Vérifier les modifications apportées à la sécurité, aux artefacts et aux événements LCM

Les administrateurs de service peuvent activer la vérification de sécurité pour suivre les modifications apportées au serveur Essbase.

Selon les paramètres que vous spécifiez dans un fichier de politique de vérification, Essbase collecte des informations sur les modifications apportées à la sécurité, aux artefacts, aux événements LCM et aux énoncés MaxL exécutés (y compris les importations) au niveau du système. Essbase regroupe les informations qui font l'objet d'un suivi dans un fichier journal de vérification ou les diffuse en continu à une base de données externe. Les informations qui font l'objet d'un suivi pour chaque événement sont notamment l'heure, le client, l'utilisateur, les artefacts affectés, la durée, l'ID, le nom de l'application et le nom de la base de données, le statut et une description.

Vous activez la vérification au niveau serveur pour ces événements à l'aide du paramètre de configuration AUDITTRAIL SECURITY pour Essbase.

Flux de travail pour activer la vérification de sécurité pour le serveur Essbase

Ce flux de travail explique comment activer la vérification de sécurité sur le serveur Essbase en utilisant AUDITTRAIL SECURITY. Après avoir activé la vérification, vous définissez EssbaseSecurityAuditLogPolicy. Vous pouvez demander à Essbase d'écrire les enregistrements de vérification dans un fichier CSV ou de les diffuser en continu vers une base de données externe.

Dans ce flux de travail, Oracle Database est la base de données externe, mais vous pouvez aussi utiliser SQL Server, MySQL ou DB2.

Pour exécuter le flux de travail, vous devez être un administrateur de système et vous devez avoir accès au <chemin de configuration Essbase> sur la machine serveur Essbase.

Ce chemin contient des fichiers que vous devrez modifier :
  • Le fichier de configuration essbase.cfg
  • Un fichier de politique de vérification de sécurité par défaut

  1. Activez la vérification des événements de serveur en ajoutant la configuration suivante au fichier essbase.cfg sur la machine serveur Essbase :

    AUDITTRAIL SECURITY

    Après avoir mis à jour la configuration, redémarrez Essbase.

    Voir Définir les propriétés de configuration au niveau du serveur et Démarrer, arrêter et vérifier les serveurs.

  2. Un fichier de politique par défaut (XML) est créé sur le serveur Essbase. Ce fichier, EssbaseSecurityAuditLogPolicy.xml, se trouve dans le chemin que vous avez spécifié lors de la phase de configuration du déploiement pour stocker la configuration Essbase (le <chemin de configuration Essbase>, qui est également l'endroit où le fichier essbase.cfg réside).

    Le fichier de politique par défaut a été créé avec le contenu suivant : 
    <?xml version="1.0" encoding="UTF-8"?>
<security-audit-policy>
   <audit_events_to_capture>LOGIN,LOGINAS,LOGIN_FAIL,LOGOUT,SERVICE_ROLE_ASSIGN,SERVICE_ROLE_REVOKE,APPLICATION_ROLE_ASSIGN,APPLICATION_ROLE_REVOKE,ARTIFACT_UPLOADED,ARTIFACT_MODIFIED,ARTIFACT_DELETED,ARTIFACT_CREATE,ARTIFACT_RENAMED,APPLICATION_DELETED,APPLICATION_CREATE,APPLICATION_RENAMED,DATABASE_DELETED,DATABASE_CREATE,DATABASE_RENAMED,LCM_EXPORT_START,LCM_EXPORT_END,LCM_IMPORT_START,LCM_IMPORT_END,LCM_IMPORT_FAIL,DATA_LOAD_MAXL,LOAD_DATA_JOB_START,LOAD_DATA_JOB_END,LOAD_DATA_JOB_FAILED,DELETE_SESSION,EXECUTE_MAXL,APPLICATION_SET_ACTIVE,APPLICATION_START,APPLICATION_STOP,DATABASE_START,DATABASE_STOP</audit_events_to_capture>
   <audit_sinks>
      <audit_sink>
         <audit_sink_type>CSV</audit_sink_type>
         <max-file-size>50000000</max-file-size>
         <roll-nos>100</roll-nos>
      </audit_sink>
   </audit_sinks>
</security-audit-policy>
    Le type de récepteur de vérification par défaut est un fichier CSV. Si vous utilisez le type de récepteur de vérification par défaut (CSV) et prévoyez de vérifier que les détails de vérification sont écrits dans le fichier journal de vérification de sécurité au format CSV :
    1. Exécutez une opération qui est un événement vérifiable, par exemple la création d'une application. Vous pouvez sélectionner n'importe quelle opération listée dans la section <audit_events_to_capture> de votre politique.
    2. Utilisez SSH pour accéder au serveur Essbase.
    3. Naviguez jusqu'à <DOMAIN_HOME>/servers/serverName/logs/essbase/. Si vous ne savez pas où se trouve <DOMAIN_HOME>, voir Emplacements d'environnement dans la plate-forme Essbase.
    4. Ouvrez et révisez le fichier SecurityAuditLog_n.csv.

