Administration de SAS Viya 3.5 : Gestion des audits
Audit : Aperçu
Un enregistrement d'audit est généré chaque fois que des événements de ces types se produisent :
- Lorsqu'une action est effectuée sur une ressource (comme un dossier ou un travail). Les actions comprennent l'accès à la ressource et toutes les modifications apportées à la ressource (telles que la mise à jour, la création ou la suppression).
- Lorsqu'une action liée à la sécurité se produit, telle que la connexion à une application ou la modification d'une règle d'autorisation.
Par défaut, les actions suivantes génèrent des enregistrements d'audit :
- Échec de lecture de la ressource.
- Création, mise à jour ou suppression de la ressource.
- Actions de sécurité (tentatives de connexion, tentatives de déconnexion, accès aux règles d'autorisation, mise à jour des règles d'autorisation).
Les enregistrements d'audit sont stockés dans le SAS Infrastructure Data Server et, par défaut, sont conservés pendant sept jours. Les enregistrements plus anciens de sept jours peuvent être archivés vers un emplacement de stockage local. Consultez la section "Modification de la configuration d'audit" à la page 5 pour obtenir des informations sur la modification du comportement d'archivage.
Le service d'audit crée uniquement des enregistrements et ne peut pas les mettre à jour. Les administrateurs SAS peuvent consulter les enregistrements d'audit à l'aide de l'interface en ligne de commande (CLI) du module d'audit SAS Viya. Par défaut, la CLI renvoie une liste d'enregistrements d'audit comprenant les colonnes suivantes :
- ID : identifiant généré de l'enregistrement d'audit.
- Horodatage : date et heure de l'action. L'horodatage utilise le format ISO8601 (AAAA-MMJJThh:mm:ss.sZ). Z spécifie que l'heure est en UTC.
- Action : l'action effectuée (telle que la lecture, la création ou la mise à jour).
- État : le résultat de l'action (réussite ou échec).
- ID utilisateur : l'utilisateur, l'application ou le service ayant initié l'action.
- Application : l'application ou le service ayant effectué l'action.
- Action administrative : la valeur pour une action donnée est vraie si l'utilisateur ayant créé l'action était connecté en tant qu'administrateur SAS au moment de l'action. Le processus de connexion comporte deux étapes : saisie des informations d'identification pour un compte administratif et adhésion à des groupes assumables. Si l'utilisateur n'a pas adhéré à des groupes assumables, les valeurs dans la colonne Action administrative sont fausses.
- URI : l'identifiant uniforme de ressource du service ayant créé l'action.
SAS Viya operations infrastructure comprend également une tâche prédéfinie pour traiter les enregistrements d'audit, créer un fichier CSV des enregistrements extraits, puis créer une table CAS avec ces enregistrements. Des rapports prédéfinis vous permettent de consulter des informations détaillées sur l'accès aux rapports, aux données des applications et aux plans de données, ainsi que sur l'accès par utilisateur et les échecs d'accès.
Consulter les Rapports et Tables d'Enregistrements d'Audit
Le rapport d'activité utilisateur est accessible depuis le tableau de bord du Gestionnaire d'environnement SAS. Vous pouvez l'utiliser pour visualiser des graphiques et des tables des données d'enregistrements d'audit collectées.
La tâche genAudit, qui s'exécute toutes les deux heures (par défaut), recueille des informations à partir des enregistrements d'audit, puis les utilise pour créer le rapport d'activité utilisateur. Étant donné que la tâche s'exécute avec les informations d'identification de l'utilisateur d'installation SAS (sas), elle collecte uniquement les enregistrements auxquels l'utilisateur d'installation SAS a accès. L'utilisateur d'installation SAS n'est pas un identifiant administrateur SAS.
Suivez ces étapes pour consulter les rapports :
- Sur le tableau de bord du Gestionnaire d'environnement SAS, sélectionnez "Afficher les rapports". Une galerie des rapports disponibles s'affiche en bas du tableau de bord.
