键操作审计
简介
该主题提供专门针对 SAS Visual Analytics 的信息。有关常规信息,请参见 SAS Intelligence Platform: Middle-Tier Administration Guide 中的 Configuring Auditing for SAS Web Applications。
下图描述了审计数据流:
审计数据流
纵向流为管理报表提供数据:
-
若审计已启用并且用户执行可审计的操作,则当前应用程序将生成一个或多个审计记录。审计记录写入 SAS Web Infrastructure Platform 的 SharedServices 数据库的公用模式中的 SAS_AUDIT 和 SAS_AUDIT_ENTRY 表。
-
在下次运行自动加载过程时,该过程发现 Append 子目录中的审计数据比相应的 LASR 表要新。自动加载过程将新数据追加至现有的 LASR 表。
横向流对审计数据进行如下管理:
-
要管理 SAS Web Infrastructure Platform 的 SharedServices 数据库中审计表的大小,审计存档规则将指定时间的指定记录移至审计存档表。
-
要管理 SAS Web Infrastructure Platform 的 SharedServices 数据库中审计存档表的大小,您必须定期清除那些表的记录。
-
要确保服务器重启后数据在内存中可用,追加数据将立即写入第二个位置,即自动加载数据目录中的 AUDIT_VISUALANALYTICS 表。这是标准自动加载追加行为。请参见自动加载的工作原理。
-
要管理自动加载拖放区中 AUDIT_VISUALANALYTICS 表的大小,计划任务删除指定时间的记录,然后刷新相应的 LASR 表。在初始配置中,任务每天运行并且删除 30 天以上的记录。
如何安全启用审计
警告:
审计数据会占用大量的磁盘空间和处理容量。
要安全启用审计,请完成以下所有步骤。
-
在 SAS Web Infrastructure Platform 的 SharedServices 数据库中,确保存在适当的审计存档规则。请参见 SAS Intelligence Platform: Middle-Tier Administration Guide 中的 Archive Process for Audit Records。注: 预定义规则导致超过 30 天的审计记录被存档,应受下列约束:
-
预定义规则仅适用于 SAS Visual Analytics 审计的操作,登录操作和注销操作。(登录和注销操作不包含于 SAS Visual Analytics 审计记录提取或 SAS Visual Analytics 管理报表。)
-
预定义规则不适用于使用除 PostgreSQL 之外的 SAS Web Infrastructure Platform 数据库的软件安装点。
-
预定义规则不会替换任何现有的软件安装点特定的自定义存档规则。
注: 关于要在存档规则中使用的 ID 值,请参见审计类型 ID。FREQUENCY_NO 的建议值为 2592000000 毫秒(30 天)。 -
-
在 SAS Web Infrastructure Platform 的 SharedServices 数据库中,建立一个过程以定期清除审计存档表中的记录。请参见 SAS Intelligence Platform: Middle-Tier Administration Guide 中的 Purging Audit Records。
-
在自动加载主机上,启动计划任务,从整个 AUDIT_VISUALANALYTICS 表中删除旧记录。请参见启用 auditRefresh。
-
将属性 va.AuditingEnabled 设置为
true。请参见如何设置配置属性。 -
重新启动 SAS Web Application Server。
审计内容和覆盖范围
以下表说明了 SAS Visual Analytics 审计记录。下面是几个要点:
-
要可视化审计信息,请参见管理员的报表。
-
在某些情况下,一个用户交互操作会写入多条审计记录。例如,若 UserA 打开 ReportA,ReportA 使用 TableA 和 TableB,写入的记录包括
[Report.BI]Open、多条[Table]ReadTableA 记录和多条[Table]ReadTableB 记录。 -
在 audit_info 字段,
Security access denied表明出现了来自 LASR 授权服务的对基于权限的访问的拒绝。Capacity access denied表明出现了来自 LASR 授权服务的对基于容量的访问的拒绝。请参见限制表空间。 -
为使用传输服务的操作填充 server_app 字段。例如,用户打印报表对象时,executor_nm 值标识客户端(例如:Visual Analytics Viewer 7.4),server_app 值标识底层组件(例如:Visual Analytics Transport Service 7.4)。
-
不为在 SAS Mobile BI 中执行的操作填充 email_recipients 字段。
-
对于某些专用字段,
new和old值都记录。new值反映当前信息。
|
字段
|
说明
|
示例值
|
|---|---|---|
|
常规:
|
||
|
audit_id
|
审计记录的标识符
|
871
|
|
timestamp_dttm
|
日期和时间(GMT)
|
08:06:2014 06:42:59.219
|
|
user_id
|
执行操作的身份的元数据名称
|
sasadm
|
|
action_type
|
操作名称
|
添加
|
|
object_type
|
对象类型(在审计服务的类型分类方案中)
|
Report.BI
|
|
executor_nm
|
应用程序名称、设备类型(若适用)和版本
|
Visual Analytics Designer 7.4
|
|
action_success_flg
|
操作成功(Y)或失败(N)
|
Y
|
|
audit_info
|
有关失败的操作的信息,其他详细信息
|
LASR_ACTION=TASK_TABLEINFO;拒绝访问“安全性”
|
|
专用:
|
||
|
位置
|
元数据路径和类型,或本地文件名
|
SBIP://METASERVER/User Folders/ncjoe/My Folder/MyReport(Report)
|
|
lasr_server_name
|
机器名称和 SAS LASR Analytic Server 端口
|
abc.mycompany.com:7300
|
|
table_name
|
服务器标签和 LASR 表名称
|
HPS.CARS
|
|
client_id
|
IP 地址或移动设备 ID
|
12.34.56.789
|
|
report_elements
|
成功打印的对象(或全部)的标识符
|
ve2
|
|
server_app
|
底层组件或服务
|
