監査の構成と管理
ユーザーの作成、権限の付与、パッチまたはクローニングのようなリモート・ジョブの起動など、Enterprise Managerユーザーによって実行されるすべての操作は、Sarbanes-Oxley Act of 2002(SAS 70)に準拠していることを確認するために、監査を受ける必要があります。この法令は、サービス組織の契約に基づく内部統制を評価するために監査者が使用する基準を定義するものです。操作の監査を行うことで、管理者は問題をモニター、検出および調査し、エンタープライズ全体にセキュリティ・ポリシーを強制できます。
ユーザーがどのようにEnterprise Managerにログインしたかに関係なく、監査が有効になっている場合は各ユーザー・アクションが監査され、監査の詳細が記録されます。
資格証明の監査
Enterprise Managerでは、BASIC監査がデフォルトで有効になっているため、資格証明の作成、編集、アクセス、関連付けおよび削除の監査証跡が作成されます。名前付き資格証明は、権限を付与したり、取り消すことができる第1級のセキュリティ・オブジェクトです。つまり、複数のEnterprise Manager管理者が資格証明オブジェクトを使用および変更できます。資格証明は、システムで様々な操作を行うために使用される機密データであるため、資格証明に対する操作を監査する必要があります。
Enterprise Mangerではすべての資格証明操作の監査をサポートしていますが、最初に有効にする必要があります。監査情報には、現在のユーザー名、資格証明名、行われた操作、操作ステータス(成功または失敗)などがあります(これら以外にもあります)。監査ログには、資格証明の所有者、アクションの開始者、資格証明名、ユーザー名、ターゲット名、ジョブ名および操作の日時に関する情報が含まれます。パスワードや秘密キーなどの資格証明のフィールドは記録されません。
次の操作が監査されます。
-
名前付き資格証明の作成: 新規Enterprise Manager資格証明の作成が監査されます。
-
名前付き資格証明の編集: 資格証明の編集には、ユーザー名や機密性の高い資格証明の属性の変更が含まれる場合があります。資格証明の編集には、資格証明の認証スキームの変更も含まれる場合があります。
-
名前付き資格証明の削除: 資格証明のEnterprise Managerからの削除が監査されます。
-
名前付き資格証明の関連付け: 名前付き資格証明は、資格証明セットの優先資格証明としてターゲット・レベルまたはターゲット・タイプ・レベルで設定できます。名前付き資格証明は、ジョブから直接参照することもできます。名前付き資格証明の優先資格証明としての設定およびジョブまたはデプロイメント・プロシージャでの使用に伴うすべての操作が監査されます。
-
名前付き資格証明へのアクセス: Enterprise Managerサブシステムでは、様々なシステム管理タスクを行うために資格証明ストアから資格証明をリクエストします。
デフォルトの監査アクション
デフォルトでは、ユーザーがEnterprise Managerのログインまたはログアウトを行うたびに、アクションが監査されます。次のリストでは、デフォルトで監査されるEnterprise Managerインフラストラクチャ操作を示します。
-
更新の適用
-
MGMT_VIEWユーザー・パスワードの変更
-
リポジトリ・パスワードの変更
-
認証の構成
-
リポジトリへのEMキーのコピー
-
リポジトリからのEMキーの削除
-
カスタムCAの作成
-
更新の削除
-
コンソールの保護
-
ロックの保護
-
OMSの保護
Enterprise Manager監査システムの構成
次のEM CLIコマンドを使用して、Enterprise Manager監査システムを構成できます。
-
enable_audit: すべてのユーザー操作に対して監査を有効にします。 -
disable_audit: すべてのユーザー操作に対して監査を無効にします。 -
show_operations_list: 監査対象のユーザー操作のリストを表示します。 -
show_audit_settings: 監査ステータス、操作リスト、外部化サービスの詳細およびパージ期間の詳細を表示します。 -
update_audit_settings: リポジトリの現在の監査設定を更新します。
監査データ・エクスポート・サービスの構成
監査データは、数年間保護および保管する必要があります。監査データは非常に大量になる可能性があり、システムのパフォーマンスに影響を与える場合があります。リポジトリに保存されるデータの量を制限するために、定期的に監査データを外部化するかアーカイブする必要があります。アーカイブされた監査データは、ODL形式に準拠したXMLファイルで保存されます。監査データを外部化するには、EM_AUDIT_EXTERNALIZATION APIが使用されます。<ファイルの接頭辞>.NNNNN.xmlというフォーマットのレコード(NNNNは番号)が生成されます。番号は00001から99999までが使用されます。
