בצע ביקורת של אבטחה, שינויים בארטיפקט ואירועי LCM

מנהלני שירות יכולים לאפשר ביקורת אבטחה כדי לעקוב אחר השינויים שבוצעו בשרת Essbase.

בהתבסס על הפרמטרים שתציין בקובץ מדיניות ביקורת, Essbase אוסף את המידע על השינויים באבטחה, בארטיפקטים, באירועי LCM, ובמשפטי MaxL שבוצעו (כולל יבוא) ברמת המערכת. Essbase מאחד את המידע במעקב לתוך קובץ יומן ביקורת, או מזרים אותו למסד נתונים חיצוני. מידע במעקב על כל אירוע כולל זמן, לקוח, משתמש, ארטיפקטים שהושפעו, משך זמן, מזהה, שם יישום ושם מסד נתונים, סטטוס ותיאור.

אתה מאפשר ביקורת ברמת השרת של אירועים אלה באמצעות הגדרת התצורה AUDITTRAIL SECURITY של Essbase.

זרימת עבודה לאפשור ביקורת אבטחה בשביל שרת Essbase

תהליך עבודה זה מסביר כיצד לאפשר ביקורת אבטחה בשרת Essbase באמצעות AUDITTRAIL SECURITY. לאחר אפשור ביקורת, אתה מגדיר את EssbaseSecurityAuditLogPolicy. אתה יכול לגרום לEssbase לכתוב רשומות ביקורת לקובץ CSV או להזרים אותן למסד נתונים חיצוני.

בתהליך עבודה זה, Oracle Database הוא מסד הנתונים החיצוני, אך ניתן להשתמש גם ב-SQL Server, MySQL או DB2.

כדי להשלים את תהליך העבודה, עליך להיות מנהלן מערכת, ותצטרך לגשת ל-<נתיב תצורת Essbase> במחשב שרת Essbase.

נתיב זה מכיל קבצים שתצטרך לערוך:
  • קובץ הגדרות התצורה essbase.cfg
  • קובץ ברירת מחדל של מדיניות בקרת אבטחה

  1. אפשר בקרה של אירועי שרת על-ידי הוספת התצורה הבאה ל-essbase.cfg במחשב השרת Essbase:

    AUDITTRAIL SECURITY

    לאחר שתעדכן את התצורה, הפעל מחדש את Essbase.

    עיין ב-הגדרת מאפייני תצורה ברמת השרת ו-התחל, עצור ובדוק שרתים.

  2. קובץ מדיניות ברירת מחדל (XML) נוצר בשרת Essbase. קובץ זה, EssbaseSecurityAuditLogPolicy.xml, נמצא בנתיב שציינת במהלך שלב התצורה של הפריסה לאחסון תצורת Essbase (ה-<נתיב תצורת Essbase >, שבו נמצא גם essbase.cfg).

    קובץ המדיניות המוגדר כברירת מחדל שנוצר מכיל את התכנים הבאים: 
    <?xml version="1.0" encoding="UTF-8"?>
<security-audit-policy>
   <audit_events_to_capture>LOGIN,LOGINAS,LOGIN_FAIL,LOGOUT,SERVICE_ROLE_ASSIGN,SERVICE_ROLE_REVOKE,APPLICATION_ROLE_ASSIGN,APPLICATION_ROLE_REVOKE,ARTIFACT_UPLOADED,ARTIFACT_MODIFIED,ARTIFACT_DELETED,ARTIFACT_CREATE,ARTIFACT_RENAMED,APPLICATION_DELETED,APPLICATION_CREATE,APPLICATION_RENAMED,DATABASE_DELETED,DATABASE_CREATE,DATABASE_RENAMED,LCM_EXPORT_START,LCM_EXPORT_END,LCM_IMPORT_START,LCM_IMPORT_END,LCM_IMPORT_FAIL,DATA_LOAD_MAXL,LOAD_DATA_JOB_START,LOAD_DATA_JOB_END,LOAD_DATA_JOB_FAILED,DELETE_SESSION,EXECUTE_MAXL,APPLICATION_SET_ACTIVE,APPLICATION_START,APPLICATION_STOP,DATABASE_START,DATABASE_STOP</audit_events_to_capture>
   <audit_sinks>
      <audit_sink>
         <audit_sink_type>CSV</audit_sink_type>
         <max-file-size>50000000</max-file-size>
         <roll-nos>100</roll-nos>
      </audit_sink>
   </audit_sinks>
</security-audit-policy>
    ברירת המחדל של סוג ה-audit sink הוא CSV. אם אתה משתמש בסוג ה-audit sink המוגדר כברירת מחדל (CSV), וברצונך לבדוק שפרטי הביקורת נכתבים לקובץ ה-CSV של יומן ביקורת האבטחה,
    1. בצע פעולה שהיא אירוע שניתן לביקורת, כגון יצירת יישום. אתה יכול לבחור כל פעולה הרשומה בפרק <audit_events_to_capture> של המדיניות שלך.
    2. SSH לשרת Essbase.
    3. נווט אל <DOMAIN_HOME>/servers/serverName/logs/essbase/. אם אינך יודע היכן נמצא <DOMAIN_HOME>, עיין ב-מיקומי סביבה בפלטפורמת ה-Essbase.
    4. פתח וסקור את הקובץ, SecurityAuditLog_n.csv.

