3 監査構成のWLSTコマンド
表3-1に表示されているWLSTコマンドを使用して、監査ポリシーおよび監査リポジトリ設定を表示し管理します。
表3-1 WLST監査コマンド
| このコマンドを使用します | 目的 | 使用するWLST |
|---|---|---|
|
データベースでIAUビューを作成するSQLスクリプトを生成します。 |
オンライン |
|
|
データベースで監査定義を作成するSQLスクリプトを生成します。 |
オンライン |
|
|
指定したコンポーネントの監査定義を監査ストアから削除します。 |
オンライン |
|
|
コンポーネントの監査設定をエクスポートします。 |
オンライン |
|
|
ビューに関する情報を取得します。 |
オンライン |
|
|
Java EE以外のコンポーネントのmBean名を表示します。 |
オンライン |
|
|
監査ポリシー設定を表示します。 |
オンライン |
|
|
監査リポジトリ設定を表示します。 |
オンライン |
|
|
コンポーネントの監査設定をインポートします。 |
オンライン |
|
|
監査可能なコンポーネントを一覧表示します。 |
オンライン |
|
|
1つまたはすべてのコンポーネントに対する監査イベントのリストを作成します。 |
オンライン |
|
|
監査ポリシー設定を更新します。 |
オンライン |
|
|
監査リポジトリ設定を更新します。 |
オンライン |
|
|
指定したコンポーネントの監査定義を監査ストアに登録します。 |
オンライン |
『Oracle Platform Security Servicesによるアプリケーションの保護』の「Oracle Fusion Middleware監査フレームワークの概要」を参照してください。
createIAUView
データベースでIAUビューを作成するSQLスクリプトを生成します。
説明
生成されたスクリプトは、デフォルトで、コンポーネントが監査サービスに登録されている場合はSIMPLEビューを作成します。SIMPLEからINDEXABLEへとビューを切り替えるか、またはデータベースにビューを作成します。INDEXABLEビューは、Oracleデータベースのみでサポートされています。SIMPLEビューは、IAU_VIEWERスキーマのすべてのサポートされるデータベース用に作成することができます。
構文
createIAUView(componentType, [viewType])
| 引数 | 定義 |
|---|---|
|
|
定義がビューの基礎となるコンポーネントです。 |
|
|
ビューのタイプ。有効な値はSIMPLEまたはINDEXABLEです。デフォルトはSIMPLEです。 |
例
wls:/mydomain/serverConfig>createIAUView(componentType="AuditApp, viewType="INDEXABLE")
wls:/mydomain/serverConfig>createIAUView(componentType="AuditApp, viewType="SIMPLE")
wls:/mydomain/serverConfig>createIAUView(componentType="AuditApp") 親トピック: 監査構成のWLSTコマンド
createAuditDBView
データベースで監査のビューを生成するSQLスクリプトを作成します。
説明
このコマンドは、指定したコンポーネントの監査定義のデータベース・ビューを作成するために使用するSQLスクリプトを生成します。スクリプトは指定したファイルに書き込まれるとともに、コンソールに出力されます。
SQLスクリプトを実行すると、サイトの監査モデルに応じて次のように結果になります。
-
11.1.1.6.0モデルを使用していて、コンポーネントが監査ストアに登録されている場合、スクリプトは、指定したコンポーネントのシステム・コンポーネント表(IAU_COMMON、IAU_USERSESSION、IAU_AUDITSERVICEおよびIAU_CUSTOM)を使用してビューを作成します。
-
11.1.1.6.0より前のモデルを使用していて、コンポーネントは監査ストアに登録されていないが、イベント定義はcomponent_events.xmlファイル(oracle_common/modules/oracle.iau_11.1.1/components/componentTypeディレクトリ内)にある場合、IAU_BASEおよびコンポーネント表を使用してビューが作成されます。
構文
createAuditDBView(fileName, componentType, [dbType], [viewType])
| 引数 | 定義 |
|---|---|
|
|
SQLスクリプトが書き込まれるパスとファイル名。 |
|
|
登録されたコンポーネントの名前。 |
|
|
データベース・タイプ。次のいずれかになります: DB_ORACLE、MS_SQL_SERVER、IBM_DB2。 |
|
|
ビュー・タイプ。次のいずれかになります: SIMPLE、INDEXABLE。 |
例
wls:/mydomain/serverConfig>
createAuditDBView(fileName="/tmp/JPSAuditView.sql", componentType="JPS",
dbType="DB_ORACLE", viewType=INDEXABLE)親トピック: 監査構成のWLSTコマンド
deregisterAudit
コンポーネントのイベント定義および変換コンテンツを監査ストアから削除します。
説明
指定したコンポーネントの既存のイベント定義および変換コンテンツまたはアプリケーションを監査ストアから削除します。
構文
deregisterAudit(componentType)
