監査 › 監査データ レポートの設定および生成方法 › 監査設定ファイルの変更
監査設定ファイルの変更
CA Identity Manager が監査する情報のタイプを定義するには、監査設定ファイルの監査設定を設定します。 監査設定ファイルを設定することによって、以下のタスクを実行できます。
- 管理タスクによって生成されるイベントの一部またはすべてを監査します。
- イベント完了時やイベントがキャンセルされるときなど、特定の状態のイベント情報を記録します。
- イベントに含まれる属性に関する情報をログ記録します。 たとえば、ModifyUserEvent イベント時に変更された属性をログ記録できます。
- 属性ログ記録の監査レベルを設定します。
監査設定ファイルは監査設定をエクスポートすることにより作成する XML ファイルです。 ファイルには以下のスキーマがあります。
<Audit enabled="" auditlevel="" datasource="">
<AuditEvent name="" enabled="" auditlevel="">
<AuditProfile objecttype="" auditlevel="">
<AuditProfileAttribute name="" auditlevel="" />
</AuditProfile>
<EventState name="" severity=""/>
</AuditEvent>
</Audit>
Audit エレメントおよびスキーマの詳細については、監査設定ファイルのコメントを参照してください。
AuditProfileAttribute エレメントは、CA Identity Manager が監査する属性を示します。 属性は AuditProfile エレメントで指定されたオブジェクトに適用されます。
注: 監査プロファイル属性が指定されていない場合、AuditProfile エレメントで指定されたオブジェクトの属性がすべてログに記録されます。
以下のテーブルでは、CA Identity Manager オブジェクト タイプの有効な属性について説明します。
|
|
|
CA Identity Manager オブジェクト タイプの有効な属性
|
|
オブジェクト タイプ
|
有効な属性
|
|
ACCESS ROLE
|
- name -- ロールに対するユーザの表示名
- description -- ロールの目的に関するオプションのコメント。
- members -- ロールを使用できるユーザ。
- administrators -- ロール メンバまたは管理者を割り当てることができるユーザ。
- owners -- ロールを変更できるユーザ。
- enabled -- ロールが有効かどうかを示します。
- assignable -- 管理者によって割り当て可能かどうかを示します。
- tasks -- ロールと関連付けられるアクセス タスク。
|
|
ACCESS TASK
|
- name -- タスクのユーザ表示名
- description -- タスクの目的に関するオプションのコメント
- application -- タスクと関連付けられるアプリケーション。
- tag -- タスクの一意な識別子。
- reserved1、reserved2、reserved3、reserved4 — タスクの予約済みフィールドの値。
|
|
ADMINISTRATIVE ROLE
|
- name -- ロールに対するユーザの表示名
- description -- ロールの目的に関するオプションのコメント
- members -- ロールを使用できるユーザ。
- administrators -- ロール メンバまたは管理者を割り当てることができるユーザ。
- owners -- ロールを変更できるユーザ。
- enabled -- ロールが有効かどうかを示します。
- assignable -- 管理者によって割り当て可能かどうかを示します。
- tasks -- ロールと関連付けられるタスク。
|
|
ADMINISTRATIVE TASK
|
- name -- タスクのユーザ表示名
- description -- タスクの目的に関するオプションのコメント
- tag -- タスクの一意な識別子。
- category -- タスクが表示される、CA Identity Manager ユーザ インターフェース内のカテゴリ
- primary_objec -- タスクが操作するオブジェクト。
- action -- オブジェクト上で実行される操作。
- hidden -- タスクがメニューに表示されないかどうかを示します。
- public -- CA Identity Manager にログインしていないユーザがタスクを使用できるかどうかを示します。
- auditing -- タスクが監査情報の記録を有効にするかどうかを示します。
- external -- タスクが外部タスクかどうかを示します。
- url -- 外部タスクが実行されるときに、CA Identity Manager がユーザをリダイレクトする URL。
- workflow -- CA Identity Manager のイベントがタスク トリガ ワークフローと関連付けられているかどうかを示します
- webservice -- タスクが CA Identity Manager 管理コンソールから WSDL(Web Services Description Language、Web サービス記述言語)出力を生成できる対象であるかどうかを示します。
|
|
GROUP
|
ディレクトリ設定ファイル(directory.xml)で GROUP オブジェクトに対して定義されている任意の有効な属性。
|
|
ORGANIZATION
|
ディレクトリ設定ファイル(directory.xml)で Organization オブジェクトに対して定義されている任意の有効な属性。
|
|
PARENTORG
|
|
RELATIONSHIP
|
- %CONTAINER% -- 親オブジェクトの一意の識別子。
たとえば、RELATIONSHIP オブジェクトがロール メンバシップを説明する場合、コンテナはロールになります。
- %CONTAINER_NAME% -- 親グループのユーザ表示名。
- %ITEM% -- 親オブジェクトに含まれているオブジェクトの一意の識別子。
たとえば、RELATIONSHIP オブジェクトがロール メンバシップを説明する場合、アイテムはロール メンバになります。
- %ITEM_NAME% -- ネスト グループのユーザ表示名
|
|
USER
|
ディレクトリ設定ファイル(directory.xml)で USER オブジェクトに対して定義されている任意の有効な属性
|
|
NONE
|
属性なし
|
注: 以下の点が前のテーブルに適用されます。
- Enabled、assignable、auditable、workflow、hidden、webservice、および public は、true または false としてログに記録されます。
- ロールのタスクを監査するときには、ユーザ表示名がログに記録されます。
- データベースはコンパイルされた XML 形式でメンバ、管理者、および所有者ポリシーを格納します。 この形式は、各ポリシーが式として表示されるユーザ インターフェースとは異なります。
次の手順に従ってください:
- 管理コンソールにログインして、環境を選択し、[Advanced Settings]を選択して、[Auditing]をクリックします。
- [Export]をクリックします。
現在の監査設定が監査設定 XML ファイルにエクスポートされます。
- 前の手順でエクスポートした XML ファイルの監査設定を変更します。 以下のタスクを実行します。
- 「Audit enabled =」の値を「true」に設定し、データ ソース エレメントに「iam_im_<auditdb>.xml」の JNDI Name 値を指定します。
- 以下の JNDI 名を指定します。
java:/auditDbDataSource
注: このデータ ソースは、以下の場所にあります。
iam/im/jdbc/auditDbDataSource
- ファイルのエレメントを追加、変更、または削除します。
- 各イベントに対して記録される情報のレベルを変更します。
- 手順 1 ~ 2 を繰り返します。 [Import]をクリックし、変更した監査設定 XML ファイルをアップロードします。
- 環境を再起動します。
監査設定ファイルが更新されました。
Copyright © 2015 CA Technologies.
All rights reserved.
|
|