Auditable security events
Auditable security events are security events that have audit instrumentation added to the security run time code to enable them to be recorded. Event filters are configured to specify which auditable security events are recorded to the audit log files.
Nome do Evento | Descrição |
---|---|
SECURITY_AUTHN | Audita todos os eventos de autenticação |
SECURITY_AUTHN_MAPPING | Audita eventos que registram o mapeamento de credenciais no qual duas identidades de usuários estão envolvidas |
SECURITY_AUTHN_TERMINATE | Audita eventos de fim de autenticação, como logout baseado em formulário |
SECURITY_AUTHZ | Audita eventos relacionados a verificações de autorização quando o sistema impõe políticas de controle de acesso |
SECURITY_RUNTIME | Audita eventos de tempo de execução, como iniciar e parar servidores de segurança. Esse tipo de evento não se destina a operações administrativas executadas por um administrador de sistemas, como as operações necessárias para se utilizar os outros tipos de eventos SECURITY_MGMT_*. |
SECURITY_MGMT_AUDIT | Audita eventos que gravam operações relacionadas ao subsistema de auditoria, como iniciar, parar e ativar ou desativar a auditoria, alterar a configuração de filtros ou nível de auditoria, arquivar dados de auditoria, eliminar dados de auditoria, etc. |
SECURITY_RESOURCE_ACCESS | Audita eventos que gravam todos os acessos em um recurso. Os exemplos são todos os acessos a um arquivo, todas as solicitações e respostas de HTTP para uma determinada página da Web e todos os acessos a uma tabela de banco de dados crítica |
SECURITY_SIGNING | Os eventos de auditoria que registram a assinatura como operações de assinatura usadas para validar partes de uma Mensagem SOAP para serviços da Web |
SECURITY_ENCRYPTION | Os eventos de auditoria que registram informações de criptografia como criptografia para serviços da Web |
SECURITY_AUTHN_DELEGATION | Audita eventos que registram delegação, incluindo a asserção de identidade, RunAs e asserção baixa. Utilizado quando a identidade do cliente é propagada ou quando a delegação envolve o uso de uma identidade especial. Esse tipo de evento também é utilizado quando se alterna identidades do usuário dentro de uma determinada sessão. |
SECURITY_AUTHN_CREDS_MODIFY | Audita eventos para modificar credenciais para uma determinada identidade do usuário |
SECURITY_FORM_LOGIN | Audita eventos do usuário que está efetuando login e o endereço IP remoto a partir do qual o login é iniciado, junto com o registro de data e hora e o resultado. |
SECURITY_FORM_LOGOUT | Audita eventos do usuário que está efetuando logout e o endereço IP remoto a partir do qual o logout é iniciado, junto com o registro de data e hora e o resultado. |
![[z/OS]](../images/ngzos.gif)
Event name | SMF Code | SMF Unload Keyword |
---|---|---|
SECURITY_AUTHN | 1 | *WASAUTN |
SECURITY_AUTHN_MAPPING | 3 | *WASAUTM |
SECURITY_AUTHN_TERMINATE | 2 | *WASAUTT |
SECURITY_AUTHZ | 4 | *WASAUTZ |
SECURITY_MGMT_CONFIG | 8 | *WASCONF |
SECURITY_MGMT_POLICY | 5 | *WASPOLM |
SECURITY_MGMT_PROVISIONING | 9 | *WASPROV |
SECURITY_MGMT_RESOURCE | 10 | *WASRESM |
SECURITY_RUNTIME | 7 | *WASRUNT |
SECURITY_RUNTIME_KEY | 11 | *WASKEYR |
SECURITY_MGMT_KEY | 12 | *WASKEYM |
SECURITY_MGMT_AUDIT | 13 | *WASAUDI |
SECURITY_MGMT_REGISTRY | 6 | *WASREGM |
SECURITY_RESOURCE_ACCESS | 14 | *WASACCE |
SECURITY_SIGNING | 15 | *WASSIGN |
SECURITY_ENCRYPTION | 16 | *WASCRYP |
SECURITY_AUTHN_DELEGATION | 17 | *WASDELE |
Event Outcome | SMF Qualifier | SMF Unload Keyword |
---|---|---|
SUCCESSFUL | 0 | SUCCESS |
INFO | 1 | INFO |
WARNING | 2 | WARNING |
FAILURE | 3 | FAILURE |
REDIRECT | 4 | REDIRECT |
DENIED | 5 | DENIED |
To provide support for federal regulation compliance with minimal performance usage, support is added to allow for the capture of Web UI logins and logouts with a minimum amount of audit data.
- com.ibm.audit.terse.form.login, with a value that consists of a space-delimited list of valid outcomes.
- com.ibm.audit.terse.form.logout, with a value that consists of a space-delimited list of valid outcomes.
- com.ibm.audit.terse.form login enables the SECURITY_FORM_LOGIN event with the outcomes specified in "value".
- com.ibm.audit.terse.form.logout enables the SECURITY_FORM_LOGOUT event with the outcomes specified. in "value".
The resulting audit event contains only: the time stamp, the user being logged in (or out), the remote IP address from which the login or logout is initiated, and the outcome.
The following is an example of an audit.xml file that has both properties set:
<?xml version="1.0" encoding="UTF-8"?>
<security:Audit xmi:version="2.0" xmlns:xmi="http://www.omg.org/XMI" xmlns:security="http://www.ibm.com/websphere/appserver/schemas/5.0/security.xmi" xmi:id="Audit_1173199825578">
<auditSpecifications xmi:id="AuditSpecification_1173199825610" enabled="true" name="DefaultAuditSpecification_3">
<event>SECURITY_AUTHN_TERMINATE</event>
<outcome>SUCCESS</outcome>
<outcome>REDIRECT</outcome>
<outcome>FAILURE</outcome>
</auditSpecifications>
<auditPolicy xmi:id="AuditPolicy_1173199825608" auditEnabled="true" auditorId="sadie" auditorPwd="{xor}" sign="false" encrypt="false" batching="false" verbose="false">
<auditEventFactories xmi:id="AuditEventFactory_1173199825608" name="auditEventFactoryImpl_1" className="com.ibm.ws.security.audit.AuditEventFactoryImpl" auditServiceProvider="AuditServiceProvider_1173199825608" auditSpecifications="AuditSpecification_1173199825610"/>
<auditServiceProviders xmi:id="AuditServiceProvider_1173199825608" name="auditServiceProviderImpl_1" className="com.ibm.ws.security.audit.BinaryEmitterImpl" eventFormatterClass="" maxFileSize="10" maxLogs="100" fileLocation="$(LOG_ROOT)" auditSpecifications="AuditSpecification_1173199825610"/>
<properties xmi:id="Property_1" name="com.ibm.audit.terse.form.login" value="SUCCESS FAILURE" description="dtcc custom property"/>
<properties xmi:id="Property_2" name="com.ibm.audit.terse.form.logout" value="SUCCESS FAILURE ERROR" description="dtcc custom property"/>
</auditPolicy>
</security:Audit>
Property_1 defines that we will be capturing the terse SECURITY_FORM_LOGIN event type and an audit event will only be captured for outcomes of either success or failure.
Property_2 defines that we will be capturing the terse SECURITY_FORM_LOGOUT event type and an audit event will only be captures if the outcome is success, failure or error.
Starting with WebSphere Application Server V9, support is added to be able to configure the SECURITY_FORM_LOGIN and SECURITY_FORM_LOGOUT auditevent types either through the administrative console, or through wsadmin scripting. Specifying the properties is still supported, and if specified, there is not a need to reconfigure by using the administrative console or wsadmin scripting.