55.6 Identity Reportingのアップグレード

Identity Reporting には2つのドライバが含まれます。また、NetIQ Event Auditing ServiceからSentinel Log Management for IGAにコンテンツを移行する必要がある場合があります。アップグレードは次の順序で実行します。

  1. データ収集サービスのドライバパッケージをアップグレードします。

  2. Managed System Gatewayサービスのドライバパッケージをアップグレードします。

  3. Sentinel Log Management for IGAに移行します

  4. Identity Reportingをアップグレードします

55.6.1 Identity Reportingのドライバパッケージのアップグレード

このセクションでは、Managed System Gatewayドライバとデータ収集サービスドライバのパッケージを最新バージョンにアップデートする方法について説明します。Identity Reportingをアップグレードする前にこのタスクを実行する必要があります。

  1. Designerで現在のプロジェクトを開きます。

  2. [パッケージカタログ]>[パッケージのインポート]の順に右クリックします。

  3. 適切なパッケージを選択します。たとえば、「Manage System Gateway Base package 2.0.0.20120509205929」を選択します。

  4. [OK]をクリックします。

  5. [開発者]ビューでドライバを右クリックし、[プロパティ]をクリックします。

  6. [プロパティ]ページで[パッケージ]タブに移動します。

  7. 右上隅の[パッケージを追加(+)]記号をクリックします。

  8. パッケージを選択し、[OK]をクリックします。

  9. ドライバの設定プロセスを完了します。詳細については、次の各セクションを参照してください。

  10. ステップ 2ステップ 9を繰り返して、データ収集サービスドライバのパッケージをアップグレードします。

  11. Managed System Gatewayドライバとデータ収集サービスドライバがアップグレード済みのIdentity Managerに接続されていることを確認します。

55.6.2 Event Auditing ServiceからSentinel Log Management for IGAへの移行

このセクションでは、NetIQ Event Auditing Service (EAS)からSentinel Log Management for IGAに既存のデータを移行する方法について記載します。

移行の準備

移行を開始する前に、SentinelおよびEASデータベースを準備する必要があります。これには、Sentinelからイベントを受信するために必要なコネクタのインポート、およびすべてのIdentity Managerコンポーネントを4.6にアップグレードすることが含まれます。

EASデータをSentinelに移行する前に、次のアクションを実行します。

  1. NetIQ-Audit_2011.1r4-201701130600-release.cnzコネクタをEASにインポートします。

  2. すべての既存のIdentity Managerコンポーネントを4.5から4.6にアップグレードします。

  3. 必ずlogevent.confファイルのバックアップを作成します。

    Linux: /etc/logevent.conf

    Windows: C:\Windows\logevent.cfg

    logevent.confファイルにはEAS詳細が含まれている必要があります。

  4. 次のIdentity Managerコンポーネントが実行されていることを確認します。

    • eDirectory

    • Identity Managerエンジン

    • iManager

    • アイデンティティアプリケーション(特に、OSP、SSPR、およびRBPM)

  5. SSPRの監査サーバ詳細を更新します。

    1. SSPRポータルに管理者としてログインします。

    2. Configuration Editor (環境設定エディタ)に移動して、設定パスワードを指定します。

    3. 設定 > [Auditing] > [Audit Forwarding]の順に選択します。

    4. Syslog Audit Serverの下にSentinelの詳細を入力します。たとえば、tls,<sentinel IP>,1443と入力します。

    5. Syslog Audit Server証明書をクリアする場合は、クリアをクリックします。

    6. 更新されたSyslog Audit Serverから証明書をインポートする場合は、Import from server (サーバからインポート)をクリックします。

    7. 変更を保存します。

  6. すべてのIdentity Managerコンポーネントからのすべてのキャッシュされた監査イベントがEASに送信されるまで、EASサーバが実行されていることを確認します。

  7. 次のIdentity Managerコンポーネントを停止します。

    • eDirectory

    • Identity Managerエンジン

    • iManager

    • アイデンティティアプリケーション(特に、OSP、SSPR、およびRBPM)

