Audit zabezpečenia, zmien artefaktov a udalostí LCM

Administrátori služby môžu aktivovať audit zabezpečenia, aby mohli sledovať zmeny vykonané na serveri Essbase.

Na základe parametrov, ktoré zadáte v súbore stratégie auditu, Essbase zhromažďuje informácie o zmenách zabezpečenia na úrovni systému, artefaktov, udalostí LCM a o vykonaných príkazoch MaxL (vrátane importov). Essbase konsoliduje sledované informácie v protokolovom súbore auditu alebo ich streamuje do externej databázy. Sledované informácie o každej udalosti zahŕňajú čas, klienta, používateľa, ovplyvnené artefakty, trvanie, ID, názov aplikácie a databázy, stav a popis.

Vy ako používateľ aktivujete audit týchto udalostí na úrovni servera pomocou nastavenia konfigurácie AUDITTRAIL SECURITY v Essbase.

Tok činností na aktiváciu auditu zabezpečenia pre server Essbase

Tento tok činností vysvetľuje, ako aktivovať audit zabezpečenia na serveri Essbase pomocou konfigurácie AUDITTRAIL SECURITY. Po aktivácii auditu môžete definovať stratégiu EssbaseSecurityAuditLogPolicy. Môžete nechať Essbase zapisovať záznamy auditu do súboru CSV alebo ich streamovať do externej databázy.

V tomto toku činností je externou databázou Oracle Database, môžete však použiť aj databázu SQL Server, MySQL alebo DB2.

Na dokončenie tohto toku činností je potrebné, aby ste boli systémovým administrátorom a mali prístup k <ceste konfigurácie Essbase> na počítači servera Essbase.

Táto cesta obsahuje súbory, ktoré je potrebné upraviť:

konfiguračný súbor essbase.cfg,
predvolený súbor stratégie auditovania zabezpečenia.

Pridaním nasledujúcej konfigurácie do súboru essbase.cfg na serverovom počítači Essbase aktivujte auditovanie udalostí servera:

AUDITTRAIL SECURITY

Po aktualizovaní konfigurácie reštartujte službu Essbase.

Pozrite si časti Nastavenie vlastností konfigurácie na úrovni servera a Spustenie, zastavenie a kontrola serverov.
Na serveri Essbase sa vytvorí predvolený súbor stratégie (XML). Tento súbor EssbaseSecurityAuditLogPolicy.xml sa nachádza na ceste, ktorú ste zadali vo fáze konfigurácie nasadenia na uloženie konfigurácie služby Essbase (<cesta konfigurácie Essbase>, kde sa nachádza aj súbor essbase.cfg).
Vytvorený predvolený súbor stratégie má tento obsah:
```
<?xml version="1.0" encoding="UTF-8"?>
<security-audit-policy>
   <audit_events_to_capture>LOGIN,LOGINAS,LOGIN_FAIL,LOGOUT,SERVICE_ROLE_ASSIGN,SERVICE_ROLE_REVOKE,APPLICATION_ROLE_ASSIGN,APPLICATION_ROLE_REVOKE,ARTIFACT_UPLOADED,ARTIFACT_MODIFIED,ARTIFACT_DELETED,ARTIFACT_CREATE,ARTIFACT_RENAMED,APPLICATION_DELETED,APPLICATION_CREATE,APPLICATION_RENAMED,DATABASE_DELETED,DATABASE_CREATE,DATABASE_RENAMED,LCM_EXPORT_START,LCM_EXPORT_END,LCM_IMPORT_START,LCM_IMPORT_END,LCM_IMPORT_FAIL,DATA_LOAD_MAXL,LOAD_DATA_JOB_START,LOAD_DATA_JOB_END,LOAD_DATA_JOB_FAILED,DELETE_SESSION,EXECUTE_MAXL,APPLICATION_SET_ACTIVE,APPLICATION_START,APPLICATION_STOP,DATABASE_START,DATABASE_STOP</audit_events_to_capture>
   <audit_sinks>
      <audit_sink>
         <audit_sink_type>CSV</audit_sink_type>
         <max-file-size>50000000</max-file-size>
         <roll-nos>100</roll-nos>
      </audit_sink>
   </audit_sinks>
</security-audit-policy>
```
Súbor CSV je predvoleným typom spotrebiča auditu. Ak používate predvolený typ spotrebiča auditu (CSV) a chcete otestovať, či sa detaily auditu zapisujú do súboru CSV protokolu auditu zabezpečenia, postupujte takto:
1. Vykonajte akciu, ktorá sa auditovateľnou udalosťou, ako je napríklad vytvorenie aplikácie. Môžete vybrať ľubovoľnú akciu uvedenú v sekcii <audit_events_to_capture> stratégie.
2. Vytvorte pripojenie SSH na server Essbase.
3. Prejdite na cestu <DOMAIN_HOME>/servers/serverName/logs/essbase/. Ak nepoznáte umiestnenie adresára <DOMAIN_HOME>, pozrite si časť Umiestnenia prostredí na platforme Essbase.
4. Otvorte a skontrolujte súbor SecurityAuditLog_n.csv.
  Príklad protokolového súboru CSV auditu zabezpečenia:

