Oracle® Fusion Middleware Oracle WebCenter Portalの管理 11gリリース1 (11.1.1.9.0) E51441-06 |
|
前 |
次 |
この章では、WebCenter Portal監査ログの管理の概要について説明します。
この章には次の項が含まれます:
権限: この章のタスクを実行するには、Oracle WebLogic Server管理コンソールでWebLogic ServerのAdmin ロールが付与されている必要があります。Monitor またはOperator ロールを持つユーザーは、セキュリティ情報を表示できますが変更することはできません。
第1.8項「管理操作、ロールおよびツールの理解」も参照してください。 |
監査ログを有効にすると、Fusion Middleware監査サービスの一環として、ポータル関連のイベントが追跡されます。デフォルトでは、監査ログ・イベントはファイル(監査バスストップ)に格納されますが、データベースにアップロードして永続化することもできます(詳細は、第29.2.2項「監査ストア・データベースの構成」を参照)。監査バスストップ・ファイルの容量にはかぎりがあるため、ログ情報をデータベースに格納することをお薦めします。そうすることで、イベントの発生から長時間経過した後でも、そのイベントを問い合せできるようになります。
注意: WebCenter Portal偽装を有効にする場合は、監査ログも有効にすることを強くお薦めします。偽装を有効にすると、監査ログによって、偽装者、被偽装者およびイベントのコンテキストが追跡されます。 |
監査ログの主な利点は次のとおりです。
ポータル、ポータル・サーバーおよびポータル・サーバーの主要アーティファクトのセキュリティ設定を変更するイベントを追跡できます。
ロギング・レベルを定義できます。
ログに記録されたイベントをデータベースにアップロードすると、それらは永続的に参照可能になります。
監査サービスを通じて、監査イベントに関するレポートを参照できます。
監査サービスとその構成の詳細は、Oracle Platform Security Servicesによるアプリケーションの保護の「Oracle Fusion Middleware監査フレームワークの概要」を参照してください。監査サービスを構成してデータベースを使用する方法の詳細は、Oracle Platform Security Servicesによるアプリケーションの保護の監査の構成および管理に関する項を参照してください。初期設定の監査サービス・レポートの詳細は、Oracle Platform Security Servicesによるアプリケーションの保護の事前作成監査レポートに関する項を参照してください。
この項では、WebCenter Portalのログを有効および無効にする方法、ログ・レベルを設定する方法および監査ストア・データベースを設定する方法について説明します。
この項には次のサブセクションが含まれます:
デフォルトでは、WebCenter Portalの監査ログは無効になっています(つまりNone
に設定されています)。これを有効にするには、次の例のように、ロギング・レベルをNone
以外の値(Low
など)に設定します。各ロギング・レベルに含まれるロギング・カテゴリの詳細は、第29.3.1項「WebCenter Portal監査ログの使用」を参照してください。
WebCenter Portal監査イベントの監査ロギング・レベルを変更するには、次のWLSTコマンドを使用します。
ロギング・レベルをLow
に設定する場合:
setAuditPolicy(componentType="webcenter#11.1.1.9.0",filterPreset="Low")
次のようにロギング・レベルをMedium
に設定します。
setAuditPolicy(componentType="webcenter#11.1.1.9.0",filterPreset="Medium")
WebCenter Portalのログを無効にする場合:
setAuditPolicy(componentType="webcenter#11.1.1.9.0",filterPreset="None")
正常に実行された場合、エラーはスローされず、警告なしで完了します。WC_Spaces
サーバーを再起動して、ロギング・レベルの変更を完了します。
監査ロギングの管理および構成に使用できるその他のWLSTコマンドの詳細は、Oracle Platform Security Servicesによるアプリケーションの保護の監査のためのWLSTコマンドに関する項を参照してください。
監査ストアは、リポジトリ作成ユーティリティ(RCU)によって作成される、事前定義済のOracle Fusion Middleware監査フレームワーク・スキーマを含むデータベースです。デフォルトでは、監査ログは次の例のように、auditlogs
ディレクトリ内のファイルとして格納されます。
DOMAIN_HOME/servers/WC_Spaces/logs/auditlogs/webcenter#11.1.1.9.0/audit_1_0.log
データベース永続性が構成されると、監査ローダーはこのファイルからデータを取得し、それを監査フレームワーク・スキーマ内に配置します。監査サービスを構成してデータベースを使用する方法の詳細は、Oracle Platform Security Servicesによるアプリケーションの保護の監査の構成および管理に関する項を参照してください。
監査スキーマの名前を確認する必要があります(接尾辞は常にIAUです)。また、次のように監査リポジトリをデータベースに設定する必要があります。
setAuditRepository(switchToDB='true',dataSourceName='jdbc/AuditDB',interval='15')
注意: ストア内の監査データは累積されることが予想され、時間の経過に伴って増加します。データベースは、他のアプリケーションによって使用される運用データベースではなく、監査専用のスタンドアロンRDBMSであるのが理想的です。 |
この項では、監査ログに記録されるWebCenter Portal偽装イベントについて説明し、監査スキーマへの偽装イベントの問合せに使用できる単純なSQL文を紹介します。
この項には次のサブセクションが含まれます:
表29-1は、設定したログ・レベルに応じて監査ログに記録されるWebCenter Portal監査イベントを示しています。各WebCenter Portalツール(お知らせ、ディスカッション、フォーラム、フォーラム・メッセージ、フォーラム・トピック、フォーラム・カテゴリなど)は、ログ内の対応するToolArtifactIDとToolTypeによって識別されます。
ログ・レベルをLow
に設定した場合、次のカテゴリのイベントがログに記録されます。
PortalLifeCycle
