Практические рекомендации по IBM Cognos: IBM Cognos 10 Audit Extension

Характер документа: практические рекомендации; продукт(ы): IBM Cognos 10 BI; область интересов: безопасность, инфраструктура, разработка

Приложение IBM Cognos 10 SDK обеспечивает дополнительный аудит IBM Cognos 10 BI, включая аудит ролей. Версия приложения: 1.1.01; работает с версией 10.1 и более поздними версиями IBM Cognos 10 BI.

Введение

Назначение

Стандартные возможности аудита, входящие в IBM Cognos 10 BI, охватывают многие аспекты работы. Однако некоторые области остались неохваченными, такие аудит пользователей и полномочий. Приложение c10AuditExtension предоставляет дополнительные возможности аудита в этих областях.

Аудит учетных записей

Аудит учетных записей всех пользователей во всех существующих пространствах имен и определенных свойств этих учетных записей (основные параметры, страницы порталов, даты создания и изменения и т.д.). Это позволяет составлять отчеты по базе пользователей IBM Cognos и предоставлять дополнительную информацию для аудита ролей/полномочий. По умолчанию при выполнении аудита этого типа также регистрируется содержание папки My Folders пользователя.

Аудит содержания

Аудит всех объектов в основном хранилище Content Store. Аудит этого типа выполняется путем обхода дерева хранилища Content Store и регистрации всех найденных объектов (папок, отчетов, запросов и т.д.). Регистрируется основная информация (имя, путь поиска, разрешения для объектов, даты создания и изменения и т.п.), а также некоторые детали, характерные для элементов данного типа (XML-спецификация отчетов и запросов, любые сохраненные значения параметров, относящихся к сохраненным отчетам, сведения о версиях выводимых отчетов и т.п.).

Чтобы записывать также и те элементы Content Store, которые находятся внутри области My Folders отдельных пользователей, этот тип аудита должен использоваться в сочетании с аудитом учетных записей (см. выше).

Аудит состояния

Аудит текущего состояния сервера и соответствующих диспетчеров. Для каждого диспетчера, зарегистрированного в целевой системе, записывается конфигурация и деятельность с сохранением такой информации, как время соединения, число активных процессов и продолжительность запросов.

Аудит ролей/полномочий

Аудит всех полномочий (право создания отчетов и т.п.), указанных в пространстве имен Cognos, а также ролей, групп и пользователей, обладающих этими полномочиями. Если роль или группа обладает полномочиями, регистрируются все отдельные пользователи, относящиеся к этой роли или группе, чтобы можно было точно определить, какие именно пользователи обладают такими полномочиями.

Применение

Управление приложением осуществляется через Web-интерфейс, который позволяет настраивать сервер и параметры пространства имен и может использоваться для включения или выключения отдельных типов аудита для данного сервера.

Аудит можно инициировать тремя способами:

  • через Web-интерфейс управления;
  • посредством простого вызова URL/Web-формы;
  • посредством вызова Web-сервиса (т.е. из Event Studio).

Результаты каждого аудита заносятся в базу данных, и для составления отчета по этим данным предоставляется модель IBM Cognos Framework Manager.

Область применения

Данное приложение предназначено для IBM Cognos BI версии 10.1.

Кроме того, оно может взаимодействовать с любым сторонним приложением, способным подавать команды посредством Web-сервисов.

Исключения и изъятия

Данное приложение может оказаться несовместимым с некоторыми службами проверки подлинности в зависимости от способа реализации услуг; например, обычно оно ожидает, что для входа в службу/пространство имен требуются только имя пользователя и пароль – если служба использует другие формы учетных данных, то расширение для аудита может оказаться неспособным к аутентификации в таком пространстве имен для его аудита. Это не относится к поставщикам дополнительных услуг, использующих механизм trusted signon, при условии, что основная служба допускает вход обычным способом.

Это приложение работает со следующими базами данных:

  • DB2 9.x и 10.x;
  • MS SQL Server 2000, 2005 и 2008;
  • Oracle 10g и 11g;
  • MySQL 5;
  • Apache Derby 10.

Аудит состояний зависит от некоторой информации, предоставляемой сервером IBM Cognos 10 BI, которая может изменяться и на которую могут повлиять будущие обновления IBM Cognos 10 BI.

Это приложение работает только в среде JRE версии 1.5 или выше.

Использование, поддержка и обратная связь

Для гарантии успешной реализации и интерпретации результатов рекомендуется использовать это приложение в составе пакета услуг IBM.

Приложение и модель предоставляются строго на условиях "как есть", и группа поддержки IBM Cognos не может предложить для него никакой поддержки. Однако приветствуются любые отзывы, сообщения об ошибках или предложения.


Подробная информация о приложении

Обзор процесса и архитектура

Приложение представляет собой Web-приложение и Web-сервис, написанные на Java/AXIS. Оно предназначено для установки на машину IBM Cognos 10 BI и выполняется в экземпляре IBM Cognos 10 Tomcat или на своем собственном сервере приложений.

После установки приложение создает свои собственные таблицы баз данных, если их еще нет, и предоставляет интерфейс, позволяющий администратору вводить информацию о пространствах имен и серверах IBM Cognos 10 BI. Обычно для каждой группы серверов IBM Cognos 10 BI, использующих одно и то же хранилище Content Store, достаточно одного входа на сервер. Однако для разных функциональных подразделений, таких, как производственная группа и группа разработки, часто используются отдельные входы на сервер.

Приложение можно защитить через интерфейс управления, определив локальный пароль, который впоследствии будет требоваться для доступа к интерфейсу или для выполнения аудита. Используется локальный пароль, а не привязка к системе безопасности IBM Cognos 10, потому что приложение может взаимодействовать с несколькими установками IBM Cognos 10 BI, и его нельзя привязать к одному пространству имен IBM Cognos 10 BI.

