Surveiller les données
Comment surveiller vos données avec l’outil U2 AUDIT?
La conformité est sûrement la raison la plus évidente pour introduire Audit logging sur Universe. Lorsque nous parlons de conformité, vous devez être exact, vous devez agir rapidement.
Cependant, Audit Logging c’est aussi :
- Responsabilité : Identifiez les comptes associés avec certains évènements et utilisez l’information pour prendre les décisions concernant formation ou mesures disciplinaires.
- Reconstruction : le suivi des données á niveau « tick » (microseconde) et de manière séquentielle pour chaque processus utilisateur unique, pour voir et comprendre ce qu’il s’est passé avant et pendant l’évènement.
- Détection intrusion : examiner les évènements inhabituels et non autorisés, comme les échecs de tentatives de connexions ou les connexions hors horaire spécifique qui pourraient indiquer une tentative de violation de la securité.
- Détection de problèmes : Analyser les logs data afin d’identifier les problèmes que vous devez résoudre, comme l’examen de l’utilisation des ressources ou des échecs de tâches.
AUDIT – Introduction et pourquoi l’utiliser ?
- Lancé avec la version Universe 11.2.5, amélioré pour la 11.3.1. Mises à jour pour Universe 12.1.1
- Répond aux exigences de conformités. Il apporte des preuves irréfutables sur qui accède aux données ou les modifient.
- Système de surveillance sur mesure pour utilisateurs ou données spécifiques. Des règles flexibles qui couvrent tout évènement. Des modifications de règles peuvent être activées en temps réel sans aucune incidence sur l’activité.
- Maintien l’historique des logs de lecture et écriture. Générés chronologiquement, ils peuvent être utilisés comme piste de vérification, pendant et après certaines instances qui déclencheraient l’audit de sécurité.
- Pas besoin de changer votre application
- Peut être désactivé sans avoir à réinitialiser ou débrancher.
Log Only what you need to log
Audit logging vous donne la possibilité d’enregistrer seulement ce dont vous avez besoin pour un rapport simplifié.
- Flexible : vous pouvez le configurer en appliquant les règles au journal d’évènements de manière collective ou sélective.
- Facile à configurer : les utilisateurs autorisés, peuvent réaliser des changements sur Audit Logging à la volée, sans avoir à arrêter ou réinitialiser l’application.
- Personnalisable : Si vous ne le connectez pas, vous pouvez ajouter aux codes personnalisés un évènement sur mesure qui sera à son tour lancé comme n’importe quel autre audit d’évènement.
Amélioration des résultats
Audit Logging est multi-risques et avec une architecture d’audit simplifiée.
Cette nouvelle architecture améliore la performance, elle minimise le nombre de process qui traitent directement avec Audit Logging. Par exemple, un simple process lit le fichier de configuration, change l’environnement Audit Logging, et gère les évènements et les processus d’audit utilisateur, au lieu d’utiliser des procédés séparés. Vous pouvez configurer jusqu’à 8 audits simultanés, supportant chacun un grand nombre de processus logging.
Comment lancer AUDIT
Lancer AUDIT et réinitialiser la base de donnée
Notez le paramétrage par défaut uvconfig pour AUDIT
Avec AUDIT la plupart des actions sont lancées avec la commande audman
Affichez la configuration AUDIT avec le audman – config – display
Éditez la configuration avec audman – config
Modifiez la configuration
Vérifiez la nouvelle configuration avec audman-config-display
À partir de maintenant AUDIT surveillera les actions dans HS.SALES
Trouvez le log
Consultez les actions
Nouveau avec UniVerse 12.1.1
Log message classification/timestamp
- Configurable log data encoding
- Audit state persistence
- CommandSetpolicy
- Sequential log data compression
- Notification
- Change Data Capture
- Wildcard program policy
Log Message Classification and Timestamp
Standardized on 4 classes and in two message files:
- uvaudd.log
- (I) –Informational
- uvaudd.errlog
- (W) –Warning
- (E) –Error
- (C) –Critical
- Can be configured by uvconfigparameter
- AUDIT_LOG_MSG_LEVELS (default: all 4 classes)
Timestamp changed to use local time with offset to UTC
- Example:
- 2018-08-29 15:33:31 -0600 (I) Log of audit log daemon. Items have codes in parenthesis:
- 2018-08-29 15:33:31 -0600 (I) I = Information, W = Warning, E = Error, C = Critical
Configurable Log Data Encoding
Les champs de Log data doivent contenir des données avec des symbols ou nouvelles lignes qui doivent être encodées (escaped)
- OLDDATA,NEWDATA,DETAILS/RECID
*Maintenant deux méthodes de codage
- Percent-encoding: %xx (default)
- In-place-encoding: |, } , ^ etc. (old default)
*Configured by global policy
- data_encoding_method=percent-encoding, or
- data_encoding_method=in-place-encoding
Audit State Persistence
Audit logging vous permet de démarrer avec
- Multiple log files (for hash log type), or
- Multiple system buffers (for sequential log type)
*Vous pouvez suspendre/désactiver les fichiers / buffers
* Lorsque vous réinitialisez UV, l´état de suspension/désactivation sera rétabli
CommandSetPolicy
*Applicable à SYS.COMMAND et SYS.UTILITY
* Permet de limiter audit logging à un sous-ensemble de commandes TCL ou services
* Par exemple
- SYS.COMMAND.comandSet=COPY,DELETE
Sequential Log Data Compression
A pour but de réduire l’espace du disque utilise par audit logging
* Seulement disponible pour les log files séquentiels.