  8. Novell Audit lcacheおよびjcacheプロセスを停止します。

    kill -15 <PID of lcache>

    kill -15 <PID of jcache>

  9. Sentinelとユーザアプリケーション間のSSLの有効化ステップ 1ステップ 6に記載されている手順に従って、ユーザアプリケーションがSentinelに接続できるようにnaudit証明書を作成します。

  10. logevent.confファイルのSentinelを参照するようにLogHostエントリを変更します。

  11. 次のIdentity Managerコンポーネントを開始します。

    • eDirectory

    • Identity Managerエンジン

    • iManager

    • アイデンティティアプリケーション(特に、OSP、SSPR、およびRBPM)

新しいPostgreSQLデータベースへのデータの移行

このセクションでは、EASデータベースからサポートされているPostgreSQLデータベースにSIEMデータを移行する方法について記載します。PostgreSQLデータベースのインストールについては、セクション 28.0, PostgreSQLとTomcatのインストールを参照してください。

移行時に確実にエラーないようにするため、必要な役割およびテーブルスペースを作成する必要があります。

新しいPostgreSQLデータベースの準備

  1. EASを停止して、どのイベントもEASサーバに送信されていないことを確認します。

  2. iManagerを使用して、DCSドライバを停止します。

    1. iManagerにログインします。

    2. DCSドライバを停止します。

    3. ドライバプロパティを編集して、起動オプションを手動に変更します。

      この手順により、ドライバが自動的に起動しないようにします。

  3. 次のSQLコマンドを実行して、PGAdminを使用して必要な役割、テーブルスペース、およびデータベースを作成します。

    この手順により、移行時にエラーがないことが保証されます。

    1. 必要な役割を作成するには、次のコマンドを実行します。

      CREATE ROLE esec_app
  NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE;
 
CREATE ROLE esec_user
  NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE;
 
CREATE ROLE admin LOGIN
  ENCRYPTED PASSWORD '<specify the password for admin>'
  NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE;
GRANT esec_user TO admin;
 
CREATE ROLE appuser LOGIN
  ENCRYPTED PASSWORD '<specify the password for appuser>'
  NOSUPERUSER INHERIT NOCREATEDB CREATEROLE;
GRANT esec_app TO appuser;
 
CREATE ROLE dbauser LOGIN
  ENCRYPTED PASSWORD '<specify the password for dbauser>'
  SUPERUSER INHERIT CREATEDB CREATEROLE; 

CREATE ROLE idmrptsrv LOGIN
  ENCRYPTED PASSWORD '<specify the password for idmrptsrv>'
  NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE;
GRANT esec_user TO idmrptsrv;
 
CREATE ROLE idmrptuser LOGIN
  ENCRYPTED PASSWORD '<specify the password for idmrptuser>'
  NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE;

CREATE ROLE rptuser LOGIN
  ENCRYPTED PASSWORD '<specify the password for rptuser>'
  NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE;
GRANT esec_user TO rptuser;

    2. テーブルスペースを作成するには、次のコマンドを実行します。

       CREATE TABLESPACE sendata1
  OWNER dbauser
  LOCATION '<provide the location where table space has to be created>';

      次に例を示します。

      CREATE TABLESPACE sendata1
  OWNER dbauser
  LOCATION '</opt/netiq/idm/apps/postgres/data>';

    3. SIEMデータベースを作成するには、次のコマンドを実行します。

      CREATE DATABASE "SIEM"
  WITH OWNER = dbauser
       ENCODING = 'UTF8'
       TABLESPACE = sendata1
       CONNECTION LIMIT = -1;

