Έλεγχος ασφάλειας, αλλαγές στοιχείων και συμβάντα LCM

Οι διαχειριστές υπηρεσίας μπορούν να ενεργοποιήσουν τον έλεγχο ασφάλειας για να παρακολουθούν τις αλλαγές που γίνονται στον server Essbase.

Βάσει των παραμέτρων που καθορίζετε στο αρχείο πολιτικής ελέγχου, το Essbase συλλέγει πληροφορίες σχετικά με τις αλλαγές που πραγματοποιούνται στην ασφάλεια σε επίπεδο συστήματος, στα στοιχεία, στα συμβάντα LCM και στις δηλώσεις MaxL που εκτελούνται (συμπεριλαμβανομένων των εισαγωγών). Το Essbase ενοποιεί τις πληροφορίες που παρακολουθούνται σε ένα αρχείο καταγραφής ελέγχου ή τις μεταδίδει μέσω ροής σε μια εξωτερική βάση δεδομένων. Οι πληροφορίες που παρακολουθούνται σχετικά με κάθε συμβάν περιλαμβάνουν την ώρα, το τερματικό, τον χρήστη, τα στοιχεία που επηρεάζονται. τη διάρκεια, το αναγνωριστικό, το όνομα εφαρμογής και βάσης δεδομένων, την κατάσταση και μια περιγραφή.

Ενεργοποιείτε τον έλεγχο σε επίπεδο server αυτών των συμβάντων χρησιμοποιώντας τη ρύθμιση διαμόρφωσης AUDITTRAIL SECURITY Essbase.

Ροή εργασιών για την ενεργοποίηση ελέγχου ασφάλειας για τον Essbase Server

Αυτή η ροή εργασιών εξηγεί τον τρόπο ενεργοποίησης του ελέγχου ασφάλειας στον Essbase Server με χρήση του AUDITTRAIL SECURITY. Αφού ενεργοποιήσετε τον έλεγχο, ορίζετε το EssbaseSecurityAuditLogPolicy. Μπορείτε να ορίσετε το Essbase να κάνει εγγραφή των εγγραφών ελέγχου σε αρχείο CSV ή να τις μεταδίδει μέσω ροής σε μια εξωτερική βάση δεδομένων.

Σε αυτή τη ροή εργασιών, το Oracle Database είναι η εξωτερική βάση δεδομένων, αλλά μπορείτε επίσης να χρησιμοποιήσετε SQL Server, MySQL ή DB2.

Για να ολοκληρώσετε τη ροή εργασιών, πρέπει να είστε διαχειριστής συστήματος και θα πρέπει να έχετε πρόσβαση στο <Essbase Config Path> στο μηχάνημα τουEssbase Server.

Αυτή η διαδρομή περιέχει αρχεία που θα χρειαστεί να επεξεργαστείτε:
  • Το αρχείο διαμόρφωσης essbase.cfg
  • Ένα αρχείο προεπιλεγμένης πολιτικής ελέγχου ασφάλειας

  1. Ενεργοποιήστε τον έλεγχο συμβάντων server, προσθέτοντας την ακόλουθη διαμόρφωση στο essbase.cfg στο μηχάνημα server του Essbase:

    AUDITTRAIL SECURITY

    Αφού ενημερώσετε τη διαμόρφωση, κάντε επανεκκίνηση του Essbase.

    Ανατρέξτε στις ενότητες Ορισμός ιδιοτήτων διαμόρφωσης σε επίπεδο server και Εκκίνηση, διακοπή και έλεγχος server.

  2. Δημιουργείται ένα αρχείο προεπιλεγμένης πολιτικής (XML) στον Essbase server. Αυτό το αρχείο, EssbaseSecurityAuditLogPolicy.xml, είναι στη διαδρομή που καθορίσατε κατά τη φάση διαμόρφωσης της ανάπτυξης για την αποθήκευση της διαμόρφωσης Essbase (το <Essbase Config Path>, στο οποίο βρίσκεται επίσης το essbase.cfg).

