Identity Reporting には2つのドライバが含まれます。また、NetIQ Event Auditing ServiceからSentinel Log Management for IGAにコンテンツを移行する必要がある場合があります。アップグレードは次の順序で実行します。
データ収集サービスのドライバパッケージをアップグレードします。
Managed System Gatewayサービスのドライバパッケージをアップグレードします。
Sentinel Log Management for IGAに移行します
Identity Reportingをアップグレードします
このセクションでは、Managed System Gatewayドライバとデータ収集サービスドライバのパッケージを最新バージョンにアップデートする方法について説明します。Identity Reportingをアップグレードする前にこのタスクを実行する必要があります。
Designerで現在のプロジェクトを開きます。
[パッケージカタログ]>[パッケージのインポート]の順に右クリックします。
適切なパッケージを選択します。たとえば、「Manage System Gateway Base package 2.0.0.20120509205929」を選択します。
[OK]をクリックします。
[開発者]ビューでドライバを右クリックし、[プロパティ]をクリックします。
[プロパティ]ページで[パッケージ]タブに移動します。
右上隅の[パッケージを追加(+)]記号をクリックします。
パッケージを選択し、[OK]をクリックします。
ドライバの設定プロセスを完了します。詳細については、次の各セクションを参照してください。
Managed System Gatewayドライバとデータ収集サービスドライバがアップグレード済みのIdentity Managerに接続されていることを確認します。
このセクションでは、NetIQ Event Auditing Service (EAS)からSentinel Log Management for IGAに既存のデータを移行する方法について記載します。
移行を開始する前に、SentinelおよびEASデータベースを準備する必要があります。これには、Sentinelからイベントを受信するために必要なコネクタのインポート、およびすべてのIdentity Managerコンポーネントを4.6にアップグレードすることが含まれます。
EASデータをSentinelに移行する前に、次のアクションを実行します。
NetIQ-Audit_2011.1r4-201701130600-release.cnzコネクタをEASにインポートします。
すべての既存のIdentity Managerコンポーネントを4.5から4.6にアップグレードします。
必ずlogevent.confファイルのバックアップを作成します。
Linux: /etc/logevent.conf
Windows: C:\Windows\logevent.cfg
logevent.confファイルにはEAS詳細が含まれている必要があります。
次のIdentity Managerコンポーネントが実行されていることを確認します。
eDirectory
Identity Managerエンジン
iManager
アイデンティティアプリケーション(特に、OSP、SSPR、およびRBPM)
SSPRの監査サーバ詳細を更新します。
SSPRポータルに管理者としてログインします。
Configuration Editor (環境設定エディタ)に移動して、設定パスワードを指定します。
設定 > [Auditing] > [Audit Forwarding]の順に選択します。
Syslog Audit Serverの下にSentinelの詳細を入力します。たとえば、tls,<sentinel IP>,1443と入力します。
Syslog Audit Server証明書をクリアする場合は、クリアをクリックします。
更新されたSyslog Audit Serverから証明書をインポートする場合は、Import from server (サーバからインポート)をクリックします。
変更を保存します。
すべてのIdentity Managerコンポーネントからのすべてのキャッシュされた監査イベントがEASに送信されるまで、EASサーバが実行されていることを確認します。
次のIdentity Managerコンポーネントを停止します。
eDirectory
Identity Managerエンジン
iManager
アイデンティティアプリケーション(特に、OSP、SSPR、およびRBPM)
Novell Audit lcacheおよびjcacheプロセスを停止します。
kill -15 <PID of lcache>
kill -15 <PID of jcache>
Sentinelとユーザアプリケーション間のSSLの有効化のステップ 1~ステップ 6に記載されている手順に従って、ユーザアプリケーションがSentinelに接続できるようにnaudit証明書を作成します。
logevent.confファイルのSentinelを参照するようにLogHostエントリを変更します。
次のIdentity Managerコンポーネントを開始します。
eDirectory
Identity Managerエンジン
iManager
アイデンティティアプリケーション(特に、OSP、SSPR、およびRBPM)
このセクションでは、EASデータベースからサポートされているPostgreSQLデータベースにSIEMデータを移行する方法について記載します。PostgreSQLデータベースのインストールについては、セクション 28.0, PostgreSQLとTomcatのインストールを参照してください。
移行時に確実にエラーないようにするため、必要な役割およびテーブルスペースを作成する必要があります。
新しいPostgreSQLデータベースの準備
EASを停止して、どのイベントもEASサーバに送信されていないことを確認します。
iManagerを使用して、DCSドライバを停止します。
iManagerにログインします。
DCSドライバを停止します。
ドライバプロパティを編集して、起動オプションを手動に変更します。