EASからのデータのエクスポート

  1. EASを停止して、どのイベントもEASサーバに送信されていないことを確認します。

  2. iManagerを使用して、DCSドライバを停止します。

    1. iManagerにログインします。

    2. DCSドライバを停止します。

    3. ドライバプロパティを編集して、起動オプションを手動に変更します。

      この手順により、ドライバが自動的に起動しないようにします。

  3. EASデータベースからファイルにデータをエクスポートします。

    1. EASユーザアカウントにログインします。

      # su - novleas

    2. たとえば、/home/novleasのように、EASユーザがフルアクセスできる場所を指定します。

    3. PostgreSQLインストールディレクトリに移動し、次のコマンドを実行します。

      次に例を示します。

      export PATH=/opt/novell/sentinel_eas/3rdparty/postgresql/bin/:$PATH

      export LD_LIBRARY_PATH=/opt/novell/sentinel_eas/3rdparty/postgresql/lib/:$LD_LIBRARY_PATH

    4. 次のコマンドを使用して、データを.sqlファイルにエクスポートします。

      .·/pg_dump -p <portnumber> -U <username> -d <dbname> -f <export location>

      次に例を示します。

      ./pg_dump -p 15432 -U dbauser SIEM -f /home/novleas/SIEM.sql

新しいPostgreSQLデータベースへのデータのインポート

  1. EASを停止して、どのイベントもEASサーバに送信されていないことを確認します。

  2. iManagerを使用して、DCSドライバを停止します。

    1. iManagerにログインします。

    2. DCSドライバを停止します。

    3. ドライバプロパティを編集して、起動オプションを手動に変更します。

      この手順により、ドライバが自動的に起動しないようにします。

  3. 新しいPostgreSQLデータベースにデータをインポートします。

    1. (状況によって実行) postgresユーザを作成します。

      これはWindowsのみに固有です。Linuxではユーザが自動的に作成されます。

    2. ステップ 3.dでエクスポートされたファイルを、postgresユーザがフルアクセスできる場所にコピーします。次に例を示します。

      • Linux: /opt/netiq/idm/apps/postgres

      • Windows: C:\NetIQ\IdentityManager\apps\postgres

    3. 次のコマンドを実行して、PostgreSQLデータベースにデータをインポートします。

      psql -d <dbname> -U <username> -f <full path where the exported file is located>

      次に例を示します。

      • Linux: psql -d SIEM -U postgres -f /opt/netiq/idm/apps/postgres/SIEM.sql

      • Windows: psql -d SIEM -U postgres –f C:\NetIQ\IdentityManager\apps\postgres\SIEM.sql

  4. 移行ログエラーを確認して、解決します。

メモ:Identity Manager 4.6レポートは、EASからSentinelに移行される監査データを使用しません。代わりに、これらのレポートはSentinelから直接同期される監査データを使用します。

レポーティングサーバの設定

EASデータを新しいPostgreSQLデータベースにインポートした後で、新しいPostgreSQLデータベースを使用してレポーティングデータベースを設定します。

このセクションは、データベースサーバ(Sentinelデータベース)を移行した同一サーバ上にIdentity Reportingをインストールしていることが前提です。Identity Reportingのインストールの詳細については、セクション 42.1, ガイド付きプロセスを使用したIdentity Reportingのインストールを参照してください。

  1. configupdateユーティリティで、次の手順を実行して、新しいレポーティングサーバ詳細を設定します。

    1. コマンドプロンプトで、次のどちらかの方法でconfigupdateユーティリティを実行します。

      Linux: ./configupdate.sh

      Windows: configupdate.bat

    2. OAuthリダイレクトURLを新しいIdentity Reportingサーバおよびポート詳細を参照するように変更します。詳細については、セクション 40.4.5, レポーティングを参照してください。

  2. DesignerまたはiManagerを使用して新しいレポーティングサーバ詳細を含めるようにDCSドライバ設定を編集します。

  3. DCSドライバを起動します。

データ同期ユーティリティの実行

レポーティングサーバが設定されたら、Sentinalを有効にして、外部データベースにイベントを転送できるようにします。Identity Manager は、Sentinelから外部データベースにイベントを転送するためにSentinelでデータ同期ポリシーを作成するユーティリティを提供しています。このユーティリティは、IdentityReporting/Sentinel/sentineldatasync.jarフォルダにあります。

