Biztonság, modellelem-változások és LCM-események auditálása

A szolgáltatásadminisztrátorok engedélyezhetik a biztonsági auditálást az Essbase-kiszolgálón végrehajtott módosítások nyomon követésére.

Az auditálási alapszabály fájljában megadott paraméterek alapján az Essbase információkat gyűjt a rendszerszintű biztonság, a modellelemek, az LCM-események és a végrehajtott MaxL-utasítások (beleértve az importálást is) változásairól. Az Essbase auditnapló-fájlba konszolidálja a követett információkat vagy külső adatbázisba továbbítja őket. Az egyes eseményekről gyűjtött információk közé tartozik az idő, az ügyfél, a felhasználó, az érintett modellelem, az időtartam, az azonosító, az alkalmazás és adatbázis neve, az állapot és a leírás.

Ezen események kiszolgálószintű auditálását az AUDITTRAIL SECURITY Essbase konfigurációs beállítással engedélyezheti.

Munkafolyamat a biztonsági auditálás engedélyezéséhez az Essbase-kiszolgálónál

Ez a munkafolyamat elmagyarázza, hogyan lehet engedélyezni az Essbase-kiszolgáló biztonsági auditálását az AUDITTRAIL SECURITY használatával. Az auditálás engedélyezése után meg kell határozni az EssbaseSecurityAuditLogPolicy elemet. Beállíthatja, hogy az Essbase az auditrekordokat egy CSV-fájlba írja, vagy továbbítsa őket egy külső adatbázisba.

Ebben a munkafüzetben az Oracle Database adatbázis a külső adatbázis, de használhatja a következőket is: SQL Server, MySQL vagy DB2.

A munkafolyamat teljesítéséhez rendszergazdának kell lennie, és hozzá kell férnie az <Essbase-konfiguráció útvonalához> az Essbase-kiszolgálóján.

Ez az útvonal olyan fájlokat tartalmaz, amelyeket szerkesztenie kell:
  • Az essbase.cfg konfigurációs fájl
  • Egy alapértelmezett biztonsági auditálási alapszabályfájl

  1. Úgy engedélyezheti a kiszolgáló eseményeinek auditálását, hogy hozzáadja a következő konfigurációt az essbase.cfg fájlhoz az Essbase-kiszolgálóján.

    AUDITTRAIL SECURITY

    A konfiguráció frissítését követően indítsa újra az Essbase alkalmazást.

    Lásd: A kiszolgálószintű konfigurációs tulajdonságok beállítása és Kiszolgálók indítása, leállítása és ellenőrzése.

  2. A rendszer létrehozza az alapszabály alapértelmezett fájlját (XML) az Essbase-kiszolgálón. Ez a fájl (EssbaseSecurityAuditLogPolicy.xml) az üzembe helyezés során, a konfiguráció szakaszában, az Essbase-konfiguráció tárolásához meghatározott útvonalon található (az <Essbase-konfiguráció útvonala>, ahol az essbase.cfg fájl is megtalálható).

    Az alapszabály ezekhez a tartalmakhoz létrehozott alapértelmezett fájlja a következőket tartalmazza: 
    <?xml version="1.0" encoding="UTF-8"?>
<security-audit-policy>
   <audit_events_to_capture>LOGIN,LOGINAS,LOGIN_FAIL,LOGOUT,SERVICE_ROLE_ASSIGN,SERVICE_ROLE_REVOKE,APPLICATION_ROLE_ASSIGN,APPLICATION_ROLE_REVOKE,ARTIFACT_UPLOADED,ARTIFACT_MODIFIED,ARTIFACT_DELETED,ARTIFACT_CREATE,ARTIFACT_RENAMED,APPLICATION_DELETED,APPLICATION_CREATE,APPLICATION_RENAMED,DATABASE_DELETED,DATABASE_CREATE,DATABASE_RENAMED,LCM_EXPORT_START,LCM_EXPORT_END,LCM_IMPORT_START,LCM_IMPORT_END,LCM_IMPORT_FAIL,DATA_LOAD_MAXL,LOAD_DATA_JOB_START,LOAD_DATA_JOB_END,LOAD_DATA_JOB_FAILED,DELETE_SESSION,EXECUTE_MAXL,APPLICATION_SET_ACTIVE,APPLICATION_START,APPLICATION_STOP,DATABASE_START,DATABASE_STOP</audit_events_to_capture>
   <audit_sinks>
      <audit_sink>
         <audit_sink_type>CSV</audit_sink_type>
         <max-file-size>50000000</max-file-size>
         <roll-nos>100</roll-nos>
      </audit_sink>
   </audit_sinks>
</security-audit-policy>
    Az auditfogadás alapértelmezett típusa a CSV. Ha az alapértelmezett (CSV) auditfogadási típust használja, és tesztelni szeretné azt, hogy az auditrészleteket a rendszer kiírja-e a biztonsági auditnapló CSV-fájljába:
    1. Hajtson végre olyan műveletet, amely auditálható esemény (például egy alkalmazás létrehozása). Kiválaszthat bármilyen műveletet, amely az alapszabály <audit_events_to_capture> szakaszában szerepel.
    2. Létesítsen SSH-kapcsolatot az Essbase-kiszolgálóval.
    3. Navigáljon ide: <DOMAIN_HOME>/servers/serverName/logs/essbase/. Ha nem tudja, hol található a <DOMAIN_HOME>, lásd: Környezeti helyek az Essbase platformon.
    4. Nyissa meg és tekintse át a következő fájlt: SecurityAuditLog_n.csv.

