analyze index
当您处理可能敏感的数据时,公司通常会发现有必要跟踪谁在访问数据以及它们在做什么。 当公司和高级职员对其雇员的任何欺诈行为负有法律责任时,对审计追踪的需求变得比以往任何时候都更加迫切。
最新版本的IBMi2®Analyze具有用于与IBM i2 Analyze Information Store进行用户交互的审核机制。 通过这种机制,i2 Analyze用户可以记录诸如搜索和扩展操作之类的活动。 本教程概述了信息存储日志框架,并描述了如何使用它来提供审计日志数据的分析人员就绪的图片。
你需要什么
- IBM i2分析
- IBM i2 Analyst笔记本
- DB2®
- 您还需要熟悉以下内容:
- ELP(实体,链接和属性)数据模型
- Java™
在信息存储中审核用户活动概述
信息存储不会自动存储审核日志。 要启用日志记录,您需要编写一个实现IauditLogger
接口的类以捕获事件并将其存储。 这提供了以任何格式和位置存储审核日志记录信息的灵活性。
通过提供IAuditLogger界面中可用方法的实现(例如logQuickSearch
和logExpand
来执行审核日志记录。 您可以在IQuickSearchAuditEvent
类上使用各种方法,例如getUser()
和getClientIPAddress()
来获取有关给定审核事件的详细信息。
“使用i2,您可以看到最活跃的IP地址,最活跃的用户和最常见的搜索词。 这可以直接了解谁在使用Information Store数据进行操作以及操作来自何处。 ”
在以下示例中,有关搜索操作的审核信息显示在部署了i2 Analyze应用程序的Liberty服务器的console.log文件中。
@Override
public void logQuickSearch(final IQuickSearchAuditEvent event)
{
final String logdetail =
"User: " + event.getUser() +
"IP:" + event.getClientIPAddress() +
"Method:" + event.getServiceMethodName()
"Expression: " + event.getExpression() +
"Timestamp:" + event.getTimestamp()
System.out.println(detail)
}
当用户在信息存储上执行快速搜索时,将生成审核日志信息,并且与console.log文件类似的日志条目出现在控制台中。
User:Jenny,IP:213.54.35.213,Method:search,Expression:Brian Venn,Timestamp:2016-08-05T14:14:15.379Z
User:Jenny,IP:213.54.35.213,Method:search,Expression:Louise Anderson,Timestamp:2016-08-05T14:15:15.430Z
User:Jenny,IP:213.54.35.213,Method:search,Expression:Ethan Anderson,Timestamp:2016-08-05T14:18:17.382Z
开发人员确定审核日志记录信息的去向以及记录的信息。 例如,您可以指定将信息记录到文件,数据库或WebSphere®MQ队列中。 有关不同日志记录机制的示例,请参阅IBM i2 Analyze Developer Essentials中的日志记录示例(在下面的“相关主题”下)。
从审核日志中形成ELP数据模型
尽管将数据记录到文件或数据库很有用,但是很难发现审计数据中的模式或潜在的欺诈活动,尤其是在审计日志包含数百甚至数千个审计日志条目的情况下。
更为有用的是将审核信息转换为可以吸收到另一个信息存储中的ELP模型,以便可以对其进行分析。 (您使用单独的信息存储,因为主管或审计员等不同的人将使用审计数据。)
在下面的段落中,我将提供一个演练和一个信息存储审核记录器的样本,并说明如何实现记录器以生成信息以在IBM i2 Analyst的Notebook中进行分析。
首先,我使用Analysis Repository Schema Designer开发了一个新的架构。 架构包含五个实体类型和一个链接类型,如下所示。