使用脚本来配置审计事件工厂
在启用安全性审计前,请执行本任务以使用 wsadmin 工具来配置审计事件工厂。安全性审计提供对可审计事件进行跟踪和归档的功能。
开始之前
在配置安全性审计事件工厂前,请在环境中启用管理安全性。
关于此任务
要在环境中启用安全性审计,您必须配置审计事件工厂。此审计事件工厂会收集与安全性事件相关联的数据。此安全性审计配置提供缺省事件工厂。使用本主题,通过创建其他审计事件工厂来定制安全性审计子系统。
执行以下步骤,以使用 wsadmin 工具来配置安全性审计子系统:
过程
- 通过使用 Jython 脚本语言,启动 wsadmin 脚本编制工具。有关更多信息,请参阅“启动 wsadmin 脚本编制客户机”一文。
- 配置事件过滤器。您可以使用缺省事件过滤器,也可以执行本步骤来创建其他过滤器以定制安全性审计配置。
表 1. audit.xml 文件中的事件过滤器. 缺省情况下,应用程序服务器会在 audit.xml 模板文件中提供以下事件过滤器: 事件名称 事件的结果 SECURITY_AUTHN 成功 SECURITY_AUTHN 被拒绝 SECURITY_RESOURCE_ACCESS 成功 SECURITY_AUTHN 重定向 您可以配置其他审计事件类型以跟踪和归档各种事件。使用以下命令来列出所有受支持的可审计事件:print AdminTask.getSupportedAuditEvents()
将 createAuditFilter 命令与 -eventType 和 -outcome 参数配合使用,以启用一个或多个审计事件和结果。您可以对一个命令调用指定多种事件类型和多个结果(事件类型之间和结果之间以逗号分隔)。以下列表描述每个可以用 -eventType 参数来指定的有效可审计事件:表 2. 事件类型. 创建事件过滤器时,可将有效可审计事件指定为已启用事件类型: 事件名称 描述 SECURITY_AUTHN 对所有认证事件进行审计 SECURITY_AUTHN_MAPPING 对在涉及到两个用户标识的情况下记录凭证映射的事件进行审计 SECURITY_AUTHN_TERMINATE 审核认证终止事件(例如,基于表单的注销) SECURITY_AUTHZ 当系统强制执行访问控制策略时,对与授权检查相关的事件进行审计 SECURITY_RUNTIME 对诸如启动和停止安全服务器之类的运行时事件进行审计。对于系统管理员执行的管理操作,此事件类型毫无意义,因为此类操作需要使用其他的 SECURITY_MGMT_* 事件类型。 SECURITY_MGMT_AUDIT 对记录诸如启动审计、停止审计、打开或关闭审计、更改审计过滤器或级别的配置、对审计数据归档以及清除审计数据之类与审计子系统相关的操作的事件进行审计。 SECURITY_RESOURCE_ACCESS 对记录对某个资源的所有访问的事件进行审计。示例为对某个文件的所有访问、对给定 Web 页面的所有 HTTP 请求和响应以及对关键数据库表的所有访问 SECURITY_SIGNING 对记录诸如用来针对 Web Service 验证 SOAP 消息各部分的签名操作之类的签名的事件进行审计 SECURITY_ENCRYPTION 对记录诸如针对 Web Service 的加密之类的加密信息的事件进行审计 SECURITY_AUTHN_DELEGATION 对记录委派的事件进行审计,包括身份断言、RunAs 和低级别断言。当传播客户机标识或委派涉及到使用特殊标识时使用此事件类型。此事件类型还用于在给定会话内切换用户标识时。 SECURITY_AUTHN_CREDS_MODIFY 对事件进行审计以针对给定用户标识修改凭证 SECURITY_FORM_LOGIN 正在登录的用户的审计事件以及从其启动登录的远程 IP 地址、时间戳记和结果。 SECURITY_FORM_LOGOUT 正在注销的用户的审计事件以及从其启动注销的远程 IP 地址、时间戳记和结果。 要点: 在本 WebSphere® Application Server 发行版中未使用以下安全性审计事件类型:对于每种审计事件类型,必须指定一个结果。有效结果包括 SUCCESS、FAILURE、REDIRECT、ERROR、DENIED、WARNING 以及 INFO。以下命令示例会创建审计过滤器,以记录用户,这些用户会接收到修改凭证时所发生的错误:- SECURITY_MGMT_KEY
- SECURITY_RUNTIME_KEY
- SECURITY_MGMT_PROVISIONING
- SECURITY_MGMT_REGISTRY
- SECURITY_RUNTIME
- SECURITY_AUTHN_CREDS_MODIFY
AdminTask.createAuditFilter('-name uniqueFilterName -eventType SECURITY_RESOURCE_ACCESS,SECURITY_AUTHN_DELEGATION -outcome ERROR,REDIRECT')
- 创建审计事件工厂。您可以使用缺省审计事件工厂,也可以执行本步骤来创建新的审计事件工厂。
使用 createAuditEventFactory 命令,在安全性配置中创建审计事件工厂。可以使用审计事件工厂的缺省实现,也可以使用第三方实现。要配置第三方实现,请使用可选的 -customProperties 参数来指定配置审计事件工厂实现时所必需的任何属性。
表 3. 必需参数. 对 createAuditEventFactory 指定以下必需参数,以配置审计事件工厂: 参数 描述 数据类型 必需 -uniqueName 指定用于标识审计事件工厂的唯一名称。 String 是 -className 指定审计事件工厂接口的类实现。 String 是 -auditFilters 使用以下格式来指定对预定义审计过滤器的一个引用或一组引用:"reference, reference, reference" String 是 -provider 指定对预定义的审计服务提供者实现的引用。 String 是 -customProperties 以如下格式指定要添加到安全性对象的定制属性对的逗号 (,) 分隔列表:attribute=value,attribute=value String 否 以下样本命令会创建并启用审计事件工厂:AdminTask.createAuditEventFactory('-uniqueName eventFactory1 -className com.ibm.ws.security.audit.AuditEventFactoryImpl -auditFilters "AuditSpecification_1173199825608, AuditSpecification_1173199825609, AuditSpecification_1173199825610, AuditSpecification_1173199825611" -provider newASP')
- 保存配置更改。 请使用以下命令示例来保存配置更改:
AdminConfig.save()
下一步做什么
配置审计服务提供者。
相关任务:
相关参考:


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7auditeventfactory
文件名:txml_7auditeventfactory.html