| 引数 | 定義 |
|---|---|
|
|
定義を削除するコンポーネントを指定します。 |
例
wls:/mydomain/serverConfig> deregisterAudit(componentType="AuditApp")
親トピック: 監査構成のWLSTコマンド
exportAuditConfig
コンポーネントの監査設定をエクスポートするオンライン・コマンドを示します。
説明
このコマンドは、監査設定をファイルにエクスポートします。Java EE以外のコンポーネントの場合は、コンポーネントmbean名をパラメータとして渡します。Oracle Platform Security Services (OPSS)などJava EEアプリケーションおよびサービスでは、mbeanパラメータは不要です。
ノート:
getNonJavaEEAuditMBeanNameコマンドを使用して、Java EE以外のコンポーネントのMBean名を取得できます。
構文
exportAuditConfig([mbeanName],fileName, [componentType])
| 引数 | 定義 |
|---|---|
|
|
Java EE以外のコンポーネントのMBeanの名前を指定します。 |
|
|
監査設定をエクスポートする必要があるパスおよびファイル名を指定します。 |
|
|
特定のコンポーネントのイベントのみをファイルにエクスポートすることを指定します。指定しない場合、 |
例
次の例は、コンポーネントの監査設定をエクスポートします。
wls:/mydomain/serverConfig> exportAuditConfig(on='oracle.security.audit.test:type=CSAuditMBean, name=CSAuditProxyMBean',fileName='/tmp/auditconfig')
次の例は、Java EEコンポーネントの監査設定をエクスポートします。mBeanは指定されていません。
wls:/mydomain/serverConfig> exportAuditConfig(fileName='/tmp/auditconfig')
親トピック: 監査構成のWLSTコマンド
getIAUViewInfo
コンポーネントのビューに関する情報を返します。
説明
指定したコンポーネントのビューに関する情報を取得します。
構文
getIAUViewInfo(componentType)
| 引数 | 定義 |
|---|---|
|
|
定義がビューの基礎となるコンポーネントです。 |
例
wls:/mydomain/serverConfig> getIAUViewInfo(componentType="JPS")
親トピック: 監査構成のWLSTコマンド
getNonJavaEEAuditMBeanName
Java EE以外のコンポーネントのmbean名を表示するオンライン・コマンドを示します。
説明
このコマンドは、インスタンス名、コンポーネント名、コンポーネントのタイプおよびコンポーネントの監査mbeanが実行しているOracle WebLogic Serverを指定したJava EE以外のコンポーネントのmbean名を表示します。mbeanは、Java EE以外のコンポーネントを管理するときに別の監査WLSTコマンドに対して必要なパラメータです。
構文
getNonJavaEEAuditMBeanName(instName, compName, compType, svrName)
| 引数 | 定義 |
|---|---|
|
|
アプリケーション・サーバー・インスタンスの名前を指定します。 |
|
|
コンポーネント・インスタンスの名前を指定します。 |
|
|
コンポーネントのタイプを指定します。有効な値は、ohs、oid、ovdおよびWebCache。 |
|
|
Oracle WebLogic Serverの名前を指定します。 |
例
次の例は、Oracleインターネット・ディレクトリのmBean名を表示します。
wls:/mydomain/serverConfig> getNonJavaEEAuditMBeanName(instName='inst1', compName='oid1', compType='oid', svrName='AdminServer')
親トピック: 監査構成のWLSTコマンド
getAuditPolicy
監査ポリシー設定を表示するオンライン・コマンドを示します。
説明
このコマンドは、フィルタの事前設定、特定ユーザー、カスタム・イベント、ログ・ファイルの最大サイズおよびログ・ディレクトリの最大サイズを含む監査ポリシー設定を表示します。コンポーネントmbean名は、Oracle HTTP ServerなどJava EE以外のコンポーネントに必要です。
ノート:
getNonJavaEEAuditMBeanNameコマンドを使用して、Java EE以外のコンポーネントのMBean名を取得できます。
構文
getAuditPolicy([mbeanName, componentType])
| 引数 | 定義 |
|---|---|
|
|
Java EE以外のコンポーネントに対してコンポーネント監査MBeanの名前を指定します。 |
|
|
監査ストアに登録されている特定のコンポーネントの監査ポリシーを要求します。指定しない場合、 |
例
次の例は、Java EEコンポーネントの監査設定を表示します。
wls:/mydomain/serverConfig> getAuditPolicy(componentType='JPS'); Location changed to domainRuntime tree. This is a read-only tree with DomainMBean as the root. For more help, use help(domainRuntime) FilterPreset:All Max Log File Size:104857600