- Cliquez sur le rapport d'activité utilisateur et sélectionnez "Ouvrir". Utilisez le contrôle pour naviguer dans la galerie des rapports afin de localiser le rapport d'activité utilisateur.
- Le rapport d'activité utilisateur contient des pages qui affichent les informations d'audit en fonction de différents critères, tels que l'activité de l'utilisateur, l'accès aux rapports et l'accès aux tables de données. Les enregistrements d'audit sont conservés pendant sept jours, donc par défaut, le rapport affiche des informations des sept derniers jours. Utilisez le curseur sur chaque page du rapport pour visualiser les informations uniquement pour une plage de temps sélectionnée.
Sélectionnez la page du rapport qui contient le type d'informations que vous souhaitez consulter. Ces pages sont disponibles :
- Principale : contient des graphiques miniatures pour les graphiques "Utilisateurs les plus actifs", "Comptes d'activité", "Données les plus actives" et "Actions de l'utilisateur au fil du temps".
- Utilisateurs les plus actifs : affiche les graphiques "Utilisateurs les plus actifs" et "Activité au fil du temps", ainsi qu'un tableau des enregistrements d'audit triés par niveau d'activité de l'utilisateur.
- Utilisation de l'application : affiche les graphiques "Applications les plus utilisées" et "Activité de l'application", ainsi qu'un tableau des enregistrements d'audit triés par niveau d'activité de l'application.
- Activité des rapports : affiche le graphique "Utilisation des rapports" et un tableau des enregistrements d'audit pour l'accès aux rapports.
- Activité des données : affiche le graphique "Tables fréquemment consultées" et un tableau des enregistrements d'audit pour l'accès aux tables de données.
- Activité du plan de données : affiche le graphique "Utilisation des rapports" et un tableau des enregistrements d'audit pour l'accès au plan de données.
- Échecs : affiche les graphiques "Demandes échouées par application" et "Activités échouées", ainsi qu'un tableau des enregistrements d'audit uniquement pour les demandes échouées.
- Détails : affiche un tableau des enregistrements d'audit. Par défaut, le tableau affiche tous les enregistrements d'audit. Pour filtrer le tableau, utilisez les menus en haut du tableau pour afficher uniquement les enregistrements correspondant à vos critères sélectionnés. Vous pouvez filtrer par utilisateur, application, action et état, et plusieurs critères sont autorisés.
Note : Si le rapport d'activité utilisateur est vide ou affiche le message " Cannot find the requested data source ", vous devez vérifier que l'interface en ligne de commande (CLI) a été déployée correctement dans votre environnement SAS Viya.
Visualiser un fichier d'enregistrements d'audit
La tâche genAudit est incluse dans la liste de tâches par défaut pour l'agent d'infrastructure des opérations SAS Viya. Cette tâche s'exécute automatiquement toutes les deux heures et effectue les fonctions suivantes :
- Extraire les enregistrements d'audit pour les rapports, les plans de données, la gestion de CAS et l'accès à CAS.
- Écrire les enregistrements d'audit extraits dans un fichier CSV dans un emplacement de cache.
- Supprimer les enregistrements d'audit dans le fichier CSV à partir du huitième jour de collecte.
- Utiliser le fichier CSV pour créer une table dans la caslib SystemData appelée AUDIT.
Vous pouvez utiliser les données d'audit extraites dans la table AUDIT pour effectuer des analyses ou créer des rapports.
Guide d'utilisation de l'Interface en Ligne de Commande (CLI)
Liste des enregistrements d'audit Utilisez la commande sas-admin audit list pour afficher tous les enregistrements d'audit collectés. Comme la liste des enregistrements renvoyés peut être longue, vous pouvez utiliser ces options pour gérer les enregistrements renvoyés et localiser plus facilement ceux que vous souhaitez voir.