    Το αρχείο προεπιλεγμένης πολιτικής που δημιουργείται έχει τα εξής περιεχόμενα: 
    <?xml version="1.0" encoding="UTF-8"?>
<security-audit-policy>
   <audit_events_to_capture>LOGIN,LOGINAS,LOGIN_FAIL,LOGOUT,SERVICE_ROLE_ASSIGN,SERVICE_ROLE_REVOKE,APPLICATION_ROLE_ASSIGN,APPLICATION_ROLE_REVOKE,ARTIFACT_UPLOADED,ARTIFACT_MODIFIED,ARTIFACT_DELETED,ARTIFACT_CREATE,ARTIFACT_RENAMED,APPLICATION_DELETED,APPLICATION_CREATE,APPLICATION_RENAMED,DATABASE_DELETED,DATABASE_CREATE,DATABASE_RENAMED,LCM_EXPORT_START,LCM_EXPORT_END,LCM_IMPORT_START,LCM_IMPORT_END,LCM_IMPORT_FAIL,DATA_LOAD_MAXL,LOAD_DATA_JOB_START,LOAD_DATA_JOB_END,LOAD_DATA_JOB_FAILED,DELETE_SESSION,EXECUTE_MAXL,APPLICATION_SET_ACTIVE,APPLICATION_START,APPLICATION_STOP,DATABASE_START,DATABASE_STOP</audit_events_to_capture>
   <audit_sinks>
      <audit_sink>
         <audit_sink_type>CSV</audit_sink_type>
         <max-file-size>50000000</max-file-size>
         <roll-nos>100</roll-nos>
      </audit_sink>
   </audit_sinks>
</security-audit-policy>
    Το CSV είναι ο προεπιλεγμένος τύπος προορισμού ελέγχου. Αν χρησιμοποιείτε τον προεπιλεγμένο τύπο προορισμού ελέγχου (CSV) και θέλετε να ελέγξετε ότι οι λεπτομέρειες ελέγχου εγγράφονται στο αρχείο CSV καταγραφής ελέγχου ασφάλειας,
    1. Εκτελέστε μια ενέργεια που αποτελεί συμβάν με δυνατότητα ελέγχου, όπως είναι η δημιουργία μιας εφαρμογής. Μπορείτε να επιλέξετε οποιαδήποτε ενέργεια αναφέρεται στην ενότητα <audit_events_to_capture> της πολιτικής σας.
    2. συνδεθείτε μέσω SSH στον server Essbase.
    3. Μεταβείτε στη διαδρομή <DOMAIN_HOME>/servers/serverName/logs/essbase/. Αν δεν ξέρετε πού βρίσκεται το <DOMAIN_HOME>, ανατρέξτε στην ενότητα Τοποθεσίες περιβάλλοντος στην πλατφόρμα Essbase.
    4. Ανοίξτε και ελέγξτε το αρχείο, SecurityAuditLog_n.csv.

      Παράδειγμα ενός αρχείου CSV καταγραφής ελέγχου ασφάλειας:
      Εικόνα ενός αρχείου csv ελέγχου ασφάλειας.

  3. Αν θέλετε το ίχνος ελέγχου ασφάλειας να μεταδοθεί μέσω ροής σε μια εξωτερική βάση δεδομένων,

    1. Δημιουργήστε μια σύνδεση στην εξωτερική προέλευση. Ανατρέξτε στην ενότητα Δημιουργία καθολικής σύνδεσης και προέλευσης δεδομένων ή Δημιουργία σύνδεσης και προέλευσης δεδομένων επιπέδου εφαρμογής.
    2. Επεξεργαστείτε το αρχείο πολιτικής και αλλάξτε τον προορισμό ελέγχου σε DATABASE.
    3. Προσθέστε μια παράμετρο <db_connection_name> στην παράμετρο <audit_sink>. Η τιμή της παραμέτρου <db_connection_name> πρέπει να είναι το ακριβές όνομα της σύνδεσης που δημιουργήθηκε στο δευτερεύον βήμα a παραπάνω.
    Παράδειγμα επεξεργασμένης πολιτικής ελέγχου για τη μετάδοση μέσω ροής του ίχνους ελέγχου ασφάλειας στο Oracle Database: 
    <?xml version="1.0" encoding="UTF-8"?>
<security-audit-policy>
   <audit_events_to_capture>LOGIN,LOGINAS,LOGIN_FAIL,LOGOUT,SERVICE_ROLE_ASSIGN,SERVICE_ROLE_REVOKE,APPLICATION_ROLE_ASSIGN,APPLICATION_ROLE_REVOKE,ARTIFACT_UPLOADED,ARTIFACT_MODIFIED,ARTIFACT_DELETED,ARTIFACT_CREATE,ARTIFACT_RENAMED,APPLICATION_DELETED,APPLICATION_CREATE,APPLICATION_RENAMED,DATABASE_DELETED,DATABASE_CREATE,DATABASE_RENAMED,LCM_EXPORT_START,LCM_EXPORT_END,LCM_IMPORT_START,LCM_IMPORT_END,LCM_IMPORT_FAIL,DATA_LOAD_MAXL,LOAD_DATA_JOB_START,LOAD_DATA_JOB_END,LOAD_DATA_JOB_FAILED,DELETE_SESSION,EXECUTE_MAXL,APPLICATION_SET_ACTIVE,APPLICATION_START,APPLICATION_STOP,DATABASE_START,DATABASE_STOP</audit_events_to_capture>
   <audit_sinks>
      <audit_sink>
         <audit_sink_type>DATABASE</audit_sink_type>
           <db_connection_name>OraclePDB</db_connection_name>
      </audit_sink>
   </audit_sinks>
</security-audit-policy>

