Suojauksen, sisällön muutosten ja LCM-tapahtumien seuranta

Palvelun järjestelmänvalvojat voivat ottaa suojauksen seurannan käyttöön Essbase-palvelimeen tehtyjen muutosten seuraamiseksi.

Essbase kerää seurantakäytäntötiedostossa määrittämiesi parametrien perusteella tietoja järjestelmätason suojaukseen tehdyistä muutoksista, sisällöistä, LCM-tapahtumista ja suoritetuista MaxL-lauseista (mukaan lukien tuonnit). Essbase kokoaa seuratun tiedon seurantalokitietueeseen tai siirtää sen ulkoiseen tietokantaan. Kunkin tapahtuman seurantatiedot sisältävät ajan, asiakaskoneen, käyttäjän, vaikutusten kohteena olevat sisällöt, keston, tunnuksen, sovelluksen sekä tietokannan nimen, tilan ja kuvauksen.

Voit ottaa näiden tapahtumien palvelintason seurannan käyttöön Essbase-konfiguraation AUDITTRAIL SECURITY -asetuksella.

Työnkulku suojauksen seurannan käyttöönotolle Essbase-palvelimessa

Tässä työnkulussa selitetään, kuinka suojauksen seuranta otetaan käyttöön Essbase-palvelimessa AUDITTRAIL SECURITY -konfiguraatiota käyttäen. Määritä EssbaseSecurityAuditLogPolicy seurannan käyttöönoton jälkeen. Voit määrittää Essbasen kirjoittamaan seurantatietueita CSV-tiedostoon tai siirtämään ne ulkoiseen tietokantaan.

Tässä työnkulussa käytetään Oracle Databasea ulkoisena tietokantana, mutta myös SQL Server, MySQL tai DB2 ovat mahdollisia.

Voit suorittaa työnkulun, jos olet järjestelmän järjestelmänvalvoja, ja sinulla on oltava pääsy <Essbasen konfigurointipolkuun> Essbase-palvelinkoneessa.

Muokattavat tiedostot ovat tässä polussa:

essbase.cfg-kokoonpanotiedosto
Suojauksen seurantakäytännön oletustiedosto

Ota käyttöön palvelintapahtumien seuranta lisäämällä seuraava määritys essbase.cfg-konfiguraatiotiedostoon Essbase-palvelinkoneella:

AUDITTRAIL SECURITY

Kun olet päivittänyt konfiguraation, käynnistä Essbase uudelleen.

Katso kohdat Palvelintason kokoonpano-ominaisuuksien määritys ja Palvelinten käynnistys, pysäytys ja tarkistus.
Käytännön oletustiedosto (XML) luodaan Essbase-palvelimella. Tämä tiedosto, EssbaseSecurityAuditLogPolicy.xml, on polulla, jonka määritit Essbase-konfiguraation tallennuksen käyttöönoton määritysvaiheessa (<Essbase-määrityspolku>, missä myös essbase.cfg sijaitsee).
Luodussa käytännön oletustiedostossa on seuraava sisältö:
```
<?xml version="1.0" encoding="UTF-8"?>
<security-audit-policy>
   <audit_events_to_capture>LOGIN,LOGINAS,LOGIN_FAIL,LOGOUT,SERVICE_ROLE_ASSIGN,SERVICE_ROLE_REVOKE,APPLICATION_ROLE_ASSIGN,APPLICATION_ROLE_REVOKE,ARTIFACT_UPLOADED,ARTIFACT_MODIFIED,ARTIFACT_DELETED,ARTIFACT_CREATE,ARTIFACT_RENAMED,APPLICATION_DELETED,APPLICATION_CREATE,APPLICATION_RENAMED,DATABASE_DELETED,DATABASE_CREATE,DATABASE_RENAMED,LCM_EXPORT_START,LCM_EXPORT_END,LCM_IMPORT_START,LCM_IMPORT_END,LCM_IMPORT_FAIL,DATA_LOAD_MAXL,LOAD_DATA_JOB_START,LOAD_DATA_JOB_END,LOAD_DATA_JOB_FAILED,DELETE_SESSION,EXECUTE_MAXL,APPLICATION_SET_ACTIVE,APPLICATION_START,APPLICATION_STOP,DATABASE_START,DATABASE_STOP</audit_events_to_capture>
   <audit_sinks>
      <audit_sink>
         <audit_sink_type>CSV</audit_sink_type>
         <max-file-size>50000000</max-file-size>
         <roll-nos>100</roll-nos>
      </audit_sink>
   </audit_sinks>
</security-audit-policy>
```
CSV on seuranta-altaan oletustyyppi. Jos käytät seuranta-altaan oletustyyppiä (CSV) ja haluat varmistaa, että seurantatiedot on merkitty suojauksen seurantalokin CSV-tiedostoon,
1. Suorita toiminto, joka on seurattava tapahtuma, kuten sovelluksen luonti. Voit valita minkä tahansa toiminnon, joka on mukana käytännön <audit_events_to_capture>-osassa.
2. Muodosta SSH-yhteys Essbase-palvelimeen.
3. Siirry kohteeseen <DOMAIN_HOME>/servers/serverName/logs/essbase/. Jos et tiedä, missä <DOMAIN_HOME> on, katso kohta Ympäristösijainnit Essbase-alustalla.
4. Avaa ja tarkista tiedosto SecurityAuditLog_n.csv.
  Esimerkki suojauksen seurantalokin CSV-tiedostosta:

