55.6 升級 Identity Reporting

Identity Reporting 中包含兩個驅動程式。此外,您需要將 NetIQ Event Auditing Service 中的內容移轉至 Sentinel Log Management for IGA。依照以下順序執行升級:

  1. 升級資料收集服務的驅動程式套件。

  2. 升級受管理系統閘道服務的驅動程式套件。

  3. 移轉至 Sentinel Log Management for IGA

  4. 升級 Identity Reporting

55.6.1 升級 Identity Reporting 的驅動程式套件

本節說明如何將受管理系統閘道驅動程式套件和資料收集服務驅動程式套件更新到最新版本。您必須先執行此任務,然後再升級 Identity Reporting。

  1. 在 Designer 中開啟目前的專案。

  2. 套件目錄 > 輸入套件上按一下滑鼠右鍵。

  3. 選取相應的套件。例如,受管理系統閘道基礎套件 2.0.0.20120509205929

  4. 按一下「確定」

  5. 在開發人員檢視窗中,在該驅動程式上按一下滑鼠右鍵,然後按一下內容

  6. 導覽至內容頁面中的套件索引標籤。

  7. 按一下右上角的新增套件 (+) 符號。

  8. 選取該套件,然後按一下確定

  9. 完成驅動程式的組態程序。如需詳細資訊,請參閱以下各節:

  10. 重複步驟 2步驟 9,以升級資料收集服務驅動程式套件。

  11. 確保受管理系統閘道驅動程式和資料收集服務驅動程式已連接到升級後的 Identity Manager。

55.6.2 從事件稽核服務移轉至 Sentinel Log Management for IGA

本節提供有關將 NetIQ Event Auditing Service (EAS) 中的現有資料移轉至 Sentinel Log Management for IGA 的資訊。

準備移轉

開始移轉前,您需要準備 Sentinel 和 EAS 資料庫。這涉及到輸入所需的連接器以接收來自 Sentinel 的事件,以及將 Identity Manager 的所有元件都升級至 4.6。

將 EAS 資料移轉至 Sentinel 之前,需執行以下動作。

  1. NetIQ-Audit_2011.1r4-201701130600-release.cnz 連接器輸入 EAS。

  2. 將 Identity Manager 的所有現有元件從 4.5.4 升級至 4.6。

  3. 務必備份 logevent.conf 檔案。

    Linux︰ /etc/logevent.conf

    Windows: C:\Windows\logevent.cfg

    logevent.conf 檔案應該會包含 EAS 詳細資料。

  4. 確認下列 Identity Manager 元件正在執行︰

    • eDirectory

    • Identity Manager 引擎

    • iManager

    • Identity Applications (具體指 OSP、SSPR 和 RBPM)

  5. 更新 SSPR 的稽核伺服器詳細資料︰

    1. 以管理員身分登入 SSPR 入口網站。

    2. 導覽至組態編輯器並指定組態密碼。

    3. 選取設定 > 稽核 > 稽核轉遞

    4. Syslog 稽核伺服器下提供 Sentinel 詳細資料。例如,tls,<sentinel IP>,1443

    5. 按一下清除,以清除 Syslog 稽核伺服器證書。

    6. 按一下從伺服器輸入,以從更新的 Syslog 稽核伺服器輸入證書。

    7. 儲存您所做的變更。

  6. 確認您的 EAS 伺服器處於執行狀態,直到來自 Identity Manager 所有元件的所有快取稽核事件都已傳送給 EAS。

  7. 停止以下 Identity Manager 元件︰

    • eDirectory

    • Identity Manager 引擎

    • iManager

    • Identity Applications (具體指 OSP、SSPR 和 RBPM)

  8. 停止 Novell Audit lcachejcache 程序。

    kill -15 <lcache 的 PID>

    kill -15 <jcache 的 PID>

  9. 依照在 Sentinel 與使用者應用程式之間啟用 SSL 中的步驟 1步驟 6 建立 naudit 證書,以讓使用者應用程式能連接到 Sentinel。

  10. 修改 logevent.conf 檔案中的 LogHost 項目,以指向 Sentinel。

  11. 啟動 Identity Manager 的以下元件。

    • eDirectory

    • Identity Manager 引擎

    • iManager

    • Identity Applications (具體指 OSP、SSPR 和 RBPM)

將資料移轉至新 PostgreSQL 資料庫

本節提供有關將 EAS 資料庫中的 SIEM 資料移轉至受支援 PostgreSQL 資料庫的資訊。如需安裝 PostgreSQL 資料庫的資訊,請參閱節 28.0, 安裝 PostgreSQL 和 Tomcat

