审核 › 如何配置和生成审核数据报告 › 修改审核设置文件
修改审核设置文件
在审核设置文件中配置审核设置,以便定义 CA Identity Manager 必须审核的信息类型。 您可以配置审核设置文件,以执行以下任务:
- 审核部分或全部生成事件的管理任务。
- 记录特定状态的事件信息,如在事件完成或被取消时。
- 记录与某一事件有关的属性的信息。 例如,您可以记录在 ModifyUserEvent 事件期间更改的属性。
- 设置属性日志的审核级别。
审核设置文件是您通过导出审核设置创建的 XML 文件。 文件具有以下架构:
<Audit enabled="" auditlevel="" datasource="">
<AuditEvent name="" enabled="" auditlevel="">
<AuditProfile objecttype="" auditlevel="">
<AuditProfileAttribute name="" auditlevel="" />
</AuditProfile>
<EventState name="" severity=""/>
</AuditEvent>
</Audit>
有关审核元素和架构的更多信息,请参阅在审核设置文件中的注释。
AuditProfileAttribute 元素表示 CA Identity Manager 审核的属性。 该属性适用于在 AuditProfile 元素中指定的对象。
注意:如果没有指定任何审核配置文件属性,则在 AuditProfile 元素中指定的对象的所有属性都会被记录。
下表显示了 CA Identity Manager 对象类型的有效属性:
|
|
|
CA Identity Manager 对象类型的有效属性
|
|
对象类型
|
有效属性
|
|
ACCESS ROLE
|
- name-角色的用户可见名称
- description-关于角色目的的可选注释。
- members-可以使用该角色的用户。
- administrators-可以分配角色成员或管理员的用户。
- owners-可以修改角色的用户。
- enabled-表示角色是否被启用。
- assignable-表示角色是否可由管理员分配。
- tasks-与角色有关的访问任务。
|
|
ACCESS TASK
|
- name-任务的用户可见名称
- description-关于任务目的的可选注释
- application-与任务有关的应用程序。
- tag-任务的唯一标识符
- reserved1, reserved2, reserved3, reserved4-任务的保留字段的值
|
|
ADMINISTRATIVE ROLE
|
- name-角色的用户可见名称
- description-关于角色目的的可选注释
- members-可以使用该角色的用户。
- administrators-可以分配角色成员或管理员的用户。
- owners-可以修改角色的用户。
- enabled-表示角色是否被启用。
- assignable-表示角色是否可由管理员分配。
- tasks-与角色有关的任务。
|
|
ADMINISTRATIVE TASK
|
- name-任务的用户可见名称
- description-关于任务目的的可选注释
- tag-任务的唯一标识符
- category-显示任务的 CA Identity Manager 用户界面中的类别
- primary_object-任务操作的对象
- action-针对对象执行的操作。
- hidden-表示是否不让任务显示在菜单中。
- public-表示尚未登录到 CA Identity Manager 的用户是否可以获得该任务。
- auditing-表示任务是否启用审核信息的记录。
- external-表示任务是否是外部任务。
- url-在执行外部任务时,CA Identity Manager 将用户重定向到的 URL。
- workflow-表示 CA Identity Manager 事件是否与任务触发器工作流关联
- webservice-表示该任务是否为可以为其从 CA Identity Manager 管理控制台生成 Web 服务描述语言 (WSDL) 输出的一个任务。
|
|
GROUP
|
在目录配置文件 (directory.xml) 中为 GROUP 对象定义的任何有效属性。
|
|
ORGANIZATION
|
在目录配置文件 (directory.xml) 中为 Organization 对象定义的任何有效属性。
|
|
PARENTORG
|
|
RELATIONSHIP
|
例如,如果 RELATIONSHIP 对象描述角色成员资格,则容器将是角色。
- %CONTAINER_NAME%-父组的用户可见名称
- %ITEM%-包含在父对象内的对象的唯一标识符。
例如,如果 RELATIONSHIP 对象描述角色成员资格,该项将是角色成员。
|
|
USER
|
在目录配置文件 (directory.xml) 中为 USER 对象定义的任何有效属性。
|
|
NONE
|
无属性
|
注意:以下几点适用于之前的表:
- Enabled、assignable、auditable、workflow、hidden、webservice 和 public 记录为 true 或 false。
- 在审核角色的任务时,记录用户可见名称。
- 数据库以编译 XML 格式存储成员、管理员和所有者策略。 此格式不同于将每一策略显示为表达式的用户界面。
遵循这些步骤:
- 登录到管理控制台,选择“环境”、“高级设置”,然后单击“审核”。
- 单击“Export”(导出)。
系统将当前审核设置导出到审核设置 XML 文件。
- 修改上一步中导出的 XML 文件中的审核设置。 请执行下列任务:
- 设置 Audit enabled ="true" 的值,并向元素数据源提供“iam_im_<auditdb>.xml”的 JNDI 名称值。
- 指定下列 JNDI 名称:
java:/auditDbDataSource
注意:此数据源位于以下位置:
iam/im/jdbc/auditDbDataSource
- 在文件中添加、修改或删除元素。
- 修改为每个事件记录的信息级别。
- 重复步骤 1 和 2。 单击“导入”并上传修改过的审核设置 XML 文件。
- 重新启动环境。
审核设置文件现在已被更新。
版权所有 © 2014 CA。
保留所有权利。
|
|