ตรวจสอบการรักษาความปลอดภัย การเปลี่ยนแปลงอาร์ติแฟคต์ และอีเวนต์ LCM
ผู้ดูแลบริการสามารถใช้งานการตรวจสอบการรักษาความปลอดภัยเพื่อติดตามการเปลี่ยนแปลงที่ทำต่อเซิร์ฟเวอร์ Essbase
Essbase จะรวบรวมข้อมูลเกี่ยวกับการเปลี่ยนแปลงการรักษาความปลอดภัยระดับระบบ อาร์ติแฟคต์ อีเวนต์ LCM และคำสั่ง MaxL ที่รัน (รวมถึงการอิมปอร์ต) โดยอ้างอิงจากพารามิเตอร์ที่คุณระบุไว้ในไฟล์ข้อกำหนดการตรวจสอบ Essbase จะรวมข้อมูลที่ติดตามในล็อกไฟล์การตรวจสอบ หรือสตรีมไปยังฐานข้อมูลภายนอก ข้อมูลที่ติดตามเกี่ยวกับแต่ละอีเวนต์จะรวมถึงเวลา ไคลเอนต์, ผู้ใช้, อาร์ติแฟคต์ที่ได้รับผลกระทบ, ระยะเวลา, ID, แอปพลิเคชันและชื่อฐานข้อมูล, สถานะ และคำอธิบาย
คุณสามารถใช้งานการตรวจสอบระดับเซิร์ฟเวอร์ของอีเวนต์เหล่านี้ได้ด้วยการตั้งค่าคอนฟิเกอเรชัน Essbase AUDITTRAIL SECURITY
เวิร์กโฟลว์สำหรับใช้งานการตรวจสอบการรักษาความปลอดภัยสำหรับเซิร์ฟเวอร์ Essbase
เวิร์กโฟลว์นี้จะอธิบายวิธีใช้งานการตรวจสอบการรักษาความปลอดภัยสำหรับเซิร์ฟเวอร์ Essbase โดยใช้ AUDITTRAIL SECURITY หลังจากใช้งานการตรวจสอบ ให้คุณกำหนด EssbaseSecurityAuditLogPolicy คุณสามารถเลือกให้ Essbase เขียนเรคคอร์ดการตรวจสอบลงในไฟล์ CSV หรือสตรีมไปยังฐานข้อมูลภายนอกก็ได้
ในเวิร์กโฟลว์นี้ Oracle Database เป็นฐานข้อมูลภายนอก แต่คุณสามารถใช้เซิร์ฟเวอร์ SQL, MySQL หรือ DB2 ก็ได้
เพื่อดำเนินเวิร์กโฟลว์ให้สำเร็จ คุณจะต้องเป็นผู้ดูแลระบบ และคุณจะต้องเข้าถึง <Essbase Config Path> บนเครื่องเซิร์ฟเวอร์ Essbase
- ไฟล์คอนฟิเกอเรชัน essbase.cfg
- ไฟล์ข้อกำหนดการตรวจสอบการรักษาความปลอดภัยดีฟอลต์
-
เปิดใช้การตรวจสอบกิจกรรมเซิร์ฟเวอร์ด้วยการเพิ่มคอนฟิเกอเรชันต่อไปนี้ไปยัง essbase.cfg ในเครื่องเซิร์ฟเวอร์ Essbase:
AUDITTRAIL SECURITY
หลังจากที่คุณอัปเดตคอนฟิเกอเรชัน ให้รีสตาร์ท Essbase
โปรดดู ตั้งค่าคุณสมบัติคอนฟิเกอเรชันระดับเซิร์ฟเวอร์ และ เริ่มต้น หยุด และตรวจสอบเซิร์ฟเวอร์
-
ไฟล์ข้อกำหนดค่าดีฟอลต์ (XML) สร้างขึ้นในเซิร์ฟเวอร์ Essbase ไฟล์นี้
