Auditoria de Segurança, Alterações de Artefactos e Eventos de LCM

Os administradores do serviço podem ativar a auditoria da segurança para controlar as alterações efetuadas ao servidor do Essbase.

Com base nos parâmetros que especificar num ficheiro de política de auditoria, o Essbase recolhe informações sobre alterações à segurança a nível do sistema, artefactos, eventos de LCM e instruções MaxL executadas (incluindo importações). O Essbase consolida as informações controladas num ficheiro de diário de auditoria ou transmite-as em fluxo para uma base de dados externa. As informações controladas sobre cada evento incluem o seguinte: hora, cliente, utilizador, artefactos afetados, duração, ID, nome da aplicação e da base de dados, estado e uma descrição.

Ativa a auditoria a nível do sistema destes eventos utilizando a definição de configuração do AUDITTRAIL SECURITY Essbase.

Fluxo de Trabalho para Ativar a Auditoria de Segurança para o Essbase Server

Este fluxo de trabalho explica como ativar a auditoria de segurança no Essbase Server utilizando AUDITTRAIL SECURITY. Depois de ativar a auditoria, defina EssbaseSecurityAuditLogPolicy. O Essbase pode escrever registos de auditoria num ficheiro CSV ou transmiti-los para uma base de dados externa.

Neste fluxo de trabalho, o Oracle Database é a base de dados externa, mas também pode utilizar o SQL Server, o MySQL ou o DB2.

Para concluir o fluxo de trabalho, deve ser um administrador do sistema e terá de aceder ao <Percurso de Configuração do Essbase> no Essbase Server.

Este percurso contém ficheiros que precisa de editar:
  • O ficheiro de configuração essbase.cfg
  • Um ficheiro de política de auditoria de segurança por omissão

  1. Ative a auditoria de eventos do servidor acrescentando a seguinte configuração ao essbase.cfg no computador do Essbase Server:

    AUDITTRAIL SECURITY

    Depois de atualizar a configuração, reinicie o Essbase.

    Consulte Definir Propriedades de Configuração a Nível do Servidor e Iniciar, Parar e Verificar Servidores.

  2. É criado um ficheiro de política por omissão (XML) no Essbase Server. Este ficheiro, EssbaseSecurityAuditLogPolicy.xml, está no percurso que especificou durante a fase de configuração da implementação para armazenar a configuração do Essbase (o <Percurso de Configuração do Essbase>, que é também onde reside o essbase.cfg).

    O ficheiro de política por omissão criado tem este conteúdo: 
    <?xml version="1.0" encoding="UTF-8"?>
<security-audit-policy>
   <audit_events_to_capture>LOGIN,LOGINAS,LOGIN_FAIL,LOGOUT,SERVICE_ROLE_ASSIGN,SERVICE_ROLE_REVOKE,APPLICATION_ROLE_ASSIGN,APPLICATION_ROLE_REVOKE,ARTIFACT_UPLOADED,ARTIFACT_MODIFIED,ARTIFACT_DELETED,ARTIFACT_CREATE,ARTIFACT_RENAMED,APPLICATION_DELETED,APPLICATION_CREATE,APPLICATION_RENAMED,DATABASE_DELETED,DATABASE_CREATE,DATABASE_RENAMED,LCM_EXPORT_START,LCM_EXPORT_END,LCM_IMPORT_START,LCM_IMPORT_END,LCM_IMPORT_FAIL,DATA_LOAD_MAXL,LOAD_DATA_JOB_START,LOAD_DATA_JOB_END,LOAD_DATA_JOB_FAILED,DELETE_SESSION,EXECUTE_MAXL,APPLICATION_SET_ACTIVE,APPLICATION_START,APPLICATION_STOP,DATABASE_START,DATABASE_STOP</audit_events_to_capture>
   <audit_sinks>
      <audit_sink>
         <audit_sink_type>CSV</audit_sink_type>
         <max-file-size>50000000</max-file-size>
         <roll-nos>100</roll-nos>
      </audit_sink>
   </audit_sinks>
</security-audit-policy>
    CSV é o tipo de sink de auditoria por omissão. Se estiver a utilizar o tipo de sink de auditoria por omissão (CSV) e pretender testar se os detalhes da auditoria são escritos no ficheiro CSV de diário de auditoria de segurança,
    1. Execute uma ação que seja um evento auditável, como a criação de uma aplicação. Pode selecionar qualquer ação listada na secção <audit_events_to_capture> da sua política.
    2. SSH para o servidor do Essbase.
    3. Navegue até <DOMAIN_HOME>/servers/serverName/logs/essbase/. Se não souber onde está <DOMAIN_HOME>, consulte Localizações de Ambiente na Plataforma do Essbase.
    4. Abra e reveja o ficheiro, SecurityAuditLog_n.csv.