Когда администратор вводит параметры нового диспетчера IBM Cognos 10 BI, приложение подключается к этому диспетчеру и собирает сведения о конфигурации пространств имен безопасности. Эти сведения отображаются на странице свойств этого диспетчера, и их можно редактировать. Важно, что для каждого пространства имен, которое используется для защиты объекта или назначения полномочий в хранилище контента, существует запись с действительными регистрационными данными, так что они могут подвергаться аудиту. Это связано с тем, что приложение должно иметь возможность войти в пространство имен для аудита его содержимого. Если приложение не может войти в пространство имен, которое используется для безопасности объектов или пользователей, то аудит его объектов выполняться не может. Если в одной записи на сервере указаны несколько пространств имен, то должен осуществляться вход во все пространства имен, в противном случае приложение прекратит процесс аудита.

Регистрационные данные для пространств имен шифруются и хранятся в базе данных приложения.


Установка

Приложение устанавливается как файл WAR (Web Archive), который можно использовать с любым подходящим контейнером сервлетов, таким как Tomcat, или сервером приложений, таким как IBM WebSphere. Сначала необходимо создать WAR-файл в своей установке IBM Cognos 10 BI с помощью предоставленных сценариев, а затем установить этот WAR-файл на сервер.

Процедуры, изложенные в настоящем документе, охватывают процесс установки приложения в контейнере сервлетов Tomcat, который обычно устанавливается вместе с сервером IBM Cognos 10 BI. Инструкции по установке WAR-файла в других местах можно найти в документации конкретного сервера приложений / контейнера сервлетов.

В общем случае желательно, чтобы производственная среда запускала это приложение в пределах своего собственного экземпляра Tomcat или IBM WebSphere. За подробной информацией о том, как развернуть Web-приложение, обращайтесь к документации Tomcat, IBM WebSphere или другого сервера приложений.

Процесс установки выглядит следующим образом:

  • распаковка установочного пакета на сервере IBM Cognos 10 BI;
  • настройка всех файлов, в которые нужно внести изменения;
  • импорт всех сторонних драйверов JDBC, которые будут использоваться;
  • создание WAR-файла;
  • развертывание WAR-файла на сервере приложений или в контейнере сервлетов;
  • настройка приложения с использованием Web-интерфейса пользователя.

Распаковка установочного пакета на сервере IBM Cognos 10 BI

Распакуйте ZIP-файл, содержащий приложение Audit Extension, в подходящем временном месте. Там будут две основных папки.

reporting
Эта папка содержит материалы, которые позволяют оформлять результаты Audit Extension с помощью IBM Cognos 10 BI. Она содержит модель IBM Cognos Framework Manager и архив установки IBM Cognos 10 BI. На данном этапе с этим не нужно ничего делать.
war
Эта папка содержит само приложение в подкаталоге с именем AuditExt. Его нужно использовать для создания WAR-файла.

Из папки war скопируйте каталог AuditExt и его подкаталоги в свой каталог установки IBM Cognos 10 BI в каталоге <c10install>/war. Перед созданием WAR-файла можно настроить приложение. Для большинства случаев должны подходить настройки по умолчанию, но если нужно внести изменения в параметры конфигурации в файле c10AuditExtension.properties (см. раздел 3.7) или параметры ведения журнала в файле log4j.properties (см. раздел 6.1), то эти файлы расположены в каталоге <c10install>/war/AuditExt/classes.

Рисунок 1. Файлы .properties в каталоге <c10install>\war\AuditExt\classes

Установка всех необходимых драйверов JDBC

Если для хранения данных Audit Extension используется база данных IBM DB2 или Apache Derby, то не нужно устанавливать никаких дополнительных драйверов JDBC, так как в дистрибутив входит DB2 Universal Driver (потребуется только файл лицензии DB2). Если же планируется использовать Microsoft SQL Server, MySQL или Oracle, то нужно будет получить подходящий файл драйвера и установить его.

  • Файл драйвера SQL Server — это sqljdbc4.jar.
  • Файл драйвера Oracle — ojdbc5.jar. При использовании неанглийской локали может также потребоваться orai18n.jar.
  • Файл драйвера MySQL ― это mysql-connector-java-5.1.6-bin.jar.

Получив нужные файл(ы) JAR и/или лицензии для своей базы данных, поместите их в каталог <c10install>/war/AuditExt/lib. Если на этом этапе не установить нужный драйвер, то при первой попытке настроить базу данных приложение выдаст предупреждение.

Создание и развертывание WAR-файла

Создайте WAR-файл, выполнив сценарий <c10install>/war/AuditExt/build.bat (Windows) или <c10install>/war/AuditExt/build.sh (UNIX/Linux). Это приведет к созданию файла WAR <c10install>/war/AuditExt/AuditExt.war. Поместите этот файл в каталог <c10install>/webapps. Сервер IBM Cognos 10 Tomcat автоматически распакует файл WAR. Теперь приложение готово к настройке.

Настройка через пользовательский интерфейс

Откройте страницу Web-администрирования по URL http://servername:9300/AuditExt/. Появится экран приглашения с полями для ввода информации, необходимой для подключения к базе данных. Нужно указать тип базы данных, имя и номер порта хост-сервера базы данных, имя базы данных, а также идентификатор пользователя и пароль для подключения к базе данных.

Рисунок 2. Экран с полями для ввода сведений о подключении к базе данных Audit Extension

Приложение C10AuditExtension может использовать либо существующую базу данных аудита IBM Cognos 10 BI, либо отдельную базу данных, созданную специально для этого приложения. Настоятельно не рекомендуется использовать ту базу данных, которая уже используется для IBM Cognos 10 Content Store.

ВНИМАНИЕ! Перед подключением база данных, указанная в поле Database name, уже должна существовать. Приложение создаст в этой базе данных необходимые таблицы.

