审计策略扫描和报告
本节介绍了有关审计策略扫描的信息,以及运行和管理审计扫描的步骤。
扫描用户和组织
扫描可以在单个的用户或组织上运行选定的审计策略。您可能要扫描用户或组织以查看是否发生了特定违规,或执行未分配给用户或组织的策略。可以从界面的“帐户”区域启动扫描。
注 –
您还可以从“服务器任务”选项卡中启动或调度审计策略扫描。
扫描用户帐户或组织
-
在管理员界面中,从主菜单中选择“帐户”。
-
在“帐户”列表中,执行以下任一操作:
-
选择一个或多个用户,然后从“用户操作”选项列表中选择“扫描”。
-
选择一个或多个组织,然后从“组织操作”选项列表中选择“扫描”。
将显示“启动任务”对话框。图 15–1 是审计策略用户扫描的“启动任务”页示例。
图 15–1 “启动任务”对话框
-
-
在“报告标题”字段中输入扫描的标题。(必需)
-
指定其余选项。
这些选项包括:
-
报告摘要:输入扫描的描述。
-
添加策略:选择一个或多个要运行的审计策略。必须至少指定一个策略。
-
策略模式:选择策略模式,以确定选定策略与已分配策略的用户之间的交互方式。分配可直接来自用户或来自分配了用户的组织。
-
不创建违规:如果要对审计策略进行评估并报告违规,但不希望创建或更新遵循性违规,也不希望执行修正工作流,则启用此框。不然,扫描操作的任务结果会显示创建的违规。在测试审计策略时,此选项非常有用。
-
是否执行修正工作流?:启用此框可运行在审计策略中分配的修正工作流。如果审计策略未定义修正工作流,将不运行任何修正工作流。
-
违规限制:编辑此框可设置扫描中止前可发出的最大遵循性违规数。此值提供一种安全保护措施,可限制运行审计策略(这些审计策略在检查时可能过于危险)所带来的风险。空值表示未设置任何限制。
-
电子邮件报告:启用此框可指定报告收件人。也可以让 Identity Manager 附加一个包含 CSV(Comma-separated Values,逗号分隔值)格式报告的文件。
-
覆盖默认 PDF 选项:启用此框可覆盖默认 PDF 选项。
-
-
单击“启动”开始扫描。
要查看审计扫描的报告结果,请查看“审计者报”。
使用审计者报告
Identity Manager 提供了许多审计者报告。下表介绍了这些报告。
表 15–1 Auditor 报告描述|
Auditor 报告类型 |
描述 |
|---|---|
|
访问查看范围 |
显示选定访问查看所指的用户之间的重叠部分或差异部分。由于大多数访问查看的用户范围都由查询或某项成员资格操作所指定,因此实际的用户集会随时间而变化。此报告可显示由两个不同的访问查看所指定的用户之间的重叠部分和/或差异部分(以确定查看在操作中是否有效);由两个不同的访问查看所生成的权利之间的重叠部分和/或差异部分(以确定范围是否随时间而变化);用户和权利之间的重叠部分和/或差异部分(以确定是否为查看范围内的所有用户生成了权利)。 |
|
访问查看详细信息 |
显示所有用户权利记录的当前状态。该报告可以按用户的组织、访问查看和访问查看实例、权利记录的状态和证明者进行过滤。 |
|
访问查看摘要 |
提供有关所有访问查看的摘要信息。它概述了列出的每个访问查看扫描的扫描的用户、扫描的策略以及证明活动的状态。 |
|
访问扫描用户范围 |
比较选定的扫描以确定扫描范围中包含哪些用户。它可显示重叠部分(包含在所有扫描中的用户)或差异部分(包含在多个扫描但未包含在全部扫描中的用户)。尝试组织多个访问扫描以包含相同用户或不同用户(视扫描需求而定)时,此报告非常有用。 |
|
审计策略摘要 |
该报告概述了所有审计策略的关键元素,包括每个策略的规则、修正者和工作流。 |
|
审计的属性 |
该报告显示所有指示指定的资源帐户属性变更的审计记录。 该报告可搜索每个已存储的可审计属性的审计数据。它将基于任何扩展的属性搜索数据,而这些扩展的属性可从 WorkflowServices 或标记为可审计的资源属性指定。有关配置此报告的信息,请参见配置审计属性报告。 |
|
审计策略违规历史 |
在指定时间段内创建的每个策略的所有遵循性违规的图形视图。可以按策略过滤该报告,并可以按天、周、月或季对其进行分组。 |
|
用户访问 |
显示特定用户的审计记录和用户属性。 |
|
组织违规历史 |
