执行本任务,以使用 wsadmin 工具在环境中启用并配置安全性审计。安全性审计提供对可审计事件进行跟踪和归档的功能。
开始之前
在启用安全性审计前,请在环境中启用管理安全性。
如果先前配置了安全性审计,但不想修改配置设置,请使用 enableAudit 和 disableAudit 命令来启动和停止安全性审计。在启用或禁用安全性审计后,请重新启动服务器以应用配置更改。
关于此任务
安全性审计会确保安全性计算环境的完整性。安全性审计会收集认证、授权、系统管理、安全性以及审计策略事件,并在审计事件记录中记录这些事件。您可以分析审计事件记录,以确定环境的安全性配置中可能存在的安全性违规、威胁、攻击以及潜在漏洞。
执行以下步骤以在环境中启用并配置安全性审计:
过程
- 通过使用 Jython 脚本编制语言,启动 wsadmin 脚本编制工具。有关更多信息,请参阅“启动 wsadmin 脚本编制客户机”一文。
- 验证是否已配置安全性审计子系统。
要启用安全性审计,您必须配置事件过滤器、审计发射器以及审计事件工厂。事件过滤器指定系统所审计和记录的事件类型,并指定事件结果。审计服务提供程序会将审计记录写入与实现相关联的后端存储库。审计事件工厂会生成安全性事件。
缺省情况下,安全性审计系统包括一个审计服务提供程序和一个审计事件工厂。
审计命令组提供若干个命令来查询事件过滤器、审计发射器、事件工厂及其各自的配置属性。通过审计命令引用来使用特定查询命令。以下示例命令会在高级别查询安全性审计配置。
- 使用 getAuditFilters 命令来显示对所有审计过滤器(在配置中定义)的引用的列表,如以下示例所示:
AdminTask.getAuditFilters()
- 使用 listAuditEmitters 命令来显示配置中所定义的所有审计发射器的列表,如以下示例所示:
AdminTask.listAuditEmitters()
- 使用 listAuditEventFactories 命令来显示配置中的所有审计事件工厂的列表,如以下示例所示:
AdminTask.listAuditEventFactories()
- 在环境中启用安全性审计。 使用 modifyAuditPolicy 命令在环境中启用安全性审计。
表 1. 命令参数. 对 modifyAuditPolicy 命令使用以下可选参数,以定制安全性审计配置:参数 |
描述 |
数据类型 |
必需 |
-auditEnabled |
指定是否要启用安全性审计。 |
布尔值 |
否 |
-auditPolicy |
指定在审计子系统发生故障时服务器进程的行为。有效值为:WARN、NOWARN 和 FATAL。如果设为 WARN,那么当审计子系统中发生错误且停止审计时,会通知审计员,但是将继续运行应用程序服务器进程。如果设为 NOWARN,那么当发生错误且停止审计时,不会通知审计员,但是将继续运行应用程序服务器进程。如果设为 FATAL,那么会将错误通知给审计员,并停止应用程序服务器进程。缺省情况下,此命令会指定 NOWARN 设置。 |
字符串 |
否 |
-auditorId |
指定要对其分配审计员角色的用户的标识。 |
字符串 |
否 |
-auditorPwd |
指定审计员角色的密码。 |
字符串 |
否 |
-sign |
指定是否要签署审计记录。缺省情况下,安全性审计系统不会签署审计记录。必须配置对审计记录进行签署,然后才能指定此参数。 |
布尔值 |
否 |
-encrypt |
指定是否要对审计记录进行加密。缺省情况下,安全性审计系统不会对审计记录进行加密。必须配置对审计记录进行加密,然后才能指定此参数。 |
布尔值 |
否 |
-verbose |
指定是否要捕获详细的审计数据。缺省情况下,安全性审计系统不会捕获详细的审计数据。 |
布尔值 |
否 |
-encryptionCert |
指定要用于加密的证书的引用标识。如果将 -encrypt 参数设为 true,请指定此参数。 |
字符串 |
否 |
以下示例命令会启用安全性审计,并通过指定用户和密码来标识主审计员。
AdminTask.modifyAuditPolicy('-auditEnabled true -auditorId securityAdmin -auditorPwd security4you')
- 保存配置更改。
请使用以下命令示例来保存配置更改:
AdminConfig.save()
- 重新启动服务器。
结果
在完成这些步骤来启用并配置安全性审计后,相关概要文件会审计您的安全性配置,以确定是否具有特定的可审计事件类型。
下一步做什么
在首次配置审计策略后,使用 enableAudit 和 disableAudit 命令来开启和关闭安全性审计系统。系统会在您启用和禁用安全性审计系统时,对您使用 modifyAuditPolicy 命令来定义的设置进行维护。
注: 必须重新启动服务器才能应用配置更改。