系统日志中的管理审计消息
产品会在系统日志中提供内含一些审计信息的管理审计消息。此主题中描述的审计消息是标准产品审计流的一部分,并不提供管理事件审计信息(例如谁更改了文件)。
注: 本主题引用了一个或多个应用程序服务器日志文件。作为另一种建议采用的方法,您可以在分布式系统和 IBM® i 系统上配置服务器以使用高性能可扩展日志记录 (HPEL) 记录和跟踪基础结构,而不使用 SystemOut.log、SystemErr.log、trace.log 和 activity.log 文件。您还可以将 HPEL 与本机 z/OS® 日志记录设施结合使用。如果要使用 HPEL,那么可从服务器概要文件
bin 目录使用 LogViewer 命令行工具来访问所有日志和跟踪信息。有关使用
HPEL 的更多信息,请参阅有关使用 HPEL 对应用程序进行故障诊断的信息。
要点: 此主题中描述的功能使用系统日志,而且不属于安全性审计子系统。此功能捕获的审计信息与安全性审计子系统捕获的审计信息并不一致。有关安全性审计子系统的信息,请参阅“审计安全性基础结构”主题。
管理审计和产品其他部分都使用相同的跟踪日志记录工具,而且管理审计不使用属于安全性审计子系统的日志记录工具。在执行操作的服务器的 activity.log 和 SystemOut.log 文件中都提供了这些审计。不需要启用跟踪来生成这些审计。但是,通过存储库服务控制台页面,可以控制是否执行配置更改审计。缺省情况下,会执行此类型审计。始终启用操作命令审计。仅当启用了安全性时,才提供有关执行该更改的用户的信息。
您可以使用或不使用安全审计设施执行管理审计。
下列管理操作已审计:
- 对于已创建、修改或删除的配置文档,所有配置都更改。
- 某些操作更改,例如,启动和停止节点、集群、服务器和应用程序。这些受管 Bean (MBean) 操作提供了管理审计:
表 1. 管理审计 MBean 操作. MBean 类型提供管理审计 MBean 操作。 MBean 类型 MBean 操作 CellSync syncNode Cluster start、stop、stopImmediate、rippleStart NodeAgent launchProcess、stopNode、restart Server stop、stopImmediate AppManagement startApplication、stopApplication
配置更改审计具有消息标识 ADMRxxxxI,其中 xxxx 是消息号。操作审计具有消息标识 ADMN10xxI,其中 10xx 是消息号。
以下是 WebSphere® Application Server Network Deployment 环境中的一些审计示例。
以下审计示例来自 Deployment Manager SystemOut.log 文件:
[7/23/03 17:04:49:089 CDT] 39c26dad FileRepositor A ADMR0015I: Document
cells/ellingtonNetwork/security.xml was modified by user u1.
[7/23/03 17:04:49:269 CDT] 3ea0edb5 FileRepositor A ADMR0016I: Document
cells/ellingtonNetwork/nodes/ellington/app.policy was created by user u1.
...
[7/23/03 17:13:54:081 CDT] 39a572a1 AdminHelper A ADMN1008I: Attempt
made to start the SamplesGallery application. (User ID = u1)
...
以下审计示例来自 Node Agent SystemOut.log 文件:[7/23/03 17:38:43:461 CDT] 23d1326 AdminHelper A ADMN1000I: Attempt
made to launch server1 on node ellington. (User ID = u1)
以下审计示例来自 Application Server SystemOut.log 文件:[7/23/03 17:39:59:360 CDT] 24865373 AdminHelper A ADMN1020I: Attempt
made to stop the server1 server. (User ID = u1)
为方便打印,此处将消息文本分割开。