次の例は、MBean CSAuditProxyMBeanの監査設定を表示します。
wls:/mydomain/serverConfig> getAuditPolicy(on='oracle.security.audit.test:type=CSAuditMBean, name=CSAuditProxyMBean')
親トピック: 監査構成のWLSTコマンド
getAuditRepository
監査リポジトリ設定を表示するオンライン・コマンドを示します。
説明
このコマンドは、Java EEコンポーネントおよびアプリケーション(Oracleインターネット・ディレクトリなどその他のコンポーネントの場合は、リポジトリ設定は、opmn.xmlに存在しています)の監査リポジトリ設定を表示します。また、リポジトリはデータベース型の場合、データベース設定を表示します。
構文
getAuditRepository
例
次の例は、監査リポジトリ設定を表示します。
wls:/IDMDomain/domainRuntime> getAuditRepository() Already in Domain Runtime Tree Repository Type:File
親トピック: 監査構成のWLSTコマンド
importAuditConfig
コンポーネントの監査設定をインポートするオンライン・コマンドを示します。
説明
このコマンドは、外部ファイルから監査設定をインポートします。Java EE以外のコンポーネントの場合は、コンポーネントmbean名をパラメータとして渡します。Oracle Platform Security Services (OPSS)などJava EEアプリケーションおよびサービスでは、mbeanパラメータは不要です。
ノート:
getNonJavaEEAuditMBeanNameコマンドを使用して、Java EE以外のコンポーネントのMBean名を取得できます。
構文
importAuditConfig([mbeanName],fileName, [componentType])
| 引数 | 定義 |
|---|---|
|
|
Java EE以外のコンポーネントのMBeanの名前を指定します。 |
|
|
監査設定をインポートする必要があるパスおよびファイル名を指定します。 |
|
|
特定のコンポーネントのイベントのみをファイルからインポートすることを指定します。指定しない場合、 |
例
次の例は、コンポーネントの監査設定をインポートします。
wls:/mydomain/serverConfig> importAuditConfig(on='oracle.security.audit.test:type=CSAuditMBean, name='CSAuditProxyMBean',fileName='/tmp/auditconfig')
次の例は、ファイルから監査設定をインポートします。mBeanは指定されていません。
wls:/mydomain/serverConfig> importAuditConfig(fileName='/tmp/auditconfig')
親トピック: 監査構成のWLSTコマンド
listAuditComponents
監査可能なコンポーネントを一覧表示します。
説明
このコマンドは、監査可能なコンポーネントのリストを作成します。11.1.1.6.0モデルおよび11.1.1.6.0より前のモデルを使用する監査ストアに登録されたコンポーネントを一覧表示します。
構文
listAuditComponents(fileName)
| 引数 | 定義 |
|---|---|
|
|
出力が書き込まれるパスとファイル名を指定します。 |
例
listAuditComponents(fileName = "/tmp/complist.txt")
親トピック: 監査構成のWLSTコマンド
listAuditEvents
コマンドの監査イベントを表示するオンライン・コマンドを示します。
説明
このコマンドは、コンポーネントの監査イベントおよび属性を表示します。Java EE以外のコンポーネントの場合は、コンポーネントmbean名をパラメータとして渡します。Oracle Platform Security Services (OPSS)などJava EEアプリケーションおよびサービスでは、mbeanパラメータは不要です。コンポーネント・タイプを指定しない場合、すべてのコンポーネントに適用可能な汎用属性がすべて表示されます。
ノート:
getNonJavaEEAuditMBeanNameコマンドを使用して、Java EE以外のコンポーネントのMBean名を取得できます。
構文
listAuditEvents([mbeanName],[componentType])
| 引数 | 定義 |
|---|---|
|
|
コンポーネントMBeanの名前を指定します。 |
|
|
コンポーネント・タイプを指定します。リストに表示される情報は、そのコンポーネント・タイプのすべてのイベントに限定されます。 |
例
次の例は、Oracle Platform Security Servicesコンポーネントの監査イベントを表示します。
