この章の内容は次のとおりです。
権限
この章のタスクを実行するには、Oracle WebLogic Server管理コンソールでWebLogic ServerのAdmin
ロールが付与されている必要があります。Monitor
またはOperator
ロールを持つユーザーは、セキュリティ情報を表示できますが変更することはできません。
「管理操作、ロールおよびツールの理解」も参照してください。
監査ログを有効にすると、Fusion Middleware監査サービスの一環として、ポータル関連のイベントが追跡されます。デフォルトでは、監査ログ・イベントはファイル(監査バスストップ)に格納されますが、データベースにアップロードして永続化することもできます(詳細は、「監査ストア・データベースの構成」を参照)。監査バスストップ・ファイルの容量にはかぎりがあるため、ログ情報をデータベースに格納することをお薦めします。そうすることで、イベントの発生から長時間経過した後でも、そのイベントを問い合せできるようになります。
注意:
WebCenter Portal偽装を有効にする場合は、監査ログも有効にすることを強くお薦めします。偽装を有効にすると、監査ログによって、偽装者、被偽装者およびイベントのコンテキストが追跡されます。
監査ログの主な利点は次のとおりです。
ポータル、ポータル・サーバーおよびポータル・サーバーの主要アーティファクトのセキュリティ設定を変更するイベントを追跡できます
ロギング・レベルを定義できます
ログに記録されたイベントをデータベースにアップロードすると、それらは永続的に参照可能になります。
監査サービスを通じて、監査イベントに関するレポートを参照できます。
監査サービスとその構成の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のOracle Fusion Middleware監査フレームワークの概要に関する項を参照してください。監査サービスを構成してデータベースを使用する方法の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』の監査の構成および管理に関する項を参照してください。初期設定の監査サービス・レポートの詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』の事前作成監査レポートに関する項を参照してください。
この項では、WebCenter Portalのログを有効および無効にする方法、ログ・レベルを設定する方法および監査ストア・データベースを設定する方法について説明します。
この項には、次の項目が含まれます。
デフォルトでは、WebCenter Portalの監査ログは無効になっています(つまりNone
に設定されています)。これを有効にするには、次の例のように、ロギング・レベルをNone
以外の値(Low
など)に設定します。各ロギング・レベルに含まれるロギング・カテゴリの詳細は、「WebCenter Portal監査ログの使用」を参照してください。
WebCenter Portal監査イベントの監査ロギング・レベルを変更するには、次のWLSTコマンドを使用します。
ロギング・レベルをLow
に設定する場合:
setAuditPolicy(componentType="webcenter",filterPreset="Low")
次のようにロギング・レベルをMedium
に設定します。
setAuditPolicy(componentType="webcenter",filterPreset="Medium")
WebCenter Portalのログを無効にする場合:
setAuditPolicy(componentType="webcenter",filterPreset="None")
正常に実行された場合、エラーはスローされず、警告なしで完了します。WC_Portal
サーバーを再起動して、ロギング・レベルの変更を完了します。
監査ロギングの管理および構成に使用できるその他のWLSTコマンドの詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』の監査のためのWLSTコマンドに関する項を参照してください。
監査ストアは、リポジトリ作成ユーティリティ(RCU)によって作成される、事前定義済のOracle Fusion Middleware監査フレームワーク・スキーマを含むデータベースです。デフォルトでは、監査ログは次の例のように、auditlogs
ディレクトリ内のファイルとして格納されます。
DOMAIN_HOME/servers/WC_Portal/logs/auditlogs/webcenter#11.1.1.4.0/audit_1_0.log
データベース永続性が構成されると、監査ローダーはこのファイルからデータを取得し、それを監査フレームワーク・スキーマ内に配置します。監査サービスを構成してデータベースを使用する方法の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』の監査の構成および管理に関する項を参照してください。
監査スキーマの名前を確認する必要があります(接尾辞は常にIAUです)。また、次のように監査リポジトリをデータベースに設定する必要があります。
setAuditRepository(switchToDB='true',dataSourceName='jdbc/AuditDB',interval='15')
注意:
ストア内の監査データは累積されることが予想され、時間の経過に伴って増加します。データベースは、他のアプリケーションによって使用される運用データベースではなく、監査専用のスタンドアロンRDBMSであるのが理想的です。
この項では、監査ログに記録されるWebCenter Portal監査イベントについて説明し、監査スキーマへの偽装イベントの問合せに使用できる単純なSQL文を紹介します。
この項では、次の内容について説明します。
表24-1は、設定したログ・レベルに応じて監査ログに記録されるWebCenter Portal監査イベントを示しています。各WebCenter Portalツール(ドキュメント、お知らせ、ディスカッション、Wikiとブログ、フォーラム、フォーラム・メッセージ、フォーラム・トピック、フォーラム・カテゴリなど)は、ログ内の対応するToolArtifactIDとToolTypeによって識別されます。
ログ・レベルをLow
に設定した場合、次のカテゴリのイベントがログに記録されます。
PortalLifeCycle
PortalRoleManagement
PortalRoleMemberManagement
PortalToolAccessManagement
ImpersonationSessionMgmt
ログ・レベルをMedium
に設定した場合、さらに次のカテゴリのイベントがログに記録されます。
PortalToolsManagement
PortalPagesManagement
表24-1 WebCenter Portal監査イベント
Event Category | Event Name | Event Payload |
---|---|---|
PortalLifeCycle |
LoginPortalServer、CreatePortal、DeletePortal、ImportPortal、ExportPortal、DeployPortal、PropagatePortal |
InitiatorUID、InitiatorMail、InitiatorDisplayName、ImpersonatorUID、PortalID、PortalName、PotalDisplayName、PortalURL、PortalTemplate、PortalOldState、PortalNewState、TargetPortalConnection |
PortalRoleManagement |
CreateRole DeleteRole PermissionUpdate |
InitiatorUID、InitiatorMail、InitiatorDisplayName、ImpersonatorUID、PortalID、PortalName、RoleName、RoleTemplate、PermissionClass、PermissionName、PermissionActionsGranted、PermissionActionsRevoked |
PortalRoleMemberManagement |
AddMemberToRole RemoveMemberFromRole |
InitiatorUID、InitiatorMail、InitiatorDisplayName、ImpersonatorUID、PortalID、PortalName、RoleName、MemberType、MemberUID、ServiceID |
ImpersonationSessionMgmt |
GrantImpersonationAccessRevokeImpersonationAccessBeginImpersonationEndImpersonation |
InitiatorUID、InitiatorMail、InitiatorDisplayName、ImpersonatorUID、ImpersonateeUID、PortalID、PortalName、ImpersonationStartTime、ImpersonationEndTime、ImpersonationGrantStartTime、ImpersonationEndTime、ImpersonationRightRevokeTime |
PortalToolsManagement |
CreateTool、DeleteTool ModifyTool |
InitiatorUID、InitiatorMail、InitiatorDisplayName、ImpersonatorUID、PortalID、PortalName、ToolArtifactID、ToolName、ToolType |
PortalToolAccessManagement |
ToolAccessPermissionUpdate GrantToolAccess RevokeToolAccess |
InitiatorUID、InitiatorMail、InitiatorDisplayName、ImpersonatorUID、PortalID、PortalName、ToolName、ToolType、ToolArtifactID、MemberUID、MemberType、PermissionActionsGranted、PermissionActionsRevoked、PermissionClass、PermissionName |
PortalPagesManagement |
CreatePage DeletePage |
InitiatorUID、InitiatorMail、InitiatorDisplayName、ImpersonatorUID、PortalID、PortalName、PageID、PageName |