使用审计阅读器

审计阅读器是一个实用程序,可用来读取缺省二进制发射器实现所生成的二进制审计日志。审计阅读器会分析审计日志以生成 HTML 报告。审计阅读器是使用 wsadmin 命令进行调用,且无法使用管理控制台进行访问。

开始之前

审计阅读器只能用来分析由缺省审计服务提供程序创建的日志文件。审计阅读器无法分析由第三方发射器创建的日志。

关于此任务

审计日志可进行加密和/或签署,或既不加密也不签署。审计阅读器可以分析其中的任何组合以生成 HTML 报告。如果审计日志文件已加密,那么必须提供密钥库的密码,此密钥库存储用来对该日志进行加密的证书。showAuditLogEncryptionInfo wsadmin 命令可用来获取信息,以确定用于对审计日志进行签署的密钥库。

根据您在审计服务提供程序配置中所作的选择,审计日志可能会变得非常大,造成复审非常麻烦。在日志中记录的数据,取决于您所使用的事件类型过滤器及您是否已指定使用详细记录。为您提供了选项,便于进一步将审计阅读器所生成的 HTML 报告包含的数据,限制为您所指定的子集。审计阅读器可用于多次分析相同的数据,以便为不同的需求生成单独的报告。

缺省情况下,将从二进制审计日志中收集所有事件类型、结果类型、时间戳记以及序号,并添加到生成的报告中。支持只指定特定事件类型、特定序号、具有特定时间戳记的记录以及特定结果类型。序号是对每个审计记录指定的唯一标识。报告中提供用于限制事件、结果和序号的选项。

报告类型控制对日志文件中的每个审计记录报告的数据。缺省报告类型包括每个审计记录的以下数据:
  • creationTime
  • action
  • progName
  • registryType
  • domain
  • realm
  • remoteAddr
  • remotePort
  • remoteHost
  • resourceName
  • resourceType
  • resourceUniqueId
完整报告类型会根据对所选审计记录进行记录的所有数据,生成报告。完整报告类型包括缺省报告类型所包括的所有数据,及针对这些审计记录进行记录的所有其他数据点。审计记录的其他可用数据点随审计记录所表示事件类型的不同而改变。
另外,包括定制报告类型。使用该定制报告类型,仅指定要在报告中生成的数据点。可根据以下条件来生成报告:
  • 所有或特定事件类型
  • 所有或特定结果类型
  • 所有或特定序号范围
  • 所有或特定时间戳记范围

过程

运行 binaryAuditLogReader wsadmin 命令,以使用审计阅读器来生成日志报告。 请参阅“AdminTask 对象的 AuditReaderCommands 命令组”一文,以了解更多信息。

结果

在完成这些步骤后,将生成 HTML 报告,其中包含特定于您的需求的数据。

示例

审计事件结果代码

在二进制审计日志或审计阅读器工具的输出中,审计事件结果使用数字代码表示。使用此表将二进制审计日志中的审计事件结果代码与通用错误消息相关联。

表 1. 事件结果代码. 此表列示事件结果代码。
结果原因码 描述
0 解析证书时发生了错误。
1 线程的安全上下文不存在。
2 存在冲突的会话证据。
3 会话已被拒绝。
4 令牌已到期。
5 进行了成功的认证。
6 进行了用于访问资源的成功认证。
7 映射用户时进行了成功的认证。
8 进行了成功的授权。
9 登录终止成功。
10 存在无效证据。
11 发生 GSS 格式化错误。
12 凭证未经认证。
13 认证失败。
14 访问了无效的资源。
15 认证被拒绝。
16 授权被拒绝。
17 由于认证失败,访问被拒绝。
18 权限被排除。
19 由于没有适当的安全角色访问权,权限被排除。
20 使用了不受支持的认证机制。
21 发生了认证重定向。
22 上下文不存在。
23 发生了 TAI 提问。
24 TAI 验证不成功。
25 TAI 映射不成功。
26 发生了提供程序错误。
27 SSO 令牌验证不成功。
28 提供了无效的用户标识或密码。
29 发送登录表单
30 存在无效配置。
31 缺少用户标识或密码。
32 由于未知原因发生故障。
33 由于重试违例,帐户已禁用。
34 由于重试违例,帐户已锁定。
35 由于失败的登录尝试次数已达到最大数,所以帐户已锁定。
36 帐户已禁用。
37 帐户已到期。
38 帐户已解锁。
39 已经过了帐户许可的最长非活动时间。
40 密码已到期。
41 密码更改的最短时间间隔未到期。
42 已经过了密码必须更改之前允许的最长时间间隔。
43 发生了认证故障。
44 提供了无效的用户名。
45 需要 PIN。
46 本发行版中不使用此结果代码。
47 用户映射未成功发生。
48 发生了证书失败。
49 发生了策略违例。
50 由于时间发生了策略违例。
51 策略允许访问。
52 由于失败的登录尝试次数已达到最大数,所以发生了策略违例。
53 发生了用户名不匹配。
54 提供了无效的用户密码。
55 发生了令牌签名违例。
56 令牌无效。
57 令牌不受支持。
58 令牌并非有效格式。
59 发生了凭证映射故障。
60 委派未授权。
61 由于权限,资源的访问未经授权。
62 由于时间策略,资源的访问未经授权。
63 资源的访问未经授权。
64 由于保护质量,资源的访问未经授权。
65 由于权限级别,资源的访问未经授权。
66 由于需要重新认证,资源的访问未经授权。
67 发生了密码错误,原因是密码不符合密码标准:需要最小字母字符数。
68 发生了密码错误,原因是密码不符合密码标准:需要最小字母数字字符数。
69 发生了密码错误,原因是密码不符合密码标准:需要最小数字字符数。
70 发生了密码错误,原因是密码不符合密码标准:需要最小小写字母字符数。
71 发生了密码错误,原因是密码不符合密码标准:需要最小大写字母字符数。
72 发生了密码错误,原因是密码不符合密码标准:需要最小特殊字符数。
73 发生了密码错误,原因是密码不符合密码标准:超过了最大的重复字符数。
74 发生了密码错误,原因是密码不符合密码标准:包含用户名
75 发生了密码错误,原因是密码不符合密码标准:复用的密码。
76 发生了密码错误,原因是密码不符合密码标准:包含先前密码。
77 发生了密码错误,原因是密码不符合密码标准:字符数违例。
78 发生了密码错误,原因是密码不符合密码标准:第一个或最后一个字符是数字。
79 存在非法的表单登录配置。
80 由于不正确的 URI,访问被拒绝。
81 启动成功
82 停止成功
83 审计子系统已停止。
84 审计子系统已成功启用。
85 审计子系统已成功进行策略更改。
86 委派成功。
87 委派不成功。
88 审计子系统已成功禁用。
89 由于缺少安全头,审计子系统已发生。
90 审计时间戳记已确认。
91 发生了错误的审计时间戳记。
92 机密审计已确认
93 机密审计无法确认。
94 发生了审计解密错误。
103 已成功登录的用户尝试登录。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sa_audit_reader
文件名:tsec_sa_audit_reader.html