11 Healthcareユーザー監査証跡の表示
この章では、ヘルスケア統合コンポーネントおよびアプリケーションのユーザー・アクティビティの監査証跡を有効化および構成する方法を説明します。Oracle SOA Suite for healthcare integrationは、Oracleの共通監査フレームワークを使用して、ヘルスケア統合コンポーネントに対するユーザー・アクティビティをログします。
この章のトピックは、次のとおりです:
11.1 監査証跡の概要
Oracle監査フレームワークは、構成されたコンポーネントに影響を与えるイベントに関する情報を収集して格納し、これらのコンポーネントのアクティビティに関する監査ログを提供して、コンプライアンス要件のサポートを支援します。それぞれのSOA Suiteコンポーネントの監査は、監査ポリシーによって定義されます。監査ポリシーは、監査ログに取得するコンポーネントとアクティビティを定義します。
必要な情報のみを取得して他の情報は無視するように監査ポリシーを構成できます。これはOracle Enterprise Managerの「監査ポリシー」ページで行います。詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』の監査ポリシーの管理に関する項を参照してください。
それぞれのアプリケーションとコンポーネントの監査可能なイベントのセットは、監査ポリシーによって定義され、各アプリケーションによって異なります。コンポーネントのイベント・リストを開くと、そのコンポーネントで監査可能なイベントのみがリストに表示されます。さらに、各イベントについて、成功した試行のみをログするか、失敗した試行のみをログするかを指定できます(現在Oracle SOA Suite for healthcare integrationは、成功した試行のみをログします)。
監査を構成する際は、次の監査レベルから選択できます。
-
低: このオプションでは、監査ポリシー・リストの監査可能なすべてのコンポーネントから、Oracle SOA Suite for healthcare integrationイベントのサブセットを含むイベントのサブセットが選択されます。このオプションでは、カスタム・フィルタは作成できません。
-
中: このオプションでは、監査ポリシー・リストの監査可能なすべてのコンポーネントから、すべてのOracle SOA Suite for healthcare integrationイベントを含むイベントのより大きなサブセットが選択されます。このオプションでは、カスタム・フィルタは作成できません。
-
カスタム:このオプションを使用すると、監査するコンポーネント、イベントおよび条件のみを選択できます。これはOracle SOA Suite for healthcare integrationで推奨されるレベルです。Oracle Healthcareの監査を有効にするには、Oracle Enterprise Managerコンソールでこのレベルを選択する必要があります。
実行したアクションや使用したコンポーネントに関係なくアクティビティを監査するユーザーのリストも指定できます。これらのユーザーに対しては、定義した監査レベルまたはフィルタに関係なく監査が行われます。
11.1.1 Oracle SOA Suite for Healthcare Integrationの監査オプション
監査可能なコンポーネントとイベントは、Oracle Enterprise Managerの「監査ポリシー」ページにリストされます(Weblogicドメイン→「セキュリティ」→「監査ポリシー」)。これらのオプションを表示または構成するには、「監査コンポーネント名」リストから「Oracle SOA Suite for healthcare integration」を選択し、「監査レベル」リストから「カスタム」を選択して、イベントの隣のチェック・ボックスをクリックします。
注意:
現在はSUCCESSイベントのみが監査されます。FAILUREイベントは選択しないでください。
Oracle SOA Suite for healthcare integrationでは現在、次のコンポーネントとイベントの監査がサポートされています(リストには他のイベントも表示されますが、それらのログは現在のところ行われません)。
-
ユーザー・セッション
-
ユーザー・ログイン
-
ユーザー・ログアウト
-
-
エンドポイント管理
-
エンドポイントの有効化
-
エンドポイントの無効化
-
-
ドキュメント管理
-
メッセージの再発行
-
メッセージのパージ
-
ペイロードの読取り
-
-
構成
-
インポート
-
エクスポート
-
11.1.2 監査でのフィルタ条件の使用
それぞれのイベントについて、成功条件のフィルタを定義できます。フィルタでは、イベントの属性に基づいたルールベースの式を使用します。Oracle SOA Suite for healthcare integrationのほとんどのユーザー・アクセス監査では、次の属性をフィルタ式に使用できます。
-
ホストID
-
ホスト・ネットワーク・アドレス
-
イニシエータ
-
クライアントIPアドレス
-
リソース
-
ドメイン名
-
ターゲット・ユーザー
-
ロール
-
監査ユーザー
式にはANDおよびOR演算子に加え、次と等しい、次で始まる、次を含む、次と等しくない。といった様々な比較関数を含めることができます。
11.2 Healthcare Integration監査証跡の構成
監査ポリシーは、Oracle Enterprise Managerで監査ログに含めるイベントやコンポーネント選択することで構成します。現在、Oracle B2Bコンポーネントおよびイベントは、監査証跡に含まれません。
デフォルトの構成は低および中の監査レベルの2つで、コンポーネントまたはイベントの定義済のサブセットが選択されます。これらはOracle SOA Suite for healthcare integrationではお薦めできません。なぜなら、これらは、Oracle SOA Suite for healthcare integrationのコンポーネントのみでなく、監査可能なすべてのコンポーネントに影響するからです。これらのオプションのいずれかを選択すると、無関係な監査エントリと不必要に大きな監査ログが生成される可能性があります。さらに、これら2つのオプションでは、フィルタをまったく定義できません。
次の手順は、カスタムレベルの監査ポリシー構成に適用されます。
ヘルスケア統合の監査を構成する手順は次のとおりです。
11.3 ユーザー監査ログの表示
イベントが監査ログの入力をトリガーすると、イベント情報が監査ログ・ファイルに書き込まれます。
監査ログには次の情報が取得されます。入力をトリガーしたイベント・タイプに応じて、これらのフィールドの一部は空になる場合もあります。
-
日時
-
イベントのイニシエータ
-
イベント・タイプ
-
イベント・ステータス
-
メッセージ・テキスト(何が発生したかを示します)
-
ECID
-
RID
-
コンテキスト・フィールド
-
セッションID
-
ターゲット・コンポーネント・タイプ
-
アプリケーション名
-
イベント・カテゴリ
-
スレッドID
-
失敗コード
-
リモートIPアドレス
-
ターゲット
-
リソース
-
ロール
-
認証方式
-
理由
監査ログ・ファイルは直接表示できます。これは次の場所に書き込まれます。
fmw_home/user_projects/domains/domain_name/servers/managed_server_name/logs/auditlogs/SOA-HCFP/audit.log