Jos haluat siirtää suojauksen seurantaketjun ulkoiseen tietokantaan,

Luo yhteys ulkoiseen lähteeseen. Katso kohta Yleisen yhteyden ja tietolähteen luonti tai Sovellustason yhteyden ja tietolähteen luonti.
Muokkaa käytäntötiedostoa muuttamalla seuranta-altaan arvoksi DATABASE.
Lisää <db_connection_name>-parametri <audit_sink>-parametrin sisällä. <db_connection_name>-parametrin arvon tulee olla täsmälleen sama kuin yhteyden nimi, joka luotiin edellä olevassa alivaiheessa.

Esimerkki muokatusta seurantakäytännöstä suojauksen seurantaketjun siirtämiseen Oracle-tietokantaan:

<?xml version="1.0" encoding="UTF-8"?>
<security-audit-policy>
   <audit_events_to_capture>LOGIN,LOGINAS,LOGIN_FAIL,LOGOUT,SERVICE_ROLE_ASSIGN,SERVICE_ROLE_REVOKE,APPLICATION_ROLE_ASSIGN,APPLICATION_ROLE_REVOKE,ARTIFACT_UPLOADED,ARTIFACT_MODIFIED,ARTIFACT_DELETED,ARTIFACT_CREATE,ARTIFACT_RENAMED,APPLICATION_DELETED,APPLICATION_CREATE,APPLICATION_RENAMED,DATABASE_DELETED,DATABASE_CREATE,DATABASE_RENAMED,LCM_EXPORT_START,LCM_EXPORT_END,LCM_IMPORT_START,LCM_IMPORT_END,LCM_IMPORT_FAIL,DATA_LOAD_MAXL,LOAD_DATA_JOB_START,LOAD_DATA_JOB_END,LOAD_DATA_JOB_FAILED,DELETE_SESSION,EXECUTE_MAXL,APPLICATION_SET_ACTIVE,APPLICATION_START,APPLICATION_STOP,DATABASE_START,DATABASE_STOP</audit_events_to_capture>
   <audit_sinks>
      <audit_sink>
         <audit_sink_type>DATABASE</audit_sink_type>
           <db_connection_name>OraclePDB</db_connection_name>
      </audit_sink>
   </audit_sinks>
</security-audit-policy>

Varmista, että seurantatiedot siirtyivät tietokantaan.
1. Suorita toiminto, joka on seurattava tapahtuma, kuten sovelluksen luonti. Voit valita minkä tahansa toiminnon, joka on mukana käytännön <audit_events_to_capture>-osassa.
  Essbasen pitäisi luoda seurantataulu nimeltä ESSBASE_SECURITY_AUDIT_EVENT_LOG ulkoisessa tietokantarakenteessa.
2. Kirjaudu ulkoiseen RDBMS:ään ja suorita kysely, jolla tarkistat taulun olemassaolon. Esimerkiksi voit kirjautua SQL Developeriin ja suorittaa
```
select * from ESSBASE_SECURITY_AUDIT_EVENT_LOG
```
Tarkastele ja analysoi suojauksen seurantatietueita tietojen visualisointityökalun avulla. Voit käyttää Smart View-, Oracle Data Desktop- (Oracle Technology Network -lisenssillä) -visualisointityökaluja tai avoimen lähdekoodin visualisointityökaluja tai muun tietokantatoimittajan kuin Oraclen tarjoamia työkaluja.

