Surveiller les données


Comment surveiller vos données avec l’outil U2 AUDIT?

La conformité est sûrement la raison la plus évidente pour introduire Audit logging sur Universe. Lorsque nous parlons de conformité, vous devez être exact, vous devez agir rapidement.

Cependant, Audit Logging c’est aussi :

  • Responsabilité : Identifiez les comptes associés avec certains évènements et utilisez l’information pour prendre les décisions concernant formation ou mesures disciplinaires.
  • Reconstruction : le suivi des données á niveau « tick » (microseconde) et de manière séquentielle pour chaque processus utilisateur unique, pour voir et comprendre ce qu’il s’est passé avant et pendant l’évènement.
  • Détection intrusion : examiner les évènements inhabituels et non autorisés, comme les échecs de tentatives de connexions ou les connexions hors horaire spécifique qui pourraient indiquer une tentative de violation de la securité.
  • Détection de problèmes : Analyser les logs data afin d’identifier les problèmes que vous devez résoudre, comme l’examen de l’utilisation des ressources ou des échecs de tâches.

AUDIT – Introduction et pourquoi l’utiliser ?


  • Lancé avec la version Universe 11.2.5, amélioré pour la 11.3.1. Mises à jour pour Universe 12.1.1
  • Répond aux exigences de conformités. Il apporte des preuves irréfutables sur qui accède aux données ou les modifient.
  • Système de surveillance sur mesure pour utilisateurs ou données spécifiques. Des règles flexibles qui couvrent tout évènement. Des modifications de règles peuvent être activées en temps réel sans aucune incidence sur l’activité.
  • Maintien l’historique des logs de lecture et écriture. Générés chronologiquement, ils peuvent être utilisés comme piste de vérification, pendant et après certaines instances qui déclencheraient l’audit de sécurité.
  • Pas besoin de changer votre application
  • Peut être désactivé sans avoir à réinitialiser ou débrancher.

Log Only what you need to log


Audit logging vous donne la possibilité d’enregistrer seulement ce dont vous avez besoin pour un rapport simplifié.

  • Flexible : vous pouvez le configurer en appliquant les règles au journal d’évènements de manière collective ou sélective.
  • Facile à configurer : les utilisateurs autorisés, peuvent réaliser des changements sur Audit Logging à la volée, sans avoir à arrêter ou réinitialiser l’application.
  • Personnalisable : Si vous ne le connectez pas, vous pouvez ajouter aux codes personnalisés un évènement sur mesure qui sera à son tour lancé comme n’importe quel autre audit d’évènement.

Amélioration des résultats


Audit Logging est multi-risques et avec une architecture d’audit simplifiée.

Cette nouvelle architecture améliore la performance, elle minimise le nombre de process qui traitent directement avec Audit Logging. Par exemple, un simple process lit le fichier de configuration, change l’environnement Audit Logging, et gère les évènements et les processus d’audit utilisateur, au lieu d’utiliser des procédés séparés. Vous pouvez configurer jusqu’à 8 audits simultanés, supportant chacun un grand nombre de processus logging.

Comment lancer AUDIT


Lancer AUDIT et réinitialiser la base de donnée

Notez le paramétrage par défaut uvconfig pour AUDIT

Avec AUDIT la plupart des actions sont lancées avec la commande audman

Affichez la configuration AUDIT avec le audman – config – display

Éditez la configuration avec audman – config

Modifiez la configuration

Vérifiez la nouvelle configuration avec audman-config-display

À partir de maintenant AUDIT surveillera les actions dans HS.SALES

Trouvez le log

Consultez les actions

Exemple sur un BASIC event tracking


Nouveau avec UniVerse 12.1.1


Log message classification/timestamp

  • Configurable log data encoding
  • Audit state persistence
  • CommandSetpolicy
  • Sequential log data compression
  • Notification
  • Change Data Capture
  • Wildcard program policy

Log Message Classification and Timestamp


Standardized on 4 classes and in two message files:

  • uvaudd.log
  • (I) –Informational
  • uvaudd.errlog
  • (W) –Warning
  • (E) –Error
  • (C) –Critical
  • Can be configured by uvconfigparameter
  • AUDIT_LOG_MSG_LEVELS (default: all 4 classes)

 