      Példa biztonsági auditnapló CSV-fájljára:
      A biztonsági audit CSV-fájljának képe.

  3. Ha továbbítani szeretné a biztonsági auditálást külső adatbázisba:

    1. Hozzon létre egy kapcsolatot a külső adatforrással. Lásd: Globális kapcsolat és adatforrás létrehozása vagy Alkalmazásszintű kapcsolat és adatforrás létrehozása.
    2. Szerkessze az alapszabály fájlját, módosítsa az auditfogadót erre: DATABASE.
    3. Adjon hozzá egy <db_connection_name> paramétert az <audit_sink> paraméteren belül. A <db_connection_name> paraméter értékének pontosan meg kell egyeznie a fenti a. részlépésben létrehozott kapcsolat nevével.
    Példa szerkesztett audit-alapszabályra biztonsági auditálás Oracle Database adatbázisba való továbbításának vonatkozásában: 
    <?xml version="1.0" encoding="UTF-8"?>
<security-audit-policy>
   <audit_events_to_capture>LOGIN,LOGINAS,LOGIN_FAIL,LOGOUT,SERVICE_ROLE_ASSIGN,SERVICE_ROLE_REVOKE,APPLICATION_ROLE_ASSIGN,APPLICATION_ROLE_REVOKE,ARTIFACT_UPLOADED,ARTIFACT_MODIFIED,ARTIFACT_DELETED,ARTIFACT_CREATE,ARTIFACT_RENAMED,APPLICATION_DELETED,APPLICATION_CREATE,APPLICATION_RENAMED,DATABASE_DELETED,DATABASE_CREATE,DATABASE_RENAMED,LCM_EXPORT_START,LCM_EXPORT_END,LCM_IMPORT_START,LCM_IMPORT_END,LCM_IMPORT_FAIL,DATA_LOAD_MAXL,LOAD_DATA_JOB_START,LOAD_DATA_JOB_END,LOAD_DATA_JOB_FAILED,DELETE_SESSION,EXECUTE_MAXL,APPLICATION_SET_ACTIVE,APPLICATION_START,APPLICATION_STOP,DATABASE_START,DATABASE_STOP</audit_events_to_capture>
   <audit_sinks>
      <audit_sink>
         <audit_sink_type>DATABASE</audit_sink_type>
           <db_connection_name>OraclePDB</db_connection_name>
      </audit_sink>
   </audit_sinks>
</security-audit-policy>

  4. Tesztelje, hogy az audit részletei továbbításra kerültek-e az adatbázisba.

    1. Hajtson végre olyan műveletet, amely auditálható esemény (például egy alkalmazás létrehozása). Kiválaszthat bármilyen műveletet, amely az alapszabály <audit_events_to_capture> szakaszában szerepel.

      Az Essbase alkalmazásnak létre kell hoznia egy ESSBASE_SECURITY_AUDIT_EVENT_LOG nevű audittáblát a külső adatbázissémában.

    2. Jelentkezzen be a külső RDBMS-be és futtasson lekérdezést a táblázat meglétének ellenőrzéséhez. Például, jelentkezzen be az SQL Developer felületére, és futtassa a következőt 
      select * from ESSBASE_SECURITY_AUDIT_EVENT_LOG

  5. Használjon egy adatábrázolási eszközt a biztonsági auditrekordok megtekintéséhez és elemzéséhez. Használható a Smart View, az Oracle Data Desktop (Oracle Technology Network licenccel érhető el), illetve nyílt forráskódú ábrázolási eszközök nyílt forráskódú vagy az Oracle-től eltérő adatbázis-szállítótól.