Процесс создания и заполнения таблиц базы данных может занять некоторое время в зависимости от быстродействия сервера. После нажатия кнопки OK, прежде чем продолжить, дождитесь обновления экрана ― не нажимайте кнопку OK больше одного раза.

Подготовка базы данных

Чтобы подготовить базу данных к использованию этим приложением, ее нужно настроить, как описано в Руководстве по установке и выбору конфигурации IBM Cognos 10 BI для Content Store. Можно также использовать стандартную базу данных журнала аудита IBM Cognos 10 BI, которая настраивается таким же образом.

ВНИМАНИЕ! Для IBM DB2 необходимо создать дополнительное табличное пространство обычного пользователя размером 16 КБ. Если используется база данных, уже настроенная для журнала аудита IBM Cognos 10 BI, то это, возможно, уже сделано.

ВНИМАНИЕ! Для Oracle может потребоваться увеличить максимальное количество открытых курсоров, поддерживаемых базой данных. По умолчанию используется значение 50, которого может оказаться недостаточно для этого приложения ― больше подходит значение 500. Подробнее см. здесь: http://www.orafaq.com/node/758.

Перенастройка

Чтобы перенастроить подключение к основной базе данных, нажмите на ссылку Reset configuration на странице Manage Servers. Это позволяет ввести параметры подключения базы данных заново. Иначе, подключение к основной базе данных можно сбросить вручную, выполнив следующие действия.

  • Остановите службу IBM Cognos 10 BI
  • Отредактируйте файл <c10install>/webapps/AuditExt/WEB-INF/classes/c10AuditExtension.properties.
  • Переустановите параметры соединения JDBC следующим образом:
    # Параметры соединения JDBC:
    jdbc.url=
    jdbc.user=
    jdbc.password=
  • Перезапустите IBM Cognos 10 BI

После перезагрузки IBM Cognos 10 BI и повторного обращения по URL-адресу панели администрирования появится экран приглашения для ввода деталей соединения JDBC.

Справочник по файлу конфигурации

Основной файл конфигурации называется c10AuditExtension.properties и находится по адресу: <c10install>/webapps/AuditExt/WEB-INF/classes. Этот файл конфигурации содержит следующие параметры.

