 조작을 위한 것은 아닙니다. |
SECURITY_MGMT_AUDIT | 감사 서브시스템과 관련된 조작(예: 감사 시작, 감사 중지, 감사 켜기 또는 끄기, 감사 필터 또는 레벨 구성 변경, 감사 데이터 아카이브, 감사 데이터 영구 제거 등)을 레코드하는 이벤트를 감사합니다. |
SECURITY_RESOURCE_ACCESS | 자원에 대한 모든 액세스를 레코드하는 이벤트를 감사합니다. 예로는 파일에 대한 모든 액세스, 제공된 웹 페이지에 대한 모든 HTTP 요청과 응답 및 중요한 데이터베이스 테이블에 대한 모든 액세스가 있습니다. |
SECURITY_SIGNING | 웹 서비스에 대한 SOAP 메시지 파트의 유효성을 검증하는 데 사용되는 서명 조작과 같은 서명을 레코드하는 이벤트를 감사합니다. |
SECURITY_ENCRYPTION | 웹 서비스 암호화와 같은 암호화 정보를 레코드하는 이벤트를 감사합니다. |
SECURITY_AUTHN_DELEGATION | ID 어설션, RunAs 및 낮은 어설션 등의 위임을 레코드하는 이벤트를 감사합니다. 클라이언트 ID가 전파되거나 위임에 특수 ID의 사용이 포함된 경우에 사용됩니다. 이 이벤트 유형은 지정된 세션 내에서 사용자 ID를 전환할 때에도 사용됩니다. |
SECURITY_AUTHN_CREDS_MODIFY | 제공된 사용자 ID의 신임정보를 수정하는 이벤트를 감사합니다. |
SECURITY_FORM_LOGIN | 시간소인 및 결과와 함께 로그인되는 사용자의 이벤트와 로그인이 시작된 원격 IP 주소를 감사합니다. |
SECURITY_FORM_LOGOUT | 시간소인 및 결과와 함께 로그아웃되는 사용자의 이벤트와 로그아웃이 시작된 원격 IP 주소를 감사합니다. |
참고: SECURITY_RUNTIME 감사 이벤트 유형에 대한 지원은 WebSphere® Application Server의 이 릴리스에서 완전히 구현되었습니다.
이는 보안 서버의 시작 및 중지와 같은 런타임 이벤트를 감사합니다.
![[z/OS]](../images/ngzos.gif)
이벤트 이름 | SMF 코드 | SMF 로드 해제 키워드 |
---|---|---|
SECURITY_AUTHN | 1 | *WASAUTN |
SECURITY_AUTHN_MAPPING | 3 | *WASAUTM |
SECURITY_AUTHN_TERMINATE | 2 | *WASAUTT |
SECURITY_AUTHZ | 4 | *WASAUTZ |
SECURITY_MGMT_CONFIG | 8 | *WASCONF |
SECURITY_MGMT_POLICY | 5 | *WASPOLM |
SECURITY_MGMT_PROVISIONING | 9 | *WASPROV |
SECURITY_MGMT_RESOURCE | 10 | *WASRESM |
SECURITY_RUNTIME | 7 | *WASRUNT |
SECURITY_RUNTIME_KEY | 11 | *WASKEYR |
SECURITY_MGMT_KEY | 12 | *WASKEYM |
SECURITY_MGMT_AUDIT | 13 | *WASAUDI |
SECURITY_MGMT_REGISTRY | 6 | *WASREGM |
SECURITY_RESOURCE_ACCESS | 14 | *WASACCE |
SECURITY_SIGNING | 15 | *WASSIGN |
SECURITY_ENCRYPTION | 16 | *WASCRYP |
SECURITY_AUTHN_DELEGATION | 17 | *WASDELE |
이벤트 결과 | SMF 규정자 | SMF 로드 해제 키워드 |
---|---|---|
SUCCESSFUL | 0 | SUCCESS |
INFO | 1 | INFO |
WARNING | 2 | WARNING |
FAILURE | 3 | FAILURE |
REDIRECT | 4 | REDIRECT |
DENIED | 5 | DENIED |
성능 사용을 최소화한 연방 규제 준수에 대한 지원을 제공하기 위해 가장 적은 양의 감사 데이터로 Web UI 로그인 및 로그아웃 캡처를 허용하는 지원이 추가됩니다.
audit.xml 파일에서 지원되는 다음 특성이 도입됩니다.