この手順により、ドライバが自動的に起動しないようにします。
次のSQLコマンドを実行して、PGAdminを使用して必要な役割、テーブルスペース、およびデータベースを作成します。
この手順により、移行時にエラーがないことが保証されます。
必要な役割を作成するには、次のコマンドを実行します。
CREATE ROLE esec_app NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE; CREATE ROLE esec_user NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE; CREATE ROLE admin LOGIN ENCRYPTED PASSWORD '<specify the password for admin>' NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE; GRANT esec_user TO admin; CREATE ROLE appuser LOGIN ENCRYPTED PASSWORD '<specify the password for appuser>' NOSUPERUSER INHERIT NOCREATEDB CREATEROLE; GRANT esec_app TO appuser; CREATE ROLE dbauser LOGIN ENCRYPTED PASSWORD '<specify the password for dbauser>' SUPERUSER INHERIT CREATEDB CREATEROLE; CREATE ROLE idmrptsrv LOGIN ENCRYPTED PASSWORD '<specify the password for idmrptsrv>' NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE; GRANT esec_user TO idmrptsrv; CREATE ROLE idmrptuser LOGIN ENCRYPTED PASSWORD '<specify the password for idmrptuser>' NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE; CREATE ROLE rptuser LOGIN ENCRYPTED PASSWORD '<specify the password for rptuser>' NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE; GRANT esec_user TO rptuser;
テーブルスペースを作成するには、次のコマンドを実行します。
CREATE TABLESPACE sendata1 OWNER dbauser LOCATION '<provide the location where table space has to be created>';
次に例を示します。
CREATE TABLESPACE sendata1 OWNER dbauser LOCATION '</opt/netiq/idm/apps/postgres/data>';
SIEMデータベースを作成するには、次のコマンドを実行します。
CREATE DATABASE "SIEM" WITH OWNER = dbauser ENCODING = 'UTF8' TABLESPACE = sendata1 CONNECTION LIMIT = -1;
EASからのデータのエクスポート
EASを停止して、どのイベントもEASサーバに送信されていないことを確認します。
iManagerを使用して、DCSドライバを停止します。
iManagerにログインします。
DCSドライバを停止します。
ドライバプロパティを編集して、起動オプションを手動に変更します。
この手順により、ドライバが自動的に起動しないようにします。
EASデータベースからファイルにデータをエクスポートします。
EASユーザアカウントにログインします。
# su - novleas
たとえば、/home/novleasのように、EASユーザがフルアクセスできる場所を指定します。
PostgreSQLインストールディレクトリに移動し、次のコマンドを実行します。
次に例を示します。
export PATH=/opt/novell/sentinel_eas/3rdparty/postgresql/bin/:$PATH
export LD_LIBRARY_PATH=/opt/novell/sentinel_eas/3rdparty/postgresql/lib/:$LD_LIBRARY_PATH
次のコマンドを使用して、データを.sqlファイルにエクスポートします。
.·/pg_dump -p <portnumber> -U <username> -d <dbname> -f <export location>
次に例を示します。
./pg_dump -p 15432 -U dbauser SIEM -f /home/novleas/SIEM.sql
新しいPostgreSQLデータベースへのデータのインポート
EASを停止して、どのイベントもEASサーバに送信されていないことを確認します。
iManagerを使用して、DCSドライバを停止します。
iManagerにログインします。
DCSドライバを停止します。
ドライバプロパティを編集して、起動オプションを手動に変更します。
この手順により、ドライバが自動的に起動しないようにします。
新しいPostgreSQLデータベースにデータをインポートします。
(状況によって実行) postgresユーザを作成します。
これはWindowsのみに固有です。Linuxではユーザが自動的に作成されます。
ステップ 3.dでエクスポートされたファイルを、postgresユーザがフルアクセスできる場所にコピーします。次に例を示します。
Linux: /opt/netiq/idm/apps/postgres
Windows: C:\NetIQ\IdentityManager\apps\postgres