Timestamp changed to use local time with offset to UTC

  • Example:
  • 2018-08-29 15:33:31 -0600 (I) Log of audit log daemon. Items have codes in parenthesis:
  • 2018-08-29 15:33:31 -0600 (I) I = Information, W = Warning, E = Error, C = Critical

Configurable Log Data Encoding


Les champs de Log data doivent contenir des données avec des symbols ou nouvelles lignes qui doivent être encodées (escaped)

  • OLDDATA,NEWDATA,DETAILS/RECID

*Maintenant deux méthodes de codage

  • Percent-encoding: %xx (default)
  • In-place-encoding: |, } , ^ etc. (old default)

*Configured by global policy

  • data_encoding_method=percent-encoding, or
  • data_encoding_method=in-place-encoding

Audit State Persistence


Audit logging vous permet de démarrer avec

  • Multiple log files (for hash log type), or
  • Multiple system buffers (for sequential log type)

*Vous pouvez suspendre/désactiver les fichiers / buffers

* Lorsque vous réinitialisez UV, l´état de suspension/désactivation sera rétabli

CommandSetPolicy


*Applicable à SYS.COMMAND et SYS.UTILITY

* Permet de limiter audit logging à un sous-ensemble de commandes TCL ou services

* Par exemple

  • SYS.COMMAND.comandSet=COPY,DELETE

Sequential Log Data Compression


A pour but de réduire l’espace du disque utilise par audit logging

* Seulement disponible pour les log files séquentiels.

* Configurable avec uvconfigparameter

  • AUDIT_LOG_COMPRESS

*Compression ratio qui depend des caractéristiques log data

  • audman–bufctrl–bufstatus2

* Pour décompresser

  • audman–decompress <in-file> <out-file>

Notification


* un mécanisme pour Audit Logging pour avertir les utilisateurs lorsque certains évènements prédéfinis se sont produits.

* Deux types d’avertissements:

  • Global/system

*disk_near_full
*critical_audit_error

  • User-defined notification

*Actuellement permet uniquement l’execution du OS level shell script.

  • Déterminer le shell script avec sa valeur de hachage afin de prévenir toute altération.

Appendix A:


UniVerse Audit Logging classifies the following events as:

UniVerse system events

  • SYS.LOGON: A user logon request through one of the UniVerse servers
  • SYS.LOGOFF: A user logs off from a UniVerse server
  • SYS.SESSION.START: A UniVerse session is initiated
  • SYS.SESSION.END: A UniVerse session ended
  • SYS.ADE.ACTIVATEKEY: Automatic Data Encryption key activation and deactivation
  • SYS.COMMAND: A TCL command has been run, other than query commands • SYS.UTILITY: Running of any UniVerse utilities

NOTE: SYS.COMMAND and SYS.UTILITY can be restricted to a subset of TCL commands or utilities

System configuration events

  • SYS.CONFIG.CHANGE A system-level configuration changed, such as a uvconfig, audit configuration, or replication configuration change
  • SYS.SECURITY SQL GRANT, REVOKE, future security operations
  • SYS.ADE Automatic Data Encryption operations: master key, key store, key creation, key deletion, file encryption, index encryption, password related operations
  • SYS.DAEMON Starting or stopping of UniVerse background processes, such as U2Rep services

 

Data events

  • DAT.QUERY.COMMAND LIST, SORT, SELECT, SUM, REFORMAT, COUNT, TLOAD, TDUMP, CVIEW SQL SELECT
  • DAT.QUERY.RESULTSET LIST, SORT, SELECT, SUM, REFORMAT, COUNT, TLOAD, TDUMP, CVIEW SQL SELECT
  • DAT.BASIC.READ BASIC READ, READV, MATREAD, SELECT, SELECTINDEX, READSEQ, READBLK, BSCAN
  • DAT.BASIC.WRITE BASIC WRITE, WRITEV, MATWRITE, WRITEBLK, WRITESEQ, WEOFSEQ
  • DAT.BASIC.DELETE BASIC DELETE, CLEARFILE
  • DAT.SQL.COMMAND SQL commands, except SELECT, GRANT, and REVOKE NOTE: DAT.*.WRITE and DAT.*.DELETE events will also capture the before/after data associated with the Change Data Capture capabilities of UniVerse Audit

 

User event

  • USR.EVENT User-defined audit event through the new UniVerse BASIC AuditLog() function