Auditarea securităţii, a modificărilor de artefacte şi a evenimentelor LCM

Administratorii de serviciu pot activa auditarea de securitate pentru a urmări modificările efectuate asupra serverului Essbase.

Pe baza parametrilor pe care îi specificaţi într-un fişier de politică de auditare, Essbase colectează informaţii despre modificările aduse în securitatea la nivel de sistem, despre artefacte, evenimentele LCM şi instrucţiunile MaxL executate (inclusiv importuri). Essbase consolidează informaţiile urmărite într-un singur fişier jurnal de audit sau le transmite în flux către o bază de date externă. Informaţiile urmărite despre fiecare eveniment includ ora, clientul, utilizatorul, artefactele afectate, durata, ID-ul, numele aplicaţiei şi bazei de date, starea şi o descriere.

Puteţi activa auditarea la nivel de server a acestor evenimente utilizând setările de configuraţie AUDITTRAIL SECURITY Essbase.

Flux de lucru pentru activarea auditului de securitate pentru serverul Essbase

Acest flux de lucru arată cum se activează auditul securităţii pe serverul Essbase cu instrucţiunea AUDITTRAIL SECURITY. După ce activaţi auditul, definiţi EssbaseSecurityAuditLogPolicy. Puteţi decide ca Essbase să scrie înregistrările de audit într-un fişier CSV sau să le trimită în flux către o bază de date externă.

În acest flux de lucru, Oracle Database este baza de date externă, dar puteţi utiliza şi SQL Server, MySQL sau DB2.

Pentru a finaliza fluxul de lucru, trebuie să fiţi administrator de sistem şi va trebui să accesaţi <Calea configuraţiei Essbase> de pe computerul cu serverul Essbase.

Această cale conţine fişiere pe care va trebui să le editaţi:
  • Fişierul de configurare essbase.cfg
  • Un fişier prestabilit de politică de audit de securitate

  1. Activaţi auditul pentru evenimentele de server prin adăugarea următoarei configuraţii la essbase.cfg pe serverul Essbase:

    AUDITTRAIL SECURITY

    După ce actualizaţi configuraţia, reporniţi Essbase.

    Consultaţi Setarea proprietăţilor de configurare la nivel de server şi Pornirea, oprirea şi verificarea serverelor.

  2. Un fişier de politică prestabilit (XML) este creat pe serverul Essbase. Acest fişier, EssbaseSecurityAuditLogPolicy.xml, se află în calea pe care aţi specificat-o în timpul fazei de configurare a implementării pentru a stoca configuraţia Essbase (<Calea configuraţiei Essbase>, unde se află şi essbase.cfg).

    Fişierul de politică prestabilit creat are următorul conţinut: 
    <?xml version="1.0" encoding="UTF-8"?>
<security-audit-policy>
   <audit_events_to_capture>LOGIN,LOGINAS,LOGIN_FAIL,LOGOUT,SERVICE_ROLE_ASSIGN,SERVICE_ROLE_REVOKE,APPLICATION_ROLE_ASSIGN,APPLICATION_ROLE_REVOKE,ARTIFACT_UPLOADED,ARTIFACT_MODIFIED,ARTIFACT_DELETED,ARTIFACT_CREATE,ARTIFACT_RENAMED,APPLICATION_DELETED,APPLICATION_CREATE,APPLICATION_RENAMED,DATABASE_DELETED,DATABASE_CREATE,DATABASE_RENAMED,LCM_EXPORT_START,LCM_EXPORT_END,LCM_IMPORT_START,LCM_IMPORT_END,LCM_IMPORT_FAIL,DATA_LOAD_MAXL,LOAD_DATA_JOB_START,LOAD_DATA_JOB_END,LOAD_DATA_JOB_FAILED,DELETE_SESSION,EXECUTE_MAXL,APPLICATION_SET_ACTIVE,APPLICATION_START,APPLICATION_STOP,DATABASE_START,DATABASE_STOP</audit_events_to_capture>
   <audit_sinks>
      <audit_sink>
         <audit_sink_type>CSV</audit_sink_type>
         <max-file-size>50000000</max-file-size>
         <roll-nos>100</roll-nos>
      </audit_sink>
   </audit_sinks>
</security-audit-policy>
    CSV este tipul prestabilit de receptor pentru audit. Dacă utilizaţi tipul prestabilit de receptor pentru audit (CSV) şi doriţi să testaţi dacă detaliile auditului sunt scrise în fişierul CSV de jurnal de audit de securitate,
    1. Efectuaţi o acţiune care este un eveniment auditabil, cum ar fi crearea unei aplicaţii. Puteţi selecta orice acţiune listată în secţiunea <audit_events_to_capture> a politicii.
    2. conectaţi-vă prin SSH la serverul Essbase.
    3. Navigaţi la <DOMAIN_HOME>/servers/serverName/logs/essbase/. Dacă nu ştiţi unde se află <DOMAIN_HOME>, consultaţi Locaţiile mediului în platforma Essbase.
    4. Deschideţi şi examinaţi fişierul SecurityAuditLog_n.csv.