您必須建立必要的角色和表空間,以確保移轉期間不會出現故障。

準備新 PostgreSQL 資料庫

  1. 停止 EAS 以確保不會有任何事件傳送到 EAS 伺服器。

  2. 使用 iManager 停止 DCS 驅動程式︰

    1. 登入 iManager。

    2. 停止 DCS 驅動程式。

    3. 編輯驅動程式內容,以將啟動選項設定為手動

      此步驟可確保驅動程式不會自動啟動。

  3. 使用 PGAdmin 執行以下 SQL 指令,以建立必要的角色、表空間和資料庫。

    此步驟可確保移轉期間不會出現故障。

    1. 執行以下指令以建立必要角色︰

      CREATE ROLE esec_app
  NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE;
 
CREATE ROLE esec_user
  NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE;
 
CREATE ROLE admin LOGIN
  ENCRYPTED PASSWORD '<specify the password for admin>'
  NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE;
GRANT esec_user TO admin;
 
CREATE ROLE appuser LOGIN
  ENCRYPTED PASSWORD '<specify the password for appuser>'
  NOSUPERUSER INHERIT NOCREATEDB CREATEROLE;
GRANT esec_app TO appuser;
 
CREATE ROLE dbauser LOGIN
  ENCRYPTED PASSWORD '<specify the password for dbauser>'
  SUPERUSER INHERIT CREATEDB CREATEROLE; 

CREATE ROLE idmrptsrv LOGIN
  ENCRYPTED PASSWORD '<specify the password for idmrptsrv>'
  NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE;
GRANT esec_user TO idmrptsrv;
 
CREATE ROLE idmrptuser LOGIN
  ENCRYPTED PASSWORD '<specify the password for idmrptuser>'
  NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE;

CREATE ROLE rptuser LOGIN
  ENCRYPTED PASSWORD '<specify the password for rptuser>'
  NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE;
GRANT esec_user TO rptuser;

    2. 執行以下指令以建立表空間︰

       CREATE TABLESPACE sendata1
  OWNER dbauser
  LOCATION '<provide the location where table space has to be created>';

      例如,

      CREATE TABLESPACE sendata1
  OWNER dbauser
  LOCATION '</opt/netiq/idm/apps/postgres/data>';

    3. 執行以下指令以建立 SIEM 資料庫︰

      CREATE DATABASE "SIEM"
  WITH OWNER = dbauser
       ENCODING = 'UTF8'
       TABLESPACE = sendata1
       CONNECTION LIMIT = -1;

輸出 EAS 中的資料

  1. 停止 EAS 以確保不會有任何事件傳送到 EAS 伺服器。

  2. 使用 iManager 停止 DCS 驅動程式︰

    1. 登入 iManager。

    2. 停止 DCS 驅動程式。

    3. 編輯驅動程式內容,以將啟動選項設定為手動

      此步驟可確保驅動程式不會自動啟動。

  3. 將 EAS 資料庫中的資料輸出到檔案︰

    1. 登入 EAS 使用者帳戶︰

      # su - novleas

    2. 指定 EAS 使用者具有完全存取權的位置,例如 /home/novleas

    3. 導覽至 PostgreSQL 安裝目錄並執行以下指令︰

      例如,

      export PATH=/opt/novell/sentinel_eas/3rdparty/postgresql/bin/:$PATH

      export LD_LIBRARY_PATH=/opt/novell/sentinel_eas/3rdparty/postgresql/lib/:$LD_LIBRARY_PATH

    4. 使用以下指令將資料輸出到 .sql 檔案︰

      ./pg_dump -p <連接埠號碼> -U <使用者名稱> -d <資料庫名稱> -f <輸出位置>

      例如,

      ./pg_dump -p 15432 -U dbauser SIEM -f /home/novleas/SIEM.sql

將資料輸入到新 PostgreSQL 資料庫

  1. 停止 EAS 以確保不會有任何事件傳送到 EAS 伺服器。

  2. 使用 iManager 停止 DCS 驅動程式︰

    1. 登入 iManager。

    2. 停止 DCS 驅動程式。

    3. 編輯驅動程式內容,以將啟動選項設定為手動

      此步驟可確保驅動程式不會自動啟動。

  3. 將資料輸入到新的 PostgreSQL 資料庫︰

    1. (視情況而定) 建立一個 postgres 使用者。

      此步驟僅針對 Windows。Linux 上會自動建立使用者。

    2. 步驟 3.d 中輸出的檔案複製到該 postgres 使用者具有完全存取權的位置。例如,

      • Linux︰ /opt/netiq/idm/apps/postgres

      • Windows: C:\NetIQ\IdentityManager\apps\postgres

    3. 執行以下指令以將資料輸入到 PostgreSQL 資料庫。

      psql -d <資料庫名稱> -U <使用者名稱> -f <輸出檔案所在位置的完整路徑>

      例如,

      • Linux︰ psql -d SIEM -U postgres -f /opt/netiq/idm/apps/postgres/SIEM.sql

      • Windows: psql -d SIEM -U postgres –f C:\NetIQ\IdentityManager\apps\postgres\SIEM.sql