PortalRoleManagement
PortalRoleMemberManagement
PortalToolAccessManagement
ImpersonationSessionMgmt
ログ・レベルをMedium
に設定した場合、さらに次のカテゴリのイベントがログに記録されます。
PortalToolsManagement
PortalPagesManagement
表29-1 WebCenter Portal監査イベント
イベント・カテゴリ | イベント名 | イベント・ペイロード |
---|---|---|
PortalLifeCycle |
LoginPortalServer、 |
InitiatorUID、InitiatorMail、InitiatorDisplayName、ImpersonatorUID、PortalID、PortalName、PotalDisplayName、PortalURL、PortalTemplate、PortalOldState、PortalNewState、TargetPortalConnection |
PortalRoleManagement |
CreateRole |
InitiatorUID、InitiatorMail、InitiatorDisplayName、ImpersonatorUID、PortalID、PortalName、RoleName、RoleTemplate、PermissionClass、PermissionName、PermissionActionsGranted、PermissionActionsRevoked |
PortalRoleMemberManagement |
AddMemberToRole |
InitiatorUID、InitiatorMail、InitiatorDisplayName、ImpersonatorUID、PortalID、PortalName、RoleName、MemberType、MemberUID、ServiceID |
ImpersonationSessionMgmt |
GrantImpersonationAccess |
InitiatorUID、InitiatorMail、InitiatorDisplayName、ImpersonatorUID、ImpersonateeUID、PortalID、PortalName、ImpersonationStartTime、ImpersonationEndTime、ImpersonationGrantStartTime、ImpersonationEndTime、ImpersonationRightRevokeTime |
PortalToolsManagement |
CreateTool、DeleteTool |
InitiatorUID、InitiatorMail、InitiatorDisplayName、ImpersonatorUID、PortalID、PortalName、ToolArtifactID、ToolName、ToolType |
PortalToolAccessManagement |
ToolAccessPermissionUpdate |
InitiatorUID、InitiatorMail、InitiatorDisplayName、ImpersonatorUID、PortalID、PortalName、ToolName、ToolType、ToolArtifactID、MemberUID、MemberType、PermissionActionsGranted、PermissionActionsRevoked、PermissionClass、PermissionName |
PortalPagesManagement |
CreatePage |
InitiatorUID、InitiatorMail、InitiatorDisplayName、ImpersonatorUID、PortalID、PortalName、PageID、PageName |
監査スキーマを構成し、監査リポジトリをデータベースに設定したら、この生成された監査データに基づいてレポートを生成できます。レポートを作成するには、次の手順を実行します。
次のコマンドを実行してSQLファイルを生成することによって、監査表に基づくビューを生成します。その後、このファイルを使用して、WebCenter Portalコンポーネント固有のデータに関するビューを、監査DB表から作成できます。
createAuditDBView(fileName="/tmp/WCPortalAuditView.sql", componentType="webcenter#11.1.1.9.0")
IAUスキーマの所有者(TEST_IAU
など)は、ビューの作成権限を持っている必要があります。ビューを作成するには、システムDBAとして、WCPortalAuditView.sql
ファイルを実行するか、次のSQLコマンドを実行します。
grant create view to TEST_IAU
作成されるビューの名前は、webcenter#11_1_1_9_0_AUDITVIEWのようになります。
ビューを使用して、監査データベースへの問合せを実行します。次の例のように、WebCenter Portalツールの監査属性名を、表の列名として使用します。WCPortalAuditView.sql
ファイルを開くと、表の列名とWebCenter Portal属性のマッピングを確認できます。
次のSQL文は、イベント・タイプBeginImpersonation
およびEndImpersonation
としてログに記録された、WebCenter Portalツールのすべての属性を返します。
select * from webcenter#11_1_1_9_0_AUDITVIEW where EventType like '%Impersonation';
次のSQL文は、いずれかのポータルを削除したすべてのユーザーと、削除されたポータルの情報をリストします。
select InitiatorUID,InitiatorMail,PortalID,PortalName,PortalURL from webcenter#11_1_1_9_0_AUDITVIEW where EventType = 'DeletePortal';
次のSQL文は、WebCenter Portalのすべての監査データを返します。
select * from webcenter#11_1_1_9_0_AUDITVIEW;
WebCenter Portalのアクティビティを定期的にモニターする場合は、SQL問合せを使用するSQLデータ・コントロールを作成し、そのデータ・コントロールを、表やその他の視覚化としてポータル・ページ上にドロップできます。SQLデータ・コントロールの詳細は、Oracle WebCenter Portalでのポータルの構築のデータ・プレゼンタでの作業に関する項を参照してください。