Tietoja seurantakäytäntötiedostosta

Seurantakäytäntö määritetään XML-tiedostossa, jota voi muokata omien tarpeiden mukaan. Tässä tiedostossa voit määrittää, mitä Essbase-palvelintapahtumia seurataan, ja sen, tallennetaanko tiedot suojauksen seurantalokiin vai siirretäänkö ne ulkoiseen tietokantaan. Jos tietoja tallennetaan seurantalokiin, voidaan ilmaista tiedoston enimmäiskoko ja säilytettävien suojauksen seurantalokitiedostojen määrä.

Essbase luo EssbaseSecurityAuditLogPolicy.xml-tiedoston, kun käynnistät Essbasen uudelleen suojauksen seurannan käyttöönoton jälkeen. Sen jälkeen voit tarkentaa seurantakäytäntöä muokkaamalla tiedostoa tarpeen mukaan. Tiedosto sijaitsee polulla, jonka määritit Essbase-konfiguraation tallennuksen käyttöönoton konfigurointivaiheessa (<Essbase-konfigurointipolku>, missä myös essbase.cfg sijaitsee). Jos et tiedät, missä polku on omassa ympäristössäsi, katso selitys kohdasta Ympäristösijainnit Essbase-alustalla.

Seurantakäytäntötiedoston muokkaus:

Etsi tiedosto EssbaseSecurityAuditLogPolicy.xml. Tiedosto sijaitsee sovellushakemistossa, joka on määritetty Essbasen käyttöönoton konfigurointivaiheessa.
Avaa se tekstieditorissa.
Muokkaa seuranta-allasta, lokiinkirjoitustietoja ja seurattavia tapahtumia.
1. Vaihtoehtoisesti voit valita <audit_sink_type>DATABASE</audit_sink_type>, jos haluat siirtää tiedot ulkoiseen tietokantaan.
2. Jos annoit seuranta-altaan tyypiksi DATABASE vaiheessa a, lisää seuraavalla rivillä <db_connection_name>Yhteyden nimi</db_connection_name> käyttämällä tietokannan nimenä tietokantayhteyttä, jonka määritit kohdassa Työnkulku suojauksen seurannan käyttöönotolle Essbase-palvelimessa.
3. Kun tallennat tietoja seurantalokitiedostoon, voit halutessasi muuttaa tiedoston enimmäiskokoa asetuksella <max-file-size>n</max-file-size>, jossa n = tavujen määrä. Oletusarvo on 50000000 tavua.
4. Kun tallennat tietoja seurantalokitiedostoon, määritä, kuinka monta suojauksen seurantalokin CSV-tiedostoa tallennetaan asetuksella <roll-nos>n</roll-nos>, jossa n = tiedostojen määrä.
5. Määritä, mitkä seurantatapahtumat haluat tallentaa asetuksella <audit_events_to_capture>events_list</audit_events_to_capture>.

Seurantakäytäntötiedostossa ilmaisuja tapahtumia seurataan suojauksen seurantalokissa tai siirretään ulkoiseen tietokantaan.

Voit määrittää seuraavat tapahtumat tallennettaviksi seurantakäytäntötiedostossa:

Tapahtuma	Kuvaus
LOGIN	Käyttäjä [x] kirjautui sisään
LOGIN_AS	Käyttäjä [x] kirjautui sisään käyttäjänä [y]
LOGOUT	Käyttäjä [x] kirjautui ulos
LOGIN_FAIL	Käyttäjän [x] sisäänkirjaus epäonnistui
SERVICE_ROLE_ASSIGN	Määritettiin Essbase-palvelurooli [x] kohteelle [y]
SERVICE_ROLE_REVOKE	Peruutettiin Essbase-palvelurooli [x] kohteelta [y]
APPLICATION_ROLE_ASSIGN	Käyttäjälle/ryhmälle [x] on myönnetty rooli [y] sovelluksessa [z]
APPLICATION_ROLE_REVOKE	Käyttäjän/ryhmän [x] rooli [y] on poistettu sovelluksessa [z]
ARTIFACT_CREATE	Sisältö [x], jonka tyyppi on [y], on luotu
ARTIFACT_UPLOADED	Sisällön latauspyyntö kutsuttu sovellukselle [a], tietokanta [b], objektin nimi [c] ja objektin tyyppi [d]
ARTIFACT_MODIFIED	Sisältöä [x], jonka tyyppi on [y], on muokattu
ARTIFACT_DELETED	Sisältö [x], jonka tyyppi on [y], on poistettu
ARTIFACT_RENAMED	Sisällölle [x], jonka tyyppi on [y], on annettu uusi nimi [z]
APPLICATION_DELETED	Sovellus [x] on poistettu
APPLICATION_CREATE	Sovellus [x] on luotu
APPLICATION_RENAMED	Sovellukselle [x] on annettu uusi nimi [y]
DATABASE_DELETED	Tietokanta [x] on poistettu sovelluksessa [y]
DATABASE_CREATE	Tietokanta [x] on luotu sovelluksessa [y]
DATABASE_RENAMED	Tietokanta [x] on nimetty uudelleen nimellä [y] sovelluksessa [z]
LCM_EXPORT_START	Tiedoston nimeltä [x] LCM-vienti on alkanut
LCM_EXPORT_END	Tiedoston nimeltä [x] LCM-vientityö on valmis, työn tila: [y]
LCM_IMPORT_START	Tiedoston nimeltä [y] LCM-tuonti aloitettu sovelluksessa [x]
LCM_IMPORT_END	Tiedoston nimeltä [y] LCM-tuonti valmis sovelluksessa [x]
LCM_IMPORT_FAIL	Tiedoston nimeltä [y] LCM-tuonti epäonnistui sovelluksessa [x]
DATA_LOAD_MAXL	Tietojen tuonnin MaxL-lause suoritettu sovellukselle [x] ja tietokannalle [y], käyttäjä [z]
EXECUTE_MAXL	MaxL-lause [x] suoritettu käyttäjältä [y]
LOAD_DATA_JOB_START	Tietojen lataus käynnistetty käyttäen datatiedostoa [x] ja sääntötiedostoa [y]
LOAD_DATA_JOB_END	Datatiedoston [x] ja sääntötiedoston [y] tietojen lataustyö on valmis, tila on [z]
LOAD_DATA_JOB_FAILED	Tietojen lataustyö epäonnistui, syy: [x]
DELETE_SESSION	Istunto[x] on poistettu

Suojauksen seurantatapahtumat

Suojauksen seurantatapahtumia seurataan joko suojauksen seurantalokitiedostossa tai ne siirretään ulkoiseen tietokantaan sen mukaan, minkä määritit seurantakäytäntötiedostossa.

Ohjeita suojauksen seurantalokin tai seurantataulun avaamiseen ulkoisen tietokannan rakenteessa on kohdassa Työnkulku suojauksen seurannan käyttöönotolle Essbase-palvelimessa.

Suojauksen seurantaloki ja seurantataulu sisältävät seuraavat tiedot (kun käytössä) jokaisesta tapahtumasta:

Aika – milloin tapahtuma tapahtui
Asiakaskone – asiakaskoneen IP-osoite tai isäntänimi
Käyttäjätunnus – käyttäjä, joka aloitti toiminnon
Istunnon tunnus – Essbase-istunnon tunnus
Tapahtuman tyyppi – tapahtuman tyyppi
Sisällön tyyppi – tapahtumaan liittyvän sisällön tyyppi
Esimerkkejä sisällön tyypistä:
- Sisällön tyyppi partition_file tapahtuman tyypille ARTIFACT_UPLOADED
- Sisällön tyyppi Application tapahtuman tyypille LCM_EXPORT_START
- Sisällön tyyppi User tapahtumatyypille APPLICATION_ROLE_ASSIGN
Sisällön nimi – tapahtumaan liittyvän sisällön nimi. Esimerkiksi tiedostonimi, käyttäjätunnus tai sovelluksen nimi
Lisätiedot – tapahtumaan liittyvät lisätiedot
Kuvaus – tapahtuman kuvaus
Kuvauskentän sisältö on lokalisoitu.
Tunnus - 128-bittinen ainutkertainen tunniste, joka kuvaa tapahtuman.
Esimerkki: 123e4567-e89b-12d3-a456-426614174000
Kesto - tapahtuman kesto millisekunteina
Sovelluksen nimi - sovelluksen nimi
Tietokannan nimi - tietokannan nimi
Tila - onnistui tai epäonnistui