jdbc.url
jdbc.user
jdbc.password
Это сведения о подключении к базе данных, используемой приложением Audit Extension. Они генерируются интерфейсом конфигурации приложения и не должны редактироваться вручную иначе, чем путем сброса к пустым значениям для перенастройки. Имейте в виду, что пароль хранится в зашифрованном виде.
option.ra.recurse.everyone
Параметр Role Audit, который определяет, должен ли аудит выполнять полную рекурсию пространств(а) имен, когда в полномочиях или членстве встречается группа Everyone. В этом случае аудит охватит всех пользователей с доступом через Everyone, но пространство базы данных и время обработки увеличатся. Возможные значения: true и false. Значение по умолчанию — false.
option.ra.recurse.auth
Параметр Role Audit, который определяет, должен ли аудит выполнять полную рекурсию пространств(а) имен, когда в полномочиях или членстве встречается группа Authenticated Users. В этом случае аудит охватит всех пользователей с доступом через Authenticated Users, но пространство базы данных и время обработки увеличатся. Возможные значения: true и false. Значение по умолчанию — true.
option.ra.recurse.anon
Параметр Role Audit, который определяет, должен ли аудит выполнять полную рекурсию пространств(а) имен, когда в полномочиях или членстве встречается группа Anonymous Users. В этом случае аудит охватит всех пользователей с доступом через Anonymous Users, но пространство базы данных и время обработки увеличатся. Возможные значения: true и false. Значение по умолчанию — false.
option.ra.max.items
Параметр Role Audit, ограничивающий максимальное количество элементов, обрабатываемых в процессе аудита. Если это число превышено, аудит прекращается, и регистрируется ошибка. Если задано значение 0, то ограничение отсутствует. Значение по умолчанию ― 20000.
option.ra.max.duration
Параметр Role Audit, ограничивающий максимальное время выполнения аудита в секундах. Если это время превышено, аудит прекращается, и регистрируется ошибка. Если задано значение 0, то ограничение по времени отсутствует. Значение по умолчанию ― 900 (15 минут).
option.ca.include.specifications
Параметр Content Audit, который определяет, должна ли в процессе аудита регистрироваться спецификация XML любых обнаруженных сообщений/запросов/анализов. Возможные значения: true и false. Значение по умолчанию — true. Если этот параметр имеет значение false, то будет использоваться меньше пространства базы данных.
option.ca.include.output
Параметр Content Audit, который определяет, должны ли в процессе аудита регистрироваться сведения о версиях обнаруженных отчетов и результаты объектов отчетов. Возможные значения: true и false. Значение по умолчанию — true. Если этот параметр имеет значение false, то будет использоваться меньше пространства базы данных, и аудит будет производиться быстрее.
option.ca.max.items
Параметр Content Audit, ограничивающий максимальное количество элементов, обрабатываемых в процессе аудита. Если это число превышено, аудит прекращается, и регистрируется ошибка. Значение по умолчанию равно 0 (нулю), что означает, что предел не устанавливается.
option.ca.max.duration
Параметр Content Audit, ограничивающий максимальное время выполнения аудита в секундах. Если это время превышено, аудит прекращается, и регистрируется ошибка. Если задано значение 0 (ноль), то ограничение по времени отсутствует. Значение по умолчанию равно 900 (15 минут).
option.ca.policy.calculation
Параметр Content Audit, определяющий, должно ли выполняться вычисление политики безопасности в режиме FM. Возможные значения: true и false. Если установлено значение false, то расчет будет производиться во время выполнения. Значение по умолчанию — true, что означает, что во время выполнения расчет производиться не будет.
option.aa.flatsearch
Параметр Account Audit, изменяющий способ сканирования пространства имен с рекурсивного подхода, принятого по умолчанию, на простой поиск. Этот параметр может оказаться полезным для очень больших пространств имен. Если он установлен, то вместо рекурсивной обработки всего пространства имен приложение будет выполнять простой поиск только тех пользователей, которые уже входили в IBM Cognos 10 BI, и регистрировать только таких пользователей. Те пользователи, которые присутствуют в исходном пространстве имен, но никогда не входили в систему, будут игнорироваться. Этот подход может значительно улучшить время обработки в тех случаях, когда исходное пространство имен велико, но лишь немногие его члены являются пользователями IBM Cognos 10 BI. Значение по умолчанию ― false, что означает, что будет выполняться традиционный рекурсивный поиск всех пользователей.
option.aa.max.items
Параметр Account Audit, ограничивающий максимальное количество элементов, обрабатываемых в процессе аудита. Если это число превышено, аудит прекращается, и регистрируется ошибка. Если задано значение 0, то ограничение отсутствует. Значение по умолчанию - 10000.
option.aa.max.duration
Параметр Account Audit, ограничивающий максимальное время выполнения аудита в секундах. Если это время превышено, аудит прекращается, и регистрируется ошибка. Если задано значение 0 (ноль), то ограничение по времени отсутствует. Значение по умолчанию - 900 (15 минут).
option.aa.include.content
Параметр Account Audit, который определяет, должно ли в процессе аудита обрабатываться содержимое папок My Folders пользователей. Если он установлен, то для всей информации пользователей, где она существует, будет выполняться процедура mini-Content Audit. Возможные значения: true и false. Значение по умолчанию — true.
option.sa.include.configuration
Параметр Status Audit, который определяет, должна ли в процессе аудита регистрироваться информация о конфигурации диспетчеров. Это такая информация, как максимальное количество процессов. Возможные значения: true и false. Значение по умолчанию — true. Если значение этого параметра false, то будет использоваться меньшее пространство базы данных.
option.sa.include.rawstatus
Параметр Status Audit, определяющий, должен ли регистрироваться XML-статус служб, которые обнаруживаются в процессе аудита. Возможные значения: true и false. Значение по умолчанию — true. Если значение этого параметра false, то будет использоваться меньшее пространство базы данных.
option.sa.include.ping
Параметр Status Audit, определяющий, должен ли аудит выполнить дополнительные простые тесты сети для диспетчеров, зарегистрированных на сервере. Возможные значения: true и false. Значение по умолчанию — true.
security.keystore.filename
Местонахождение файла ключей, используемого для обеспечения безопасности. Если файл в этом месте отсутствует, создается новый. Это должно быть место, доступное для записи, в противном случае приложение не будет работать. Значение по умолчанию помещает хранилище ключей в каталог ./configuration установки IBM Cognos 10 BI с использованием относительного пути к файлу. Если приложение развернуто не в контейнере сервлетов Tomcat, установленном вместе с IBM Cognos 10 BI, то это значение нужно отредактировать.
option.db.setdefault.audittypes
Параметр базы данных, который определяет, должно ли приложение возвращать описания типа аудита в базе данных к их значениям по умолчанию, если они изменились. Возможные значения: true и false. Значение по умолчанию — false.
option.db.setdefault.statusresulttypes
Параметр базы данных, который определяет, должно ли приложение возвращать описания типа результата определения статуса в базе данных к их значениям по умолчанию, если они изменились. Возможные значения: true и false. Значение по умолчанию — false.
option.db.setdefault.serverversiondesc
Параметр базы данных, который определяет, должно ли приложение возвращать описания версии сервера в базе данных к их значениям по умолчанию, если они изменились. Возможные значения: true и false. Значение по умолчанию — false.
option.db.setdefault.pingtype
Параметр базы данных, который определяет, должно ли приложение возвращать описания типа ping-теста в базе данных к их значениям по умолчанию, если они изменились. Возможные значения: true и false. Значение по умолчанию — false.
option.db.setdefault.pingresult
Параметр базы данных, который определяет, должно ли приложение возвращать описания результата ping-теста в базе данных к их значениям по умолчанию, если они изменились. Возможные значения: true и false. Значение по умолчанию — false.
option.db.dimension.time.populate
Параметр базы данных, который определяет, должно ли приложение полностью заполнить таблицу размерности времени, когда она создается при первом запуске. Имейте в виду, что любые недостающие значения времени будут добавлены при выполнении аудита для этого времени, так что предварительное заполнение необязательно, хотя считается, что для целей отчетности это лучше. Возможные значения: true и false. Значение по умолчанию — true.
option.db.dimension.date.initdays
Параметр базы данных, который указывает количество дней (начиная с текущей даты) для предварительного заполнения таблицы размерности времени, когда она создается при первом запуске. Имейте в виду, что любые недостающие данные будут добавлены при выполнении аудита для этого времени, так что предварительное заполнение необязательно, хотя считается, что для целей отчетности это лучше. Значение по умолчанию равно 730 (2 года).
option.db.maxbatch
Параметр, указывающий максимальное количество элементов, которые должны быть обработаны перед записью базы данных. Он относится ко всем типам аудита и предназначен для уменьшения общего потребления ресурсов памяти для аудита очень большого объема. Значение по умолчанию равно 2000.
option.db.random-audit-id
Параметр, управляющий тем, должен ли идентификатор базы данных, создаваемый для каждого аудита, быть псевдослучайным (значение true) или последовательным числом (значение false). Значение по умолчанию — false.

Замечания по установке на другом сервере приложений

Как отмечалось выше, при установке приложения в интенсивно используемой производственной среде следует рассмотреть возможность его установки в другой контейнер сервлетов. Это может быть автономный экземпляр Tomcat (http://tomcat.apache.org/download-55.cgi) или полный сервер приложений, такой как IBM WebSphere Application Server.

