Guía del administrador de negocio de Sun Identity Manager 8.1

Capítulo 16 Exportador de datos

El Exportador de datos le permite escribir información sobre usuarios, roles y otros tipos de objetos en un almacén de datos externo.

En este capítulo encontrará información y procedimientos para configurar y mantener el Exportador de datos. La planificación e implementación detalladas del Exportador de datos se explican en el Capítulo 5, Data Exporter de Sun Identity Manager Deployment Guide.

El capítulo se ha organizado como sigue:

¿Qué es el Exportador de datos?

Identity Manager contiene y procesa datos importantes para administrar las identidades en todas las aplicaciones y sistemas distribuidos. Con el fin de elevar el rendimiento total, Identity Manager no conserva todos los datos que genera durante el abastecimiento normal y otras actividades cotidianas. Por ejemplo, de manera predeterminada Identity Manager no mantiene en estado intermedio las actividades de flujo de trabajo ni las instancias de tarea. Si es preciso capturar todos o algunos de los datos que Identity Manager suele descartar, puede habilitar la funcionalidad del Exportador de datos.

Cuando el Exportador de datos está habilitado, Identity Manager almacena cada cambio detectado en un objeto especificado (tipo de datos) como un registro de una tabla del depósito. Estos eventos se retienen en la cola hasta que una tarea los escribe en un almacén de datos externo. (Es posible configurar la frecuencia con que se exporta cada tipo de datos.) Los datos exportados pueden seguir procesándose o utilizarse como base en consultas y transformaciones con herramientas de transformación, generación de informes y análisis comerciales.

La exportación de datos a un almacén de datos perjudica el rendimiento del servidor de Identity Manager, de ahí que sólo deba habilitarse cuando la información exportada se necesite por motivos comerciales.

Identity Manager también le permite crear y ejecutar consultas forenses, que realizan búsquedas en el almacén de datos para identificar los objetos de usuario o de rol que cumplen los criterios especificados. Para obtener más información, consulte Configuración de consultas forenses.

Planificación de la implementación del Exportador de datos

Como el Exportador de datos está inhabilitado de manera predeterminada, hay que configurarlo para que sea operativo. Antes de iniciar la configuración del Exportador de datos hay que tomar varias decisiones:

Cuando el Exportador de datos está habilitado, la configuración predeterminada exporta todos los atributos de todos los tipos de datos. Esto puede suponer una sobrecarga de proceso inútil para Identity Manager y el almacén de datos, al ocupar un espacio de almacenamiento que nunca se va a aprovechar. El almacenamiento de datos es un proceso conservador que tiende a capturar cualquier dato que pueda tener un posible uso futuro. No es necesario exportar todos los datos exportables. Puede configurar los tipos de datos que se deben exportar e impedir la exportación de determinados eventos.

Una vez tomadas las decisiones anteriores, siga estos pasos para implementar el Exportador de datos:

ProcedurePara implementar el Exportador de datos

  1. (Opcional) Personalice el esquema de exportación para los tipos seleccionados y regenere la DDL del almacén. Para obtener más información, consulte Customizing Data Exporter de Sun Identity Manager Deployment Guide.

  2. Cree una cuenta de usuario en el RDBMS del almacén y cargue la DDL del almacén en dicho sistema. Para obtener más información, consulte Customizing Data Exporter de Sun Identity Manager Deployment Guide.

  3. Configure el Exportador de datos como se explica en Configuración del Exportador de datos.

  4. Verifique si la configuración del Exportador de datos es correcta. Para obtener más información, consulte Verificación del Exportador de datos.

  5. (Opcional) Cree consultas forenses que busquen los datos escritos en el almacén de datos. Para obtener más información, consulte Configuración de consultas forenses.

  6. Mantenga el Exportador de datos mediante JMX y supervisando los archivos de registro. Para obtener más información, consulte Mantenimiento del Exportador de datos.

Configuración del Exportador de datos

En la página de configuración del Exportador de datos puede definir qué tipos de datos se retienen, especificar qué atributos se exportan y programar cuando se exportan los datos. Cada tipo de datos se puede configurar por separado.