Ak chcete, aby sa záznam auditu zabezpečenia streamoval do externej databázy, postupujte takto:

Vytvorte pripojenie k externému zdroju. Pozrite si časť Vytvorenie globálneho pripojenia a dátového zdroja alebo Vytvorenie pripojenia a dátového zdroja na úrovni aplikácie.
Úpravou súboru stratégie zmeňte spotrebič auditu na DATABASE.
Pridajte parameter <db_connection_name> do parametra <audit_sink>. Hodnotou parametra <db_connection_name> by mal byť presný názov pripojenia vytvoreného v kroku a.

Príklad upravenej stratégie auditu na streamovanie záznamu auditu zabezpečenia do databázy Oracle:

<?xml version="1.0" encoding="UTF-8"?>
<security-audit-policy>
   <audit_events_to_capture>LOGIN,LOGINAS,LOGIN_FAIL,LOGOUT,SERVICE_ROLE_ASSIGN,SERVICE_ROLE_REVOKE,APPLICATION_ROLE_ASSIGN,APPLICATION_ROLE_REVOKE,ARTIFACT_UPLOADED,ARTIFACT_MODIFIED,ARTIFACT_DELETED,ARTIFACT_CREATE,ARTIFACT_RENAMED,APPLICATION_DELETED,APPLICATION_CREATE,APPLICATION_RENAMED,DATABASE_DELETED,DATABASE_CREATE,DATABASE_RENAMED,LCM_EXPORT_START,LCM_EXPORT_END,LCM_IMPORT_START,LCM_IMPORT_END,LCM_IMPORT_FAIL,DATA_LOAD_MAXL,LOAD_DATA_JOB_START,LOAD_DATA_JOB_END,LOAD_DATA_JOB_FAILED,DELETE_SESSION,EXECUTE_MAXL,APPLICATION_SET_ACTIVE,APPLICATION_START,APPLICATION_STOP,DATABASE_START,DATABASE_STOP</audit_events_to_capture>
   <audit_sinks>
      <audit_sink>
         <audit_sink_type>DATABASE</audit_sink_type>
           <db_connection_name>OraclePDB</db_connection_name>
      </audit_sink>
   </audit_sinks>
</security-audit-policy>

Otestujte, či sa podrobnosti auditu streamujú do databázy.
1. Vykonajte akciu, ktorá sa auditovateľnou udalosťou, ako je napríklad vytvorenie aplikácie. Môžete vybrať ľubovoľnú akciu uvedenú v sekcii <audit_events_to_capture> stratégie.
  Služba Essbase by mala v schéme externej databázy vytvoriť tabuľku auditu s názvom ESSBASE_SECURITY_AUDIT_EVENT_LOG.
2. Prihláste sa do externého systému RDBMS a spustením dopytu skontrolujte prítomnosť tabuľky. Prihláste sa napríklad do nástroja SQL Developer a spustite nasledujúci príkaz:
```
select * from ESSBASE_SECURITY_AUDIT_EVENT_LOG
```
Pomocou nástroja na vizualizáciu dát zobrazte a analyzujte záznamy auditu zabezpečenia. Môžete použiť aplikáciu Smart View, Oracle Data Desktop (k dispozícii s licenciou Oracle Technology Network) alebo open-source nástroje na vizualizáciu z otvoreného zdroja alebo od svojho dodávateľa databázy inej ako Oracle.