Как правило, в случае Tomcat процедура так же проста, как при развертывании любого Web-приложения ― как и в случае установки IBM Cognos 10 BI, достаточно записать WAR-файл в каталог webapps. Однако следует сделать два замечания по поводу пути к файлу.

  1. В файле WEB-INF/classes/log4j.properties имя файла журнала указывается с использованием относительного пути: ../logs/c10AuditExtension.log. С IBM Cognos 10 это работает, но возможно, что его потребуется изменить на другой относительный путь или на полный путь, например, C:/logs/c10AuditExtension.log.
  2. Файл WEB-INF/classes/lc10AuditExtension.properties содержит относительный путь в параметре security.keystore.filename (../configuration/c10AuditExtension.keystore). Убедитесь, что этот путь работает в вашей среде и при необходимости исправьте его. При записи пути не забывайте использовать знаки прямой косой черты.

Другой вариант конфигурации ― специальная выделенная установка IBM Cognos 10 BI. Так как приложение Audit Extension может связываться с несколькими серверами IBM Cognos 10 BI, а не только с тем, в котором оно установлено, можно завести выделенный экземпляр IBM Cognos 10 BI для выполнения аудита и получения соответствующей отчетности. Убедитесь, что ваша лицензия допускает это.

Удаление и переустановка

Чтобы деинсталлировать приложение, остановите IBM Cognos 10 BI и удалите следующие объекты:

  • файл <c10install>/webapps/AuditExt.war
  • каталог <c10install>/webapps/AuditExt

Можно также удалить файл хранилища ключей. По умолчанию он расположен по адресу <c10install>/configuration/c10AuditExtension.keystore, но это место может быть другим, если приложение было развернуто вне контейнера сервлетов Tomcat, установленного вместе с IBM Cognos 10 BI.

ВНИМАНИЕ! Если файл хранилища ключей удален, или приложение установлено на другой компьютер без копирования файла хранилища ключей, то доступ к сохраненным паролям будет невозможен, и в процессе работы и администрирования аудита могут возникать ошибки.

При необходимости можно удалить и таблицы базы данных, созданные приложением. Все таблицы базы данных имеют префикс AE_.


Использование приложения

Управление серверами

После настройки приложения главным интерфейсом служит страница Manage Servers, расположенная по адресу: http://servername:9300/AuditExt/. Сначала эта страница не содержит никаких серверов.

Рисунок 3. Начальная страница Manage Servers без серверов IBM Cognos 10

Добавление сервера

Добавьте новую запись сервера на странице Manage Servers, заполнив поля под ярлыком Add new server и нажав кнопку Add. Заполняются следующие поля.

ID: текстовый идентификатор сервера IBM Cognos 10 BI, подлежащего аудиту. Это может быть имя хоста или простой идентификатор, например, Production. Поскольку значение этого идентификатора может использоваться для обозначения команд, подаваемых серверу, предполагается, что это значение будет простой, короткой строкой, содержащей только стандартные символы.
URL: URL-адрес приложения используется для подключения к серверу IBM Cognos 10 BI, подлежащему аудиту. Этот URL-адрес может указывать либо непосредственно на диспетчер IBM Cognos 10 BI, либо на выделенный шлюз для приложений SDK IBM Cognos 10.
Version: выберите из раскрывающегося списка версию IBM Cognos 10 BI, работающую на сервере, подлежащем аудиту.
Рисунок 4. Добавление сервера IBM Cognos BI с помощью страницы Manage Servers

После успешного добавления нового сервера автоматически отображается страница Edit Server, содержащая свойства только что добавленного сервера IBM Cognos 10 BI. Поля этой страницы сгруппированы в три раздела, Set properties, Saved namespace logins и Add new namespace login.

Раздел Set properties

URL: URL-адрес сервера IBM Cognos 10 BI, подлежащего аудиту.
Version: версия сервера IBM Cognos 10 BI с указанным URL-адресом.
Description: необязательное описание, которое обычно используется для описания аудита, проводимого на сервере IBM Cognos 10 BI с указанным URL-адресом.
Filter (Content Audit): текстовое поле, используемое для определения фильтра, применяемого при выполнении операции Content Audit. Фильтр Content Audit описывается ниже.
Filter (Account Audit): текстовое поле, используемое для определения фильтра, применяемого при выполнении операции Account Audit. Фильтр Account Audit описывается ниже.
Role audit active: если установлен этот флажок, то будет выполняться Role Audit. Этот пункт отмечен по умолчанию.
Content audit active: если установлен этот флажок, то будет выполняться Content Audit. Этот пункт отмечен по умолчанию.
Account audit active: если установлен этот флажок, то будет выполняться Account Audit. Этот пункт отмечен по умолчанию.
Status audit active: если установлен этот флажок, то будет выполняться Status Audit. Этот пункт отмечен по умолчанию.

Раздел Saved namespace logins

User: идентификатор пользователя для соответствующего пространства имен безопасности, который приложение будет применять для входа на подлежащий аудиту сервер IBM Cognos 10 BI.
Password: пароль, соответствующий userid.
Password (verify): проверка значения, указанного в поле пароля.
Значок сохранения: сохранение регистрационных данных для входа в соответствующее пространство имен.
Значок удаления регистрационных данных: удаление регистрационных данных для входа в соответствующее пространство имен.

Раздел Add new namespace login

Namespace ID: идентификатор для входа в пространство имен безопасности. Должен иметь то же значение, что и в поле Namespace ID для определения пространства имен безопасности страницы IBM Cognos Configuration.
Username: идентификатор пользователя для соответствующего пространства имен безопасности, который приложение будет использовать для входа на подлежащий аудиту сервер IBM Cognos 10 BI.
Password: пароль, соответствующий userid.
Password (verify): проверка значения, указанного в поле пароля.
Кнопка Add: добавляет данные входа для этого пространства имен в раздел Saved namespace logins.