ProcedurePara configurar el Exportador de datos

  1. En la interfaz de administración, seleccione Configurar en el menú principal. A continuación, haga clic en la ficha secundaria Almacén. Aparece la página Configuración del exportador de datos.

    Figura 16–1 Configuración del exportador de datos

    Figura con la página Configuración del exportador de datos

  2. Para definir conexiones de lectura y escritura, pulse el botón Agregar conexión. Aparece la página Editar conexión a base de datos.

    Rellene los campos de esta página y pulse Guardar para volver a la página Configuración del exportador de datos. Encontrará más información en Definición de conexiones de lectura y escritura.

  3. Para asignar la clase WIC y las conexiones de base de datos, pulse el vínculo Editar que aparece en la sección Información de configuración de almacén. Aparece la página Configuración del almacén de exportador de datos.

    Rellene los campos de esta página y pulse Guardar para volver a la página Configuración del exportador de datos. Encontrará más información en Definición de la información de configuración de almacén.

  4. Haga clic en un vínculo de tipo de datos de la tabla Configuración de modelo de almacén. Aparece la página Configuración del tipo de exportador de datos.

    Rellene las fichas Exportar, Atributos y Programar de esta página y pulse Guardar para volver a la página Configuración del exportador de datos. Para obtener más información, consulte Configuración de modelos de almacén.

    Repita este paso con cada tipo de datos.

  5. Para configurar qué flujo de trabajo se ejecuta antes y después de exportar cada tipo de datos, haga clic en el vínculo Editar de la sección Automatización del exportador. Aparece la página Configuración de automatización del exportador de datos.

    Rellene los campos de esta página y pulse Guardar para volver a la página Configuración del exportador de datos. Consulte más información.

  6. Para configurar el daemon de la tarea de exportación, pulse el vínculo Editar que aparece en la sección Configuración de tarea de almacén. Aparece la página Configuración del almacén de exportador de datos.

    Rellene los campos de esta página y pulse Guardar para volver a la página Configuración del exportador de datos. Para obtener más información, consulte Configuración de la tarea de almacén.


    Nota –

    La exportación es totalmente funcional una vez realizados estos pasos. Cuando la exportación está habilitada, los registros de datos empiezan a incluirse en la cola de exportación. Si no habilita la tarea de exportación, las tablas de la cola se saturarán y se suspenderá la inclusión en la cola. Normalmente resulta más eficaz exportar lotes pequeños (con más frecuencia) que grandes, pero la exportación está condicionada por la disponibilidad del propio almacén, que puede verse restringida por otras causas.


  7. Si lo desea, defina el tamaño máximo de la cola. Encontrará más información en Modificación del objeto de configuración.

Definición de conexiones de lectura y escritura

Identity Manager utiliza una conexión de escritura durante los ciclos de exportación. Mediante la conexión de lectura indica cuántos registros contiene actualmente el almacén (durante su configuración) y presta servicio a la interfaz de consultas forenses.

Las conexiones de almacén se pueden definir como un origen de datos de servidor de aplicaciones, una conexión JDBC, o una referencia a un recurso de base de datos. Si se define una conexión JDBC o un recurso de base de datos, al exportar los datos se usan pocas conexiones extensivamente durante las operaciones de escritura y después se cierran todas las conexiones. El Exportador de datos sólo utiliza conexiones de lectura durante la configuración del almacén y la ejecución de consultas forenses, conexiones que cierra en cuanto ha finalizado la operación.

El Exportador aplica el mismo esquema a las conexiones de escritura y lectura, lo que permite utilizar la misma información de conexión para ambas. Sin embargo, en caso de conexiones separadas, la implementación puede escribir en un conjunto de tablas de montaje de almacén, transformar dichas tablas en el verdadero almacén y después convertir las tablas del almacén en un subalmacén de datos donde leerá Identity Manager.

Puede editar el formulario de configuración de exportación de datos para impedir que Identity Manager lea el almacén. Este formulario contiene la propiedad includeWarehouseCount , que instruye a Identity Manager para que consulte el almacén y muestre el número de registros de cada tipo de datos. Para inhabilitar esta función, copie el formulario de configuración de exportación de datos, cambie el valor de la propiedad includeWarehouseCount a true e importe su formulario personalizado.