wls:/IDMDomain/domainRuntime> listAuditEvents(componentType='JPS'); Already in Domain Runtime Tree Common Attributes ComponentType Type of the component. For MAS integrated SystemComponents this is the componentType InstanceId Name of the MAS Instance, that this component belongs to HostId DNS hostname of originating host HostNwaddr IP or other network address of originating host ModuleId ID of the module that originated the message. Interpretation is unique within Component ID. ProcessId ID of the process that originated the message
次の例は、Oracle HTTP Serverの監査イベントを表示します。
wls:/mydomain/serverConfig> listAuditEvents(componentType='ohs')
次の例は、すべての監査イベントを表示します。
wls:/IDMDomain/domainRuntime> listAuditEvents(); Already in Domain Runtime Tree Components: DIP JPS OIF OWSM-AGENT OWSM-PM-EJB ReportsServer WS-PolicyAttachment WebCache WebServices Attributes applicable to all components: ComponentType InstanceId HostId HostNwaddr ModuleId ProcessId OracleHome HomeInstance ECID RID ...
親トピック: 監査構成のWLSTコマンド
setAuditPolicy
監査ポリシーを更新するオンライン・コマンドを示します。
説明
監査ポリシー設定を行うオンライン・コマンドを示します。フィルタ初期設定、ユーザーの追加または削除、カスタム・イベントの追加または削除を実行できます。コンポーネントmbean名は、Oracle HTTP ServerなどJava EE以外のコンポーネントに必要です。
ノート:
getNonJavaEEAuditMBeanNameコマンドを使用して、Java EE以外のコンポーネントのMBean名を取得できます。
構文
setAuditPolicy([mbeanName],[filterPreset],[addSpecialUsers], [removeSpecialUsers],[addCustomEvents],[removeCustomEvents], [componentType], [maxFileSize], [andCriteria], [orCriteria], [componentEventsFile])
| 引数 | 定義 |
|---|---|
|
|
Java EE以外のコンポーネントに対してコンポーネント監査MBeanの名前を指定します。 |
|
|
変更するフィルタ初期設定を指定します。 |
|
|
追加する特別なユーザーを指定します。 |
|
|
削除する特別なユーザーを指定します。 |
|
|
追加するカスタム・イベントを指定します。 |
|
|
削除するカスタム・イベントを指定します。 |
|
|
更新するコンポーネント定義タイプを指定します。コンポーネントの監査ランタイム・ポリシーが監査ストアに登録されます。指定しない場合、jps-config.xmlに定義されている監査設定が変更されます。 |
|
|
ログ・ファイルの最大サイズを指定します。 |
|
|
事前定義済のカスタム・フィルタ定義において |
|
|
事前定義済のカスタム・フィルタ定義において |
|
|
11gリリース1 (11.1.1.6)のメタデータ・モデルのコンポーネント定義ファイルを指定します。11gリリース1 (11.1.1.6)メタデータ・モデル・コンポーネントの監査ストア内の監査ポリシーを作成/更新する場合、フィルタの事前定義済レベルがCustomに設定されているときは、このパラメータが必要です。 |
例
次の例は、監査ポリシーをNoneレベルに設定し、ポリシーからuser1を削除するときに、user2およびuser3を追加します。
wls:/mydomain/serverConfig> setAuditPolicy (filterPreset= 'None',addSpecialUsers='user2,user3',removeSpecialUsers='user1',componentType='JPS') wls:/mydomain/serverConfig> getAuditPolicy(componentType='JPS'); Already in Domain Runtime Tree FilterPreset:None Special Users:user2,user3 Max Log File Size:104857600
次の例は、ポリシーからログアウト・イベントを削除すると同時に、ログイン・イベントを追加します。
wls:/mydomain/serverConfig> setAuditPolicy(filterPreset= 'Custom',addCustomEvents='UserLogin',removeCustomEvents='UserLogout')
次の例は、監査ポリシーをLowレベルに設定します。
