Auditoria no Informix
A auditoria no Informix não era um ponto forte quando utilizado sua ferramenta nativa, pois não gera muitas informações uteis ou detalhadas suficiente para rastreamento e sim apenas informações do que ocorreu. Para ter uma auditoria mais completa é necessário complementar com o recurso de SQLTRACE e auditorias a nível de sistema operacional, rede e da própria aplicação em si.
- A audioria é feita em base de (audit menmonic-event) eventos e mascaras:
- Eventos: É um mnemonico que indica exatamente qual evento será auditado. Por Exemplo: ALTB define que será auditado todos os ALTER TABLE executado. Pode-se ser especificado situaçoes de falha ou sucesso , onde FALTB irá auditar apenas as falhas e SALTB apenas sucesso .
- Mascaras: Sao grupos de eventos (profiles), essas mascaras sao associadas ao usuário. Existe 3 mascaras pré-definidas _exclude, _require e _default. Porém é possivel criar mascaras de usuários, que podem ser utilizada para usuários especificos. Pode-se criar mascaras modelos (templates mask)
- A diferença entre as mascaras pré-definidas são:
_* : Mascara de usuário, aplicada a usuários especificos
_default : Mascara padrão, aplicada apenas a usuários que não possuem suas próprias mascaras.
_require : é uma "Global Mask"
_exclude : é uma "Global Mask" - A ordem de execução das mascaras é:
1) User ou Default Mask
2) Require Mask
3) Exclude Mask - É possível alterar uma mascara com a auditoria ativa.
- Clusters HDR , mesmo se auditoria ativada, ela nao registra nenhuma informaçao
- O arquivo de configuração ADTCFG fica no diretório: $INFORMIXDIR/aaodir/adtcfg
O path e nome do arquivo são fixos, não é possível alterar.
Qualquer alteração no seu conteúdo só tem efeito quando o processo de auditoria é (re)iniciado.
Sempre que é feita uma alteração dinamicamente através do comando onaudit esta alteração é salva no arquivo adtcfg.<server_num> por questão de segurança , ou seja, apos alteração via onaudit é necessário atualiza o adtcfg manualmente - A configuração atual pode ser consultada das seguintes formas
$ onaudit -c $ echo 'select * from sysadtinfo' | dbaccess sysmaster
- Comandos:
# lista todos as regras/mascaras onaudit -o -y # lista todos as regras/mascaras do usuário teste onaudit -o -u teste # inicia auditoria onaudit -l 1 # para auditoria onaudit -l 0 # Cria regras baseadas em arquivo (não sobrescreve config ja existente) onaudit -f <adtmask_file> # Cria regras para usuário teste onaudit -a -u teste -e <regras> # altera regras onaudit -m -u teste -e # apaga regra do usuario teste onaudit -d -u teste # apaga todas as regras onaudit -d -y # altera diretório de log (é necessario ter -l 1 e -n) onaudit -l 1 -p /log -n
- Exemplo de aquivo adtmask:
_default - INRW,FUPRW,SDLRW _require - STSN,OPDB _exclude - RDRW _usuarios - FINRW,FUPRW,FDLRW cmartins _usuarios +ALTB
- Sempre que o serviço de auditoria for inicializado é criado um VP chamado ADT .
- BUGs:
- v11.10 Em todos os testes realizados,o usuário do grupo AAO não conseguiu ativar/executar qualquer comando com o "onaudit" quando o grupo DBSA foi definido (etc , onconfig)!
- v11.10 Qualquer usuário que execute o "onstat" , é logado como se tivesse sido executado pelo usuário informix.
- 289 leituras
Tags:
Comentar