update_audit_setting -externalization_switchコマンドを使用して、監査データをファイル・システムにエクスポートするように監査外部化サービスを設定できます。
EM監査外部化サービス・ジョブによって、監査システム・データの外部化が実行されます。デフォルトでは、このジョブは毎日1回実行されるようにスケジュールされています。次の図に示すように、Enterprise Managerコンソールの「リポジトリ・スケジューラ・ジョブ・ステータス」領域で、このジョブの現在のステータスを表示できます。
このページにアクセスするには、「設定」メニューから「管理」、「リポジトリ」の順に選択します。
監査設定の更新
update_audit_settingsコマンドは、リポジトリの現在の監査設定を更新して管理サービスを再起動します。
-
-audit_switch: Enterprise Managerでの監査を有効にします。可能な値はENABLE/DISABLEです。デフォルト値はDISABLEです。 -
-operations_to_enable: 指定した操作の監査を有効にします。すべての操作を有効にするにはAllを入力します。 -
-operations_to_disable: 指定した操作の監査を無効にします。すべての操作を無効にするにはAllを入力します。 -
-externalization_switch: 監査データのエクスポート・サービスを有効にします。可能な値はENABLE/DISABLEです。デフォルト値はDISABLEです。 -
-directory: エクスポート・サービスが監査データ・ファイルをアーカイブするOSディレクトリにマップされるデータベース・ディレクトリ。 -
-file_prefix: 監査データが格納されるファイルを作成する際にエクスポート・サービスで使用するファイルの接頭辞。 -
-file_size: 監査データが格納されるファイルのサイズ。デフォルト値は5000000バイトです。 -
data_retention_period: 監査データがリポジトリ内に保持される期間です。デフォルト値は365日です。
例2-22 update_audit_settingコマンドの使用方法
emcli update_audit_settings
-audit_switch="ENABLE/DISABLE"
-operations_to_enable="name of the operations to enable, for all oprtations
use ALL"
-operations_to_disable="name of the operations to disable, for all
oprtations use ALL"
-externalization_switch="ENABLE/DISABLE"
-directory="directory_name (DB Directory)"
-file_prefix="file_prefix"
-file_size="file_size (Bytes)"
-data_retention_period="data_retention_period (Days)"
監査データの検索
指定した期間内に生成された監査データを検索できます。次のような検索も可能です。
-
特定のユーザー操作またはすべてのユーザー操作に関する監査の詳細。
-
成功または失敗のステータスを持つ操作またはすべての操作に関する監査の詳細。
「設定」メニューから、「セキュリティ」、「監査データ」の順に選択します。「監査データ」ページが表示されます。フィールドに検索条件を指定し、「実行」をクリックします。結果が「サマリー」表に表示されます。
検索条件と一致するレコードごとの詳細を表示するには、「表示」ドロップダウン・リストから「詳細」を選択します。レコードの完全な詳細にドリルダウンするには、「タイムスタンプ」をクリックします。
監査対象操作のリスト
Enterprise Managerでサポートされる監査操作の完全なリストは、EM CLI show_operations_list動詞を使用してください。
例2-23 EM CLI show_operations_list
> emcli show_operations_list
Operation ID Operation Name Infrastructure Operation ADD_AGENT_REGISTRATION_PASSWORD Add Registration Password NO ADD_CS_TARGET_ASSOC Add Standard-Target Association NO SECURITY_AUTH_CONFIG Configure Authentication YES
.
.
.