wls:/IDMDomain/domainRuntime> setAuditPolicy(filterPreset='Low',componentType='JPS); Already in Domain Runtime Tree Audit Policy Information updated successfully wls:/IDMDomain/domainRuntime> getAuditPolicy(componentType='JPS') Already in Domain Runtime Tree FilterPreset:Low Max Log File Size:104857600
次の例は、カスタム・フィルタを設定して、CheckAuthorizationイベントを監査します。
wls:/IDMDomain/domainRuntime>setAuditPolicy(filterPreset='Custom', componentType='JPS',addCustomEvents='Authorization:CheckPermission, CheckSubject;CredentialManagement:CreateCredential,DeleteCredential'); Already in Domain Runtime Tree Audit Policy Information updated successfully wls:/IDMDomain/domainRuntime> getAuditPolicy(componentType='JPS'); Already in Domain Runtime Tree FilterPreset:Custom Special Users:user1 Max Log File Size:104857600 Custom Events:JPS:CheckAuthorization
親トピック: 監査構成のWLSTコマンド
setAuditRepository
監査リポジトリ設定を更新するオンライン・コマンドを示します。
説明
このコマンドは、Java EEおよびSEコンポーネントおよびアプリケーション(Oracleインターネット・ディレクトリなどその他のコンポーネントの場合は、リポジトリが、opmn.xmlを編集して設定されます)の監査リポジトリ設定を設定します。
構文
setAuditRepository([switchToDB],[dataSourceName],[interval],
[timezone], [repositoryType], [logDirectory],
[jdbcString], [dbUser], [dbPassword])| 引数 | 定義 |
|---|---|
|
|
|
|
|
データソースのJNDI名を指定します。このデータ・ソースは、指定したOracle WebLogic Serverドメイン内に構成される必要があります。 |
|
|
監査ローダーのスリープ時間を秒単位で指定します。 |
|
|
監査ローダーによって監査イベントのタイムスタンプが記録されるタイムゾーンを指定します。有効な値は、 |
|
|
データをアップロードするデータベースのタイプを指定します。サポートされるデータベース・タイプは、Oracle、MS SQL ServerおよびIBM DB2です。 |
|
|
バス・ストップ・ファイルを格納するSEアプリケーションの監査ログ・ディレクトリを指定します。 |
|
|
SEアプリケーションへの監査レジストリjdbc接続文字列を指定します。 |
|
|
監査リポジトリIAUスキーマのユーザーを指定します。 |
|
|
監査リポジトリIAUスキーマのパスワードを指定します。 |
例
次の例は、監査リポジトリを特定のデータベースに変更し、監査ローダー間隔を14秒に設定し、タイムゾーンをUTCに設定します。
wls:/mydomain/serverConfig> setAuditRepository(switchToDB="true",
dataSourceName="jdbc/AuditDB",interval="14",timezone="utc",
repositoryType="DB_ORACLE", logDirectory="/foo",
jdbcString="jdbc:oracle:thin:@db.example.com:5001:sid",
dbUser="scott_iau", dbPassword="tiger")親トピック: 監査構成のWLSTコマンド
registerAudit
コンポーネントを監査サービスに登録します。
説明
指定したコンポーネントのイベント定義および変換コンテンツを監査ストアに追加します。11.1.1.6.0より前の監査XMLスキーマ定義を使用して登録しようとすると、11.1.1.6.0 XMLスキーマ定義にアップグレードされてから監査ストアに登録されます。
構文
registerAudit(xmlFile, [xlfFile],componentType,[mode=OVERWRITE|UPGRADE],
[createView=SIMPLE|INDEXABLE|DISABLE])
| 引数 | 定義 |
|---|---|
|
|
コンポーネント・イベント定義ファイルを指定します。 |
|
|
component xlf jarファイルを指定します。オプション。 |
|
|
登録するコンポーネントを指定します。 |
|
|
オプション。OVERWRITEまたはUPGRADE。デフォルトはUPGRADEです。 |
|
|
オプション。SIMPLE、INDEXABLEまたはDISABLE。デフォルトはSIMPLEです。 |
例
wls:/mydomain/serverConfig>registerAudit(xmlFile="/tmp/comp.xml", xmlFile="/tmp/comp_xlf.jar", componentType="AuditApp", mode="UPGRADE", createView=INDEXABLE)
親トピック: 監査構成のWLSTコマンド