Нажмите кнопку Update, чтобы сохранить изменения, и кнопку Return, чтобы вернуться на страницу Manage Servers.

Рисунок 5. Редактирование страницы серверов для определения фильтров аудита и учетных данных в пространстве имен

При добавлении нового сервера любые пространства имен, настроенные на сервере IBM Cognos 10 BI, подлежащем аудиту, автоматически добавляются на страницу свойств без идентификаторов и паролей пользователя.

ПРИМЕЧАНИЕ. Если это приложение используется в среде тестирования или разработки, и в экземпляре IBM Cognos 10 BI включен анонимный доступ, то настроенные пространства имен автоматически не появятся. Настроенные пространств имен можно добавить вручную, заполнив поля в разделе Add new namespace login.

При добавлении нового сервера страница Manage Servers будет содержать список всех серверов, которые можно проверить с помощью этого приложения.

Рисунок 6. Страница Manage Servers с несколькими серверами IBM Cognos 10 BI, которые могут проверяться

Удаление сервера

Сервер можно удалить со страницы Manage Servers. Чтобы удалить сервер, щелкните на значке Delete Server рядом с записью сервера. Появится страница с предложением подтвердить или отменить удаление. Если операция подтверждена, то появится экран Manage Servers без удаленного сервера.

Управление пространствами имен сервера

Пространствами имен каждого сервера можно управлять со страницы свойств указанного сервера. Если только что добавлен новый сервер, то страница свойств появится автоматически. Чтобы получить доступ и отредактировать страницу свойств любого сервера, присутствующего в списке на странице Manage Servers, нажмите значок Set Properties рядом с нужным сервером, и появится страница Edit Servers. Поля страницы Edit Servers описаны выше в разделе Добавление сервера.

Чтобы включить в аудит пространство имен, необходимо указать учетные данные, которые приложение должно использовать для входа. Введите имена пользователей и пароли для каждого пространства имен, нажав на значок Save рядом с соответствующей записью пространства имен. При попытке сохранить учетные данные сразу нескольких пространств имен будут сохранены только учетные данные, соответствующие нажатому значку Save. Для сохраненных пространств имен будут отображаться сохраненные имена пользователя, но не пароли.

Любые ненужные или неиспользуемые пространства имен должны быть удалены нажатием на значок Delete Login. В противном случае приложение будет пытаться войти в пространство имен, и при неудаче аудит может завершиться ошибкой. Примером такого пространства служит пространство имен, которое использовалось только для одного входа.

Чтобы добавить новое пространство имен, введите необходимые сведения в раздел Add new namespace login в нижней части страницы. Поля этого раздела описаны выше в разделе Добавление сервера.

Когда страница свойств сервера готова, нажмите кнопку Return, чтобы вернуться к странице Manage Servers.

Настройка свойств сервера и типа аудита

Как упоминалось выше, страница Edit Server позволяет указать дополнительные свойства сервера. Можно настроить следующие свойства:

  • новый URL-адрес диспетчера;
  • новое или измененное описание сервера;
  • тип аудита, который следует выполнить для этого сервера;
  • применяемые фильтры аудита.

Настройка фильтров аудита

Для аудита типа Account и Content можно указать фильтр, ограничивающий сферу действия аудита определенным подразделом пространства имен или хранилищем информации. Эти фильтры задаются в одном из полей фильтра на странице редактирования сервера. Если фильтры не применяются, то поля значений фильтров остаются пустыми (значение по умолчанию).

Фильтр принимает форму набора регулярных выражений, разделенных прямой косой чертой для обозначения папок. Для аудита содержания и учетных записей характер использования фильтров немного различается. Подробнее о регулярных выражениях см. на странице http://www.regular-expressions.info/.

Фильтр аудита учетных записей

Предполагается, что этот фильтр запускается на уровне пространства имен, поэтому первый элемент фильтра указывает на пространство имен. Например, выражение для фильтра, ограничивающего аудит членами папки Users внутри папки Accounts для всех настроенных пространств имен, будет:

*/Accounts/Users

Звездочка в первом элементе означает, что будут просматриваться все пространства имен. А фильтр, ограничивающий аудит тем же набором папок, но с пространством имен с идентификатором ADNamespace, будет выглядеть так:

ADNamespace/Accounts/Users

Следующий фильтр, немного менее ограничивающий, выбирает все элементы Accounts для всех пространств имен:

*/Accounts

Может использоваться любое регулярное выражение. Однако важно помнить, что символ "/" — это особый случай, и он будет рассматриваться как разделитель папки.

Аудит содержания

Предполагается, что фильтр начинает работу с верхнего уровня содержания (пакета). Например, следующий фильтр ограничивает содержание всем содержимым пакета GO Sales and Retailers:

GO Sales and Retailers

Чтобы дополнительно ограничить его папкой Report Studio Report Samples внутри этого пакета, понадобится следующий фильтр:

GO Sales and Retailers/Report Studio Report Samples

Чтобы ограничить аудит содержания всеми пакетами, имена которых начинаются с GO, используйте следующий фильтр:

GO*

Имейте в виду, что фильтр чувствителен к регистру.

Настройка параметров безопасности

Как отмечалось выше, в приложении используется собственный механизм безопасности. Чтобы указать пароль, необходимый для запуска приложения, нажмите на ссылку Set admin password на главной странице Manage Servers. Появится экран с полями для ввода пароля и его подтверждения. Введите пароль в оба этих поля и нажмите кнопку ОК, чтобы установить пароль администратора.

Рисунок 7. Экран задания пароля администратора с запросом пароля и его подтверждения

После установки пароля пользователю предлагается ввести пароль, необходимый для доступа к приложению.

Рисунок 8. Экран с запросом пароля администратора

Запуск аудита через Web-интерфейс

Чтобы выполнить аудит через Web-интерфейс, перейдите на страницу Manage Servers. Каждая запись сервера снабжена кнопкой Run, которая вызывает выполнение настроенного аудита этого сервера. Чтобы запустить аудит для всех настроенных серверов, нажмите кнопку Execute рядом с полем All servers.