ProcedurePara definir conexiones de lectura y escritura

  1. Pulse el botón Agregar conexión en la página Configuración del exportador de datos.

    Figura 16–2 Configuración del exportador de datos

    Figura con la página Editar conexión a base de datos.

  2. Elija una opción en el menú desplegable Tipo de conexión para indicar cómo debe establecer Identity Manager las conexiones de lectura o escritura con el almacén de datos.

    • JDBC. Conecta a una base de datos a través de la interfaz de programación de aplicaciones Java Database Connectivity (JDBC). El código de interfaz de almacén proporciona la agrupación de conexiones.

    • Recurso. Utiliza la información de conexión definida en un recurso. El código de interfaz de almacén proporciona la agrupación de conexiones.

    • Origen de datos. Utiliza el servidor de aplicaciones subyacente para administrar y agrupar las conexiones. Este tipo de conexión solicita conexiones al servidor de aplicaciones.

      Los campos de la página varían según la opción elegida en el menú desplegable Tipo de conexión. La configuración de la conexión a base de datos se explica detalladamente en la ayuda en línea.

  3. Pulsar Guardar para guardar los cambios de configuración y regresar a la página Configuración del exportador de datos.

    Repita este procedimiento si va a utilizar conexiones de lectura y escritura distintas.

Definición de la información de configuración de almacén

Para configurar el almacén, debe seleccionar una conexión de lectura, otra de escritura y una clase de fábrica de código de interfaz de almacén (WIC). La clase de fábrica WIC proporciona la interfaz entre Identity Manager y el almacén. Identity Manager incluye una implementación predeterminada del código, pero puede crear el suyo propio. Para obtener más información sobre la configuración de clases de fábrica personalizadas, consulte el Capítulo 5, Data Exporter de Sun Identity Manager Deployment Guide.

El archivo jar que contiene la clase de fábrica y todos los archivos jar auxiliares deben aparecer en el directorio $WSHOME/exporter del servidor de Identity Manager donde se ejecuta la tarea de exportación y en cualquier servidor donde se configure el Exportador de datos. Sólo un servidor de Identity Manager puede exportar datos en un momento dado.

ProcedurePara definir información de configuración de almacén

  1. En la página Configuración del exportador de datos, pulse el vínculo Editar que aparece en la sección Información de configuración de almacén.

    Figura 16–3 Configuración del exportador de datos

    Figura con la sección Información de configuración de almacén de la página Configuración del exportador de datos

  2. Especifique un valor en el campo Nombre de clase de fábrica de código de interfaz de almacén. Si el integrador no ha creado una clase personalizada, introduzca el valor com.sun.idm.warehouse.base.Factory.

  3. Especifique las conexiones en los menús desplegables Leer conexión y Escribir conexión.

  4. Pulsar Guardar para guardar los cambios de configuración y regresar a la página Configuración del exportador de datos.

Configuración de modelos de almacén

Cada tipo de datos exportable tiene un conjunto de opciones que sirven para controlar si ese tipo se exporta y cuándo. La exportación de datos aumenta la carga de los servidores de Identity Manager, por lo que conviene habilitarla únicamente para los tipos de datos que interesen a la empresa.

En la tabla siguiente se describen los distintos tipos de datos exportables.

Tabla 16–1 Tipos de datos admitidos

Tipo de datos  

Descripción  

Account

Un registro que contiene la vinculación entre un usuario y una cuenta de recursos. 

AdminGroup

Un grupo de permisos de Identity Manager disponibles en todos los grupos de objetos. 

AdminRole

Los permisos asignados a uno o más grupos de objetos. 

AuditPolicy 

Una colección de reglas que se evalúan en un objeto de Identity Manager para averiguar si se cumple una directiva de negocio. 

ComplianceViolation

Un registro que contiene el incumplimiento de una directiva de auditoría por parte de un usuario. 

Entitlement

Un registro que contiene una lista de autenticaciones para un usuario concreto. 

LogRecord

Un registro que contiene un único registro de auditoría. 

ObjectGroup

Un contenedor de seguridad modelado como una organización. 

Resource

Un sistema/aplicación donde se abastecen cuentas. 

ResourceAccount

Un conjunto de atributos que forman una cuenta en un determinado recurso. 