      Exemplu de fişier CSV de jurnal de audit de securitate:
      Imaginea unui fişier CSV de audit de securitate.

  3. Dacă doriţi ca jurnalul de audit de securitate să fie transmis către o bază de date externă,

    1. Creaţi o conexiune la sursa externă. Consultaţi Crearea unei conexiuni şi surse de date globale sau Crearea unei conexiuni şi surse de date la nivel de aplicaţie.
    2. Editaţi fişierul politicii pentru a modifica receptorul de audit la DATABASE.
    3. Adăugaţi un parametru <db_connection_name> în parametrul <audit_sink>. Valoarea parametrului <db_connection_name> trebuie să fie exact numele conexiunii create la pasul secundar (a) de mai sus.
    Exemplu de politică de audit editată pentru transmiterea în flux a jurnalului de audit de securitate către Oracle Database: 
    <?xml version="1.0" encoding="UTF-8"?>
<security-audit-policy>
   <audit_events_to_capture>LOGIN,LOGINAS,LOGIN_FAIL,LOGOUT,SERVICE_ROLE_ASSIGN,SERVICE_ROLE_REVOKE,APPLICATION_ROLE_ASSIGN,APPLICATION_ROLE_REVOKE,ARTIFACT_UPLOADED,ARTIFACT_MODIFIED,ARTIFACT_DELETED,ARTIFACT_CREATE,ARTIFACT_RENAMED,APPLICATION_DELETED,APPLICATION_CREATE,APPLICATION_RENAMED,DATABASE_DELETED,DATABASE_CREATE,DATABASE_RENAMED,LCM_EXPORT_START,LCM_EXPORT_END,LCM_IMPORT_START,LCM_IMPORT_END,LCM_IMPORT_FAIL,DATA_LOAD_MAXL,LOAD_DATA_JOB_START,LOAD_DATA_JOB_END,LOAD_DATA_JOB_FAILED,DELETE_SESSION,EXECUTE_MAXL,APPLICATION_SET_ACTIVE,APPLICATION_START,APPLICATION_STOP,DATABASE_START,DATABASE_STOP</audit_events_to_capture>
   <audit_sinks>
      <audit_sink>
         <audit_sink_type>DATABASE</audit_sink_type>
           <db_connection_name>OraclePDB</db_connection_name>
      </audit_sink>
   </audit_sinks>
</security-audit-policy>

  4. Testaţi dacă detaliile auditului au fost transmise în flux către baza de date.

    1. Efectuaţi o acţiune care este un eveniment auditabil, cum ar fi crearea unei aplicaţii. Puteţi selecta orice acţiune listată în secţiunea <audit_events_to_capture> a politicii.

      Essbase ar trebui să creeze un tabel de audit denumit ESSBASE_SECURITY_AUDIT_EVENT_LOG în schema bazei de date externe.

    2. Conectaţi-vă la RDBMS extern şi rulaţi o interogare pentru a verifica prezenţa tabelului. De exemplu, conectaţi-vă la SQL Developer şi rulaţi 
      select * from ESSBASE_SECURITY_AUDIT_EVENT_LOG

  5. Utilizaţi un instrument de vizualizare a datelor pentru a vizualiza şi analiza înregistrările auditului de securitate. Puteţi utiliza Smart View, Oracle Data Desktop (disponibil cu o licenţă Oracle Technology Network), instrumente de vizualizare de tip "open source" dintr-o sursă de tip "open source" sau un furnizor de bază de date non-Oracle.