Запуск аудита через URL

Чтобы выполнить аудит сервера ID с помощью URL-адреса, используйте следующий синтаксис:

http://servername:9300/AuditExt/AuditServlet?action=run_audit&server_id=serverId

Для запуска аудита всех серверов, указанных на странице Manage Servers, с помощью URL-адреса, используйте следующий синтаксис:

http://servername:9300/AuditExt/AuditServlet?action=run_audit&server_id=all

Запуск аудита через Web-сервис

WSDL для интерфейса Web-сервисов можно найти по следующему URL:

http://servername:9300/AuditExt/services/AuditService?wsdl

В интерфейсе Web-сервисов доступны два метода:

  • runAudit - принимает один параметр, идентификатор сервера, и запускает настроенный аудит этого сервера;
  • runAuditAll - не принимает никаких параметров и запускает настроенный аудит всех серверов.

Этот Web-сервис можно вызвать из любого приложения, но здесь представлен пример с использованием Event Studio для создания агента IBM Cognos 10 BI, который вызывает интерфейс Web-сервиса для выполнения аудита. В примере используется образец пакета, который входит в состав этого приложения.

Когда для создания нового агента вызывается Event Event, в качестве первого экрана появляется экран Specify an event condition... (Укажите условие события...). Используйте определенное в модели значение, заведомо большее нуля и не null. Это установит условие события в значение true, и агент будет гарантированно выполняться по запросу или по расписанию. В данном случае условие будет следующим:

[Server Added(Timestamp)] <> null

Рисунок 9. Указание в Event Studio известного, заведомо истинного условия события

Из списка Add a Task выберите Advanced > Call a Web service....

Рисунок 10. Установка в Event Studio задания вызова Web-сервиса по известному событию

Введите URL-адрес WSDL в поле Web service URL: и нажмите кнопку Retrieve, чтобы получить доступные методы.

Рисунок 11. Нажатие в Event Studio кнопки Retrieve для получения WSDL Web-сервиса по указанному URL

После получения WSDL в раскрывающемся списке Operation: появятся операции, которые могут быть выполнены, и поле Arguments: позволит установить значение каждого аргумента, связанного с каждой операцией. В данном случае из раскрывающегося списка выбран метод runAudit, а в качестве аргумента serverIdentifier указан ID ранее настроенного сервера PrimaryServer.

Рисунок 12. Выбор в Event Studio требуемой операции Web-сервиса с указанием необходимых аргументов

Сохраните агент. Теперь агент можно запланировать через IBM Cognos Connection.

Пример установки

В состав этого приложения входит архив установки IBM Cognos 10 BI, состоящий из пакета, содержащего некоторые образцы отчетов и агентов, созданные на основе примера модели IBM Cognos Framework Manager. Пример установки и модель находятся в файле AuditExt_reporting_ver_yyyymmdd.zip, где часть имени ver ― это используемая версия IBM Cognos BI 10, а часть имени yyyymmdd соответствует дате выпуска пакета отчетов.

Чтобы импортировать образец установки для использования в студиях IBM Cognos 10 BI:

  • скопируйте файл AuditExt_deployment_ver_yyyymmdd.zip в каталог установки IBM Cognos 10 BI, обычно <c10install>/deployment;
  • из IBM Cognos Administration перейдите на вкладку Configuration, выберите Content Administration и щелкните на значке New Import. Выберите архив установки AuditExt_deployment_ver yyyymmdd. Следуйте инструкциям и вариантам, предлагаемым мастером New Import. В большинстве случаев достаточно параметров по умолчанию. Обратите внимание, что внутреннее имя установки ― Cognos_Audit_Extension.

Прежде чем пакет можно будет использовать, необходимо создать в IBM Cognos Content Store новый источник данных, который будет взаимодействовать с базой данных аудита, указанной при первоначальной установке приложения. В IBM Cognos Administration перейдите на вкладку Configuration и выберите Data Source Connection. Нажмите на значок New Data Source и дайте новому источнику данных имя audit_ext. Чтобы создать источник данных, следуйте инструкциям и вариантам, предлагаемым мастером New Data Source.

Теперь пакет может использоваться студиями IBM Cognos 10 BI.

Образец

В приложение также входит образец IBM Cognos Framework Manager - в качестве основы для дальнейшей разработки. Он содержится в файле AuditExt_model_yyyymmdd.zip, где часть имени yyyymmdd соответствует дате выпуска образца.

Чтобы этот образец можно было использовать, в Content Store IBM Cognos 10 должен присутствовать источник данных с именем audit_ext. Это тот же источник данных, что описан в разделе Пример установки.

Разархивируйте образец в подходящий каталог и откройте из IBM Cognos Framework Manager файл проекта AuditExt.cpf.

Открытие проекта AuditExt.cpf в интерфейсе Framework Manager

Признание c8AuditExtension

Приложение c10AuditExtension определяет наличие приложения c8AuditExtension.

Для приложения c10AuditExtension рекомендуется использовать базу данных, отдельную от базы данных приложения c8AuditExtension. Однако c10AuditExtension может использовать базу данных, созданную с помощью c8AuditExtension. Если приложение c10AuditExtension настроено на совместное с c8AuditExtension использование уже существующей базы данных, то справедливо следующее:

  • серверы IBM Cognos 8, определенные в c8AuditExtension, появятся на странице Manage Servers, и их можно будет редактировать на странице Edit Server;
  • из приложения c10AuditExtension аудит серверов IBM Cognos 8 запускаться не будет;
  • отчеты должны выполняться с использованием пакета отчетности, входящего в состав c10AuditExtension.

Подробнее о приложении c8AuditExtension см. на странице http://www.ibm.com/developerworks/data/library/cognos/development/utilities/page509.html.