- com.ibm.audit.terse.form.login, 공백으로 구분된 유효한 결과물로 이루어진 값을 포함합니다.
- com.ibm.audit.terse.form.logout, 공백으로 구분된 유효한 결과물로 이루어진 값을 포함합니다.
- com.ibm.audit.terse.form login은 "value"에 결과물이 지정된 SECURITY_FORM_LOGIN 이벤트를 사용합니다.
- com.ibm.audit.terse.form.logout은 "value"에 결과물이 지정된 SECURITY_FORM_LOGOUT 이벤트를 사용합니다.
결과적인 감사 이벤트는 시간소인, 로그인(또는 로그아웃) 중인 사용자, 로그인 또는 로그아웃이 시작된 원격 IP 주소, 결과물만 포함합니다.
다음은 두 특성 세트가 모두 있는 audit.xml 파일 예입니다.
<?xml version="1.0" encoding="UTF-8"?>
<security:Audit xmi:version="2.0" xmlns:xmi="http://www.omg.org/XMI" xmlns:security="http://www.ibm.com/websphere/appserver/schemas/5.0/security.xmi" xmi:id="Audit_1173199825578">
<auditSpecifications xmi:id="AuditSpecification_1173199825610" enabled="true" name="DefaultAuditSpecification_3">
<event>SECURITY_AUTHN_TERMINATE</event>
<outcome>SUCCESS</outcome>
<outcome>REDIRECT</outcome>
<outcome>FAILURE</outcome>
</auditSpecifications>
<auditPolicy xmi:id="AuditPolicy_1173199825608" auditEnabled="true" auditorId="sadie" auditorPwd="{xor}" sign="false" encrypt="false" batching="false" verbose="false">
<auditEventFactories xmi:id="AuditEventFactory_1173199825608" name="auditEventFactoryImpl_1" className="com.ibm.ws.security.audit.AuditEventFactoryImpl" auditServiceProvider="AuditServiceProvider_1173199825608" auditSpecifications="AuditSpecification_1173199825610"/>
<auditServiceProviders xmi:id="AuditServiceProvider_1173199825608" name="auditServiceProviderImpl_1" className="com.ibm.ws.security.audit.BinaryEmitterImpl" eventFormatterClass="" maxFileSize="10" maxLogs="100" fileLocation="$(LOG_ROOT)" auditSpecifications="AuditSpecification_1173199825610"/>
<properties xmi:id="Property_1" name="com.ibm.audit.terse.form.login" value="SUCCESS FAILURE" description="dtcc custom property"/>
<properties xmi:id="Property_2" name="com.ibm.audit.terse.form.logout" value="SUCCESS FAILURE ERROR" description="dtcc custom property"/>
</auditPolicy>
</security:Audit>
Property_1 defines that we will be capturing the terse SECURITY_FORM_LOGIN event type and an audit event will only be captured for outcomes of either success or failure.
Property_2 defines that we will be capturing the terse SECURITY_FORM_LOGOUT event type and an audit event will only be captures if the outcome is success, failure or error.
WebSphere Application Server V9부터, 관리 콘솔 또는 wsadmin 스크립트를 통해 SECURITY_FORM_LOGIN 및 SECURITY_FORM_LOGOUT auditevent 유형을 구성할 수 있는 지원이 추가됩니다. 특성 지정이 여전히 지원되며 지정된 경우 관리 콘솔 또는 wsadmin 스크립트를 사용하여 재구성할 필요가 없습니다.