Revidere sikkerhed, artefaktændringer og LCM-begivenheder

Tjenesteadministratorer kan aktivere sikkerhedsrevision for at spore ændringer af Essbase-serveren, som bliver foretaget.

Baseret på parametre, som du angiver i en revisionspolitikfil, henter Essbase oplysninger om ændringer af sikkerhed på systemniveau, artefakter, LCM-begivenheder og udførte MaxL-sætninger (inklusive importer). Essbase konsoliderer de sporede oplysninger i en revisionslogfil eller streamer dem til en ekstern database. Oplysninger, der spores om hver enkelt begivenhed, omfatter tid, klient, bruger, påvirkede artefakter, varighed, id, applikations- og databasenavn, status og en beskrivelse.

Du kan aktivere revision på serverniveau af disse begivenheder ved hjælp konfigurationsindstillingen AUDITTRAIL SECURITY i Essbase.

Workflow til aktivering af sikkerhedsrevision for Essbase Server

Dette workflow forklarer, hvordan du aktiverer sikkerhedsrevision på Essbase Server ved hjælp af AUDITTRAIL SECURITY. Når du har aktiveret revision, skal du definere EssbaseSecurityAuditLogPolicy. Du kan få Essbase til at skrive revisions-records til en CSV-fil eller streame dem til en ekstern database.

I dette workflow er Oracle Database den eksterne database, men du kan også bruge SQL Server, MySQL eller DB2.

For at fuldføre workflowet skal du være systemadministrator, og du skal have adgang til <Essbase Config Path> på Essbase Server-maskinen.

Denne sti indeholder filer, som du skal redigere:
  • Konfigurationsfilen essbase.cfg
  • En standardpolitikfil til sikkerhedsrevision

  1. Aktiver revision af serverbegivenheder ved at tilføje følgende konfiguration i essbase.cfg på Essbase-servermaskinen:

    AUDITTRAIL SECURITY

    Genstart Essbase, når du har opdateret konfigurationen.

    Se Angive konfigurationsegenskaber på serverniveau og Starte, stoppe og kontrollere servere.

  2. En standardpolitikfil (XML) oprettes på Essbase-serveren. Denne fil, EssbaseSecurityAuditLogPolicy.xml, er i den sti, som du har angivet under konfigurationsfasen af ibrugtagning for at lagre Essbase-konfigurationen (<Essbase Config Path>, som også er det sted, hvor essbase.cfg ligger).

    Den oprettede standardpolitikfil har dette indhold: 
    <?xml version="1.0" encoding="UTF-8"?>
<security-audit-policy>
   <audit_events_to_capture>LOGIN,LOGINAS,LOGIN_FAIL,LOGOUT,SERVICE_ROLE_ASSIGN,SERVICE_ROLE_REVOKE,APPLICATION_ROLE_ASSIGN,APPLICATION_ROLE_REVOKE,ARTIFACT_UPLOADED,ARTIFACT_MODIFIED,ARTIFACT_DELETED,ARTIFACT_CREATE,ARTIFACT_RENAMED,APPLICATION_DELETED,APPLICATION_CREATE,APPLICATION_RENAMED,DATABASE_DELETED,DATABASE_CREATE,DATABASE_RENAMED,LCM_EXPORT_START,LCM_EXPORT_END,LCM_IMPORT_START,LCM_IMPORT_END,LCM_IMPORT_FAIL,DATA_LOAD_MAXL,LOAD_DATA_JOB_START,LOAD_DATA_JOB_END,LOAD_DATA_JOB_FAILED,DELETE_SESSION,EXECUTE_MAXL,APPLICATION_SET_ACTIVE,APPLICATION_START,APPLICATION_STOP,DATABASE_START,DATABASE_STOP</audit_events_to_capture>
   <audit_sinks>
      <audit_sink>
         <audit_sink_type>CSV</audit_sink_type>
         <max-file-size>50000000</max-file-size>
         <roll-nos>100</roll-nos>
      </audit_sink>
   </audit_sinks>
</security-audit-policy>
    CSV er standardtypen af revisions-sink. Hvis du bruger standardtypen (CSV) af revisions-sink, og du vil teste, om revisionsdetaljerne skrives til sikkerhedsrevisionens CSV-logfil, skal du gøre følgende:
    1. Udfør en handling, som er en reviderbar begivenhed, for eksempel oprettelse af en applikation. Du kan vælge enhver handling på listen i sektionen <audit_events_to_capture> til din politik.
    2. SSH til Essbase-serveren.
    3. Naviger til <DOMAIN_HOME>/servers/serverName/logs/essbase/. Hvis du ikke ved, hvor <DOMAIN_HOME> er, skal du se Miljølokationer på Essbase-platformen.
    4. Åbn og gennemgå filen SecurityAuditLog_n.csv.