Despre fişierul pentru politica de auditare

Politica de auditare este definită într-un fişier XML pe care îl puteţi edita în funcţie de necesităţile dvs. În acest fişier, puteţi specifica ce evenimente de pe serverul Essbase doriţi să urmăriţi şi dacă să scrieţi datele într-un jurnal de audit de securitate sau să le trimiteţi în flux într-o bază de date externă. Dacă scrieţi datele într-un jurnal de audit, puteţi indica dimensiunea maximă a fişierului şi numărul de fişiere de jurnal de audit de securitate care să fie păstrate.

Essbase creează EssbaseSecurityAuditLogPolicy.xml când reporniţi Essbase, după ce aţi activat auditarea de securitate. Puteţi să editaţi apoi fişierul după cum este necesar pentru a restrânge politica de auditare. Fişierul se află la calea pe care o specificaţi, în etapa de configurare a implementării, pentru stocarea configuraţiei Essbase (<Calea configuraţiei Essbase>, acolo unde se află şi essbase.cfg). Dacă nu ştiţi unde în mediul dvs. se află acest fişier, consultaţi Locaţiile mediului în platforma Essbase pentru o explicaţie.

Pentru a edita fişierul cu politica de auditare,

  1. Navigaţi la EssbaseSecurityAuditLogPolicy.xml. Fişierul se află în directorul din aplicaţie care a fost specificat în etapa de configurare a implementării Essbase.

  2. Deschideţi fişierul într-un editor de text.

  3. Introduceţi receptorul de audit, detaliile de jurnalizare şi evenimentele de urmărit.

    1. Opţional, adăugaţi <audit_sink_type>DATABASE</audit_sink_type> dacă doriţi să transmiteţi în flux date către o bază de date externă.

    2. Dacă aţi indicat un receptor de audit de tip DATABASE la pasul (a), atunci, în următoarea linie, adăugaţi add <db_connection_name>ConnectionName</db_connection_name> cu numele conexiunii la baza de date pe care aţi definit-o în Flux de lucru pentru a activa auditul de securitate pentru serverul Essbase.

    3. Dacă scrieţi datele într-un fişier de jurnal de audit, opţional, modificaţi dimensiunea maximă a fişierelor folosind <max-file-size>n</max-file-size>, unde n = numărul de bytes. Valoarea prestabilită este de 50000000 bytes.

    4. Dacă scrieţi datele într-un fişier de jurnal de audit, indicaţi numărul de fişiere CSV cu jurnale de audit de securitate pe care să le salvaţi, folosind <roll-nos>n</roll-nos>, unde n = numărul de fişiere.

    5. Indicaţi evenimentele de audit pe care doriţi să le captaţi, folosind <audit_events_to_capture>events_list</audit_events_to_capture>.

Evenimentele pe care le indicaţi în fişierul politicii de audit sunt urmărite într-un fişier de jurnal de audit de securitate sau sunt transmise în flux către o bază de date externă.

În fişierul cu politica de auditare, puteţi indica următoarele evenimente pe care să le captaţi:

Eveniment Descriere
LOGIN Utilizatorul [x] s-a conectat cu succes
LOGIN_AS Utilizatorul [x] s-a conectat ca [y]
LOGOUT Utilizatorul [x] s-a deconectat
LOGIN_FAIL Conectarea utilizatorului [x] a eşuat
SERVICE_ROLE_ASSIGN A fost asignat rolul de serviciu Essbase [x] pentru [y]
SERVICE_ROLE_REVOKE A fost revocat rolul de serviciu Essbase [x] pentru [y]
APPLICATION_ROLE_ASSIGN Rolul [x] a fost alocat utilizatorului/grupului [y] în aplicaţia [z]
APPLICATION_ROLE_REVOKE Rolul [x] a fost revocat utilizatorului/grupului [y] în aplicaţia [z]
ARTIFACT_CREATE S-a creat artefactul [x] de tip [y]
ARTIFACT_UPLOADED Cererea de încărcare a artefactului a apelat aplicaţia [a], baza de date [b], numele de obiect [c] şi tipul de obiect [d]
ARTIFACT_MODIFIED S-a modificat artefactul [x] de tip [y]
ARTIFACT_DELETED S-a şters artefactul [x] de tip [y]
ARTIFACT_RENAMED S-a redenumit ca [z] artefactul [x] de tip [y]
APPLICATION_DELETED S-a şters aplicaţia [x]
APPLICATION_CREATE S-a creat aplicaţia [x]
APPLICATION_RENAMED Aplicaţia [x] a fost redenumită ca [y]
DATABASE_DELETED Baza de date [x] a fost ştearsă din aplicaţia [y]
DATABASE_CREATE Baza de date [x] a fost creată în aplicaţia [y]
DATABASE_RENAMED Baza de date [x] a fost redenumită ca [y] în aplicaţia [z]
LCM_EXPORT_START Jobul de export LCM a început cu numele de fişier [x]
LCM_EXPORT_END Jobul de export LCM s-a încheiat cu numele de fişier [x] şi starea jobului [y]
LCM_IMPORT_START Importul LCM a început pentru aplicaţia [x] cu numele de fişier [y]
LCM_IMPORT_END Importul LCM s-a finalizat pentru aplicaţia [x] cu numele de fişier [y]
LCM_IMPORT_FAIL Importul LCM a eşuat pentru aplicaţia [x] cu numele de fişier [y]
DATA_LOAD_MAXL Instrucţiunea MaxL pentru importul datelor a fost executată pentru aplicaţia [x] şi baza de date [y] de către utilizatorul [z]
EXECUTE_MAXL Instrucţiunea MaxL [x] s-a executat de la utilizatorul [y]
LOAD_DATA_JOB_START Jobul de încărcare a datelor a început, utilizând fişierul de date [x] şi fişierul de reguli [y]
LOAD_DATA_JOB_END Jobul de încărcare a datelor pentru fişierul de date [x] şi fişierul de reguli [y] s-a finalizat cu starea [z]
LOAD_DATA_JOB_FAILED Eşec la încărcarea datelor, cauzat de [x]
DELETE_SESSION Sesiunea [x] a fost ştearsă

Evenimente de audit de securitate

Evenimentele de audit de securitate sunt urmărite într-un fişier jurnal de audit de securitate sau sunt transmise în flux către o bază de date externă, conform indicaţiilor dvs. din fişierul de politică de audit.

Pentru instrucţiuni despre deschiderea jurnalului de audit de securitate sau a tabelului de audit în schema externă a bazei de date, consultaţi Flux de lucru pentru a activa auditul de securitate pentru serverul Essbase.

Jurnalul de audit de securitate şi tabelul de audit includ, pentru fiecare eveniment, următoarele informaţii (când este cazul):
  • Oră - momentul în care a avut loc evenimentul
  • Client - adresa de IP client sau numele de gazdă
  • Nume de utilizator - utilizatorul care a iniţiat acţiunea
  • ID sesiune - ID-ul sesiunii din Essbase
  • Tip eveniment - tipul de eveniment
  • Tip de artefact - tipul artefactului implicat în eveniment
    Exemple de tipuri de artefact:
    • Tipul de artefact partition_file pentru tipul de eveniment ARTIFACT_UPLOADED
    • Tipul de artefact Aplicaţie pentru tipul de eveniment LCM_EXPORT_START
    • Tipul de artefact Utilizator pentru tipul de eveniment APPLICATION_ROLE_ASSIGN
  • Nume artefact - numele artefactului implicat în eveniment. De exemplu, un nume de fişier, un nume de utilizator sau un nume de aplicaţie
  • Informaţii suplimentare - informaţiile suplimentare asociate evenimentului
  • Descriere - descrierea evenimentului

    Conţinutul câmpului Descriere este localizat.

  • ID - Un identificator unic universal de 128 biţi, care descrie evenimentul.

    Exemplu: 123e4567-e89b-12d3-a456-426614174000

  • Durată - durata evenimentului în milisecunde
  • Numele aplicaţiei - numele aplicaţiei
  • Numele bazei de date - numele bazei de date
  • Stare - reuşită sau eşec