Súbor stratégie auditu

Stratégia auditu je definovaná v súbore XML, ktorý môžete upraviť podľa svojich potrieb. V tomto súbore môžete určiť, ktoré udalosti servera Essbase sa majú sledovať a či sa majú dáta zapisovať do protokolu auditu zabezpečenia alebo streamovať do externej databázy. Ak sa dáta zapisujú do protokolu auditu, môžete zadať maximálnu veľkosť súboru a počet protokolových súborov auditu zabezpečenia, ktoré sa majú zachovať.

Essbase vytvorí súbor EssbaseSecurityAuditLogPolicy.xml pri reštarte Essbase po aktivácii auditu zabezpečenia. Potom môžete súbor upraviť tak, ako je potrebné na spresnenie stratégie auditu. Súbor sa nachádza na ceste, ktorú ste zadali vo fáze konfigurácie nasadenia na uloženie konfigurácie Essbase (<cesta konfigurácie Essbase>, kde sa nachádza aj súbor essbase.cfg). Ak neviete, kde sa táto cesta vo vašom prostredí nachádza, prečítajte si vysvetlenie v časti Umiestnenia prostredí na platforme Essbase.

Ako upraviť súbor stratégie auditu

Prejdite na súbor EssbaseSecurityAuditLogPolicy.xml. Súbor je umiestnený v adresári aplikácie, ktorý bol zadaný počas fázy konfigurácie nasadenia Essbase.
Otvorte ho v textovom editore.
Upravte spotrebič auditu, detaily protokolovania a udalosti na sledovanie.
1. Ak chcete, aby sa dáta streamovali do externej databázy, voliteľne pridajte <audit_sink_type>DATABASE</audit_sink_type>.
2. Ak ste v kroku a pridali typ spotrebiča auditu DATABASE, v ďalšom riadku pridajte <db_connection_name>ConnectionName</db_connection_name> s názvom databázového pripojenia, ktoré ste definovali v časti Postup na aktiváciu auditu zabezpečenia pre server Essbase.
3. Ak sa dáta zapisujú do protokolového súboru auditu, voliteľne zmeňte maximálnu veľkosť súboru pomocou <max-file-size>n</max-file-size>, kde n = počet bajtov. Predvolená hodnota je 50000000 bajtov.
4. Ak sa dáta zapisujú do protokolového súboru auditu, pomocou <roll-nos>n</roll-nos>, kde n = počet súborov, zadajte, koľko protokolových súborov CSV auditu sa má uložiť.
5. Pomocou <audit_events_to_capture>events_list</audit_events_to_capture> zadajte, ktoré udalosti auditu chcete zaznamenať.

Udalosti, ktoré uvediete v súbore stratégie auditu, sa budú sledovať v protokolovom súbore auditu zabezpečenia alebo streamovať do externej databázy.

Na zaznamenávanie v súbore stratégie auditu môžete označiť nasledujúce udalosti:

Udalosť	Popis
LOGIN	Používateľ [x] sa úspešne prihlásil
LOGIN_AS	Používateľ [x] sa prihlásil ako [y]
LOGOUT	Používateľ [x] sa odhlásil
LOGIN_FAIL	Prihlásenie používateľa [x] zlyhalo
SERVICE_ROLE_ASSIGN	Rola služby Essbase [x] bola priradená k používateľovi alebo skupine [y]
SERVICE_ROLE_REVOKE	Rola služby Essbase [x] bola odňatá používateľovi alebo skupine [y]
APPLICATION_ROLE_ASSIGN	Používateľovi alebo skupine [x] bola poskytnutá rola [y] pre aplikáciu [z]
APPLICATION_ROLE_REVOKE	Používateľovi alebo skupine [x] bola odňatá rola [y] pre aplikáciu [z]
ARTIFACT_CREATE	Artefakt [x] typu [y] bol vytvorený
ARTIFACT_UPLOADED	Bola volaná požiadavka na nahranie artefaktu pre aplikáciu [a], databázu [b], názov objektu [c] a typ objektu [d]
ARTIFACT_MODIFIED	Artefakt [x] typu [y] bol modifikovaný
ARTIFACT_DELETED	Artefakt [x] typu [y] bol odstránený
ARTIFACT_RENAMED	Artefakt [x] typu [y] bol premenovaný na [z]
APPLICATION_DELETED	Aplikácia [x] bola odstránená
APPLICATION_CREATE	Aplikácia [x] bola vytvorená
APPLICATION_RENAMED	Aplikácia [x] bola premenovaná na [y]
DATABASE_DELETED	Databáza [x] bola odstránená v aplikácii [y]
DATABASE_CREATE	Databáza [x] bola vytvorená v aplikácii [y]
DATABASE_RENAMED	Databáza [x] bola premenovaná na [y] v aplikácii [z]
LCM_EXPORT_START	Úloha exportu LCM bola spustená s názvom súboru [x]
LCM_EXPORT_END	Úloha exportu LCM bola dokončená s názvom súboru [x] a stavom úlohy [y]
LCM_IMPORT_START	Import LCM bol spustený pre aplikáciu [x] s názvom súboru [y]
LCM_IMPORT_END	Import LCM bol dokončený pre aplikáciu [x] s názvom súboru [y]
LCM_IMPORT_FAIL	Import LCM zlyhal pre aplikáciu [x] s názvom súboru [y]
DATA_LOAD_MAXL	Používateľ [z] vykonal príkaz MaxL na import dát pre aplikáciu [x] a databázu [y]
EXECUTE_MAXL	Príkaz MaxL [x] bol vykonaný používateľom [y]
LOAD_DATA_JOB_START	Úloha zavedenia dát bola spustená s použitím dátového súboru [x] a súboru pravidiel [y]
LOAD_DATA_JOB_END	Úloha zavedenia dát pre dátový súbor [x] a súbor pravidiel [y] bola dokončená so stavom [z]
LOAD_DATA_JOB_FAILED	Úloha zavedenia dát zlyhala z nasledujúceho dôvodu: [x]
DELETE_SESSION	Relácia [x] bola odstránená

Udalosti auditu zabezpečenia

V závislosti od toho, čo ste uviedli v súbore stratégie auditu, sa udalosti auditu zabezpečenia sledujú v protokolovom súbore auditu zabezpečenia alebo sa streamujú do externej databázy.

Pokyny týkajúce sa otvárania protokolu auditu zabezpečenia alebo tabuľky auditu v schéme externej databázy si pozrite v časti Postup na aktiváciu auditu zabezpečenia pre server Essbase.

Protokol auditu zabezpečenia a tabuľka auditu obsahujú nasledujúce informácie (ak sa používajú) o každej udalosti:

Čas - kedy sa udalosť vyskytla
Klient - IP adresa alebo názov hostiteľa klienta
Meno používateľa - používateľ iniciujúci akciu
ID relácie - ID relácie Essbase
Typ udalosti - typ udalosti
Typ artefaktu - typ artefaktu v udalosti
Príklady typov artefaktov:
- Typ artefaktu partition_file pre typ udalosti ARTIFACT_UPLOADED
- Typ artefaktu Application pre typ udalosti LCM_EXPORT_START
- Typ artefaktu User pre typ udalosti APPLICATION_ROLE_ASSIGN
Názov artefaktu - názov artefaktu v udalosti. Napríklad názov súboru, meno používateľa alebo názov aplikácie.
Ďalšie informácie - ďalšie informácie týkajúce sa udalosti
Popis - popis udalosti
Obsah poľa popisu je lokalizovaný.
ID - 128-bitový univerzálny jednoznačný identifikátor, ktorý popisuje udalosť.
Príklad: 123e4567-e89b-12d3-a456-426614174000
Trvanie - trvanie udalosti v milisekundách
Názov aplikácie - názov, ktorý má aplikácia
Názov databázy - názov, ktorý má databáza
Stav - úspech alebo zlyhanie