      Exemple de fichier journal de vérification de sécurité au format CSV :
      Illustration d'un fichier de vérification de sécurité au format CSV.

  3. Si vous souhaitez que la piste de vérification de sécurité soit diffusée en continu à une base de données externe :

    1. Créez une connexion à une source de données externe. Voir Créer une connexion globale et une source de données ou Créer une connexion de niveau application et une source de données.
    2. Modifiez le fichier de politique pour remplacer le type de récepteur de vérification par DATABASE.
    3. Ajoutez un paramètre <db_connection_name> dans le paramètre <audit_sink>. La valeur du paramètre <db_connection_name> doit correspondre exactement au nom de la connexion créée à la sous-étape a ci-dessus.
    Exemple de politique de vérification modifiée pour la diffusion en continu de la piste de vérification de sécurité à Oracle Database : 
    <?xml version="1.0" encoding="UTF-8"?>
<security-audit-policy>
   <audit_events_to_capture>LOGIN,LOGINAS,LOGIN_FAIL,LOGOUT,SERVICE_ROLE_ASSIGN,SERVICE_ROLE_REVOKE,APPLICATION_ROLE_ASSIGN,APPLICATION_ROLE_REVOKE,ARTIFACT_UPLOADED,ARTIFACT_MODIFIED,ARTIFACT_DELETED,ARTIFACT_CREATE,ARTIFACT_RENAMED,APPLICATION_DELETED,APPLICATION_CREATE,APPLICATION_RENAMED,DATABASE_DELETED,DATABASE_CREATE,DATABASE_RENAMED,LCM_EXPORT_START,LCM_EXPORT_END,LCM_IMPORT_START,LCM_IMPORT_END,LCM_IMPORT_FAIL,DATA_LOAD_MAXL,LOAD_DATA_JOB_START,LOAD_DATA_JOB_END,LOAD_DATA_JOB_FAILED,DELETE_SESSION,EXECUTE_MAXL,APPLICATION_SET_ACTIVE,APPLICATION_START,APPLICATION_STOP,DATABASE_START,DATABASE_STOP</audit_events_to_capture>
   <audit_sinks>
      <audit_sink>
         <audit_sink_type>DATABASE</audit_sink_type>
           <db_connection_name>OraclePDB</db_connection_name>
      </audit_sink>
   </audit_sinks>
</security-audit-policy>

  4. Vérifiez que les détails de vérification ont été diffusés en continu à la base de données.

    1. Exécutez une opération qui est un événement vérifiable, par exemple la création d'une application. Vous pouvez sélectionner n'importe quelle opération listée dans la section <audit_events_to_capture> de votre politique.

      Essbase doit créer une table de vérification nommée ESSBASE_SECURITY_AUDIT_EVENT_LOG dans le schéma de base de données externe.

