可审计安全性事件

可审计安全性事件是安全性运行时代码中添加了审计检测(以使这些事件得到记录)的安全性事件。配置了事件过滤器,以指定哪些可审计安全性事件将记录到审计日志文件中。

以下列表描述了创建事件过滤器时可指定为启用的事件类型的每个有效的可审计事件:
表 1. 事件类型. 创建事件过滤器时,可将有效可审计事件指定为已启用事件类型:
事件名称 描述
SECURITY_AUTHN 对所有认证事件进行审计
SECURITY_AUTHN_MAPPING 对在涉及到两个用户标识的情况下记录凭证映射的事件进行审计
SECURITY_AUTHN_TERMINATE 审核认证终止事件(例如,基于表单的注销)
SECURITY_AUTHZ 当系统强制执行访问控制策略时,对与授权检查相关的事件进行审计
SECURITY_RUNTIME 对诸如启动和停止安全服务器之类的运行时事件进行审计。对于系统管理员执行的管理操作,此事件类型毫无意义,因为此类操作需要使用其他的 SECURITY_MGMT_* 事件类型。
SECURITY_MGMT_AUDIT 对记录诸如启动审计、停止审计、打开或关闭审计、更改审计过滤器或级别的配置、对审计数据归档以及清除审计数据之类与审计子系统相关的操作的事件进行审计。
SECURITY_RESOURCE_ACCESS 对记录对某个资源的所有访问的事件进行审计。示例为对某个文件的所有访问、对给定 Web 页面的所有 HTTP 请求和响应以及对关键数据库表的所有访问
SECURITY_SIGNING 对记录诸如用来针对 Web Service 验证 SOAP 消息各部分的签名操作之类的签名的事件进行审计
SECURITY_ENCRYPTION 对记录诸如针对 Web Service 的加密之类的加密信息的事件进行审计
SECURITY_AUTHN_DELEGATION 对记录委派的事件进行审计,包括身份断言、RunAs 和低级别断言。当传播客户机标识或委派涉及到使用特殊标识时使用此事件类型。此事件类型还用于在给定会话内切换用户标识时。
SECURITY_AUTHN_CREDS_MODIFY 对事件进行审计以针对给定用户标识修改凭证
SECURITY_FORM_LOGIN 正在登录的用户的审计事件以及从其启动登录的远程 IP 地址、时间戳记和结果。
SECURITY_FORM_LOGOUT 正在注销的用户的审计事件以及从其启动注销的远程 IP 地址、时间戳记和结果。
对于每种审计事件类型,必须指定一个结果。有效结果包括 SUCCESS、FAILURE、REDIRECT、ERROR、DENIED、WARNING 以及 INFO。并非所有的结果都适用于所有事件类型。
注: 在此发行版的 WebSphere® Application Server 中,已完全实现对 SECURITY_RUNTIME 审计事件类型的支持。它将对启动和停止安全服务器之类的运行时事件进行审计。
[z/OS]
表 2. 事件类型 SMF 代码. 下列各表将安全性审计事件类型和事件结果映射到 SMF 解释。
事件名称 SMF 代码 SMF 卸载关键字
SECURITY_AUTHN 1 *WASAUTN
SECURITY_AUTHN_MAPPING 3 *WASAUTM
SECURITY_AUTHN_TERMINATE 2 *WASAUTT
SECURITY_AUTHZ 4 *WASAUTZ
SECURITY_MGMT_CONFIG 8 *WASCONF
SECURITY_MGMT_POLICY 5 *WASPOLM
SECURITY_MGMT_PROVISIONING 9 *WASPROV
SECURITY_MGMT_RESOURCE 10 *WASRESM
SECURITY_RUNTIME 7 *WASRUNT
SECURITY_RUNTIME_KEY 11 *WASKEYR
SECURITY_MGMT_KEY 12 *WASKEYM
SECURITY_MGMT_AUDIT 13 *WASAUDI
SECURITY_MGMT_REGISTRY 6 *WASREGM
SECURITY_RESOURCE_ACCESS 14 *WASACCE
SECURITY_SIGNING 15 *WASSIGN
SECURITY_ENCRYPTION 16 *WASCRYP
SECURITY_AUTHN_DELEGATION 17 *WASDELE
表 3. 事件结果 SMF 限定符. 下表列出了事件结果 SMF 限定符。
事件结果 SMF 限定符 SMF 卸载关键字
SUCCESSFUL 0 SUCCESS
INFO 1 INFO
WARNING 2 WARNING
FAILURE 3 FAILURE
重定向 4 重定向
被拒绝 5 被拒绝