EssbaseSecurityAuditLogPolicy.xmlอยู่ในพาธที่คุณระบุในระหว่างเฟสคอนฟิเกอเรชันของการนำไปใช้เพื่อเก็บข้อมูลคอนฟิเกอเรชัน Essbase (<Essbase Config Path> ซึ่งอยู่ในที่เดียวกันกับ essbase.cfg)ไฟล์ข้อกำหนดดีฟอลต์ที่สร้างขึ้นจะมีเนื้อหาเหล่านี้:<?xml version="1.0" encoding="UTF-8"?> <security-audit-policy> <audit_events_to_capture>LOGIN,LOGINAS,LOGIN_FAIL,LOGOUT,SERVICE_ROLE_ASSIGN,SERVICE_ROLE_REVOKE,APPLICATION_ROLE_ASSIGN,APPLICATION_ROLE_REVOKE,ARTIFACT_UPLOADED,ARTIFACT_MODIFIED,ARTIFACT_DELETED,ARTIFACT_CREATE,ARTIFACT_RENAMED,APPLICATION_DELETED,APPLICATION_CREATE,APPLICATION_RENAMED,DATABASE_DELETED,DATABASE_CREATE,DATABASE_RENAMED,LCM_EXPORT_START,LCM_EXPORT_END,LCM_IMPORT_START,LCM_IMPORT_END,LCM_IMPORT_FAIL,DATA_LOAD_MAXL,LOAD_DATA_JOB_START,LOAD_DATA_JOB_END,LOAD_DATA_JOB_FAILED,DELETE_SESSION,EXECUTE_MAXL,APPLICATION_SET_ACTIVE,APPLICATION_START,APPLICATION_STOP,DATABASE_START,DATABASE_STOP</audit_events_to_capture> <audit_sinks> <audit_sink> <audit_sink_type>CSV</audit_sink_type> <max-file-size>50000000</max-file-size> <roll-nos>100</roll-nos> </audit_sink> </audit_sinks> </security-audit-policy>CSV เป็นประเภทซิงก์การตรวจสอบดีฟอลต์ หากคุณใช้ประเภทซิงก์การตรวจสอบดีฟอลต์ (CSV) และคุณต้องการทดสอบว่ามีการเขียนรายละเอียดการตรวจสอบไปยังไฟล์ CSV ล็อกการตรวจสอบการรักษาความปลอดภัย- ดำเนินการที่เป็นกิจกรรมที่ตรวจสอบได้ เช่น การสร้างแอปพลิเคชัน คุณสามารถเลือกการดำเนินการใดก็ได้ที่ระบุไว้ในหมวด <audit_events_to_capture> ของข้อกำหนดของคุณ
- SSH ไปยังเซิร์ฟเวอร์ Essbase
- นาวิเกตไปยัง
<DOMAIN_HOME>/servers/serverName/logs/essbase/หากคุณไม่ทราบว่า <DOMAIN_HOME> อยู่ที่ใด โปรดดู ตำแหน่งสภาวะแวดล้อมในแพลตฟอร์ม Essbase - เปิดและตรวจสอบไฟล์
SecurityAuditLog_n.csvตัวอย่างไฟล์ CSV ล็อกการตรวจสอบการรักษาความปลอดภัย:
-
หากคุณต้องการให้สตรีมรอยทางการตรวจสอบการรักษาความปลอดภัยไปยังฐานข้อมูลภายนอก
- สร้างการเชื่อมต่อกับที่มาภายนอก โปรดดู สร้างการเชื่อมต่อร่วมและที่มาข้อมูล หรือ สร้างการเชื่อมต่อระดับแอปพลิเคชันและที่มาข้อมูล
- แก้ไขไฟล์ข้อกำหนดเพื่อเปลี่ยนซิงก์การตรวจสอบไปยัง DATABASE