  4. 檢查有無任何移轉記錄錯誤,如有則予以解決。

附註:Identity Manager 4.6 報告將不使用從 EAS 移轉至 Sentinel 的稽核資料,而是使用直接從 Sentinel 同步的稽核資料。

設定 Reporting 伺服器

在將 EAS 資料輸入到新 PostgreSQL 資料庫後,將您的 Reporting 資料庫設定為使用新 PostgreSQL 資料庫。

本節假設您已將 Identity Reporting 安裝在資料庫伺服器 (Sentinel 資料庫) 移轉至的同一部伺服器上。如需安裝 Identity Reporting 的詳細資訊,請參閱節 42.1, 使用引導式程序安裝 Identity Reporting

  1. configupdate 公用程式中,執行以下步驟來設定新 Reporting 伺服器的詳細資料︰

    1. 在指令提示符處,使用以下方法之一執行 configupdate 公用程式。

      Linux︰ ./configupdate.sh

      Windows: configupdate.bat

    2. OAuth 重新導向 URL 變更為指向新 Identity Reporting 伺服器和連接埠詳細資料。如需詳細資訊,請參閱節 40.4.5, 報告

  2. 使用 Designer 或 iManager 編輯 DCS 驅動程式組態,以包含新 Reporting 伺服器的詳細資料。

  3. 啟動 DCS 驅動程式。

執行資料同步公用程式

設定 Reporting 伺服器後,讓 Sentinel 將事件轉遞到外部資料庫。Identity Manager 提供了一個用於在 Sentinel 中建立資料同步規則,以將來自 Sentinel 的事件轉遞到外部資料庫的公用程式。該公用程式位於 IdentityReporting/Sentinel/sentineldatasync.jar 資料夾中。

請執行以下步驟在 Sentinel 中建立資料同步規則︰

  1. 導覽至資料同步公用程式目錄,然後執行以下指令︰

    Java –jar sentineldatasync.jar

    此操作會開啟資料同步公用程式。

  2. 在公用程式的 Sentinel 設定索引標籤中,指定以下詳細資料︰

    • IP 位址︰ 指定安裝 Sentinel 的電腦的 IP 位址。

    • 埠︰ 指定 Sentinel 伺服器的連接埠。預設埠為 8443。

    • 密碼: 指定 Sentinel 使用者的密碼。

    • 事件保留期間︰ 指定事件被刪除前儲存在資料庫中的期限。預設值為 90 日。

    • 刪除 RDD 定義︰ 在 Sentinel 中建立資料同步規則時,預設設定是刪除預設的 Sentinel 規則。如果要執行 Sentinel 報告,您無需刪除預設的 Sentinel 規則。

      重要:如果您要使用 Sentinel 或身分追蹤,請取消選取此選項。

    • 進階︰ 如果使用的是進階模式,則可編輯以下參數︰

      • 事件表格封包內容︰ 包含透過 REST API 建立資料同步表格的 JSON 文件。傳送建立資料同步表格的申請時會取代該驗證資訊。

      • 資料同步規則封包內容︰ 包含透過 REST API 建立資料同步表格的 JSON 文件。傳送建立資料同步表格的申請時會取代該驗證資訊。

        附註:若要將更多欄位新增至資料同步規則,請修改資料同步規則封包內容中的 JSON 文件。確認事件表格和資料同步規則中都進行了該變更。否則,規則建立會失敗。

  3. 資料庫設定索引標籤中,指定以下詳細資料︰

    • IP 位址︰ 指定資料庫的 IP 位址。

    • 連接埠︰ 指定 資料庫的連接埠。

    • 密碼: 指定用於連接 資料庫的密碼。

    • 資料庫名稱: 指定 資料庫的名稱。例如,idmrptdbSIEM

    • 資料庫類型: 從下拉式清單中選取資料庫類型。

    • 僅更新檢視︰ 僅當您在更新檢視時發生了錯誤,才應選取此選項。如果選取此選項,資料同步公用程式會更新檢視,但不會在 Sentinel 中建立資料同步規則。

    • 分割區表︰ 分割表格可提高整體查詢效能和表格管理功能。資料庫會將從 Sentinel 接收到的事件按日儲存在單獨的分割區中。建議您將此設定保留不變。

    • PostgreSQL 安裝位置︰ 指定 PostgreSQL 的安裝位置。例如,/opt/netiq/idm/apps/postgres/

    • 進階︰ 如果使用的是進階模式,則可編輯以下參數︰

      分割 SQL︰此參數包含用於分割表格的 SQL 程序檔。該程序檔針對選定資料庫。

  4. 記錄索引標籤中,指定記錄檔案的名稱。

    記錄檔案與您的資料同步公用程式位於同一位置。

重要:建立資料同步規則後,修改過濾器,以確保 Sentinel 接收來自指定 Identity Manager 收集器的事件。如需詳細資訊,請參閱過濾資料同步規則