Role

Un contenedor lógico para el acceso. 

Rule

Un bloque lógico que puede ser ejecutado por Identity Manager. 

TaskInstance

Un registro que indica un proceso completado o en ejecución. 

User

Un usuario lógico que incluye cero o más cuentas. 

WorkflowActivity

Una actividad individual de un flujo de trabajo de Identity Manager. 

WorkItem

Una acción manual de un flujo de trabajo de Identity Manager. 

ProcedurePara configurar modelos de almacén

  1. Haga clic en un vínculo de tipo de datos dentro de la página Configuración del exportador de datos.

  2. En la ficha Exportar, indique si se exporta el tipo de datos. Si no desea exportar este tipo de datos, quite la marca de la casilla de verificación Exportar y pulse Guardar. De lo contrario, seleccione las demás opciones que necesite en esta ficha Exportar.

    • Permitir consulta. Controla si el modelo se puede consultar.

    • Todo en cola. Captura todos los cambios que sufren los objetos de este tipo. Si se marca esta opción, puede sobrecargarse considerablemente el proceso del Exportador. Utilícela con moderación.

    • Capturar eliminaciones. Registra todos los objetos eliminados de este tipo. Si se marca esta opción, puede sobrecargarse considerablemente el proceso del Exportador. Utilícela con moderación.

  3. La ficha Atributos permite seleccionar los atributos que pueden especificarse en una consulta forense y los que pueden aparecer en los resultados de la consulta. No es posible eliminar los atributos predeterminados de la interfaz de administración. Encontrará instrucciones para cambiar los atributos predeterminados en el Capítulo 1, Working with Attributes de Sun Identity Manager Deployment Guide.

    Los nombres de atributo nuevos deben tener las características siguientes:

    • attrName: El atributo es de nivel superior y escalar.

    • attrName[]: Es un atributo de nivel superior valorado con una lista cuyos elementos son escalares.

    • attrName[’ key’]: El atributo contiene un valor de asignación, que conviene incluir con la clave especificada.

    • attrName[]. name2: Es un atributo de nivel superior valorado con una lista cuyos elementos son estructuras. name2 es el atributo de la estructura al que se debe acceder.


    Nota –

    Si desea exportar atributos a la tabla EXT_RESOURCEACCOUNT_ACCTATTR , debe marcar la casilla Auditar para cada atributo que quiera exportar.


  4. Especifique con qué frecuencia se exporta la información asociada al tipo de datos en la ficha Programar. Los ciclos son relativos a la media noche en el servidor. Un ciclo de 20 minutos se produciría a la hora exacta, 20 minutos después y 40 minutos después. Si un intento de exportar dura más que el ciclo programado, se omite el ciclo siguiente. Por ejemplo, si se ha definido un ciclo de 20 minutos para que comience a media noche, pero la exportación dura 25 minutos, la próxima exportación empezará a las 12:40. No se producirá la exportación programada inicialmente para las 12:20.

Configuración de la automatización del exportador

Identity Manager permite especificar los flujos de trabajo que se ejecutan antes y después de exportar datos.

El flujo de trabajo de inicio de ciclo puede servir para impedir una exportación si se produce un evento que justifique una cancelación. Por ejemplo, si una aplicación que lee o escribe en las tablas de montaje requiere acceso exclusivo a las tablas al mismo tiempo que una exportación programada, habrá que cancelar dicha exportación. El flujo de trabajo debe devolver el valor 1 para cancelar la exportación. Identity Manager crea un registro de auditoría donde se indica que se ha omitido la exportación y cuáles son los resultados del error. Si el flujo de trabajo devuelve 0 y no se produce ningún error, el tipo de datos se exportará.

El flujo de trabajo de ciclo completo se ejecuta una vez exportados todos los registros. Este flujo de trabajo suele activar otra aplicación para procesar los datos exportados. Una vez completado este flujo de trabajo, el Exportador comprueba si hay otro tipo de datos para exportar.

Encontrará ejemplos de flujo de trabajo en el archivo $WSHOME/sample/web/exporter.xml . El subtipo (subtype) de un flujo de trabajo del Exportador es DATA_EXPORT_AUTOMATION, mientras que el tipo de autorización (authType) es WarehouseConfig.