- เพิ่มพารามิเตอร์ <db_connection_name> ภายในพารามิเตอร์ <audit_sink> ค่าของพารามิเตอร์ <db_connection_name> ควรเป็นชื่อเดียวกันกับการเชื่อมต่อที่สร้างขึ้นในขั้นตอนย่อย a ข้างต้น
ตัวอย่างข้อกำหนดการตรวจสอบที่แก้ไขสำหรับการสตรีมรอยทางการตรวจสอบการรักษาความปลอดภัยไปยังฐานข้อมูล Oracle:<?xml version="1.0" encoding="UTF-8"?> <security-audit-policy> <audit_events_to_capture>LOGIN,LOGINAS,LOGIN_FAIL,LOGOUT,SERVICE_ROLE_ASSIGN,SERVICE_ROLE_REVOKE,APPLICATION_ROLE_ASSIGN,APPLICATION_ROLE_REVOKE,ARTIFACT_UPLOADED,ARTIFACT_MODIFIED,ARTIFACT_DELETED,ARTIFACT_CREATE,ARTIFACT_RENAMED,APPLICATION_DELETED,APPLICATION_CREATE,APPLICATION_RENAMED,DATABASE_DELETED,DATABASE_CREATE,DATABASE_RENAMED,LCM_EXPORT_START,LCM_EXPORT_END,LCM_IMPORT_START,LCM_IMPORT_END,LCM_IMPORT_FAIL,DATA_LOAD_MAXL,LOAD_DATA_JOB_START,LOAD_DATA_JOB_END,LOAD_DATA_JOB_FAILED,DELETE_SESSION,EXECUTE_MAXL,APPLICATION_SET_ACTIVE,APPLICATION_START,APPLICATION_STOP,DATABASE_START,DATABASE_STOP</audit_events_to_capture> <audit_sinks> <audit_sink> <audit_sink_type>DATABASE</audit_sink_type> <db_connection_name>OraclePDB</db_connection_name> </audit_sink> </audit_sinks> </security-audit-policy> -
ทดสอบว่ารายละเอียดการตรวจสอบได้สตรีมไปยังฐานข้อมูล
- ดำเนินการที่เป็นกิจกรรมที่ตรวจสอบได้ เช่น การสร้างแอปพลิเคชัน คุณสามารถเลือกการดำเนินการใดก็ได้ที่ระบุไว้ในหมวด <audit_events_to_capture> ของข้อกำหนดของคุณ
Essbase ควรสร้างตารางการตรวจสอบชื่อ ESSBASE_SECURITY_AUDIT_EVENT_LOG ในสคีมาฐานข้อมูลภายนอก
- เข้าสู่ระบบ RDBMS ภายนอกและรันการสืบค้นเพื่อตรวจสอบการมีอยู่ของตาราง ตัวอย่างเช่น เข้าสู่ระบบ SQL Developer แล้วรัน
select * from ESSBASE_SECURITY_AUDIT_EVENT_LOG
- ดำเนินการที่เป็นกิจกรรมที่ตรวจสอบได้ เช่น การสร้างแอปพลิเคชัน คุณสามารถเลือกการดำเนินการใดก็ได้ที่ระบุไว้ในหมวด <audit_events_to_capture> ของข้อกำหนดของคุณ
-
ใช้เครื่องมือการแสดงข้อมูลเพื่อดูและวิเคราะห์เรคคอร์ดการตรวจสอบการรักษาความปลอดภัย คุณสามารถใช้ Smart View, Oracle Data Desktop (มีให้ใช้พร้อมกับใบอนุญาต Oracle Technology Network), เครื่องมือแสดงข้อมูลแบบโอเพนซอร์สจากโอเพนซอร์ส หรือผู้ให้บริการฐานข้อมูลของคุณที่ไม่ใช่ Oracle