为了支持遵守美国联邦政府法规并且最大限度减轻对性能的影响,添加了对通过最少量审计数据来捕获 Web UI 登录和注销的支持。

引入了下列在 audit.xml 文件中受支持的属性:
  • com.ibm.audit.terse.form.login,其值是以空格定界的有效结果列表。
  • com.ibm.audit.terse.form.logout,其值是以空格定界的有效结果列表。
  • com.ibm.audit.terse.form login 启用 SECURITY_FORM_LOGIN 事件,结果在 "value" 中指定。
  • com.ibm.audit.terse.form.logout 启用 SECURITY_FORM_LOGOUT 事件,结果在 "value" 中指定。

产生的审计事件仅包含以下内容:时间戳记、登录(或注销)的用户、从中启动登录或注销的远程 IP 地址以及结果。

以下是设置了这两个属性的 audit.xml 文件示例:

<?xml version="1.0" encoding="UTF-8"?>
<security:Audit xmi:version="2.0" xmlns:xmi="http://www.omg.org/XMI" xmlns:security="http://www.ibm.com/websphere/appserver/schemas/5.0/security.xmi" xmi:id="Audit_1173199825578">
  <auditSpecifications xmi:id="AuditSpecification_1173199825610" enabled="true" name="DefaultAuditSpecification_3">
    <event>SECURITY_AUTHN_TERMINATE</event>
    <outcome>SUCCESS</outcome>
    <outcome>REDIRECT</outcome>
    <outcome>FAILURE</outcome>
  </auditSpecifications>
  <auditPolicy xmi:id="AuditPolicy_1173199825608" auditEnabled="true" auditorId="sadie" auditorPwd="{xor}" sign="false" encrypt="false" batching="false" verbose="false">
    <auditEventFactories xmi:id="AuditEventFactory_1173199825608" name="auditEventFactoryImpl_1" className="com.ibm.ws.security.audit.AuditEventFactoryImpl" auditServiceProvider="AuditServiceProvider_1173199825608" auditSpecifications="AuditSpecification_1173199825610"/>
    <auditServiceProviders xmi:id="AuditServiceProvider_1173199825608" name="auditServiceProviderImpl_1" className="com.ibm.ws.security.audit.BinaryEmitterImpl" eventFormatterClass="" maxFileSize="10" maxLogs="100" fileLocation="$(LOG_ROOT)" auditSpecifications="AuditSpecification_1173199825610"/>
  <properties xmi:id="Property_1" name="com.ibm.audit.terse.form.login" value="SUCCESS FAILURE" description="dtcc custom property"/>
  <properties xmi:id="Property_2" name="com.ibm.audit.terse.form.logout" value="SUCCESS FAILURE ERROR" description="dtcc custom property"/>
  </auditPolicy>
</security:Audit>

Property_1 defines that we will be capturing the terse SECURITY_FORM_LOGIN event type and an audit event will only be captured for outcomes of either success or failure.
Property_2 defines that we will be capturing the terse SECURITY_FORM_LOGOUT event type and an audit event will only be captures if the outcome is success, failure or error.

从 WebSphere Application Server V9 开始,支持通过管理控制台或 wsadmin 脚本编制来配置 SECURITY_FORM_LOGINSECURITY_FORM_LOGOUT auditevent 类型。仍支持指定这些属性,并且,如果指定这些属性,那么不需要使用管理控制台或通过 wsadmin 脚本编制进行重新配置。


指示主题类型的图标 参考主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_sa_event_types
文件名:rsec_sa_event_types.html