次の手順を使用して、Sentinelでデータ同期ポリシーを作成します。

  1. データ同期ユーティリティディレクトリに移動して、次のコマンドを実行します。

    Java –jar sentineldatasync.jar

    これにより、データ同期ユーティリティが開きます。

  2. このユーティリティのSentinel Settings (Sentinelの設定)タブで、次の詳細を指定します。

    • IPアドレス: SentinelがインストールされているコンピュータのIPアドレスを指定します。

    • ポート: Sentinelサーバのポートを指定します。デフォルトポートは8443です。

    • パスワード: Sentinelユーザのパスワードを指定します。

    • Event Retention Period (イベント保持期間): イベントが削除されるまでにデータベースで保持される期間を指定します。デフォルトは90日です。

    • Delete RDD Definitions (RDD定義の削除): Sentinel上でデータ同期ポリシーを作成する場合、デフォルト設定はデフォルトのSentinelポリシーを削除することです。Sentinelレポートを実行する場合は、デフォルトのSentinelポリシーを削除する必要はありません。

      重要:SentinelまたはIdentity Trackingを使用している場合はこのオプションの選択を解除します。

    • 詳細: 詳細モードを使用している場合は、次のパラメータを編集できます。

      • Event Table Payload (イベントテーブルペイロード): REST API を使用してデータ同期テーブルを作成するためのJSONドキュメントが含まれます。要求がデータ同期テーブルを作成するために送信される場合に、認証情報が代用されます。

      • Data Sync Policy Payload (データ同期ポリシーペイロード): REST API を使用してデータ同期テーブルを作成するためのJSONドキュメントが含まれます。要求がデータ同期テーブルを作成するために送信される場合に、認証情報が代用されます。

        メモ:データ同期ポリシーにフィールドを追加するには、Data Sync Policy Payload (データ同期ポリシーペイロード)でJSONドキュメントを変更します。イベントテーブルどデータ同期ポリシーの両方に変更があることを確認します。そうでない場合は、ポリシー作成は失敗します。

  3. Database settings (データベースの設定):タブで、次の詳細を指定します。

    • IPアドレス: データベースのIPアドレスを指定します。

    • ポート: データベースのポートを指定します。

    • パスワード: データベースに接続するためのパスワードを指定します。

    • データベース名: データベースの名前を指定します。たとえば、idmrptdbまたはSIEMを指定します。

    • データベースタイプ: データベースタイプをドロップダウンリストから選択します。

    • Update Views Only (更新ビューのみ): ビューを更新する際にエラーが発生する場合にのみ、このオプションを選択します。このオプションが選択される場合、データ同期ユーティリティはビューを更新しますが、Sentinelでデータ同期ポリシーは作成されません。

    • Partition Table (パーティションテーブル): テーブルをパーティショニングすると、全体的にクエリパフォーマンスとテーブル管理機能が向上します。データベースは、日単位で別々のパーティションでSentinalから受信されるイベントを格納します。この設定をそのままにすることをお勧めします。

    • PostgreSQL Install Location (PostgreSQLのインストール場所) PostgreSQLがインストールされる場所を指定します。たとえば、/opt/netiq/idm/apps/postgres/

    • 詳細: 詳細モードを使用している場合は、次のパラメータを編集できます。

      Partition SQL: これにはテーブルをパーティショニングするためのSQLスクリプトが含まれます。スクリプトは選択したデータベースに固有です。

  4. ログタブで、ログファイルの名前を指定します。

    ログファイルはデータ同期ユーティリティと同じ場所にあります。

重要:データ同期ポリシーを作成した後で、フィルタを変更して、指定されたIdentitty ManagerコレクタからのイベントがSentinelによって確実に受信されるようにします。詳細については、データ同期ポリシーのフィルタリングを参照してください。