在特定时间段内创建的每个资源的所有遵循性违规的图形视图。可以按组织过滤该报告,并可以按天、周、月或季对其进行分组。 |
|
资源违规历史 |
在指定时间范围内创建的每个资源的所有遵循性违规的图形视图。 |
|
任务划分 |
显示冲突表中安排的任务划分违规。使用基于 Web 的界面时,您可以通过单击链接来访问其他信息。 可以按组织过滤该报告,并可以按天、周、月或季对其进行分组。 |
|
违规摘要 |
显示当前所有的遵循性违规。可以按修正者、资源、规则、用户或策略过滤该报告。 |
可通过 Identity Manager 界面中的“报告”选项卡查看这些报告。
注 –
RULE_EVAL_COUNT 值等于在策略扫描期间计算的规则数。该值有时包含在报告中。
Identity Manager 按如下方式计算 RULE_EVAL_COUNT 值:
扫描的用户数 x(策略中的规则数 + 1)
计算中包含 +1 是因为,Identity Manager 还将策略规则计算在内,这是实际确定是否违反策略的规则。策略规则检查审计规则结果,并执行布尔逻辑以得出策略结果。
例如,如果策略 A 包含三个规则,策略 B 包含两个规则,并且您已扫描 10 个用户,则 RULE_EVAL_COUNT 值等于 70,原因如下:
10 个用户 x(3 + 1 + 2 + 1 个规则)
创建 Auditor 报告
要运行报告,必须先创建报告模板。您可以为报告指定各种条件,包括指定接收报告结果的电子邮件收件人。创建并保存报告模板后,可在“运行报告”页中查看该报告模板。
下图显示了具有已定义审计者报告列表的“运行报告”页示例。
图 15–2 “运行报告”页选项
创建审计者报告
-
在管理员界面中,单击主菜单中的“报告”。
将打开“运行报告”页。
-
选择“审计者报告”作为报告类型。
-
在报告的“新建”列表中选择一个报告。
将显示“定义报告”页。报告对话框的字段和布局因每个报告类型而异。有关指定报告条件的信息,请参阅 Identity Manager 帮助。
输入并选择了报告条件后,您可以执行以下操作:
-
运行报告而不保存。
单击“运行”开始运行报告。Identity Manager 不保存报告(如果定义新报告)或更改的报告条件(如果编辑现有报告)。
-
保存报告。
单击“保存”以保存报告。保存报告后,您可从“运行报告”页(报告列表)运行报告。从“运行报告”页运行报告后,您可以通过“查看报告”选项卡立即查看或稍后查看输出。
有关调度报告的信息,请参见调度报告。
-
配置审计属性报告
审计属性报告(请参见表 15–1)可以报告对 Identity Manager 用户和帐户所做的属性级别的更改。但是,标准的审计日志记录不会生成足够的审计日志数据来支持完整的查询表达式。
标准的审计日志记录会将更改的属性写入审计日志的 acctAttrChanges 字段中,但是更改属性的写入方式使报告查询只能基于更改属性的名称来与记录匹配。报告查询不能准确地与属性值进行匹配。
可以通过指定以下参数对报告进行配置,使其与包含对属性 lastname 所做的更改的记录进行匹配:
Attribute Name = ’acctAttrChanges’ Condition = ’contains’ Value = ’lastname’
注 –
由于数据在 acctAttrChanges 字段中的存储方式,必须使用 Condition=’contains’。此字段不具有多值属性。实际上,它是一个包含所有更改属性的之前/之后值的数据结构,其表示形式为 attrname=value。因此,上述设置允许报告查询与 lastname= xxx 的任何实例相匹配。
也可以只捕获那些特定属性为特定值的审计记录。为此,请按照配置“审计”选项卡一节中的步骤进行操作。选中“审计整个工作流”复选框,单击“添加属性”按钮以选择为生成报告而要记录的属性,然后单击“保存”。
接下来,启用任务模板配置(如果尚未启用)。为此,请按照启用任务模板一节中的步骤进行操作。不要更改“选定的进程类型”列表中的默认值,只需单击“保存”。
现在,工作流可以提供能够同时匹配属性名称和属性值的审计记录了。虽然,启用此级别的审计可以提供更多的信息,但是要注意,这会显著增加性能开销,使工作流的运行速度变慢。
- © 2010, Oracle Corporation and/or its affiliates