過濾資料同步規則

為確保 Sentinel 接收來自指定 Identity Manager 收集器的事件,您可以修改資料同步規則的過濾器。

  1. 以管理員身分登入 Sentinel 主要介面。

  2. 按一下儲存 > 資料同步

  3. 按一下編輯以設定資料同步規則。

  4. 編輯所需的資訊︰

    準則︰ 指定有效的 Lucene 查詢。

    下面的查詢是僅接收來自 Identity Manager 元件的事件的準則範例︰

    (port:"NetIQ Identity Manager" OR port:"NetIQ Self Service Password Reset" OR port:"NetIQ eDirectory" OR port:"NetIQ NMAS" OR port:"NetIQ iManager" OR port:"NetIQ OneSSO") AND (sev:[0 TO 5]) AND NOT (evt:"Collector Internal Message" OR evt:"Starting" OR evt:"Started" OR evt:"Stopping" OR evt:"Stopped" OR evt:"CombinedRealTimeSummariesStatus" OR evt:"EnginePerformanceSummary" OR evt:"EventThroughputUtilization" OR evt:"LostConnection")

    規則名稱︰ 指定資料同步規則的名稱。

    保留期間︰ 指定事件在 Reporting 資料庫的 sentinel_events 表格中的儲存期限。

    批次大小: 指定在一個批次中可傳送到外部資料庫的事件數。

    休眠期間︰ 指定一個期限,經過此時間後資料同步程序會檢查有無更多要處理的事件。

    排程︰ 選取用於將資料同步到外部資料庫的相應選項。

    • 所有時間︰ 如果選取此選項,則任何事件一經修改便會立即同步到外部資料庫。

    • 自訂: 此選項可讓您設定同步資料的特定時間間隔。

      如果選取自訂,請提供以下資訊以設定自訂同步時間︰

      • 每週日期︰ 選取所需的星期日期,或者選取每天

      • 開始時間︰ 指定應該開始資料同步程序的時間。

      • 期間︰ 以分鐘為單位指定同步期間。

    如果您在資料庫表中未立即看到資料,則需要等待下一個同步週期。

55.6.3 升級 Identity Reporting

升級 Identity Reporting 前必須先升級 Identity Applications 和 Sentinel。若要從 4.0.2 或更高版本升級 Identity Reporting,請在舊版本的基礎上安裝新版本。如需詳細資訊,請參閱安裝 Identity Reporting

55.6.4 變更對資料庫中 reportRunner 的參考

升級 Identity Reporting 後,請務必在第一次啟動 Tomcat 之前更新對資料庫中 reportRunner 的參考。

  1. 停止 Tomcat。

  2. 導覽至 Identity Reporting 安裝目錄,然後將 reportContent 資料夾重新命名為 ORG-reportContent

    例如︰/opt/netiq/idm/apps/IdentityReporting

  3. 清理 Tomcat 資料夾下的臨時目錄和工作目錄。

  4. 登入 PostgreSQL 資料庫。

    1. 在下面的表中尋找 reportRunner 參考︰

      • idm_rpt_cfg.idmrpt_rpt_params

      • idm_rpt_cfg.idmrpt_definition

    2. 發出以下 delete 陳述式︰

      DELETE FROM idm_rpt_cfg.idmrpt_rpt_params WHERE rpt_def_id='com.novell.content.reportRunner';
      DELETE FROM idm_rpt_cfg.idmrpt_definition WHERE def_id='com.novell.content.reportRunner';

  5. 啟動 Tomcat。

    檢查記錄以確定使用正確的 reportRunner 是否可重新產生報告。

  6. 登入 Identity Reporting 並執行報告。

55.6.5 驗證 Identity Reporting 的升級

  1. 啟動 Identity Reporting。

  2. 驗證舊報告和新報告是否顯示在工具中。

  3. 查看行事曆,以確定是否顯示了已排程報告。

  4. 確保設定頁面顯示了受管理和不受管理應用程式的先前設定。

  5. 檢查其他所有設定看上去是否正確。

  6. 檢查應用程式是否列出已完成報告。