      דוגמה לקובץ CSV של יומן ביקורת אבטחה:
      תמונה של קובץ csv של ביקורת אבטחה.

  3. אם אתה רוצה שנתיב ביקורת האבטחה יוזרם למסד נתונים חיצוני,

    1. צור חיבור למקור החיצוני. עיין ב-צור חיבור גלובלי ומקור נתונים או צור חיבור ומקור נתונים ברמת יישום.
    2. ערוך את קובץ המדיניות כדי לשנות את ה-sink של הביקורת ל-DATABASE.
    3. הוסף פרמטר <db_connection_name> בתוך הפרמטר <audit_sink>. הערך של הפרמטר <db_connection_name> צריך להיות השם המדויק של החיבור שנוצר בשלב המשנה למעלה.
    דוגמה למדיניות בקרת זהויות ערוכה להזרמת נתיב ביקורת אבטחה ל-Oracle Database: 
    <?xml version="1.0" encoding="UTF-8"?>
<security-audit-policy>
   <audit_events_to_capture>LOGIN,LOGINAS,LOGIN_FAIL,LOGOUT,SERVICE_ROLE_ASSIGN,SERVICE_ROLE_REVOKE,APPLICATION_ROLE_ASSIGN,APPLICATION_ROLE_REVOKE,ARTIFACT_UPLOADED,ARTIFACT_MODIFIED,ARTIFACT_DELETED,ARTIFACT_CREATE,ARTIFACT_RENAMED,APPLICATION_DELETED,APPLICATION_CREATE,APPLICATION_RENAMED,DATABASE_DELETED,DATABASE_CREATE,DATABASE_RENAMED,LCM_EXPORT_START,LCM_EXPORT_END,LCM_IMPORT_START,LCM_IMPORT_END,LCM_IMPORT_FAIL,DATA_LOAD_MAXL,LOAD_DATA_JOB_START,LOAD_DATA_JOB_END,LOAD_DATA_JOB_FAILED,DELETE_SESSION,EXECUTE_MAXL,APPLICATION_SET_ACTIVE,APPLICATION_START,APPLICATION_STOP,DATABASE_START,DATABASE_STOP</audit_events_to_capture>
   <audit_sinks>
      <audit_sink>
         <audit_sink_type>DATABASE</audit_sink_type>
           <db_connection_name>OraclePDB</db_connection_name>
      </audit_sink>
   </audit_sinks>
</security-audit-policy>

  4. בדוק שפרטי הביקורת הוזרמו למסד הנתונים.

    1. בצע פעולה שהיא אירוע שניתן לביקורת, כגון יצירת יישום. אתה יכול לבחור כל פעולה הרשומה בפרק <audit_events_to_capture> של המדיניות שלך.

      Essbase צריך ליצור טבלת ביקורת בשם ESSBASE_SECURITY_AUDIT_EVENT_LOG בסכמה החיצונית.