UPDATE_PASSWORD Update Password NO
インフラストラクチャの監査
Enterprise Managerでは、基本およびインフラストラクチャ監査がデフォルトで有効になっています。Enterprise Managerには、150個を超える監査用オプションがあります。インフラストラクチャ監査操作は、常に有効でオフにできません。強化された監査中ページでは、定期的に付与される権限を容易に確認でき、どのユーザーがどの権限を行使したかを追跡できるため、ユーザー・アカウンタビリティが向上します。インフラストラクチャ・アクティビティはすぐに監査され、これらには更新、ダウンロード、OMSパスワードの変更およびemkeyのコピーおよびリポジトリからの削除が含まれます。
また、コンソールからのすべての監査アクションの検索機能が強化されて向上し、監査操作のサブセットを検索したり、特定のクライアント・ホストおよびクライアント・タイプ(ブラウザまたはCLI)からの操作をフィルタリングして確認できます。これにより、監査担当者は効果的な方法で対象の特定操作を検索できます。
次の表に監査可能なすべてのイベントを示します。有効として表示されている監査可能イベントはインフラストラクチャ監査イベントで、デフォルトで有効に設定されており無効にすることはできません。
| イベント | 有効/無効(デフォルト) |
|---|---|
|
更新の適用 |
有効 |
|
MGMT_VIEWユーザー・パスワードの変更 |
有効 |
|
リポジトリ・パスワードの変更 |
有効 |
|
認証の構成 |
有効 |
|
Enterprise Managerキーをリポジトリにコピー |
有効 |
|
カスタムCAの作成 |
有効 |
|
Enterprise Managerにログイン |
有効 |
|
Enterprise Managerをログアウト |
有効 |
|
Enterprise Managerキーをリポジトリから削除 |
有効 |
|
更新の削除 |
有効 |
|
コンソールの保護 |
有効 |
|
ロックの保護 |
有効 |
|
OMSの保護 |
有効 |
|
WebLogic Serverの保護 |
有効 |
|
名前付き資格証明へのアクセス |
無効 |
|
登録パスワードの追加 |
無効 |
|
ソフトウェア・ライブラリの記憶域の追加 |
無効 |
|
標準-ターゲット・アソシエーションの追加 |
無効 |
|
エンティティのテンプレート・コレクションへの追加 |
無効 |
|
モニタリング・テンプレートの適用 |
無効 |
|
テンプレート・コレクションを管理グループに関連付け |
無効 |
|
メトリック拡張のアタッチ |
無効 |
|
監査エクスポート設定 |
無効 |
|
監査設定 |
無効 |
|
コネクタ設定の変更 |
無効 |
|
パスワードの変更 |
無効 |
|
優先資格証明の変更 |
無効 |
|
手動ルール違反のクリア |
無効 |
|
コネクタの構成 |
無効 |
|
管理グループの作成 |
無効 |
|
変更管理設定の作成 |
無効 |
|
コネクタの作成 |
無効 |
|
資格証明セットの作成 |
無効 |
|
カスタム構成の仕様の作成 |
無効 |
|
カスタム構成仕様パーサーの作成 |
無効 |
|
カスタム・ターゲット・タイプの作成 |
無効 |
|
ファセットの作成 |
無効 |
|
ファセット・パラメータの作成 |
無効 |
|
ファセット・パターンの作成 |
無効 |
|
フレームワークの作成 |
無効 |
|
メトリック拡張の作成 |
無効 |
|
モニタリング・テンプレートの作成 |
無効 |
|
名前付き資格証明の作成 |
無効 |
|
リアルタイム・モニタリング・ルールの作成 |
無効 |
|
解決状態の作成 |
無効 |
|
ロールの作成 |
無効 |
|
ルールの作成 |
無効 |
|
ルール・セットの作成 |
無効 |
|
標準の作成 |
無効 |
|
テンプレート・コレクションの作成 |
無効 |
|
ユーザーの作成 |
無効 |
|
データベース・ログイン |
無効 |
|
データベース・ログアウト |
無効 |
|
データベースの再起動 |
無効 |
|
データベースの停止 |
無効 |
|
データベースの起動 |
無効 |
|
管理グループの削除 |
無効 |
|
資格証明セットの削除 |
無効 |
|
カスタム構成の仕様の削除 |
無効 |
|
カスタム構成仕様パーサーの削除 |
無効 |
|
ファセットの削除 |
無効 |
|
ファセット・パラメータの削除 |
無効 |
|
ファセット・パターンの削除 |
無効 |
|
フレームワークの削除 |
無効 |
|
ジョブの削除 |
無効 |
|
管理コネクタの削除 |
無効 |
|
メトリック拡張の削除 |
無効 |
|
モニタリング・テンプレートの削除 |
無効 |
|
名前付き資格証明の削除 |
無効 |
|
リアルタイム・モニタリング・ルールの削除 |
無効 |
|
登録パスワードの削除 |
無効 |
|
解決状態の削除 |
無効 |
|
ロールの削除 |
無効 |
|
ルールの削除 |
無効 |
|
ルール・セットの削除 |
無効 |
|
ソフトウェア・ライブラリ・エンティティの削除 |
無効 |
|
ソフトウェア・ライブラリ・フォルダの削除 |