เกี่ยวกับไฟล์ข้อกำหนดการตรวจสอบ
ข้อกำหนดการตรวจสอบจะได้รับการกำหนดไว้ในไฟล์ XML ที่คุณแก้ไขให้ตรงตามความต้องการได้ ในไฟล์นี้คุณระบุได้ว่าอีเวนต์เซิร์ฟเวอร์ Essbase ใดที่จะติดตาม และระบุว่าต้องเขียนข้อมูลไปยังล็อกการตรวจสอบการรักษาความปลอดภัยหรือสตรีมไปยังฐานข้อมูลภายนอก หากคุณกำลังเขียนข้อมูลไปยังล็อกการตรวจสอบ คุณสามารถระบุขนาดไฟล์สูงสุดและจำนวนล็อกไฟล์การตรวจสอบการรักษาความปลอดภัยที่จะเก็บไว้ได้
Essbase จะสร้าง EssbaseSecurityAuditLogPolicy.xml เมื่อคุณเริ่มต้น Essbase ใหม่หลังจากใช้งานการตรวจสอบการรักษาความปลอดภัย คุณสามารถแก้ไขไฟล์ได้ตามที่ต้องการเพื่อให้ข้อกำหนดการตรวจสอบมีความเหมาะสม ไฟล์นี้อยู่ในพาธที่คุณระบุในระหว่างเฟสคอนฟิเกอเรชันของการนำไปใช้เพื่อเก็บข้อมูลคอนฟิเกอเรชัน Essbase (<Essbase Config Path> ซึ่งอยู่ในที่เดียวกันกับ essbase.cfg) หากคุณไม่ทราบว่าอยู่ที่ใดในสภาวะแวดล้อมของคุณ โปรดอ้างอิง ตำแหน่งสภาวะแวดล้อมในแพลตฟอร์ม Essbase เพื่อดูคำอธิบาย
-
ให้นาวิเกตไปยัง
EssbaseSecurityAuditLogPolicy.xmlไฟล์จะอยู่ในไดเรคทอรีของแอปพลิเคชันที่ระบุในระหว่างเฟสการใช้งาน Essbase ของคอนฟิเกอเรชัน -
เปิดไฟล์ในโปรแกรมแก้ไขข้อความ
-
แก้ไขซิงก์การตรวจสอบ รายละเอียดการล็อก และอีเวนต์ที่จะติดตาม
-
หรือเพิ่ม
<audit_sink_type>DATABASE</audit_sink_type>หากคุณต้องการสตรีมข้อมูลไปยังฐานข้อมูลภายนอก -
หากคุณระบุประเภทซิงก์การตรวจสอบของ DATABASE ในขั้นตอน สำหรับบรรทัดต่อไปนี้ ให้เพิ่ม <db_connection_name>ConnectionName</db_connection_name> พร้อมชื่อของการเชื่อมต่อฐานข้อมูลที่คุณกำหนดไว้ใน เวิร์กโฟลว์สำหรับใช้งานการตรวจสอบการรักษาความปลอดภัยสำหรับเซิร์ฟเวอร์ Essbase
-
หากกำลังเขียนข้อมูลไปยังล็อกไฟล์การตรวจสอบ คุณสามารถเลือกเปลี่ยนขนาดไฟล์สูงสุดได้ด้วย
<max-file-size>n</max-file-size>โดยที่ n = จำนวนไบต์ ค่าดีฟอลต์คือ 50000000 ไบต์ -
หากต้องการเขียนข้อมูลไปยังล็อกการตรวจสอบ ให้ระบุว่าจะบันทึกไฟล์ CSV ล็อกการตรวจสอบการรักษาความปลอดภัยจำนวนกี่ไฟล์ด้วย
<roll-nos>n</roll-nos>โดย n = จำนวนไฟล์ -
ระบุอีเวนต์การตรวจสอบที่คุณต้องการบันทึกโดยใช้
