Red Hat Summit25.12. セキュリティー監査ロガー
Red Hat JBoss Data Grid には、キャッシュのセキュリティーログを監査するためのロガーが含まれます。これは、キャッシュまたはキャッシュマネージャーの操作が各種操作について許可または拒否されるかどうかにとくに関連するものです。
デフォルトの監査ロガーは
org.infinispan.security.impl.DefaultAuditLogger です。このロガーは、利用可能なロギングフレームワーク (JBoss ロギングなど) を使用して監査ログを出力し、TRACE レベルおよび AUDIT カテゴリーで結果を提供します。
AUDIT カテゴリーを、ログファイル、JMS キュー、またはデータベースのいずれかに送信するには、適切なログアペンダーを使用します。
25.12.1. セキュリティー監査ロガーの設定 (ライブラリーモード)
以下を使用して Red Hat JBoss Data Grid の監査ロガーを設定します。
<infinispan> ... <global-security> <authorization audit-logger = "org.infinispan.security.impl.DefaultAuditLogger"> ... </authorization> </global-security> ... </infinispan>
25.12.2. セキュリティー監査ロガーの設定 (リモートクライアントサーバーモード)
以下のコードを使用し、Red Hat JBoss Data Grid のリモートクライアントサーバーモードで監査ロガーを設定します。
異なる監査ロガーを使用するには、これを
<authorization> 要素に指定します。<authorization> 要素は、Infinispan サブシステムの <cache-container> 要素内になければなりません (standalone.xml 設定ファイル内)。
<cache-container name="local" default-cache="default">
<security>
<authorization audit-logger="org.infinispan.security.impl.DefaultAuditLogger">
<identity-role-mapper/>
<role name="admin" permissions="ALL"/>
<role name="reader" permissions="READ"/>
<role name="writer" permissions="WRITE"/>
<role name="supervisor" permissions="ALL_READ ALL_WRITE"/>
</authorization>
</security>
<local-cache name="default" start="EAGER">
<locking isolation="NONE" acquire-timeout="30000" concurrency-level="1000" striping="false"/>
<transaction mode="NONE"/>
<security>
<authorization roles="admin reader writer supervisor"/>
</security>
</local-cache>
[...]
</cache-container>注記
サーバーモードのデフォルト監査ロガーは、ログメッセージをサーバー監査ログに送信する
org.jboss.as.clustering.infinispan.subsystem.ServerAuditLogger です。詳細は、JBoss Enterprise Application Platform の 『Administration and Configuration Guide』 の 『Management Interface Audit Logging』 の章を参照してください。
25.12.3. カスタム監査ロガー
ユーザーは、カスタム監査ロガーを Red Hat JBoss Data Grid のライブラリーおよびリモートクライアントサーバーモードで実装できます。カスタムロガーは
org.infinispan.security.AuditLogger インターフェースを実装する必要があります。カスタムロガーが指定されない場合、デフォルトのロガー (DefaultAuditLogger) が使用されます。