ProcedurePara configurar la automatización del exportador

  1. En la página Configuración del exportador de datos, pulse el vínculo Editar que aparece en la sección Automatización del exportador.

  2. Si lo desea, en el menú desplegable Flujo de trabajo de inicio de ciclo puede seleccionar un flujo de trabajo para ejecutarlo antes de exportar.

  3. Si lo desea, en el menú desplegable Flujo de trabajo de inicio de ciclo puede seleccionar un flujo de trabajo para ejecutarlo después de exportar.

Configuración de la tarea de almacén

No hace falta ejecutar la tarea de exportación en un servidor dedicado, pero quizá le interese si prevé exportar grandes volúmenes de datos. La tarea de exportación transfiere los datos eficazmente desde Identity Manager al almacén y acapara el máximo posible de la CPU durante la operación de exportación. Si no utiliza un servidor dedicado, le conviene evitar que el servidor controle el tráfico interactivo, ya que el tiempo de respuesta se ralentizará rotundamente durante las exportaciones largas.

ProcedurePara configurar la información de configuración del almacén

  1. En la página Configuración del exportador de datos, pulse el vínculo Editar que aparece en la sección Configuración de tarea de almacén.

    Figura 16–4 Configuración de la programación del almacén

    Figura con la sección Configuración de la programación del almacén del exportador de datos.

  2. Seleccione una opción en el menú desplegable Modo de inicio para indicar qué tarea del almacén comienza automáticamente cuando se inicia Identity Manager. Inhabilitado significa que la tarea se debe comenzar manualmente.

  3. Marque la casilla Ejecutar como para que la tarea del Exportador se ejecute en su cuenta administrativa.

  4. Seleccione los servidores donde se puede ejecutar la tarea. Aunque es posible especificar varios servidores, sólo se puede ejecutar una única tarea del almacén a la vez. Si se detiene el servidor donde se ejecuta la tarea, el Programador la reiniciará automáticamente en otro servidor de la lista (si está disponible).

  5. Especifique el número de registros que se leen de la cola a un búfer de memoria antes de escribir en el campo de tamaño de bloque de lectura de la cola. El valor predeterminado de este campo es adecuado para la mayoría de las exportaciones. Eleve este valor si el servidor del depósito de Identity Manager es más lento que el servidor del almacén.

  6. Especifique el número de registros que se escriben en el almacén durante una única transacción en el campo de tamaño de bloque de escritura de la cola.

  7. Indique el número de subprocesos de Identity Manager que se realizan para leer los registros de la cola en el campo Queue drain Thread Count. Eleve este número si la tabla de la cola contiene muchos registros de distintos tipos. Redúzcalo si la tabla de la cola tiene pocos tipos de datos.

  8. Pulsar Guardar para guardar los cambios de configuración y regresar a la página Configuración del exportador de datos.

Modificación del objeto de configuración

Cuando el Exportador de datos está configurado y en funcionamiento, todos los tipos de datos que se configuren para la cola se capturarán en la tabla interna de la cola. Esta tabla carece de un límite superior predeterminado, pero es posible configurarlo editando el objeto de configuración Data Warehouse Configuration. Este objeto tiene anidado un objeto denominado warehouseConfig. Incluya la línea siguiente en el objeto warehouseConfig:

<Attribute name=’maxQueueSize’ value=’YourValue’/>

El valor de maxQueueSize puede ser cualquier entero positivo menor que 231. El Exportador de datos inhabilita la inclusión en la cola cuando se alcanza dicho límite. Los datos generados no se pueden exportar hasta que se ha vaciado la cola.

Durante el funcionamiento normal de Identity Manager se pueden generar varios millares de registros modificados por hora, de manera que la tabla de la cola crecerá vertiginosamente. Como la tabla de la cola se encuentra en el depósito de Identity Manager, este crecimiento consumirá espacio de tablas en el RDBMS, con el consiguiente riesgo de que se agote dicho espacio. Si el espacio de tablas es limitado, quizá sea necesario restringir la cola.

Para supervisar el tamaño de la tabla de la cola, use Data Queue JMX Mbean. Para obtener más información, consulte Supervisión del Exportador de datos.