  4. Ελέγξτε ότι οι λεπτομέρειες ελέγχου μεταδίδονται μέσω ροής στη βάση δεδομένων.

    1. Εκτελέστε μια ενέργεια που αποτελεί συμβάν με δυνατότητα ελέγχου, όπως είναι η δημιουργία μιας εφαρμογής. Μπορείτε να επιλέξετε οποιαδήποτε ενέργεια αναφέρεται στην ενότητα <audit_events_to_capture> της πολιτικής σας.

      Το Essbase πρέπει να δημιουργήσει έναν πίνακα ελέγχου με το όνομα ESSBASE_SECURITY_AUDIT_EVENT_LOG στο σχήμα της εξωτερικής βάσης δεδομένων.

    2. Συνδεθείτε στο εξωτερικό RDBMS και εκτελέστε ερώτημα για να ελέγξετε για την παρουσία του πίνακα. Για παράδειγμα, συνδεθείτε στο SQL Developer και εκτελέστε 
      select * from ESSBASE_SECURITY_AUDIT_EVENT_LOG

  5. Χρησιμοποιήστε ένα εργαλείο οπτικοποίησης δεδομένων για να προβάλετε και να αναλύσετε τις εγγραφές ελέγχου ασφάλειας. Μπορείτε να χρησιμοποιήσετε το Smart View, το Oracle Data Desktop (διαθέσιμο με άδεια Oracle Technology Network), εργαλεία οπτικοποίησης ανοικτού κώδικα από προελεύσεις ανοικτού κώδικα ή τον πάροχο βάσης δεδομένων εκτός Oracle που διαθέτετε.

Πληροφορίες για το αρχείο πολιτικής ελέγχου

Η πολιτική ελέγχου ορίζεται σε ένα αρχείο XML που μπορείτε να επεξεργαστείτε σύμφωνα με τις ανάγκες σας. Σε αυτό το αρχείο, μπορείτε να καθορίσετε ποια συμβάντα Essbase Server θα παρακολουθούνται και εάν θα γίνεται εγγραφή των δεδομένων σε ένα αρχείο καταγραφής ελέγχου ασφάλειας ή μετάδοση μέσω ροής των δεδομένων σε μια εξωτερική βάση δεδομένων. Σε περίπτωση εγγραφής των δεδομένων σε αρχείο καταγραφής ελέγχου, μπορείτε να υποδείξετε το μέγιστο μέγεθος αρχείου και τον αριθμό των αρχείων καταγραφής ελέγχου ασφάλειας για διατήρηση.

Το Essbase δημιουργεί το αρχείο EssbaseSecurityAuditLogPolicy.xml όταν επανεκκινήσετε το Essbase μετά την ενεργοποίηση του ελέγχου ασφάλειας. Μπορείτε να επεξεργαστείτε το αρχείο όπως απαιτείται για να βελτιστοποιήσετε την πολιτική ελέγχου. Αυτό το αρχείο είναι στη διαδρομή που καθορίσατε κατά τη φάση διαμόρφωσης της ανάπτυξης για την αποθήκευση της διαμόρφωσης Essbase (το <Essbase Config Path>, στο οποίο βρίσκεται επίσης το essbase.cfg). Αν δεν ξέρετε πού βρίσκεται αυτό στο περιβάλλον σας, ανατρέξτε στην ενότητα Τοποθεσίες περιβάλλοντος στην πλατφόρμα Essbase για πληροφορίες.

Για να επεξεργαστείτε το αρχείο πολιτικής ελέγχου,

  1. Μεταβείτε στο αρχείο EssbaseSecurityAuditLogPolicy.xml. Το αρχείο βρίσκεται στον κατάλογο εφαρμογών που καθορίζεται στο στάδιο της διαμόρφωσης της ανάπτυξης Essbase.

  2. Ανοίξτε το σε ένα πρόγραμμα επεξεργασίας κειμένου.

  3. Επεξεργαστείτε τον προορισμό ελέγχου, τις λεπτομέρειες καταγραφής και τα συμβάντα για παρακολούθηση.