      Eksempel på en CSV-logfil til sikkerhedsrevision:
      Billede af CSV-filen til sikkerhedsrevision.

  3. Hvis du vil have sikkerhedsrevisionssporet streamet til en ekstern database, skal du gøre følgende:

    1. Opret en forbindelse til den eksterne kilde. Se Oprette en global forbindelse og datakilde eller Oprette en forbindelse på applikationsniveau og datakilde.
    2. Rediger politikfilen for at ændre revisions-sink til DATABASE.
    3. Tilføj en <db_connection_name>-parameter i <audit_sink>-parameteren. Værdien af <db_connection_name>-parameteren skal være det nøjagtige navn på den oprettede forbindelse i ovenstående undertrin.
    Eksempel på redigeret revisionspolitik for streaming af sikkerhedsrevisionsspor til Oracle Database: 
    <?xml version="1.0" encoding="UTF-8"?>
<security-audit-policy>
   <audit_events_to_capture>LOGIN,LOGINAS,LOGIN_FAIL,LOGOUT,SERVICE_ROLE_ASSIGN,SERVICE_ROLE_REVOKE,APPLICATION_ROLE_ASSIGN,APPLICATION_ROLE_REVOKE,ARTIFACT_UPLOADED,ARTIFACT_MODIFIED,ARTIFACT_DELETED,ARTIFACT_CREATE,ARTIFACT_RENAMED,APPLICATION_DELETED,APPLICATION_CREATE,APPLICATION_RENAMED,DATABASE_DELETED,DATABASE_CREATE,DATABASE_RENAMED,LCM_EXPORT_START,LCM_EXPORT_END,LCM_IMPORT_START,LCM_IMPORT_END,LCM_IMPORT_FAIL,DATA_LOAD_MAXL,LOAD_DATA_JOB_START,LOAD_DATA_JOB_END,LOAD_DATA_JOB_FAILED,DELETE_SESSION,EXECUTE_MAXL,APPLICATION_SET_ACTIVE,APPLICATION_START,APPLICATION_STOP,DATABASE_START,DATABASE_STOP</audit_events_to_capture>
   <audit_sinks>
      <audit_sink>
         <audit_sink_type>DATABASE</audit_sink_type>
           <db_connection_name>OraclePDB</db_connection_name>
      </audit_sink>
   </audit_sinks>
</security-audit-policy>

  4. Test, om revisionsdetaljerne streames til databasen.

    1. Udfør en handling, som er en reviderbar begivenhed, for eksempel oprettelse af en applikation. Du kan vælge enhver handling på listen i sektionen <audit_events_to_capture> til din politik.

      Essbase skal oprette en revisionstabel med navnet ESSBASE_SECURITY_AUDIT_EVENT_LOG i det eksterne databaseskema.