Verificación del Exportador de datos

Una vez configurado correctamente, el Exportador de datos actúa en segundo plano enviando los datos al almacén según los intervalos configurados. Para ejecutar el Exportador cuando le interese, utilice la tarea Iniciador del exportador de almacén de datos.

ProcedurePara usar el Iniciador del exportador de almacén de datos

  1. Inhabilite la tarea de almacén. Para obtener más información, consulte Configuración de la tarea de almacén.

  2. Seleccione Tareas de servidor en el menú principal. A continuación, haga clic en la ficha secundaria Ejecutar tareas. Aparece la página Tareas disponibles.

  3. Pulse el vínculo Iniciador del exportador de almacén de datos. Aparece la página Iniciar tarea.

  4. Marque la casilla Opciones de depuración para ver otras opciones.

  5. Marque la casilla No hacer caso de LastMods iniciales para que el Exportador omita la marca de fecha y hora del último sondeo (“last polled”), con la que determina qué registros del depósito de Identity Manager se han exportado ya. Con esta opción marcada, se exportan todos los registros del depósito de Identity Manager que tienen los tipos seleccionados.

  6. Elija los tipos de datos que desea exportar en la lista Exportar una vez. Si no especifica ningún tipo de la lista Exportar una vez, la tarea de exportación ejecuta un daemon y exporta basándose en la programación previamente definida. Si elige uno o varios tipos de datos, Identity Manager los exporta de inmediato y cierra la tarea de exportación.

  7. Defina los valores que le interesen de los demás campos.

  8. Pulse Ejecutar para iniciar la tarea.

Configuración de consultas forenses

Las consultas forenses permiten a Identity Manager leer datos que se han incluido en el almacén de datos. Pueden identificar objetos de usuario o de rol basándose en valores actuales o históricos del usuario, del rol, o de tipos de datos relacionados. Una consulta forense es análoga a un informe Buscar usuario o Buscar rol, con la diferencia de que los criterios de coincidencia pueden evaluarse con datos históricos, ya que permite buscar atributos con tipos de datos distintos a los del usuario o rol consultados.

La finalidad de una consulta forense es emprender una acción con los resultados utilizando Identity Manager. La consulta forense no constituye una herramienta de informes genérica.

Una consulta forense puede plantear preguntas como éstas:

Los resultados de las consulta forenses no se pueden guardar. Los informes genéricos sobre los datos del almacén deben realizarse con herramientas comerciales de creación de informes.

Creación de consultas

Una consulta forense puede buscar objetos de usuario o de rol. Se pueden efectuar consultas forenses muy complejas, seleccionando una o más condiciones de atributo sobre tipos de datos relacionados. Las consultas forenses sobre usuarios pueden utilizar atributos de búsqueda con los tipos de datos Usuario, Cuenta, Cuenta de recursos, Rol, Derecho y Elemento de trabajo. Las consultas forenses sobre roles pueden utilizar atributos de búsqueda con los tipos de datos Rol, Usuario y Elemento de trabajo.

Dentro de un mismo tipo de datos, todas las condiciones de atributo se unen lógicamente (con el operador Y), de modo que han de cumplirse todas las condiciones para que haya una coincidencia. De manera predeterminada, se aplica el operador Y a las coincidencias se unen lógicamente entre los tipos de datos, pero si marca la casilla Utilizar O, se les aplica el operador O.

El almacén puede contener varios registros para un solo objeto de usuario o rol, y una misma consulta puede devolver múltiples coincidencias para el mismo usuario o rol. Para facilitar la distinción entre estas coincidencias, cada tipo de datos puede restringirse a un rango de fechas, de manera que sólo se consideren coincidencias los registros a partir del rango especificado. Cada tipo de datos relacionados se puede restringir a un rango de fechas, lo que permite realizar consultas del tipo:


find all Users with Resource Account on ERP1 between May and July 2005 
who were attested by Fred Jones between June and August 2005

El rango de fechas va de una medianoche a otra. Por ejemplo, del 3 de mayo de 2007 al 5 de mayo de 2007 hay un rango de 48 horas. Por tanto, no se incluiría ningún registro del 5 de mayo.