次のコマンドを実行して、PostgreSQLデータベースにデータをインポートします。
psql -d <dbname> -U <username> -f <full path where the exported file is located>
次に例を示します。
Linux: psql -d SIEM -U postgres -f /opt/netiq/idm/apps/postgres/SIEM.sql
Windows: psql -d SIEM -U postgres –f C:\NetIQ\IdentityManager\apps\postgres\SIEM.sql
移行ログエラーを確認して、解決します。
メモ:Identity Manager 4.6レポートは、EASからSentinelに移行される監査データを使用しません。代わりに、これらのレポートはSentinelから直接同期される監査データを使用します。
EASデータを新しいPostgreSQLデータベースにインポートした後で、新しいPostgreSQLデータベースを使用してレポーティングデータベースを設定します。
このセクションは、データベースサーバ(Sentinelデータベース)を移行した同一サーバ上にIdentity Reportingをインストールしていることが前提です。Identity Reportingのインストールの詳細については、セクション 42.1, ガイド付きプロセスを使用したIdentity Reportingのインストールを参照してください。
configupdateユーティリティで、次の手順を実行して、新しいレポーティングサーバ詳細を設定します。
コマンドプロンプトで、次のどちらかの方法でconfigupdateユーティリティを実行します。
Linux: ./configupdate.sh
Windows: configupdate.bat
OAuthリダイレクトURLを新しいIdentity Reportingサーバおよびポート詳細を参照するように変更します。詳細については、セクション 40.4.5, レポーティングを参照してください。
DesignerまたはiManagerを使用して新しいレポーティングサーバ詳細を含めるようにDCSドライバ設定を編集します。
DCSドライバを起動します。
レポーティングサーバが設定されたら、Sentinalを有効にして、外部データベースにイベントを転送できるようにします。Identity Manager は、Sentinelから外部データベースにイベントを転送するためにSentinelでデータ同期ポリシーを作成するユーティリティを提供しています。このユーティリティは、IdentityReporting/Sentinel/sentineldatasync.jarフォルダにあります。
次の手順を使用して、Sentinelでデータ同期ポリシーを作成します。
データ同期ユーティリティディレクトリに移動して、次のコマンドを実行します。
Java –jar sentineldatasync.jar
これにより、データ同期ユーティリティが開きます。
このユーティリティのSentinel Settings (Sentinelの設定)タブで、次の詳細を指定します。
IPアドレス: SentinelがインストールされているコンピュータのIPアドレスを指定します。
ポート: Sentinelサーバのポートを指定します。デフォルトポートは8443です。
パスワード: Sentinelユーザのパスワードを指定します。
Event Retention Period (イベント保持期間): イベントが削除されるまでにデータベースで保持される期間を指定します。デフォルトは90日です。
Delete RDD Definitions (RDD定義の削除): Sentinel上でデータ同期ポリシーを作成する場合、デフォルト設定はデフォルトのSentinelポリシーを削除することです。Sentinelレポートを実行する場合は、デフォルトのSentinelポリシーを削除する必要はありません。
重要:SentinelまたはIdentity Trackingを使用している場合はこのオプションの選択を解除します。
詳細: 詳細モードを使用している場合は、次のパラメータを編集できます。
Event Table Payload (イベントテーブルペイロード): REST API を使用してデータ同期テーブルを作成するためのJSONドキュメントが含まれます。要求がデータ同期テーブルを作成するために送信される場合に、認証情報が代用されます。
Data Sync Policy Payload (データ同期ポリシーペイロード): REST API を使用してデータ同期テーブルを作成するためのJSONドキュメントが含まれます。要求がデータ同期テーブルを作成するために送信される場合に、認証情報が代用されます。
メモ:データ同期ポリシーにフィールドを追加するには、Data Sync Policy Payload (データ同期ポリシーペイロード)でJSONドキュメントを変更します。イベントテーブルどデータ同期ポリシーの両方に変更があることを確認します。そうでない場合は、ポリシー作成は失敗します。
Database settings (データベースの設定):タブで、次の詳細を指定します。
IPアドレス: データベースのIPアドレスを指定します。
ポート: データベースのポートを指定します。
パスワード: データベースに接続するためのパスワードを指定します。
データベース名: データベースの名前を指定します。たとえば、idmrptdbまたはSIEMを指定します。
データベースタイプ: データベースタイプをドロップダウンリストから選択します。
Update Views Only (更新ビューのみ): ビューを更新する際にエラーが発生する場合にのみ、このオプションを選択します。このオプションが選択される場合、データ同期ユーティリティはビューを更新しますが、Sentinelでデータ同期ポリシーは作成されません。
Partition Table (パーティションテーブル): テーブルをパーティショニングすると、全体的にクエリパフォーマンスとテーブル管理機能が向上します。データベースは、日単位で別々のパーティションでSentinalから受信されるイベントを格納します。この設定をそのままにすることをお勧めします。