    2. Connectez-vous au système de gestion de base de données relationnelle externe et exécutez une interrogation pour vérifier la présence de la table. Par exemple, connectez-vous à SQL Developer et exécutez 
      select * from ESSBASE_SECURITY_AUDIT_EVENT_LOG

  5. Utilisez un outil de visualisation de données pour voir et analyser les enregistrements de vérification de sécurité. Vous pouvez utiliser Smart View, Oracle Data Desktop (disponible avec une licence Oracle Technology Network), des outils de visualisation à code source libre d'un fournisseur à code source libre ou de votre fournisseur de base de données non Oracle.

À propos du fichier de politique de vérification

La politique de vérification est définie dans un fichier XML que vous pouvez modifier selon vos besoins. Dans ce fichier, vous pouvez spécifier les événements de serveur Essbase devant faire l'objet d'un suivi et préciser si les données doivent être écrites dans un journal de vérification de sécurité ou diffusées en continu vers une base de données externe. Si vous écrivez les données dans un journal de vérification, vous pouvez indiquer la taille maximale des fichiers et le nombre de fichiers journaux de vérification de sécurité à conserver.

Essbase crée le fichier EssbaseSecurityAuditLogPolicy.xml lorsque vous redémarrez Essbase après avoir activé la vérification de sécurité. Vous pouvez ensuite modifier le fichier selon vos besoins pour préciser la politique de vérification. Ce fichier se trouve dans le chemin que vous avez spécifié lors de la phase de configuration du déploiement pour stocker la configuration Essbase (le <chemin de configuration Essbase>, qui est également l'endroit où le fichier essbase.cfg réside). Si vous ne savez pas où il se trouve dans votre environnement, voir Emplacements d'environnement dans la plate-forme Essbase pour obtenir des explications.

Pour modifier le fichier de politique de vérification :

  1. Naviguez jusqu'au fichier EssbaseSecurityAuditLogPolicy.xml. Le fichier se trouve dans le répertoire d'application indiqué lors de la phase de configuration du déploiement d'Essbase.

  2. Ouvrez-le dans un éditeur de texte.

  3. Modifiez le récepteur de vérification, les détails de la journalisation et les événements à suivre.

    1. Le cas échéant, ajoutez <audit_sink_type>DATABASE</audit_sink_type> si vous voulez diffuser en continu les données à une base de données externe.

    2. Si vous avez indiqué DATABASE comme type de récepteur de vérification à l'étape a, sur la ligne suivante, ajoutez <db_connection_name>ConnectionName</db_connection_name> avec le nom de la connexion à la base de données que vous avez défini dans Flux de travail pour activer la vérification de sécurité pour le serveur Essbase.

    3. Si vous écrivez les données dans un fichier journal de vérification, vous pouvez modifier la taille maximale des fichiers à l'aide de <max-file-size>n</max-file-size>, où n correspond au nombre d'octets. Par défaut, la taille est de 50 000 000 octets.

    4. Si vous écrivez les données dans un fichier journal de vérification, indiquez le nombre de fichiers journaux de vérification de sécurité au format CSV à enregistrer à l'aide de <roll-nos>n</roll-nos>, où n correspond au nombre de fichiers.

    5. Indiquez les événements de vérification à saisir, à l'aide de <audit_events_to_capture>events_list</audit_events_to_capture>.

Les événements que vous indiquez dans le fichier de politique de vérification font l'objet d'un suivi dans un fichier journal de vérification de sécurité ou sont diffusés en continu à une base de données externe.

Les événements qui peuvent être indiqués afin d'être saisis dans le fichier de politique de vérification sont les suivants :