    1. Προαιρετικά, προσθέστε <audit_sink_type>DATABASE</audit_sink_type> αν θέλετε να γίνεται μετάδοση μέσω ροής των δεδομένων σε μια εξωτερική βάση δεδομένων.

    2. Αν υποδείξατε την τιμή DATABASE ως τύπο προορισμού ελέγχου στο βήμα a, στην ακόλουθη γραμμή, προσθέστε <db_connection_name>ConnectionName</db_connection_name> με το όνομα της σύνδεσης βάσης δεδομένων που ορίσατε στην ενότητα Ροή εργασιών για την ενεργοποίηση ελέγχου ασφάλειας για τον Essbase Server.

    3. Σε περίπτωση εγγραφής των δεδομένων σε αρχείο καταγραφής ελέγχου, προαιρετικά, αλλάξτε το μέγιστο μέγεθος αρχείου χρησιμοποιώντας τη μεταβλητή <max-file-size>n</max-file-size>, όπου n = αριθμός των byte. Η προεπιλογή είναι 50000000 byte.

    4. Σε περίπτωση εγγραφής των δεδομένων σε αρχείο καταγραφής ελέγχου, υποδείξτε πόσα αρχεία CSV καταγραφής ελέγχου ασφάλειας θέλετε να αποθηκευτούν χρησιμοποιώντας τη μεταβλητή <roll-nos>n</roll-nos>, όπου n = ο αριθμός των αρχείων.

    5. Υποδείξτε ποια συμβάντα ελέγχου θέλετε να καταγράψετε, χρησιμοποιώντας τη μεταβλητή <audit_events_to_capture>events_list</audit_events_to_capture>.

Τα συμβάντα που υποδεικνύετε στο αρχείο πολιτικής ελέγχου παρακολουθούνται σε ένα αρχείο καταγραφής ελέγχου ασφάλειας ή μεταδίδονται μέσω ροής σε μια εξωτερική βάση δεδομένων.

Μπορείτε να υποδείξετε τα ακόλουθα συμβάντα για καταγραφή στο αρχείο πολιτικής ελέγχου:

Συμβάν Περιγραφή
LOGIN Ο χρήστης [x] συνδέθηκε με επιτυχία
LOGIN_AS Ο χρήστης [x] συνδέθηκε ως [y]
LOGOUT Ο χρήστης [x] αποσυνδέθηκε
LOGIN_FAIL Αποτυχία σύνδεσης χρήστη [x]
SERVICE_ROLE_ASSIGN Αντιστοιχίστηκε ο ρόλος υπηρεσίας Essbase [x] στο [y]
SERVICE_ROLE_REVOKE Ανακλήθηκε ο ρόλος υπηρεσίας Essbase [x] από το [y]
APPLICATION_ROLE_ASSIGN O ρόλος [y] στην εφαρμογή [z] έχει παρασχεθεί στον χρήστη/ομάδα [x].
APPLICATION_ROLE_REVOKE O ρόλος [y] στην εφαρμογή [z] ανακλήθηκε από τον χρήστη/ομάδα [x].
ARTIFACT_CREATE Δημιουργήθηκε το στοιχείο [x] τύπου [y]
ARTIFACT_UPLOADED Κλήθηκε αίτημα αποστολής στοιχείου για την εφαρμογή [a] βάση δεδομένων [b], όνομα αντικειμένου [c] και τύπο αντικειμένου [d]
ARTIFACT_MODIFIED Το στοιχείο [x] τύπου [y] τροποποιήθηκε
ARTIFACT_DELETED Το στοιχείο [x] τύπου [y] διαγράφηκε
ARTIFACT_DELETED Το στοιχείο [x] τύπου [y] μετονομάστηκε σε [z]
APPLICATION_DELETED Η εφαρμογή [x] διαγράφηκε
APPLICATION_CREATE Η εφαρμογή [x] δημιουργήθηκε
APPLICATION_RENAMED Η εφαρμογή [x] μετονομάστηκε σε [y]
DATABASE_DELETED Η βάση δεδομένων [x] διαγράφηκε στην εφαρμογή [y]
DATABASE_CREATE Η βάση δεδομένων [x] δημιουργήθηκε στην εφαρμογή [y]
DATABASE_RENAMED Η βάση δεδομένων [x] μετονομάστηκε σε [y] στην εφαρμογή [z]
LCM_EXPORT_START Ξεκίνησε η εργασία εξαγωγής LCM με όνομα αρχείου [x]
LCM_EXPORT_END Ολοκληρώθηκε η εργασία εξαγωγής LCM με όνομα αρχείου [x] και κατάσταση εργασίας [y]
LCM_IMPORT_START Ξεκίνησε η εισαγωγή LCM για την εφαρμογή [x] με όνομα αρχείου [y]
LCM_IMPORT_END Ολοκληρώθηκε η εισαγωγή LCM για την εφαρμογή [x] με όνομα αρχείου [y]
LCM_IMPORT_FAIL Απέτυχε η εισαγωγή LCM για την εφαρμογή [x] με όνομα αρχείου [y]
DATA_LOAD_MAXL Η δήλωση εισαγωγής δεδομένων MaxL εκτελέστηκε για την εφαρμογή [x] και τη βάση δεδομένων [y] από τον χρήστη [z]
EXECUTE_MAXL Η δήλωση MaxL [x] εκτελέστηκε από τον χρήστη [y]
LOAD_DATA_JOB_START Η εργασία φόρτωσης δεδομένων ξεκίνησε χρησιμοποιώντας το αρχείο δεδομένων [x] και το αρχείο κανόνα [y]
LOAD_DATA_JOB_END Η εργασία φόρτωσης δεδομένων για το αρχείο δεδομένων [x] και το αρχείο κανόνα [y] ολοκληρώθηκε με κατάσταση [z]
LOAD_DATA_JOB_FAILED Η φόρτωση των δεδομένων απέτυχε λόγω [x]
DELETE_SESSION Η περίοδος λειτουργίας [x] διαγράφηκε