<audit_events_to_capture>events_list</audit_events_to_capture>
-
อีเวนต์ที่คุณระบุไว้ในไฟล์ข้อกำหนดการตรวจสอบจะถูกติดตามในล็อกไฟล์การตรวจสอบการรักษาความปลอดภัย หรือสตรีมไปยังฐานข้อมูลภายนอก
คุณสามารถระบุอีเวนต์ต่อไปนี้เพื่อบันทึกในไฟล์ข้อกำหนดการตรวจสอบ
| อีเวนต์ | คำอธิบาย |
|---|---|
| LOGIN | ผู้ใช้ [x] ล็อกอินสำเร็จแล้ว |
| LOGIN_AS | ผู้ใช้ [x] ล็อกอินในฐานะ [y] |
| LOGOUT | ผู้ใช้ [x] ล็อกเอาต์แล้ว |
| LOGIN_FAIL | ผู้ใช้ [x] ล็อกอินล้มเหลว |
| SERVICE_ROLE_ASSIGN | ระบุบทบาทของเซอร์วิส Essbase [x] ให้กับ [y] |
| SERVICE_ROLE_REVOKE | ยกเลิกบทบาทของเซอร์วิส Essbase [x] จาก [y] |
| APPLICATION_ROLE_ASSIGN | มีการจัดเตรียมผู้ใช้/กลุ่ม [x] จากบทบาท [y] ในแอปพลิเคชัน [z] |
| APPLICATION_ROLE_REVOKE | มีการเพิกถอนผู้ใช้/กลุ่ม [x] จากบทบาท [y] ในแอปพลิเคชัน [z] |
| ARTIFACT_CREATE | สร้างอาร์ติแฟคต์ [x] ประเภท [y] แล้ว |
| ARTIFACT_UPLOADED | เรียกคำขออัปโหลดอาร์ติแฟคต์สำหรับแอปพลิเคชัน [a] ฐานข้อมูล [b] ชื่อออบเจกต์ [c] และประเภทออบเจกต์ [d] แล้ว |
| ARTIFACT_MODIFIED | แก้ไขอาร์ติแฟคต์ [x] ประเภท [y] แล้ว |
| ARTIFACT_DELETED | ลบอาร์ติแฟคต์ [x] ประเภท [y] แล้ว |
| ARTIFACT_RENAMED | เปลี่ยนชื่ออาร์ติแฟคต์ [x] ประเภท [y] เป็น [z] แล้ว |
| APPLICATION_DELETED | ลบแอปพลิเคชัน [x] แล้ว |
| APPLICATION_CREATE | สร้างแอปพลิเคชัน [x] แล้ว |
| APPLICATION_RENAMED | เปลี่ยนชื่อแอปพลิเคชัน [x] เป็น [y] แล้ว |
| DATABASE_DELETED | ลบฐานข้อมูล [x] ในแอปพลิเคชัน [y] แล้ว |
| DATABASE_CREATE | สร้างฐานข้อมูล [x] ในแอปพลิเคชัน [y] แล้ว |
| DATABASE_RENAMED | เปลี่ยนชื่อฐานข้อมูล [x] เป็น [y] ในแอปพลิเคชัน [z] แล้ว |
| LCM_EXPORT_START | เริ่มงานการเอ็กซ์ปอร์ต LCM ที่มีชื่อไฟล์ [x] แล้ว |
| LCM_EXPORT_END | งานการเอ็กซ์ปอร์ต LCM เสร็จสมบูรณ์โดยมีชื่อไฟล์ [x] และสถานะงาน [y] |
| LCM_IMPORT_START | เริ่มการอิมปอร์ต LCM สำหรับแอปพลิเคชัน [x] ที่มีชื่อไฟล์ [y] แล้ว |
| LCM_IMPORT_END | การอิมปอร์ต LCM เสร็จสมบูรณ์แล้วสำหรับ แอปพลิเคชัน [x] โดยมีชื่อไฟล์ [y] |
| LCM_IMPORT_FAIL | การอิมปอร์ต LCM สำหรับแอปพลิเคชัน [x] ที่มีชื่อไฟล์ [y] ล้มเหลว |