Événement Description
LOGIN Connexion réussie de l'utilisateur [x]
LOGIN_AS Connexion de l'utilisateur [x] en tant que [y]
LOGOUT Déconnexion de l'utilisateur [x]
LOGIN_FAIL Échec de connexion de l'utilisateur [x]
SERVICE_ROLE_ASSIGN Rôle de service Essbase [x] affecté à [y]
SERVICE_ROLE_REVOKE Rôle de service Essbase [x] révoqué de [y]
APPLICATION_ROLE_ASSIGN Le rôle [y] dans l'application [z] a été attribué à l'utilisateur ou au groupe [x]
APPLICATION_ROLE_REVOKE Le rôle [y] dans l'application [z] a été révoqué pour l'utilisateur ou le groupe [x]
ARTIFACT_CREATE Artefact [x] de type [y] créé
ARTIFACT_UPLOADED La demande de chargement de l'artefact nécessitait l'application [a], la base de données [b], le nom d'objet [c] et le type d'objet [d]
ARTIFACT_MODIFIED Artefact [x] de type [y] modifié
ARTIFACT_DELETED Artefact [x] de type [y] supprimé
ARTIFACT_RENAMED Artefact [x] de type [y] renommé [z]
APPLICATION_DELETED Application [x] supprimée
APPLICATION_CREATE Application [x] créée
APPLICATION_RENAMED Application [x] renommée [y]
DATABASE_DELETED Base de données [x] supprimée dans l'application [y]
DATABASE_CREATE Base de données [x] créée dans l'application [y]
DATABASE_RENAMED Base de données [x] renommée [y] dans l'application[z]
LCM_EXPORT_START La tâche d'exportation LCM a commencé sous le nom de fichier [x]
LCM_EXPORT_END La tâche d'exportation LCM s'est terminée sous le nom de fichier [x] avec le statut [y]
LCM_IMPORT_START L'importation LCM a commencé pour l'application [x] sous le nom de fichier [y]
LCM_IMPORT_END L'importation LCM s'est terminée pour l'application [x] sous le nom de fichier [y]
LCM_IMPORT_FAIL Échec de l'importation LCM pour l'application [x] sous le nom de fichier [y]
DATA_LOAD_MAXL Énoncé de données d'importation MaxL exécuté pour l'application [x] et la base de données [y] par l'utilisateur [z]
EXECUTE_MAXL Énoncé MaxL [x] exécuté à partir de l'utilisateur [y]
LOAD_DATA_JOB_START Tâche de chargement de données démarrée à l'aide du fichier de données [x] et du fichier de règles [y]
LOAD_DATA_JOB_END La tâche de chargement de données pour le fichier de données [x] et le fichier de règles [y] s'est terminée avec le statut [z]
LOAD_DATA_JOB_FAILED Échec du chargement des données en raison de [x]
DELETE_SESSION Session [x] supprimée

Événements de vérification de sécurité

Les événements de vérification de sécurité font l'objet d'un suivi dans un fichier journal de vérification de sécurité ou sont diffusés en continu à une base de données externe selon ce que vous indiquez dans le fichier de politique de vérification.

Pour obtenir des instructions sur l'ouverture du fichier journal de sécurité ou de la table de vérification dans le schéma de base de données externe, voir Flux de travail pour activer la vérification de sécurité pour le serveur Essbase.

Le journal de vérification de sécurité et la table de vérification comprennent les informations suivantes (le cas échéant) pour chaque événement :
  • Heure - Heure à laquelle l'événement est survenu
  • Client - Adresse IP ou nom d'hôte du client
  • Nom d'utilisateur - Utilisateur qui lance l'action
  • ID session - ID session Essbase
  • Type d'événement - Type de l'événement
  • Type d'artefact - Type de l'artefact impliqué dans l'événement
    Exemples de type d'artefact :
    • Type d'artefact partition_file pour le type d'événement ARTIFACT_UPLOADED
    • Type d'artefact Application pour le type d'événement LCM_EXPORT_START
    • Type d'artefact Utilisateur pour le type d'événement APPLICATION_ROLE_ASSIGN
  • Nom de l'artefact - Nom de l'artefact impliqué dans l'événement Par exemple, un nom de fichier, un nom d'utilisateur ou un nom d'application
  • Informations supplémentaires - Informations supplémentaires associées à l'événement
  • Description - Description de l'événement

    Le contenu du champ Description est localisé.

  • ID - Identificateur unique universel de 128 bits servant à décrire l'événement.

    Exemple : 123e4567-e89b-12d3-a456-426614174000

  • Durée - Durée de l'événement en millisecondes
  • Nom de l'application - Nom de l'application
  • Nom de la base de données - Nom de la base de données
  • Statut - Succès ou échec