Los operandos (valores de comparación) de cada condición de atributo deben especificarse dentro de la definición de la consulta. El esquema restringe algunos atributos a un conjunto limitado de posibles valores, mientras que otros atributos carecen de restricciones. Por ejemplo, la mayoría de los campos de fecha sólo admiten el formato AAAA-MM-DD HH:mm:ss.


Nota –

Dado el gran volumen potencial de los datos del almacén y la complejidad de la consulta, puede tardarse mucho en obtener resultados. Si sale de la página de consulta mientras se ejecuta una consulta forense, no podrá ver los resultados.


ProcedurePara crear una consulta forense

  1. En la interfaz de administración, seleccione Cumplimiento en el menú principal.

    Aparece la página Directivas de auditoría (ficha Administrar directivas).

  2. Haga clic en la ficha secundaria Consulta forense.

    Aparece la página Buscar en almacén de datos.

    Figura 16–5 Buscar en almacén de datos

    Figura con la página Buscar en almacén de datos

  3. Indique si se deben buscar registros de usuario o de rol en el menú desplegable Tipo.

  4. Marque la casilla Utilizar O para que Identity Manager aplique el operador lógico O a los resultados de cada tipo de datos consultado. El sistema aplica el operador lógico Y de manera predeterminada a los resultados.

  5. Seleccione una ficha correspondiente a un tipo de datos que vayan a aparecer en la consulta forense.

    1. Pulse Agregar condición. Aparece un conjunto de menús desplegables.

    2. Seleccione un operando (condición para verificar) en el menú desplegable de la izquierda y el tipo de comparación en el de la derecha. A continuación, introduzca una cadena o un entero para la búsqueda. La lista de posibles operandos se define en el esquema externo. Todos los operandos se describen en la ayuda en línea.

    3. Si lo desea, seleccione un rango de fechas para restringir el ámbito de la consulta.

      Incluya otras condiciones necesarias para el tipo de datos seleccionado. Repita este paso con todos los tipos de datos que deban formar parte de la definición de la consulta forense.

  6. Seleccione los atributos disponibles que desea mostrar en los resultados de la consulta forense.

  7. Especifique un valor en el campo Limitar resultados al primero. Cuando se emplean condiciones de diversos tipos de datos, el límite se aplica a la subconsulta de cada tipo y el resultado final es la intersección de todas las subconsultas. En consecuencia, el resultado final puede excluir algunos registros debido al límite de una subconsulta.

  8. Haga clic en Buscar para ejecutar la consulta forense enseguida o Guardar consulta para poder reutilizarla. La reutilización de las consultas forenses se explica en Cómo guardar una consulta forense.

Cómo guardar una consulta forense

Después de configurar una consulta y, opcionalmente, ejecutarla para comprobar si produce los resultados deseados, es posible guardarla para ejecutarla en el futuro.

ProcedurePara guardar una consulta forense

  1. En la página Buscar en almacén de datos, elija Guardar consulta. Aparece la página Guardar consulta forense.

  2. Indique un nombre y una descripción para la consulta.

  3. Marque la casilla Guardar valores de condición para guardar los valores de las condiciones (cadenas y enteros) que ha introducido en la página Buscar en almacén de datos. Si no marca esta casilla, la consulta forense guardada servirá como plantilla, con lo cual deberá introducir valores cada vez que ejecute la consulta.

  4. Cualquier persona puede ejecutar una consulta guardada, pero de forma predeterminada sólo su autor puede modificarla. Para que otros usuarios puedan modificar su consulta, marque la casilla Permitir que otros alteren esta consulta.

  5. Como la consulta devuelve objetos de usuario o de rol, puede indicar qué atributos de los objetos aparecen en los resultados. Si quiere ver atributos no incluidos en la lista Atributos para mostrar, puede ir a la página Configuración del exportador de datos y agregar nuevos atributos visualizables al tipo de usuario o rol.

Carga de consultas

Es posible cargar cualquier consulta guardada por cualquier usuario, pero sólo puede alterar las consultas creadas por usted o que otros usuarios hayan marcado como modificables por cualquier persona.

ProcedurePara cargar una consulta forense

  1. En la página Buscar en almacén de datos, elija Cargar consulta. Aparece la página Cargar consulta forense. La columna Resumen de la consulta indica Consulta incompleta si la consulta se ha guardado como una plantilla.