    2. Log på det eksterne RDBMS, og kør en forespørgsel for at tjekke, om tabellen er til stede. Log for eksempel på SQL Developer, og kør 
      select * from ESSBASE_SECURITY_AUDIT_EVENT_LOG

  5. Brug et datavisualiseringsværktøj til at se og analysere sikkerhedsrevisions-records. Du kan bruge Smart View, Oracle Data Desktop (tilgængelig med en Oracle Technology Network-licens), open-source-visualiseringsværktøjer fra open source eller din ikke-Oracle-databaseleverandør.

Om revisionspolitikfilen

Revisionspolitikken er defineret i en XML-fil, som du kan redigere, så den passer til dine behov. I denne fil kan du angive de Essbase Server-begivenheder, der skal spores, og om dataene skal skrives til en sikkerhedsrevisionslog eller streames til en ekstern database. Hvis du skriver data til en revisionslog, kan du angive maksimumfilstørrelsen og antallet af sikkerhedsrevisionslogfiler, der skal bevares.

Essbase opretter EssbaseSecurityAuditLogPolicy.xml, når du genstarter Essbase efter at have aktiveret sikkerhedsrevision. Du kan derefter redigere filen efter behov for at finjustere revisionspolitikken. Filen er placeret i den sti, som du har angivet under konfigurationsfasen af ibrugtagning for at lagre Essbase-konfigurationen (<Essbase Config Path>, som også er det sted, hvor essbase.cfg ligger). Hvis du ikke ved, hvor det er i dit miljø, skal du se Miljølokationer på Essbase-platformen for at få en forklaring.

Gør følgende for at redigere revisionspolitikfilen:

  1. Naviger til EssbaseSecurityAuditLogPolicy.xml. Filen er placeret i det applikationskatalog, som blev angivet i konfigurationsfasen under ibrugtagning af Essbase.

  2. Åbn den i en teksteditor.

  3. Rediger revisions-sink, logningsdetaljer og begivenheder, der skal spores.

    1. Tilføj eventuelt <audit_sink_type>DATABASE</audit_sink_type>, hvis du vil streame data til en ekstern database.

    2. Hvis du har angivet revisions-sink-typen DATABASE i et trin, skal du på følgende linje tilføje <db_connection_name>ConnectionName</db_connection_name> med navnet på den databaseforbindelse, som du har defineret i Workflow til aktivering af sikkerhedsrevision for Essbase Server.

    3. Hvis du skriver data til en revisionslogfil, kan du eventuelt ændre maksimumfilstørrelsen ved hjælp af <max-file-size>n</max-file-size>, hvor n = antallet af bytes. Standardværdien er 50000000 byte.

    4. Hvis du skriver data til en revisionslogfil, skal du angive, hvor mange CSV-filer med sikkerhedsrevisionslog der skal gemmes, ved hjælp af <roll-nos>n</roll-nos>, hvor n = antallet af filer.

    5. Angiv, hvilke revisionsbegivenheder du vil hente, ved hjælp af <audit_events_to_capture>events_list</audit_events_to_capture>.

De begivenheder, som du angiver i revisionspolitikfilen, spores i en logfil til sikkerhedsrevision eller streames til en ekstern database.

Du kan angive sporing af følgende begivenheder i revisionspolitikfilen:

Begivenhed Beskrivelse
LOGIN Brugeren [x] er logget på
LOGIN_AS Brugeren [x] er logget på som [y]
LOGOUT Brugeren [x] er logget af
LOGIN_FAIL Logon fejlede for brugeren [x]
SERVICE_ROLE_ASSIGN Essbase-servicerollen [x] er tildelt til [y]
SERVICE_ROLE_REVOKE Servicerollen [x] er tilbagekaldt fra [y]
APPLICATION_ROLE_ASSIGN Brugeren/gruppen [x] er provisioneret rollen [y] på applikationen [z]
APPLICATION_ROLE_REVOKE Brugeren/gruppen [x] er tilbagekaldt fra rollen [y] på applikationen [z]
ARTIFACT_CREATE Artefaktet [x] af typen [y] er oprettet
ARTIFACT_UPLOADED Anmodning om upload af artefakt kaldt for applikationen [a] databasen [b] objektnavnet [c] og objekttypen [d]
ARTIFACT_MODIFIED Artefaktet [x] af typen [y] er ændret
ARTIFACT_DELETED Artefaktet [x] af typen [y] er slettet
ARTIFACT_RENAMED Artefaktet [x] af typen [y] er omdøbt til [z]
APPLICATION_DELETED Applikationen [x] er slettet
APPLICATION_CREATE Applikationen [x] er oprettet
APPLICATION_RENAMED Applikationen [x] er omdøbt til [y]
DATABASE_DELETED Databasen [x] er slettet i applikationen [y]
DATABASE_CREATE Databasen [x] er oprettet i applikationen [y]
DATABASE_RENAMED Databasen [x] er omdøbt til [y] i applikationen [z]
LCM_EXPORT_START LCM-eksportjob er startet med filnavnet [x]
LCM_EXPORT_END LCM-eksportjob er fuldført med filnavnet [x] og jobstatussen [y]
LCM_IMPORT_START LCM-import er startet for applikationen [x] med filnavnet [y]
LCM_IMPORT_END LCM-import er fuldført for applikationen [x] med filnavnet [y]
LCM_IMPORT_FAIL LCM-import fejlede for applikationen [x] med filnavnet [y]
DATA_LOAD_MAXL MaxL-sætningen for import af data er udført for applikationen [x] og databasen [y] af brugeren [z]
EXECUTE_MAXL MaxL-sætningen [x] er udført fra brugeren [y]
LOAD_DATA_JOB_START Dataindlæsningsjob er startet ved brug af datafilen [x] og regelfilen [y]
LOAD_DATA_JOB_END Dataindlæsningsjob for datafilen [x] og regelfilen [y] er fuldført med statussen [z]
LOAD_DATA_JOB_FAILED Dataindlæsningsjob fejlede på grund af [x]
DELETE_SESSION Sessionen [x] er slettet

Revisionsbegivenheder for sikkerhed

Revisionsbegivenheder for sikkerhed spores enten i en logfil til sikkerhedsrevision eller streames til en ekstern database, afhængigt af din angivelse i revisionspolitikfilen.

Se Workflow til aktivering af sikkerhedsrevision for Essbase Server for at få instruktioner til åbning af sikkerhedsrevisionsloggen eller revisionstabellen i det eksterne databaseskema.

Sikkerhedsrevisionsloggen og revisionstabellen indeholder følgende oplysninger (når det er relevant) om hver begivenhed:
  • Tid - hvornår begivenheden forekom
  • Klient - klient-IP-adresse eller -værtsnavn
  • Brugernavn - den bruger, der initierer handlingen
  • Sessions-id – Essbase-sessions-id'en
  • Begivenhedstype - begivenhedens type
  • Artefakttype - den artefakttype, der er involveret i begivenheden
    Eksempler på artefakttyper:
    • Artefakttypen partition_file for begivenhedstypen ARTIFACT_UPLOADED
    • Artefakttypen Applikation for begivenhedstypen LCM_EXPORT_START
    • Artefakttypen Bruger for begivenhedstypen APPLICATION_ROLE_ASSIGN
  • Artefaktnavn – navnet på det artefakt, der er involveret i begivenheden. For eksempel et filnavn, brugernavn eller applikationsnavn
  • Yderligere oplysninger - yderligere oplysninger, der er tilknyttet begivenheden
  • Beskrivelse - beskrivelse af begivenheden

    Indholdet af feltet Beskrivelse er lokaliseret.

  • Id - en 128-bit universelt entydig identifikator, der beskriver begivenheden.

    Eksempel: 123e4567-e89b-12d3-a456-426614174000

  • Varighed - varighed af begivenheden i millisekunder
  • Applikationsnavn - navn på applikationen
  • Databasenavn - navn på databasen
  • Status - udført eller fejl