用于Oracle电子商务登录审核的Splunk DB Connect尾

整合学已收到有关我们用于记录和审核Oracle电子商务套件的框架的大量反馈。 框架已发布 这里。  该框架是我们咨询经验的直接结果,客户发现它对于希望提高审计能力的人以及刚开始实施日志记录和审计的人都同样有用。 我们使用框架的目标是对可用的本机审核和日志记录功能进行清晰的说明,提出使用这些功能的方法和策略,以及简单易用的配置步骤以实现该方法。

该框架还专门设计用于帮助客户满足合规性和安全性标准,例如Sarbanes-Oxley(SOX),支付卡行业(PCI),FISMA和HIPAA。该框架的基础是PCI DSS要求10.2。

Splunk数据库连接

该框架定义了三个成熟度级别。级别1标识基本日志记录,级别2要求将日志数据传递到集中式日志管理解决方案,级别3则是一个持续改进的循环,其中越来越多的数据相关。第二级是关键步骤。考虑到Oracle电子商务套件的复杂性以及对日志数据的保护和不可否认性的合规性要求,需要一个集中式日志记录解决方案。

Splunk,ArcSight,Envision和Oracle Audit Vault均提供用于集中式日志记录的解决方案。最近,一位客户要求协助以使用Splunk实施我们的框架。 Splunk具有Oracle Syslog的本机解析器以及免费的应用程序,可直接从表中导入数据。 Splunk的数据库连接 提供实时集成是从E-Business Suite的Sign-On Audit表中提取数据的理想解决方案。

登录审核

登录审核是可选功能,用于跟踪专业表单(不是Web或HTML表单)中的最终用户导航活动。 它分为三个级别:登录,使用了什么职责以及访问了什么表格。 对于每个选项,将捕获时间长度。 仅捕获导航活动–重要的是要了解最终用户在表单中所做的操作(无论是查看记录还是更新记录)都不会被捕获。 如果要求捕获表单中的最终用户操作,则必须使用Oracle电子商务套件 AuditTrail启用审核,或者需要第三方工具。

通过系统配置文件选项“登录:审核级别”可以关闭/打开登录审核。  如果启用,则登录审核需要定期清除其收集的数据。 可以使用 清除并发请求和/或管理器数据 并发程序。

登录审核数据是实时收集的,可以通过标准报告,表单或使用SQL查看。下表是Splunk的DB Connect可以使用的登录审核数据表:

  • APPLSYS.FND_SIGNON
  • APPLSYS.FND_LOGIN_RESPONSIBILITIES
  • APPLSYS.FND_LOGIN_RESP_FORMS
  • APPLSYS.FND_UNSUCCESSFUL_LOGINS

如何使用Splunk DB Connect结束登录审核活动

以下是有关如何开始使用Splunk和DB Connect来实现Integrigy的Oracle电子商务套件日志记录和审计框架的说明。该示例是关于如何尾随表APPLSYS.FND_LOGINS的,以便Splunk每小时都会登录到E-Business Suite的数据库中,并检查是否有任何内容。 表中的行。高级摘要如下:

  1. 在开发或测试实例中首先执行此操作,请勿在生产中首先尝试。
  2. 获取Splunk数据库连接器和Integrigy的框架白皮书的文档。
  3. 对于此示例,如果已经启用,则启用登录审核。
  4. 安装Splunk DB连接器。要完成安装,您将需要安装Java 1.6(或更高版本)和/或引用Java 首页的位置。您还将需要Oracle JDBC驱动程序。数据库连接器说明中详细介绍了Splunk的Oracle JDBC驱动程序的安装。 JAR文件必须放置在Splunk文件系统中。
  5. 在Splunk中,创建与电子商务套件的数据库连接。 整合学的建议是创建一个具有适当特权的帐户(不要使用APPS)。
  6. 创建一个输入到Splunk数据库。这些被称为“数据库输入”。这是关键的一步。作为快速说明,请确保在大写情况下引用所有Oracle对象:
    1. 选择“尾巴”。
    2. 选择您先前定义的数据库连接。
    3. 对于表APPLSYS.FND_LOGINS,可以使用以下特定SQL忽略计划的并发程序活动。精确复制以下SQL,包括最后一行中Splunk语法的最后一行:

选择 密歇根州,U.USER_NAME,U.PERSON_PARTY_ID,*

来自APPLSYS.FND_LOGINS LI,APPLSYS.FND_USER U

LI.TERMINAL_ID为NULL的位置

AND LI.USER_ID = U.USER_ID

{{AND $ rising_column $> ?}}

  1. 确定上升列,输入:LOGIN_ID
  2. 标识索引,作为快速入门演示,请使用默认值,输入:default
  3. 标识主机字段值,可以输入数据库SID,例如VIS121
  4. 选择输出格式,使用:多行键值格式
  5. 标识“时间戳记”列,输入:START_TIME
  6. 将轮询频率或间隔设置为每小时(默认为自动留空):1h
  1. 通过登录Oracle电子商务套件,然后查看Splunk进行测试。
  2. 要完全实现Integrigy框架以记录和审核Oracle电子商务套件,数据库审核以及E-Business Suite审核和页面访问跟踪 将需要启用,但是对于标识为记录E-Business Suite最终用户导航的每个表,您可以重复上面的第五步。使用的SQL与上面的SQL不同,但应该简单明了。还要记住,您将需要同时启用“登录审核”和“页面访问跟踪”才能在Oracle电子商务套件中记录最终用户的导航。

 

图1 –为用户SYSADMIN搜索Splunk以获得Oracle电子商务套件登录的示例

 

如有疑问,请通过以下方式与我们联系 [email protected].

参考文献

 Share this post

订阅RSS

将我们添加到您最喜欢的新闻阅读器中。

在Twitter上关注

获取最新更新。