      Exemplo de um ficheiro CSV de diário de auditoria de segurança:
      Imagem de um ficheiro csv de auditoria de segurança.

  3. Se pretender que a pista de auditoria de segurança seja transmitida em fluxo para uma base de dados externa,

    1. Crie uma ligação à origem externa. Consulte Criar uma Ligação Global e Origem de Dados ou Criar uma Ligação ao Nível da Aplicação e Origem de Dados.
    2. Edite o ficheiro de política para alterar o sink de auditoria para DATABASE.
    3. Acrescente um parâmetro <db_connection_name> dentro do parâmetro <audit_sink>. O valor do parâmetro <db_connection_name> deve ser o nome exato da ligação criada no subpasso a acima.
    Exemplo de política de auditoria editada para transmitir em fluxo a pista de auditoria de segurança para o Oracle Database: 
    <?xml version="1.0" encoding="UTF-8"?>
<security-audit-policy>
   <audit_events_to_capture>LOGIN,LOGINAS,LOGIN_FAIL,LOGOUT,SERVICE_ROLE_ASSIGN,SERVICE_ROLE_REVOKE,APPLICATION_ROLE_ASSIGN,APPLICATION_ROLE_REVOKE,ARTIFACT_UPLOADED,ARTIFACT_MODIFIED,ARTIFACT_DELETED,ARTIFACT_CREATE,ARTIFACT_RENAMED,APPLICATION_DELETED,APPLICATION_CREATE,APPLICATION_RENAMED,DATABASE_DELETED,DATABASE_CREATE,DATABASE_RENAMED,LCM_EXPORT_START,LCM_EXPORT_END,LCM_IMPORT_START,LCM_IMPORT_END,LCM_IMPORT_FAIL,DATA_LOAD_MAXL,LOAD_DATA_JOB_START,LOAD_DATA_JOB_END,LOAD_DATA_JOB_FAILED,DELETE_SESSION,EXECUTE_MAXL,APPLICATION_SET_ACTIVE,APPLICATION_START,APPLICATION_STOP,DATABASE_START,DATABASE_STOP</audit_events_to_capture>
   <audit_sinks>
      <audit_sink>
         <audit_sink_type>DATABASE</audit_sink_type>
           <db_connection_name>OraclePDB</db_connection_name>
      </audit_sink>
   </audit_sinks>
</security-audit-policy>

  4. Teste se os detalhes da auditoria foram transmitidos em fluxo para a Base de Dados.

    1. Execute uma ação que seja um evento auditável, como a criação de uma aplicação. Pode selecionar qualquer ação listada na secção <audit_events_to_capture> da sua política.

      O Essbase deve criar uma tabela de auditoria denominada ESSBASE_SECURITY_AUDIT_EVENT_LOG no schema da base de dados externa.

    2. Entre em sessão no RDBMS externo e execute uma consulta para verificar a presença da tabela. Por exemplo, entre em sessão no SQL Developer e execute 
      select * from ESSBASE_SECURITY_AUDIT_EVENT_LOG

  5. Utilize uma ferramenta de visualização de dados para visualizar e analisar os registos de auditoria de segurança. Pode utilizar o Smart View, o Oracle Data Desktop (disponível com uma licença do Oracle Technology Network), ferramentas de visualização de código-fonte aberto ou o seu fornecedor de base de dados não Oracle.