* Configurable avec uvconfigparameter
- AUDIT_LOG_COMPRESS
*Compression ratio qui depend des caractéristiques log data
- audman–bufctrl–bufstatus2
* Pour décompresser
- audman–decompress <in-file> <out-file>
Notification
* un mécanisme pour Audit Logging pour avertir les utilisateurs lorsque certains évènements prédéfinis se sont produits.
* Deux types d’avertissements:
- Global/system
*disk_near_full
*critical_audit_error
- User-defined notification
*Actuellement permet uniquement l’execution du OS level shell script.
- Déterminer le shell script avec sa valeur de hachage afin de prévenir toute altération.
Appendix A:
UniVerse Audit Logging classifies the following events as:
UniVerse system events
- SYS.LOGON: A user logon request through one of the UniVerse servers
- SYS.LOGOFF: A user logs off from a UniVerse server
- SYS.SESSION.START: A UniVerse session is initiated
- SYS.SESSION.END: A UniVerse session ended
- SYS.ADE.ACTIVATEKEY: Automatic Data Encryption key activation and deactivation
- SYS.COMMAND: A TCL command has been run, other than query commands • SYS.UTILITY: Running of any UniVerse utilities
NOTE: SYS.COMMAND and SYS.UTILITY can be restricted to a subset of TCL commands or utilities
System configuration events
- SYS.CONFIG.CHANGE A system-level configuration changed, such as a uvconfig, audit configuration, or replication configuration change
- SYS.SECURITY SQL GRANT, REVOKE, future security operations
- SYS.ADE Automatic Data Encryption operations: master key, key store, key creation, key deletion, file encryption, index encryption, password related operations
- SYS.DAEMON Starting or stopping of UniVerse background processes, such as U2Rep services
Data events
- DAT.QUERY.COMMAND LIST, SORT, SELECT, SUM, REFORMAT, COUNT, TLOAD, TDUMP, CVIEW SQL SELECT
- DAT.QUERY.RESULTSET LIST, SORT, SELECT, SUM, REFORMAT, COUNT, TLOAD, TDUMP, CVIEW SQL SELECT
- DAT.BASIC.READ BASIC READ, READV, MATREAD, SELECT, SELECTINDEX, READSEQ, READBLK, BSCAN
- DAT.BASIC.WRITE BASIC WRITE, WRITEV, MATWRITE, WRITEBLK, WRITESEQ, WEOFSEQ
- DAT.BASIC.DELETE BASIC DELETE, CLEARFILE
- DAT.SQL.COMMAND SQL commands, except SELECT, GRANT, and REVOKE NOTE: DAT.*.WRITE and DAT.*.DELETE events will also capture the before/after data associated with the Change Data Capture capabilities of UniVerse Audit
User event
- USR.EVENT User-defined audit event through the new UniVerse BASIC AuditLog() function
VOUS POURRIEZ AUSSI ÊTRE INTÉRESSÉ PAR
Unidata
Les entreprises du monde entier font confiance à la plate-forme d’applications Rocket® UniData® pour développer des applications rapides, flexibles et sécurisées. +Info
Universe
Des entreprises du monde entier font confiance à la plate-forme Rocket® UniVerse pour développer des applications rapides, flexibles et sécurisées. +Info