Remarque : Ces exemples supposent que vous vous êtes déjà connecté à SAS Viya à l'invite de commandes. Consultez "Interface en Ligne de Commande : Instructions Préliminaires" dans SAS Viya Administration : Utilisation des Interfaces en Ligne de Commande.
sas-admin audit list
: renvoie tous les enregistrements d'audit au format JSON. Vous pouvez utiliser ces enregistrements pour découvrir les valeurs d'ID, d'action, d'état et d'application.sas-admin audit list --limit "nombre_d'enregistrements"
: renvoie uniquement le nombre spécifié d'enregistrements d'audit. La valeur par défaut est 50.sas-admin audit list --action nom_de_l'action
: renvoie uniquement les enregistrements d'audit contenant l'action spécifiée (comme la connexion ou SessionDestroyed). Les actions valides sont : add, create, delete, login, read, remove, schedule, SessionDestroyed, start, stop, update.sas-admin audit list --after AAAA-MM-JJThh:mm:ss.sZ
: renvoie uniquement les enregistrements d'audit qui surviennent après la date et l'heure spécifiées. La date et l'heure sont spécifiées au format ISO8601. Z indique que la date et l'heure sont en UTC.sas-admin audit list --application nom_de_l'application
: renvoie uniquement les enregistrements d'audit contenant le nom d'application spécifié (comme SASLogon ou casManagement). Les valeurs valides pour nom_de_l'application sont les valeurs de serviceName dans le serveur de configuration SAS. Pour obtenir une liste de toutes les valeurs possibles, exécutez l'une de ces commandes :
Unix : ./sas-bootstrap-config catalog services | grep serviceName
Windows : sas-bootstrap-config.exe catalog services | findstr serviceName
Ces commandes renvoient une liste de serviceName que vous pouvez utiliser comme valeurs pour application.
sas-admin audit list --application-contains chaine_de_l'application
: renvoie uniquement les enregistrements d'audit dont le nom de l'application contient la chaîne chaine_de_l'application.sas-admin audit list --before AAAA-MM-JJThh:mm:ss.sZ
: renvoie uniquement les enregistrements d'audit qui surviennent avant la date et l'heure spécifiées. La date et l'heure sont spécifiées au format ISO8601. Z indique que la date et l'heure sont en UTC.sas-admin audit list --description description
: renvoie uniquement les enregistrements d'audit contenant la description spécifiée.sas-admin audit list --description-contains chaine_de_description
: renvoie uniquement les enregistrements d'audit dont la description contient la chaîne chaine_de_description.sas-admin audit list --remote-address adresse
: renvoie uniquement les enregistrements d'audit contenant l'adresse distante spécifiée.sas-admin audit list --remote-address-contains chaine_d'adresse
: renvoie uniquement les enregistrements d'audit dont l'adresse distante contient la chaîne chaine_d'adresse.sas-admin audit list --state état
: renvoie uniquement les enregistrements d'audit contenant l'état spécifié (comme success ou failure).sas-admin audit list --type type
: renvoie uniquement les enregistrements d'audit contenant le type spécifié (soit security, soit resource).sas-admin audit list --user-id ID_utilisateur
: renvoie uniquement les enregistrements d'audit contenant l'ID utilisateur spécifié.sas-admin audit list --user-id-contains chaine_ID_utilisateur
: renvoie uniquement les enregistrements d'audit dont l'ID utilisateur contient la chaîne chaine_ID_utilisateur.sas-admin audit list --user-id-starts-with chaine_ID_utilisateur
: renvoie uniquement les enregistrements d'audit dont l'ID utilisateur commence par la chaîne chaine_ID_utilisateur.sas-admin audit list --sort-by utilisateur --type security
: liste les enregistrements d'entrées d'audit de type security et trie les enregistrements renvoyés par utilisateur.sas-admin audit list --state success --type security --csv /tmp/fichier_sortie.text
: liste les enregistrements d'entrées d'audit avec un type de security et un état de success, puis écrit les résultats au format CSV dans un fichier de sortie.