Splunk DB为Oracle电子商务登录审计连接尾巴

Integigy对我们的框架进行了很大的反馈,有关我们的框架来记录和审核Oracle E-Business Suite。 框架已发布 这里。  该框架是我们咨询经验的直接结果,客户发现这两者都非常有用,这些都对想要提高他们的审计能力以及刚开始实施记录和审计的人同样有用。 我们与框架的目标是提供对本机审核和可用日志记录功能的清晰解释,呈现使用这些功能的方法和策略以及实现方法的直接配置步骤。

该框架还专门设计用于帮助客户满足符合萨尔班 - 奥克斯利(SOX),支付卡行业(PCI),Fisma和HIPAA等合规性和安全标准。框架的基础是PCI DSS要求10.2。

Splunk DB Connect.

该框架定义了三个成熟度。级别识别基本记录,两个呼叫将日志数据传递给集中日志管理解决方案,第三级是连续改进循环,其中相关的数据越来越多。第二级是关键步骤。鉴于Oracle E-Business Suite的复杂性和对日志数据的保护和非拒绝的合规性要求,需要一个集中的日志记录解决方案。

Splunk,ArcSight,Envision和Oracle Audit Vault全部提供集中记录的解决方案。最近,客户要求帮助援助使用Splunk执行我们的框架。 Splunk具有Oracle Syslog的本机解析器以及可直接从表中导入数据的免费应用程序。 Splunk的DB Connect 提供实时集成是从电子商务套件登录审计表中提取数据的理想解决方案。

登录审计

登录审核是可选的功能,以跟踪专业表单(不是Web或HTML表单)的最终用户导航活动。 它有三个级别:登录,使用了哪些责任,并访问了什么形式。 对于每个选项,捕获时间长度。 只有导航活动是捕获的 - 没有捕获最终用户在表单中所做的内容,是它查看记录或更新的记录非常重要。 如果要求是在表单中捕获最终用户操作,则必须使用Oracle E-Business Suite AuditTrail或第三方工具启用审核。

通过系统配置文件选项“登录:审计级别”关闭/开启登录审计。  如果已启用,则需要定期清除它收集的数据的登录审核。 这可以使用 清除并发请求和/或管理器数据 concurrent program.

登录审计数据是实时收集的,可以通过标准报告,表单或使用SQL来查看。以下是用于登录审计数据的表,可以由Splunk的DB Connect使用:

  • applsys.fnd_signon.
  • applsys.fnd_login_responsibilities.
  • applsys.fnd_login_resp_forms.
  • applsys.fnd_unsuccessful_logins.

如何使用Splunk DB Connect登录审计活动

以下是如何使用Splunk和DB Connect开始启动以实现Intactig的框架以获取Oracle E-Business Suite的日志记录和审核。该示例用于如何进行Table Applsys.fnd_logins,使得每小时Splunk将登录E-Business Suite的数据库,并检查是否有 新的 桌子中的行。高级摘要是如下:

  1. 首先在开发或测试实例中执行此操作,请勿在生产中尝试。
  2. 获取Splunk DB Connector和Integrigy框架白皮书的文档。
  3. 对于此示例,如果您已经这样完成,请启用登录审计。
  4. 安装Splunk DB连接器。要完成安装,您需要安装Java 1.6(或更大)和/或引用Java Home的位置。您还需要Oracle JDBC驱动程序。在DB连接器指令中安装了用于SPLUNK的Oracle JDBC驱动程序的安装。 jar文件必须放在Splunk文件系统中。
  5. 在Splunk中,创建与电子商务套件的数据库连接。积分的建议是创建一个适当的特权账户(不要使用应用程序)。
  6. 为Splunk数据库创建一个输入。这些被称为“数据库输入”。这是一个关键步骤。作为快速注意,请务必在大写中引用所有Oracle对象:
    1. 选择“尾”。
    2. 选择您之前定义的数据库连接。
    3. 对于Table Applsys.fnd_logins,以下特定的SQL可用于忽略计划的并发程序活动。完全复制以下SQL,包括上行列的棘手语法的最后一行:

选择 U.User_Name,U.Person_Party_ID,Li。*

来自applsys.fnd_logins li,applsys.fnd_user u

其中li.terminal_id为null

和li.user_id = u.user_id

{{{$ rising_column $> ?}}

  1. 识别上升列,输入:login_id
  2. 识别索引,作为快速演示即可立即使用默认值,输入:默认值
  3. 识别主机字段值,您可以输入数据库SID,例如VIS121
  4. 选择输出格式,使用:多线键值格式
  5. 识别时间戳列,输入:start_time
  6. 将轮询频率或间隔设置为每小时(默认值为左侧为自动):1小时
  1. 通过登录Oracle E-Business套件然后查看Splunk来测试。
  2. 为了充分实现记录和审核Oracle E-Business Suite,数据库审核以及电子商务套件审计和页面访问跟踪的数据库审计框架 需要启用,但您可以为上面重复上面的步骤五,针对用于记录电子商务套件最终用户导航的每个表。使用的SQL将与上述不同,但应该是直接的。请记住,您将需要启用登录审计和页面访问跟踪,以便在Oracle E-Business套件中记录最终用户导航。

 

图1 - 对于用户Sysadmin的Oracle E-Business Suite登录搜索Splunk的示例

 

如果您有疑问,请联系我们 [email protected].

参考

 Share this post

订阅RSS.

将我们添加到您最喜欢的新闻读者。

在推特上关注

获取最新的更新。