PostgreSQL Install Location (PostgreSQLのインストール場所) PostgreSQLがインストールされる場所を指定します。たとえば、/opt/netiq/idm/apps/postgres/
詳細: 詳細モードを使用している場合は、次のパラメータを編集できます。
Partition SQL: これにはテーブルをパーティショニングするためのSQLスクリプトが含まれます。スクリプトは選択したデータベースに固有です。
ログタブで、ログファイルの名前を指定します。
ログファイルはデータ同期ユーティリティと同じ場所にあります。
重要:データ同期ポリシーを作成した後で、フィルタを変更して、指定されたIdentitty ManagerコレクタからのイベントがSentinelによって確実に受信されるようにします。詳細については、データ同期ポリシーのフィルタリングを参照してください。
Sentinelが指定されたIdentitiy Managerコレクタから確実にイベントを受信できるように、データ同期ポリシーのフィルタを変更できます。
Sentinelメインインタフェースに管理者としてログインします。
ストレージ > データの同期をクリックします。
データ同期ポリシーを設定するには、編集をクリックします。
必要な情報を編集します。
基準: 有効なLuceneクエリを指定します。
次のクエリはIdentity Managerコンポーネントからのみイベントを受信する基準例です。
(port:"NetIQ Identity Manager" OR port:"NetIQ Self Service Password Reset" OR port:"NetIQ eDirectory" OR port:"NetIQ NMAS" OR port:"NetIQ iManager" OR port:"NetIQ OneSSO") AND (sev:[0 TO 5]) AND NOT (evt:"Collector Internal Message" OR evt:"Starting" OR evt:"Started" OR evt:"Stopping" OR evt:"Stopped" OR evt:"CombinedRealTimeSummariesStatus" OR evt:"EnginePerformanceSummary" OR evt:"EventThroughputUtilization" OR evt:"LostConnection")
ポリシー名: データ同期ポリシーの名前を指定します。
Retention Period (保持期間): イベントがReportingデータベースのsentinel_eventsテーブルで保持される期間を指定します。
バッチサイズ: 1つのバッチで外部データベースに送信可能なイベント数を指定します。
Sleep period (スリープ期間): より多くのイベントを処理するためのデータ同期プロセスチェック後の期間を指定します。
スケジュール: 外部データベースにデータを同期する適切なオプションを選択します。
All the time (常に): このオプションを選択すると、イベント変更後すぐにそのイベントが外部データベースと同期されます。
カスタム: このオプションは、データを同期する特定の時間間隔を設定できます。
カスタムを選択する場合は、カスタム同期時刻を設定するための次の情報を提供します。
曜日: 必要な曜日を選択するか、Everyday (毎日)を選択します。
[開始時刻] データ同期プロセスを開始する時刻を指定します。
期間: 同期期間を分単位で指定します。
データベーステーブルのデータをすぐに表示しない場合は、次の同期サイクルまで待機する必要があります。
Identity Reportingをアップグレードする前に、アイデンティティアプリケーションとSentinelをアップグレードする必要があります。Identity Reportingをバージョン4.0.2以降からアップグレードするには、古いバージョンの上に新しいバージョンをインストールします。詳細については、Identity Reportingのインストールを参照してください。
Identity Reportingをアップグレードした後、およびTomcatを初めて起動する前に、データベースのreportRunnerへの参照を更新していることを確認してください。
Tomcatを停止します。
Identity Reportingインストールディレクトリに移動し、reportContentフォルダをORG-reportContentに名前を変更します。
例: /opt/netiq/idm/apps/IdentityReporting
Tomcatフォルダの下にある一時および作業ディレクトリを削除します。
PostgreSQLデータベースにログインします。
次のテーブルにあるreportRunner 参照を検索します。
idm_rpt_cfg.idmrpt_rpt_params
idm_rpt_cfg.idmrpt_definition
次のdeleteステートメントを発行します。
DELETE FROM idm_rpt_cfg.idmrpt_rpt_params WHERE rpt_def_id='com.novell.content.reportRunner';
DELETE FROM idm_rpt_cfg.idmrpt_definition WHERE def_id='com.novell.content.reportRunner';
Tomcatを起動します。
ログをチェックして、レポートが正しいreportRunnerで再生成されているかどうか確認します。
Identity Reportingにログインしてレポートを実行します。
Identity Reportingを起動します。
ツールで古いレポートと新しいレポートが表示されることを検証します。
[カレンダ]を参照し、スケジュールされたレポートが表示されるかどうかを確認します。
[設定]ページに管理対象アプリケーションと管理対象外アプリケーションの設定が表示されることを確認します。
他の設定がすべて正しく見えることを検証します。
完了したレポートがリストに表示されるかどうかを検証します。