Acerca do Ficheiro de Política de Auditoria

A política de auditoria é definida num ficheiro XML que pode editar para responder às suas necessidades. Neste ficheiro, pode especificar que eventos do Essbase Server devem ser controlados e se os dados devem ser escritos num diário de auditoria de segurança ou transmitidos em fluxo para uma base de dados externa. Se estiver a escrever dados num diário de auditoria, pode indicar o tamanho máximo do ficheiro e o número de ficheiros de diário de auditoria de segurança a manter.

O Essbase cria EssbaseSecurityAuditLogPolicy.xml quando reinicia o Essbase depois de ativar a auditoria de segurança. Em seguida, pode editar o ficheiro conforme necessário para refinar a política de auditoria. O ficheiro está no percurso que especificou durante a fase de configuração da implementação para armazenar a configuração do Essbase (o <Essbase Config Path>, que é também onde reside o essbase.cfg). Se não souber onde está no seu ambiente, consulte Localizações de Ambiente na Plataforma do Essbase para obter uma explicação.

Para editar o ficheiro de política de auditoria,

  1. Navegue até EssbaseSecurityAuditLogPolicy.xml. O ficheiro está localizado no diretório da aplicação especificado durante a fase de configuração da implementação do Essbase.

  2. Abra num editor de texto.

  3. Edite o sink de auditoria, os detalhes de registo no diário e os eventos a controlar.

    1. Opcionalmente, acrescente <audit_sink_type>DATABASE</audit_sink_type> se pretender transmitir os dados em fluxo para uma base de dados externa.

    2. Se indicou um tipo de sink de auditoria DATABASE no passo a, na linha seguinte, acrescente <db_connection_name><db_connection_name>ConnectionName</db_connection_name> com o nome da ligação de base de dados que definiu em Fluxo de Trabalho para Ativar a Auditoria de Segurança para o Essbase Server.

    3. Se estiver a escrever dados num ficheiro de diário de auditoria, opcionalmente altere o tamanho máximo do ficheiro utilizando <max-file-size>n</max-file-size>, em que n é o número de bytes. O valor por omissão é 50000000 bytes.

    4. Se estiver a escrever dados num ficheiro de diário de auditoria, indique quantos ficheiros CSV de diário de auditoria de segurança devem ser gravados utilizando <roll-nos>n</roll-nos>, em que n é o número de ficheiros.

    5. Indique os eventos de auditoria que pretende capturar, utilizando <audit_events_to_capture>events_list</audit_events_to_capture>.

Os eventos que indicar no ficheiro de política de auditoria são controlados num ficheiro de diário de auditoria de segurança ou transmitidos em fluxo para uma base de dados externa.

Pode indicar os seguintes eventos a capturar no ficheiro de política de auditoria:

Evento Descrição
LOGIN O utilizador [x] entrou em sessão com êxito
LOGIN_AS O utilizador [x] entrou em sessão como [y]
LOGOUT O utilizador [x] saiu de sessão
LOGIN_FAIL Falha na entrada em sessão do utilizador [x]
SERVICE_ROLE_ASSIGN Perfil de grupo do serviço do Essbase [x] atribuído a [y]
SERVICE_ROLE_REVOKE Perfil de grupo do serviço do Essbase [x] revogado de [y]
APPLICATION_ROLE_ASSIGN O Utilizador/Grupo [x] foi provisionado com o perfil de grupo [y] na aplicação [z]
APPLICATION_ROLE_REVOKE O Utilizador/Grupo [x] foi revogado do perfil de grupo [y] na aplicação [z]
ARTIFACT_CREATE Artefacto [x] do tipo [y] criado
ARTIFACT_UPLOADED Pedido de carregamento do artefacto chamado para a aplicação [a], a base de dados [b], o nome do objeto [c] e o tipo de objeto [d]
ARTIFACT_MODIFIED Artefacto [x] do tipo [y] modificado
ARTIFACT_DELETED Artefacto [x] do tipo [y] apagado
ARTIFACT_RENAMED Artefacto [x] do tipo [y] renomeado para [z]
APPLICATION_DELETED Aplicação [x] apagada
APPLICATION_CREATE Aplicação [x] criada
APPLICATION_RENAMED Aplicação [x] renomeada para [y]
DATABASE_DELETED Base de dados [x] apagada na aplicação [y]
DATABASE_CREATE Base de dados [x] criada na aplicação [y]
DATABASE_RENAMED Base de dados [x] renomeada para [y] na aplicação [z]
LCM_EXPORT_START A tarefa de exportação de LCM foi iniciada com o nome de ficheiro [x]
LCM_EXPORT_END A tarefa de exportação de LCM foi concluída com o nome de ficheiro [x] e com o estado de tarefa [y]
LCM_IMPORT_START Importação de LCM iniciada para a aplicação [x] com o nome de ficheiro [y]
LCM_IMPORT_END Importação de LCM concluída para a aplicação [x] com o nome de ficheiro [y]
LCM_IMPORT_FAIL Falha na importação de LCM para a aplicação [x] com o nome de ficheiro [y]
DATA_LOAD_MAXL A instrução de dados de importação MaxL executada para a aplicação [x] e base de dados [y] pelo utilizador [z]
EXECUTE_MAXL Instrução MaxL [x] - executada pelo utilizador [y]
LOAD_DATA_JOB_START Tarefa de carregamento de dados iniciada utilizando o ficheiro de dados [x] e o ficheiro de regras [y]
LOAD_DATA_JOB_END Tarefa de carregamento de dados do ficheiro de dados [x] e do ficheiro de regras [y] concluída com o estado [z]
LOAD_DATA_JOB_FAILED Falha na tarefa de carregamento de dados devido a [x]
DELETE_SESSION Sessão [x] apagada

Eventos de Auditoria de Segurança

Os eventos de auditoria de segurança são controlados num ficheiro de diário de auditoria de segurança ou são transmitidos em fluxo para uma base de dados externa, dependendo do que for indicado no ficheiro de política de auditoria.

Para obter instruções sobre como abrir o diário de auditoria de segurança ou a tabela de auditoria no schema da base de dados externa, consulte Fluxo de Trabalho para Ativar a Auditoria de Segurança para o Essbase Server.

O diário de auditoria de segurança e a tabela de auditoria incluem as seguintes informações (quando for aplicável) sobre cada evento:
  • Hora - quando o evento ocorreu
  • Cliente - endereço IP ou nome do host do cliente
  • Nome de utilizador - o utilizador que iniciou a ação
  • ID da Sessão – a ID da sessão do Essbase
  • Tipo de Evento - o tipo de evento
  • Tipo de Artefacto - o tipo de artefacto envolvido no evento
    Exemplos de tipo de artefacto:
    • Tipo de Artefacto partition_file para o Tipo de Evento ARTIFACT_UPLOADED
    • Aplicação do Tipo de Artefacto para o Tipo de Evento LCM_EXPORT_START
    • Utilizador do Tipo de Artefacto para o Tipo de Evento APPLICATION_ROLE_ASSIGN
  • Nome do Artefacto - o nome do artefacto envolvido no evento. Por exemplo, nome de ficheiro, nome de utilizador ou nome de aplicação
  • Informações Adicionais - informações adicionais associadas ao evento
  • Descrição - descrição do evento

    O conteúdo do campo Descrição está localizado.

  • ID - um identificador exclusivo universal de 128 bits que descreve o evento.

    Exemplo: 123e4567-e89b-12d3-a456-426614174000

  • Duração - duração do evento em milésimos de segundo
  • Nome da Aplicação - nome da aplicação
  • Nome da Base de Dados - nome da base de dados
  • Estado - êxito ou falha