Συμβάντα ελέγχου ασφάλειας

Τα συμβάντα ελέγχου ασφάλειας παρακολουθούνται είτε σε ένα αρχείο καταγραφής ελέγχου ασφάλειας είτε μεταδίδονται μέσω ροής σε μια εξωτερική βάση δεδομένων ανάλογα με την υπόδειξη που θα καθορίσετε στο αρχείο πολιτικής ελέγχου.

Για οδηγίες σχετικά με το άνοιγμα του αρχείου καταγραφής ελέγχου ασφάλειας ή του πίνακα ελέγχου στο σχήμα της εξωτερικής βάσης δεδομένων, δείτε το θέμα Ροή εργασιών για την ενεργοποίηση ελέγχου ασφάλειας για τον Essbase Server.

Το αρχείο καταγραφής ελέγχου ασφάλειας και ο πίνακας ελέγχου περιλαμβάνουν τις ακόλουθες πληροφορίες (εφόσον ισχύουν) σχετικά με κάθε συμβάν:
  • Ώρα - πότε συνέβη το περιστατικό
  • Τερματικό - διεύθυνση IP τερματικού ή όνομα κεντρικού υπολογιστή
  • Όνομα χρήστη - ο χρήστης που εκκινεί την ενέργεια
  • Αναγνωριστικό περιόδου λειτουργίας – το αναγνωριστικό περιόδου λειτουργίας Essbase
  • Τύπος συμβάντος - ο τύπος του συμβάντος
  • Τύπος στοιχείου - ο τύπος του στοιχείου που εμπλέκεται στο συμβάν
    Παραδείγματα τύπων στοιχείου:
    • Τύπος στοιχείου partition_file για τον τύπο συμβάντος ARTIFACT_UPLOADED
    • Τύπος στοιχείου Εφαρμογή για τον τύπο συμβάντος LCM_EXPORT_START
    • Τύπος στοιχείου Χρήστης για τον τύπο συμβάντος APPLICATION_ROLE_ASSIGN
  • Όνομα στοιχείου - το όνομα του στοιχείου που εμπλέκεται στο συμβάν. Για παράδειγμα, ένα όνομα αρχείου, ένα όνομα χρήστη ή ένα όνομα εφαρμογής
  • Πρόσθετες πληροφορίες - πρόσθετες πληροφορίες που σχετίζονται με το συμβάν
  • Περιγραφή - η περιγραφή του συμβάντος

    Το περιεχόμενο του πεδίου "Περιγραφή"είναι τοπικά προσαρμοσμένο.

  • Αναγνωριστικό - Ένα καθολικά μοναδικό αναγνωριστικό 128 bit που περιγράφει το συμβάν.

    Παράδειγμα: 123e4567-e89b-12d3-a456-426614174000

  • Διάρκεια - διάρκεια του συμβάντος σε χιλιοστά του δευτερολέπτου
  • Όνομα εφαρμογής - το όνομα της εφαρμογής
  • Όνομα βάσης δεδομένων - το όνομα της βάσης δεδομένων
  • Κατάσταση - επιτυχία ή αποτυχία