データ同期ポリシーのフィルタリング

Sentinelが指定されたIdentitiy Managerコレクタから確実にイベントを受信できるように、データ同期ポリシーのフィルタを変更できます。

  1. Sentinelメインインタフェースに管理者としてログインします。

  2. ストレージ > データの同期をクリックします。

  3. データ同期ポリシーを設定するには、編集をクリックします。

  4. 必要な情報を編集します。

    基準: 有効なLuceneクエリを指定します。

    次のクエリはIdentity Managerコンポーネントからのみイベントを受信する基準例です。

    (port:"NetIQ Identity Manager" OR port:"NetIQ Self Service Password Reset" OR port:"NetIQ eDirectory" OR port:"NetIQ NMAS" OR port:"NetIQ iManager" OR port:"NetIQ OneSSO") AND (sev:[0 TO 5]) AND NOT (evt:"Collector Internal Message" OR evt:"Starting" OR evt:"Started" OR evt:"Stopping" OR evt:"Stopped" OR evt:"CombinedRealTimeSummariesStatus" OR evt:"EnginePerformanceSummary" OR evt:"EventThroughputUtilization" OR evt:"LostConnection")

    ポリシー名: データ同期ポリシーの名前を指定します。

    Retention Period (保持期間): イベントがReportingデータベースのsentinel_eventsテーブルで保持される期間を指定します。

    バッチサイズ: 1つのバッチで外部データベースに送信可能なイベント数を指定します。

    Sleep period (スリープ期間): より多くのイベントを処理するためのデータ同期プロセスチェック後の期間を指定します。

    スケジュール: 外部データベースにデータを同期する適切なオプションを選択します。

    • All the time (常に): このオプションを選択すると、イベント変更後すぐにそのイベントが外部データベースと同期されます。

    • カスタム: このオプションは、データを同期する特定の時間間隔を設定できます。

      カスタムを選択する場合は、カスタム同期時刻を設定するための次の情報を提供します。

      • 曜日: 必要な曜日を選択するか、Everyday (毎日)を選択します。

      • [開始時刻] データ同期プロセスを開始する時刻を指定します。

      • 期間: 同期期間を分単位で指定します。

    データベーステーブルのデータをすぐに表示しない場合は、次の同期サイクルまで待機する必要があります。

55.6.3 Identity Reportingのアップグレード

Identity Reportingをアップグレードする前に、アイデンティティアプリケーションとSentinelをアップグレードする必要があります。Identity Reportingをバージョン4.0.2以降からアップグレードするには、古いバージョンの上に新しいバージョンをインストールします。詳細については、Identity Reportingのインストールを参照してください。

55.6.4 データベースにおけるreportRunnerへの参照の変更

Identity Reportingをアップグレードした後、およびTomcatを初めて起動する前に、データベースのreportRunnerへの参照を更新していることを確認してください。

  1. Tomcatを停止します。

  2. Identity Reportingインストールディレクトリに移動し、reportContentフォルダをORG-reportContentに名前を変更します。

    例: /opt/netiq/idm/apps/IdentityReporting

  3. Tomcatフォルダの下にある一時および作業ディレクトリを削除します。

  4. PostgreSQLデータベースにログインします。

    1. 次のテーブルにあるreportRunner 参照を検索します。

      • idm_rpt_cfg.idmrpt_rpt_params

      • idm_rpt_cfg.idmrpt_definition

    2. 次のdeleteステートメントを発行します。

      DELETE FROM idm_rpt_cfg.idmrpt_rpt_params WHERE rpt_def_id='com.novell.content.reportRunner';
      DELETE FROM idm_rpt_cfg.idmrpt_definition WHERE def_id='com.novell.content.reportRunner';

  5. Tomcatを起動します。

    ログをチェックして、レポートが正しいreportRunnerで再生成されているかどうか確認します。

  6. Identity Reportingにログインしてレポートを実行します。

55.6.5 Identity Reportingのアップグレードの検証

  1. Identity Reportingを起動します。

  2. ツールで古いレポートと新しいレポートが表示されることを検証します。

  3. [カレンダ]を参照し、スケジュールされたレポートが表示されるかどうかを確認します。

  4. [設定]ページに管理対象アプリケーションと管理対象外アプリケーションの設定が表示されることを確認します。

  5. 他の設定がすべて正しく見えることを検証します。

  6. 完了したレポートがリストに表示されるかどうかを検証します。