Az auditálási alapszabály fájljának ismertetése

Az auditálási alapszabály egy XML-fájlban van meghatározva, amelyet igényeinek megfelelően szerkeszthet. Ebben a fájlban meghatározhatja, hogy az Essbase-kiszolgáló mely eseményeit szeretné nyomon követni, illetve meghatározhatja azt is, hogy az adatokat biztonsági auditnaplóba szeretné kiírni, vagy külső adatbázisba szeretné őket továbbítani. Ha auditnaplóba ír adatokat, megadhatja a maximális fájlméretet és a megtartandó biztonságinapló-fájlok számát.

Az Essbase létrehoz egy EssbaseSecurityAuditLogPolicy.xml nevű fájlt, amikor a biztonsági auditálás engedélyezése után újraindítja az Essbase alkalmazást. Ezután szükség szerint szerkesztheti a fájlt az auditálási alapszabály finomításához. A fájl az üzembe helyezés során, a konfiguráció szakaszában, az Essbase-konfiguráció tárolásához meghatározott útvonalon található (az <Essbase-konfiguráció útvonala>, ahol az essbase.cfg fájl is megtalálható). Ha nem tudja, hol található ez a környezetében, a Környezeti helyek az Essbase platformon cikkben talál magyarázatot.

Az auditálási alapszabály fájljának szerkesztéséhez:

  1. Keresse meg az EssbaseSecurityAuditLogPolicy.xml fájlt. A fájl az Essbase telepítésének konfigurációs szakaszában megadott alkalmazáskönyvtárban található.

  2. Nyissa meg egy szövegszerkesztőben.

  3. Szerkessze az auditfogadást, a naplózási adatokat, valamint a követendő eseményeket.

    1. Ha az adatokat külső adatbázisba szeretné továbbítani, opcionálisan hozzáadhatja a következőt: <audit_sink_type>DATABASE</audit_sink_type>.

    2. Ha az A lépésben az auditfogadás típusaként a DATABASE értéket adta meg, a következő sorban adja hozzá ezt: <db_connection_name>ConnectionName</db_connection_name> a Munkafolyamat a biztonsági auditálás engedélyezéséhez az Essbase-kiszolgálónál szakaszban meghatározott adatbázis-kapcsolat nevével.

    3. Ha auditnapló-fájlba ír adatokat, opcionálisan módosíthatja a maximális fájlméretet a <max-file-size>n</max-file-size> paranccsal, ahol az „n” a bájtok számát jelöli. Alapértelmezetten 50000000 bájt.

    4. Ha auditálási naplófájlba ír adatokat, adja meg, hogy hány biztonsági auditálási naplófájlt szeretne menteni a <roll-nos>n</roll-nos> segítségével, ahol az „n” a fájlok számát jelöli.

    5. Az <audit_events_to_capture>events_list</audit_events_to_capture> segítségével adja meg, hogy mely auditálási eseményeket szeretné rögzíteni.

Az auditálási alapszabály fájljában megjelölt eseményeket a rendszer biztonsági auditnapló-fájlban követi, vagy egy külső adatbázisba továbbítja őket.

A következő eseményeket jelölheti meg rögzíthetőként az auditálási alapszabály fájljában:

Esemény Leírás
LOGIN [x] felhasználó sikeresen bejelentkezett
LOGIN_AS [x] felhasználó [y]-ként jelentkezett be
LOGOUT [x] felhasználó kijelentkezett
LOGIN_FAIL [x] felhasználó bejelentkezése sikertelen
SERVICE_ROLE_ASSIGN A(z) [x] Essbase szolgáltatási szerepkör [y] hozzárendelésű lett
SERVICE_ROLE_REVOKE A(z) [x] Essbase szolgáltatási szerepkör vissza lett hívva a(z) [y] hozzárendelésből
APPLICATION_ROLE_ASSIGN A(z) [x] felhasználó/csoport előkészítve a(z) [y] szerephez a(z) [z] alkalmazáson
APPLICATION_ROLE_REVOKE A(z) [x] felhasználó/csoport visszavonva a(z) [y] szerepből a(z) [z] alkalmazáson
ARTIFACT_CREATE A(z) [y] típusú [x] modellelem létrehozva
ARTIFACT_UPLOADED Modellelem feltöltési kérelem meghívva a(z) [a] alkalmazás, [b] adatbázis, [c] objektumnév és [d] objektumtípus esetében
ARTIFACT_MODIFIED A(z) [y] típusú [x] modellelem módosítva
ARTIFACT_DELETED A(z) [y] típusú [x] modellelem törölve
ARTIFACT_RENAMED A(z) [y] típusú [x] modellelem átnevezve erre: [z]
APPLICATION_DELETED A(z) [x] alkalmazás törölve
APPLICATION_CREATE A(z) [x] alkalmazás létrehozva
APPLICATION_RENAMED A(z) [x] alkalmazás átnevezve erre: [y]
DATABASE_DELETED A(z) [x] adatbázis törölve a(z) [y] alkalmazásban
DATABASE_CREATE A(z) [x] adatbázis létrehozva a(z) [y] alkalmazásban
DATABASE_RENAMED A(z) [x] adatbázis átnevezve erre: [y] a(z) [z] alkalmazásban
LCM_EXPORT_START LCM-exportálási feladat elkezdve [x] fájlnévvel
LCM_EXPORT_END LCM-exportálási feladat befejezve [x] fájlnévvel és [y] feladatállapottal
LCM_IMPORT_START LCM-importálás elkezdve a(z) [x] alkalmazásnál, [y] fájlnévvel
LCM_IMPORT_END LCM-importálás befejeződött a(z) [x] alkalmazásnál, [y] fájlnévvel
LCM_IMPORT_FAIL LCM-importálás sikertelen a(z) [x] alkalmazásnál, [y] fájlnévvel
DATA_LOAD_MAXL A MaxL importálása adatutasítás a(z) [z] felhasználó által végrehajtott [x] alkalmazáshoz és [y] adatbázishoz
EXECUTE_MAXL [x] MaxL-utasítás végrehajtva [y] felhasználó által
LOAD_DATA_JOB_START Az adatbetöltési feladat elkezdve a(z) [x] adatfájl és a(z) [y] szabályfájl használatával
LOAD_DATA_JOB_END A(z) [x] adatfájl és a(z) [y] szabályfájl adatbetöltési feladata befejeződött [z] állapottal
LOAD_DATA_JOB_FAILED Sikertelen az adatbetöltési feladat [x] miatt
DELETE_SESSION A(z) [x] munkamenet törölve

Biztonsági auditálási események

A biztonsági auditálási eseményeket a rendszer biztonsági auditálási naplófájlban követi, vagy egy külső adatbázisba kerülnek átvitelre attól függően, hogy Ön a lehetőségek közül melyiket jelöli meg az auditálási alapszabály fájljában.

Útmutatásért a biztonsági auditálási napló vagy az auditálási tábla külső adatbázissémában történő megnyitásához lásd: Munkafolyamat a biztonsági auditálás engedélyezéséhez az Essbase-kiszolgálónál.

A biztonsági auditálási napló és az auditálási tábla a következő információkat tartalmazza az egyes eseményekről (adott esetben):
  • Idő – az esemény bekövetkezésének időpontja
  • Kliens – a kliens IP-címe vagy gazdagépneve
  • Felhasználónév – a műveletet kezdeményező felhasználó
  • Munkamenet azonosítója – az Essbase munkamenet azonosítója
  • Esemény típusa – az esemény típusa
  • Modellelem típusa – az eseményben érintett modellelem típusa
    Példák modellelemtípusra:
    • Partíciós fájl modellelemtípus ARTIFACT_UPLOADED eseménytípushoz
    • Alkalmazás modellelemtípus LCM_EXPORT_START eseménytípushoz
    • Felhasználó modellelemtípus APPLICATION_ROLE_ASSIGN eseménytípushoz
  • Modellelem neve – az eseményben érintett modellelem neve. Például fájlnév, felhasználónév vagy alkalmazásnév
  • További információk – az eseménnyel kapcsolatos további információk
  • Leírás – az esemény leírása

    A Leírás mező tartalma lokalizált.

  • Azonosító – Az eseményt leíró 128 bites univerzálisan egyedi azonosító.

    Példa: 123e4567-e89b-12d3-a456-426614174000

  • Időtartam – az esemény időtartama ezredmásodpercben megadva
  • Alkalmazás neve – az alkalmazás neve
  • Adatbázis neve – az adatbázis neve
  • Állapot – siker vagy hiba