| DATA_LOAD_MAXL | มีการรันคำสั่งข้อมูลการอิมปอร์ต MaxL สำหรับแอปพลิเคชัน [x] และฐานข้อมูล [y] โดยผู้ใช้ [z] |
| EXECUTE_MAXL | คำสั่ง MaxL [x] รันจากผู้ใช้ [y] แล้ว |
| LOAD_DATA_JOB_START | เริ่มต้นงานการโหลดข้อมูลแล้วโดยใช้ไฟล์ข้อมูล [x] และไฟล์กฎ [y] |
| LOAD_DATA_JOB_END | งานการโหลดข้อมูลสำหรับไฟล์ข้อมูล [x] และไฟล์กฎ [y] เสร็จสมบูรณ์แล้วโดยมีสถานะ [z] |
| LOAD_DATA_JOB_FAILED | งานโหลดข้อมูลล้มเหลวเนื่องจาก [x] |
| DELETE_SESSION | ลบเซสชัน [x] แล้ว |
อีเวนต์การตรวจสอบการรักษาความปลอดภัย
อีเวนต์การตรวจสอบการรักษาความปลอดภัยจะถูกติดตามในล็อกไฟล์การตรวจสอบการรักษาความปลอดภัย หรือจะถูกสตรีมไปยังฐานข้อมูลภายนอก ทั้งนี้ขึ้นอยู่กับว่าคุณระบุไว้อย่างไรในไฟล์ข้อกำหนดการตรวจสอบ
ดูคำแนะนำเกี่ยวกับการเปิดล็อกการตรวจสอบการรักษาความปลอดภัยหรือตารางการตรวจสอบในสคีมาฐานข้อมูลภายนอกได้ที่ เวิร์กโฟลว์สำหรับใช้งานการตรวจสอบการรักษาความปลอดภัยสำหรับเซิร์ฟเวอร์ Essbase
- เวลา - อีเวนต์เกิดขึ้นเมื่อใด
- ไคลเอนต์ - IP แอดเดรสหรือชื่อโฮสต์ไคลเอนต์
- ชื่อผู้ใช้ - ผู้ใช้ที่เริ่มการดำเนินการ
- ID เซสชัน - ID เซสชันของ Essbase
- ประเภทอีเวนต์ - ประเภทของอีเวนต์
- ประเภทอาร์ติแฟคต์ - ประเภทของอาร์ติแฟคต์ที่เกี่ยวข้องกับอีเวนต์
ตัวอย่างของประเภทอาร์ติแฟคต์มีดังนี้
- อาร์ติแฟคต์ประเภท partition_file สำหรับอีเวนต์ประเภท ARTIFACT_UPLOADED
- อาร์ติแฟคต์ประเภท Application สำหรับอีเวนต์ประเภท LCM_EXPORT_START
- อาร์ติแฟคต์ประเภท User สำหรับอีเวนต์ประเภท APPLICATION_ROLE_ASSIGN
- ชื่ออาร์ติแฟคต์ - ชื่อของอาร์ติแฟคต์ที่เกี่ยวข้องกับอีเวนต์ ตัวอย่างเช่น ชื่อไฟล์ ชื่อผู้ใช้ หรือชื่อแอปพลิเคชัน
- ข้อมูลเพิ่มเติม - ข้อมูลเพิ่มเติมใดๆ ที่เชื่อมโยงกับอีเวนต์
- คำอธิบาย - คำอธิบายของอีเวนต์
เนื้อหาฟิลด์คำอธิบายได้รับการ Localized
- ID - เป็นตัวระบุที่ไม่ซ้ำกันทั้งระบบแบบ 128 บิตที่อธิบายอีเวนต์
ตัวอย่าง: 123e4567-e89b-12d3-a456-426614174000
- ระยะเวลา - ระยะเวลาของอีเวนต์เป็นมิลลิวินาที
- ชื่อแอปพลิเคชัน - ชื่อของแอปพลิเคชัน
- ชื่อฐานข้อมูล - ชื่อของฐานข้อมูล
- สถานะ - สำเร็จหรือล้มเหลว