  2. Marque la casilla situada a la izquierda de la consulta y haga clic en Cargar consulta.

Mantenimiento del Exportador de datos

A continuación se explica cómo efectuar un seguimiento del estado del Exportador de datos. Esta información se ha dividido en los temas siguientes:

Supervisión del Exportador de datos

Una vez que el Exportador está configurado y funcionando, tiene la posibilidad de supervisarlo para garantizar su funcionamiento continuo. El Exportador posee diversos beans JMX que sirven para conocer su comportamiento. Los beans JMX incluyen datos estadísticos sobre las velocidades medias de lectura/escritura para el Exportador, el tamaño actual/máximo de la cola de memoria interna y el tamaño de la cola persistente. El Exportador también produce registros de auditoría durante la exportación: uno por cada ciclo de cada tipo de datos. El registro de auditoría incluye el número de registros exportados de ese tipo y la duración de la exportación.

El Exportador de datos cuenta con los siguientes beans de administración JMX que lo supervisan.

Tabla 16–2 Beans de administración JMX

Nombre del bean  

Descripción  

DataExporter 

Contiene el número de exportaciones que hay actualmente en la cola y el límite superior de la cola. 

DataQueue 

Contiene el número de exportaciones que hay actualmente en caché en la cola y la frecuencia de llegada a la caché. 

ExporterTask 

Contiene el número de lecturas de exportación (desde Identity Manager), de escrituras de exportación (en el almacén), las velocidades de lectura y escritura (registros/segundo) y el número de errores. 

El Exportador de datos se puede configurar para incluir en una tabla de cola los registros de exportación de la cola durante el funcionamiento normal de Identity Manager. Como la cola debe poder ampliarse hasta un gran número de registros y sobrevivir al reiniciar el servidor, una tabla del depósito de Identity Manager actúa como copia de seguridad de la cola. Dado que escribir en el depósito ralentizaría las operaciones normales de Identity Manager, la cola utiliza una pequeña caché de memoria para alojar los registros hasta que puedan permanecer en el depósito.

Los atributos del MBean DataQueue se pueden ajustar para mostrar el máximo número de registros que hay en la cola en memoria (en un único servidor de Identity Manager). En un sistema equilibrado, el número de registros en la caché de memoria debería ser reducido y tender rápidamente a cero. Si observa que este número aumenta (en millares) o no devuelve cero al cabo de unos segundos, conviene que estudie el rendimiento de escritura del depósito.

El MBean ExportTask contiende dos recuentos de errores: uno de lectura y otro de escritura. Estos recuentos deben ser cero, pero pueden producirse errores por muy diversos motivos, sobre todo durante la escritura. El error de escritura más frecuente se debe a que los datos exportados no caben en las columnas de la tabla de almacén, normalmente por desbordamiento de cadena. Algunos datos de cadena exportados carecen de límites, mientras que las columnas de la tabla requieren un límite superior.

Supervisión del registro

Identity Manager tiene dos conjuntos de objetos que crecen sin límites: el registro de auditoría y el registro del sistema. El Exportador de datos solucionar algunos problemas de mantenimiento relacionados con las tablas de registro.

Registros de auditoría

Identity Manager escribe registros de auditoría inmutables en el archivo de registro de auditoría para llevar un seguimiento histórico de las operaciones que realiza. Identity Manager utiliza estos registros en determinados informes y los datos de dichos registros pueden verse en la interfaz de administración. Sin embargo, como el registro de auditoría crece ilimitadamente y a una velocidad moderada, el implementador debe establecer cuándo se trunca el registro de auditoría. Con anterioridad al Exportador de datos, si se quería preservar los registros antes de truncar, no había más remedio que volcar las tablas desde el depósito. Si el Exportador de datos está habilitado y configurado para exportar registros del registro, los antiguos registros se conservan en el almacén y Identity Manager puede truncar las tablas de auditoría en la medida necesaria.

Registros del sistema

Los registros del sistema poseen la misma propiedad inmutable que los registros de auditoría, pero no suelen generarse con tanta frecuencia. El Exportador de datos no exporta los registros del sistema. Para truncar el registro del sistema y preservar los antiguos registros, debe volcar las tablas en el depósito.