    2. התחבר ל-RDBMS החיצוני והרץ שאילתא כדי לבדוק את נוכחות הטבלה. לדוגמה, התחבר ל-SQL Developer והרץ 
      select * from ESSBASE_SECURITY_AUDIT_EVENT_LOG

  5. השתמש בכלי המחשת נתונים להצגה וניתוח של רשומות ביקורת האבטחה. אתה יכול להשתמש ב-Smart View, Oracle Data Desktop (זמין עם רישיון Oracle Technology Network), בכלי המחשה גרפית בקוד פתוח מקוד פתוח או מספק מסד הנתונים שלך שאינו Oracle.

אודות קובץ מדיניות הביקורת

מדיניות הביקורת מוגדרת בקובץ XML שאותו תוכל לערוך כדי להתאימו לצרכים שלך. בקובץ זה, אתה יכול לציין אחרי אילו אירועי שרת Essbase לעקוב והאם לכתוב את הנתונים ליומן ביקורת אבטחה או להזרים אותם למסד נתונים חיצוני. אם אתה כותב נתונים ליומן ביקורת, אתה יכול לציין את גודל הקובץ המקסימלי ואת מספר קובצי יומן ביקורת האבטחה שיש לשמור.

Essbase יוצר קובץ EssbaseSecurityAuditLogPolicy.xml בעת הפעלה מחדש של Essbase אחרי הפעלת ביקורת אבטחה. לאחר מכן תוכל לערוך את הקובץ לפי הצורך כדי למקד את מדיניות הביקורת. קובץ זה נמצא בנתיב שציינת במהלך שלב התצורה של הפריסה לאחסון תצורת Essbase (ה-<נתיב תצורת Essbase >, שבו נמצא גם essbase.cfg). אם אינך יודע היכן זה נמצא בסביבה שלך, עיין ב-מיקומי סביבה בפלטפורמת ה-Essbase לקבלת הסבר.

כדי לערוך את קובץ מדיניות הביקורת.

  1. נווט אל EssbaseSecurityAuditLogPolicy.xml. הקובץ נמצא בספריית היישום שצוינה במהלך שלב התצורה של פריסת Essbase.

  2. פתח אותו בעורך טקסט.

  3. ערוך את ה-audit sink, פרטי רישום ביומן, ואירועים למעקב.

    1. באופן אופציונלי, הוסף <audit_sink_type>DATABASE</audit_sink_type> אם ברצונך להזרים נתונים למסד נתונים חיצוני.

    2. אם ציינת סוג audit sink שהוא DATABASE בשלב א', בשורה הבאה, הוסף <db_connection_name>ConnectionName</db_connection_name> עם שם החיבור למסד הנתונים שהגדרת ב-זרימת עבודה לאפשור ביקורת אבטחה בשביל Essbase Server.

    3. אם כותבים נתונים לקובץ יומן ביקורת, שנה את גודל הקובץ המקסימלי באמצעות <max-file-size>n</max-file-size>, כאשר n = מספר הבייטים. ברירת המחדל היא 50000000 בתים.

    4. אם כותבים נתונים לקובץ יומן ביקורת, ציין כמה קובצי CSV של יומן ביקורת אבטחה יש לשמור באמצעות <roll-nos>n</roll-nos>, כאשר n = מספר הקבצים.

    5. ציין כמה אירועי ביקורת ברצונך ללכוד, באמצעות <audit_events_to_capture>events_list</audit_events_to_capture>.

האירועים שאתה מציין בקובץ מדיניות הבקרה נמצאים במעקב בקובץ יומן ביקורת אבטחה או מוזרמים למסד נתונים חיצוני.

תוכל לציין את האירועים הבאים ללכידה בקובץ מדיניות הביקורת:

אירוע תיאור
התחברות משתמש [x] התחבר בהצלחה.
LOGIN_AS משתמש [x] התחבר בתור [y]
התנתקות משתמש [x] התנתק
LOGIN_FAIL התחברות של משתמש [x] נכשלה.
SERVICE_ROLE_ASSIGN תפקיד שירות Essbase [x] הוקצה ל-[y]
SERVICE_ROLE_REVOKE תפקיד שירות essbase [x] בוטל מ-[y]
APPLICATION_ROLE_ASSIGN למשתמש/קבוצה [x] הופעל התפקיד [y] ביישום [z].
APPLICATION_ROLE_REVOKE למשתמש/קבוצה [x] בוטל התפקיד [y] ביישום [z].
ARTIFACT_CREATE ארטיפקט [x] מסוג [y] נוצר
ARTIFACT_UPLOADED בקשת העלאת ארטיפקט קראה ליישום [a] מסד נתונים [b], שם אובייקט [c] וסוג אובייקט [d].
ARTIFACT_MODIFIED ארטיפקט [x] מסוג [y] שונה
ARTIFACT_DELETED ארטיפקט [x] מסוג [y] נמחק
ARTIFACT_RENAMED שם ארטיפקט [x] מסוג [y] שונה ל-[z]
APPLICATION_DELETED היישום [x] נמחק
APPLICATION_CREATE היישום [x] נוצר
APPLICATION_RENAMED שם היישום [x] שונה ל-[y]
DATABASE_DELETED מסד נתונים [x] נמחק ביישום [y]
DATABASE_CREATE מסד נתונים [x] נוצר ביישום [y]
DATABASE_RENAMED שם מסד נתונים [x] שונה ל-[y] ביישום [z]
LCM_EXPORT_START עבודת יצוא LCM התחילה עם שם קובץ [x]
LCM_EXPORT_END עבודת יצוא LCM הושלמה עם שם קובץ [x] וסטטוס עבודה [y]
LCM_IMPORT_START יבוא LCM התחיל ליישום [x] עם שם קובץ [y]
LCM_IMPORT_END יבוא LCM הושלם ליישום [x] עם שם קובץ [y]
LCM_IMPORT_FAIL יבוא LCM נכשל ליישום [x] עם שם קובץ [y]
DATA_LOAD_MAXL משפט יבוא נתונים של MaxL בוצע ליישום [x] ומסד נתונים [y] על-ידי משתמש [z]
EXECUTE_MAXL משפט MAXL [x] - בוצע על-ידי משתמש [y]
LOAD_DATA_JOB_START עבודת טעינת נתונים התחילה באמצעות קובץ הנתונים [x] וקובץ הכללים [y].
LOAD_DATA_JOB_END עבודת טעינת נתונים לקובץ הנתונים [x] וקובץ הכללים [y] הושלמה בסטטוס [z]
LOAD_DATA_JOB_FAILED עבודת טעינת נתונים נכשלה עקב [x]
DELETE_SESSION מושב עבודה [x] נמחק

אירועי ביקורת אבטחה

מעקב אחר אירועי ביקורת אבטחה מתבצעת בקובץ יומן ביקורת אבטחה, או שהם מוזרמים למסד נתונים חיצוני בהתאם למה שתציין בקובץ מדיניות הביקורת.

להנחיות לפתיחת יומן ביקורת האבטחה או טבלת הביקורת בסכימת מסד הנתונים החיצונית, ראה זרימת עבודה לאפשור ביקורת אבטחה בשביל Essbase Server.

יומן ביקורת האבטחה וטבלת הביקורת כוללים את המידע הבא (כאשר הוא רלוונטי) לגבי כל אירוע:
  • שעה - מתי התרחש האירוע
  • לקוח - כתובת IP או שם מארח של לקוח
  • שם משתמש - המשתמש שהתחיל את הפעולה
  • זיהוי מושב: זיהוי המושב של Essbase
  • סוג אירוע - סוג האירוע
  • סוג ארטיפקט - סוג הארטיפקט המעורב באירוע
    דוגמאות לסוג ארטיפקט:
    • סוג הארטיפקט partition_file עבור סוג האירוע ARTIFACT_UPLOADED
    • יישום סוג הארטיפקט לסוג האירוע LCM_EXPORT_START
    • משתמש סוג הארטיפקט לסוג האירוע APPLICATION_ROLE_ASSIGN
  • שם ארטיפקט - שם הארטיפקט המעורב באירוע. לדוגמה, שם קובץ, שם משתמש או שם יישום
  • מידע נוסף - מידע נוסף המשויך לאירוע
  • תיאור - תיאור האירוע

    תוכן שדה התיאור עבר לוקליזציה.

  • מזהה - מזהה ייחודי אוניברסלי של 128 bit המתאר את האירוע.

    דוגמה: 123e4567-e89b-12d3-a456-426614174000

  • משך - משך האירוע באלפיות שניות
  • שם יישום - השם של היישום
  • שם מסד נתונים - שם מסד הנתונים
  • סטטוס - הצלחה או כשל