無効 |
|
標準の削除 |
無効 |
|
ターゲットの削除 |
無効 |
|
テンプレート・コレクションの削除 |
無効 |
|
更新の削除 |
無効 |
|
ユーザーの削除 |
無効 |
|
カスタム構成の仕様のデプロイ |
無効 |
|
メトリック拡張のデタッチ |
無効 |
|
ルールの無効化 |
無効 |
|
ルール・セットの無効化 |
無効 |
|
標準-ターゲット・アソシエーションの無効化 |
無効 |
|
管理グループからテンプレート・コレクションの関連付けを解除 |
無効 |
|
更新のダウンロード |
無効 |
|
フレームワークの編集 |
無効 |
|
ジョブの編集 |
無効 |
|
モニタリング・テンプレートの編集 |
無効 |
|
登録パスワードの編集 |
無効 |
|
ルールの編集 |
無効 |
|
ルール・セットの編集 |
無効 |
|
標準の編集 |
無効 |
|
標準-ターゲット・アソシエーションの編集 |
無効 |
|
テンプレート・コレクションの編集 |
無効 |
|
ルールの有効化 |
無効 |
|
ルール・セットの有効化 |
無効 |
|
標準-ターゲット・アソシエーションの有効化 |
無効 |
|
エージェントとしてコマンドを実行 |
無効 |
|
ファイル転送ジョブ |
無効 |
|
ファイル取得ジョブ |
無効 |
|
権限の付与 |
無効 |
|
ロールの付与 |
無効 |
|
ファセットのインポート |
無効 |
|
フレームワークのインポート |
無効 |
|
リアルタイム・モニタリング・ルールのインポート |
無効 |
|
ルールのインポート |
無効 |
|
標準のインポート |
無効 |
|
アクションをモニターに含める |
無効 |
|
フィルタ・ファセットを含める |
無効 |
|
モニタリング・ファセットを含める |
無効 |
|
ジョブ実行処理 |
無効 |
|
情報更新を既読としてマーク |
無効 |
|
管理グループの変更 |
無効 |
|
変更管理設定の変更 |
無効 |
|
カスタム構成の仕様の変更 |
無効 |
|
ファセットの変更 |
無効 |
|
ファセット・コンテンツの変更 |
無効 |
|
ファセット・パラメータの変更 |
無効 |
|
ファセット・パターンの変更 |
無効 |
|
メトリック設定の変更 |
無効 |
|
名前付き資格証明の変更 |
無効 |
|
リアルタイム・モニタリング・ルールの変更 |
無効 |
|
解決状態の変更 |
無効 |
|
ロールの変更 |
無効 |
|
ユーザーの変更 |
無効 |
|
ソフトウェア・ライブラリ・エンティティの移動 |
無効 |
|
メトリック拡張の公開 |
無効 |
|
ソフトウェア・ライブラリの記憶域のパージ |
無効 |
|
エージェントとしてファイルを配置 |
無効 |
|
ファイル配置ジョブ |
無効 |
|
Enterprise Managerストアからのリフレッシュ |
無効 |
|
登録パスワードの使用 |
無効 |
|
リモート操作ジョブ |
無効 |
|
アクションをモニターから削除 |
無効 |
|
変更管理設定の削除 |
無効 |
|
フィルタ・ファセットの削除 |
無効 |
|
モニタリング・ファセットの削除 |
無効 |
|
権限委任設定の削除 |
無効 |
|
ソフトウェア・ライブラリの記憶域の削除 |
無効 |
|
標準-ターゲット・アソシエーションの削除 |
無効 |
|
エンティティのテンプレート・コレクションからの削除 |
無効 |
|
テンプレート・コレクションの名前の変更 |
無効 |
|
ルールの並替え |
無効 |
|
ルール・セットの並替え |
無効 |
|
ジョブの再開 |
無効 |
|
エージェントの再同期 |
無効 |
|
リポジトリの再同期 |
無効 |
|
ジョブの再試行 |
無効 |
|
権限の取消し |
無効 |
|
ロールの取消し |
無効 |
|
モニタリング設定の保存 |
無効 |
|
権限委任設定の設定 |
無効 |
|
ジョブの停止 |
無効 |
|
ジョブの発行 |
無効 |
|
更新サブスクライブ・タイプ |
無効 |
|
違反の抑止 |
無効 |
|
ジョブの一時停止 |
無効 |
|
ターゲット・ログイン |
無効 |
|
ターゲット・ログアウト |
無効 |
|
カスタム構成の仕様のアンデプロイ |
無効 |
|
更新サブスクライブ解除タイプ |
無効 |
|
違反の抑止解除 |
無効 |
|
データベース・パスワードの更新 |
無効 |
|
メトリック拡張の更新 |
無効 |
|
パスワードの更新 |
無効 |
|
更新がある |
無効 |
WebLogic Serverの監査可能イベント
次のWebLogic Serverイベントを監査できます:
-
ドメインの更新
-
ドメインのログイン
-
ドメインのログアウト
これらのイベントを監査するには、次のEM CLIコマンドを入力します:
emcli update_audit_settings
-operations_to_enable="WEBLOGIC_DOMAIN_UPDATE_INVOKE;WEBLOGIC_DOMAIN
_LOGIN;WEB_LOGIC_DOMAIN_LOGOUT" ノート:
監査済WebLogic Serverデータを見る権限を所有しているのは、スーパー管理者のみです。