Прочее

Регистрация событий

Для предоставления услуг регистрации событий это приложение использует log4j. Чтобы изменить параметры настройки журнала, отредактируйте файл <c10install>/webapps/c10AuditExtension/WEB-INF/classes/log4j.properties. Файл журнала по умолчанию: <c10install>/logs/c10AuditExtension.log.

Подробнее о настройке log4j см. в документации log4j на странице http://logging.apache.org/log4j/1.2/index.html.

Таблицы баз данных

Приложение создает и использует следующие таблицы.

Общие настройки

AE_CONFIG_MAIN
Основная конфигурация приложения, содержащая настроенные серверы.
AE_CONFIG_NS
Сохраненные пространства имен, настроенные для каждого сервера.
AE_AUDIT_TYPES
Список возможных типов аудита.
AE_SERVER_VERSIONS
Список поддерживаемых версий сервера Cognos.
AE_CONFIG_AUDIT_TYPES
Типы аудита для каждого сервера.
AE_SECURITY
Таблица зашифрованных паролей администратора.

Аудит учетных записей

AE_ACCOUNTAUDIT_MAIN
Основная таблица параметров.
AE_ACCOUNTAUDIT_PORTALPAGES
Записи страниц портала пользователя.

Content audit

AE_CONTENTAUDIT_MAIN
Основная таблица параметров.
AE_CONTENTAUDIT_PARAMS
Запись сохраненных параметров отчетов и представлений.
AE_CONTENTAUDIT_POLICIES
Запись всех политик безопасности, применимых ко всем объектам.
AE_CONTENTAUDIT_SPEC
Запись спецификаций отчетов, запросов и анализа.
AE_CONTENTAUDIT_REPORT_VERSIONS
Запись итоговых версий отчетов, сохраненных в Content Store.
AE_CONTENTAUDIT_REPORT_OUTPUTS
Запись итогов отчетов, сохраненных в Content Store.

Аудит ролей

AE_ROLEAUDIT_HEIR
Версия иерархии папок полномочий и пространств имен в виде неструктурированного файла.
AE_ROLEAUDIT_DETAIL
Основная таблица параметров.

Аудит состояний

AE_STATUSAUDIT_MAIN
Основная таблица параметров.
AE_STATUSAUDIT_RESULT_TYPES
Таблицы подстановки кодов типа результата.
AE_STATUSAUDIT_DISP
Основные параметры аудита для каждого диспетчера, зарегистрированного в Content Store.
AE_STATUSAUDIT_DISP_CONFIG
Дополнительные параметры аудита для каждого диспетчера, зарегистрированного в Content Store.
AE_STATUSAUDIT_DISP_SERVICES
Параметры запущенных служб для каждого диспетчера, зарегистрированного в Content Store.
AE_STATUSAUDIT_DISP_PING
Результаты простых сетевых тестов диспетчеров.
AE_STATUSAUDIT_PING_TEST_TYPES
Возможные типы простых сетевых тестов, которые можно выполнять для диспетчеров.
AE_STATUSAUDIT_PING_RESULT_TYPES
Возможные коды результата и описания простых сетевых тестов диспетчеров.

General audit data

AE_STATUS
История и состояние прогонов аудита.
AE_AUDIT_TYPE_LOG
Журнал прогонов по типу аудита для каждого аудита.
AE_ITEM_LOOKUP
Таблица соответствия идентификаторов и имен элементов хранения.
AE_ITEM_LOOKUP_FAILURES
Запись всех элементов, которые не удалось найти (например, потому что они были удалены из хранилища, но обнаружены в ходе аудита в качестве владельцев других элементов и т.п.)
AE_MAP_DATETIME
Таблица соответствия меток времени (например, начала и окончания аудита) для ключей таблиц с размерностью даты и времени.
AE_DIM_DATE
Таблица размерности даты. Шаг: один день.
AE_DIM_TIME
Таблица размерности времени. Шаг: одна минута.
AE_SECURITY_MEMBERS
Необязательные данные политики безопасности, созданные во время аудита учетной записи или содержания при значении false параметра option.ca.policy.calculation.

История изменений

Версия 1.0

Первоначальный выпуск, основанный на c8AuditExtension версии 1.5.


Загрузка

ОписаниеИмяРазмер
Примеры сценариев для этой статьиc10AuditExtensionPublicPackage.zip2424 KБ

Комментарии

developerWorks: Войти

Обязательные поля отмечены звездочкой (*).


Нужен IBM ID?
Забыли Ваш IBM ID?


Забыли Ваш пароль?
Изменить пароль

Нажимая Отправить, Вы принимаете Условия использования developerWorks.

 


Профиль создается, когда вы первый раз заходите в developerWorks. Информация в вашем профиле (имя, страна / регион, название компании) отображается для всех пользователей и будет сопровождать любой опубликованный вами контент пока вы специально не укажите скрыть название вашей компании. Вы можете обновить ваш IBM аккаунт в любое время.

Вся введенная информация защищена.

Выберите имя, которое будет отображаться на экране



При первом входе в developerWorks для Вас будет создан профиль и Вам нужно будет выбрать Отображаемое имя. Оно будет выводиться рядом с контентом, опубликованным Вами в developerWorks.

Отображаемое имя должно иметь длину от 3 символов до 31 символа. Ваше Имя в системе должно быть уникальным. В качестве имени по соображениям приватности нельзя использовать контактный e-mail.

Обязательные поля отмечены звездочкой (*).

(Отображаемое имя должно иметь длину от 3 символов до 31 символа.)

Нажимая Отправить, Вы принимаете Условия использования developerWorks.

 


Вся введенная информация защищена.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=40
Zone=Information Management
ArticleID=933568
ArticleTitle=Практические рекомендации по IBM Cognos: IBM Cognos 10 Audit Extension
publish-date=06102013