Visual Analytics Transport Service 7.4
|
|
elapsed_time
|
查询中执行方法的时间 (seconds.milliseconds)
|
27.829
|
|
export_output
|
输出类型
|
XLSX
|
|
export_rows
|
导出的行数(或全部)
|
250
|
|
export_object
|
从中导出数据的报表对象的名称
|
简单表 2
|
|
email_sender
|
电子邮件地址
|
joe@company.com
|
|
email_recipients
|
一个或多个电子邮件地址
|
tara@company.com,joy@company.com
|
|
审计的作业
|
[object_type] action_types
|
专用字段
|
|---|---|---|
|
在移动设备上订阅报表
|
[BIReportSubscription] 创建
|
client_id, location, server_app
|
|
从移动设备删除报表
|
[BIReportSubscription] 删除
|
client_id, location, server_app
|
|
打开、创建、保存、另存为或删除报表。
|
[Report.BI] 打开、创建、保存、删除
|
client_id, location, oldlocation(用于另存为)
|
|
移动、复制并粘贴或重命名报表。
|
[Report.BI] 移动、复制、重命名
|
client_id, location, oldlocation
|
|
通过电子邮件发送指向报表的链接。
|
[Report.BI] 发送电子邮件
|
client_id, location, email_sender, email_recipients
|
|
从报表内部的对象导出数据。
|
[Report.BI] 导出
|
client_id, location, export_object, export_rows, export_output
|
|
将报表中的部分或全部对象打印至 PDF。
|
[Report.BI] 打印
|
client_id, location, report_elements, server_app
|
|
通过传输服务自动刷新报表。
|
[Report.BI] 执行
|
client_id, location, server_app
|
|
从 UI 启动服务器(或触发自动启动)。
|
[Server.LASR] 启动
|
client_id, lasr_server_name
|
|
停止服务器。
|
[Server.LASR] 取消
|
client_id, lasr_server_name
|
|
读取 LASR 表。
|
[Table] 读取
|
client_id, location, lasr_server_name, table_name
|
|
读取源表(在导入或加载之前)。
|
[Table] 读取
|
client_id, location(源表)
|
|
加载、导入、或重新加载 LASR 表。
|
[Table] 添加
|
client_id, location, lasr_server_name, table_name
|
|
将表添加至并置或 NFS-mounted 存储。
|
[Table] 添加
|
client_id, location(在元数据中,新表)
|
|
卸载 LASR 表。
|
[Table] 释放
|
client_id, location, lasr_server_name, table_name
|
|
从并置 HDFS 中删除物理表。
|
[Table] 删除
|
client_id, location(HDFS 中)
|
|
追加、修改或删除行; 添加计算的列。
|
[Table] 更新
|
client_id, location, lasr_server_name, table_name
|
|
打开、创建、保存、另存为或删除数据查询。
|
[VisualDataQuery] 打开、创建、保存、删除
|
client_id, location, oldlocation(用于另存为)
|
|
移动或重命名数据查询。
|
[VisualDataQuery] 移动、重命名
|
client_id, location, oldlocation
|
|
运行数据查询。
|
[VisualDataQuery] 执行
|
client_id, location, elapsed_time
|
|
打开、创建、保存、另存为或删除探索。
|
[VisualExploration] 打开、创建、保存、删除
|
client_id, location, oldlocation(用于另存为)
|
|
移动、复制并粘贴或重命名探索。
|
[VisualExploration] 移动、复制、重命名
|
client_id, location, oldlocation
|
|
通过电子邮件发送指向探索的链接。
|
[VisualExploration] 发送电子邮件
|
client_id, location, email_sender, email_recipients
|
|
从探索内部的对象导出数据。
|
[VisualExploration] 导出
|
client_id, location, export_object, export_rows, export_output
|
|
将探索中的部分或全部对象打印至 PDF。
|
[VisualExploration] 打印
|
client_id, location, report_elements
|
|
访问加密的 SASHDAT(使用密码短语)。
|
[Library] 或 [Server.Hadoop] 读取
|
client_id、library_name 或 hadoop_server_name
|
|
对象类型 (ID)
|
操作类型 (ID)
|
|---|---|
|
Server.LASR (206)
|
启动 (34)、取消 (47)
|
|
Server.Hadoop (208)
|
读取 (45)
|
|
逻辑库 (31)
|
读取 (45)
|
|
表 (32)
|
读取 (45)、添加 (36)、释放 (48)、删除 (2)、更新 (1)
|
|
BIReportSubscription (827000)
|
创建 (0)、删除 (2)
|
|
Report.BI (106)
|
创建 (0)、删除 (2)、打开 (13)、保存 (53)、移动 (39)、重命名 (40)、复制 (16)、发送电子邮件 (44)、导出 (26)、打印 (7)、执行
(35)
|
|
VisualExploration (101)
|
创建 (0)、删除 (2)、打开 (13)、保存 (53)、移动 (39)、重命名 (40)、复制 (16)、发送电子邮件 (44)、导出 (26)、打印 (7)
|
|
VisualDataQuery (826001)
|
创建 (0)、删除 (2)、打开 (13)、保存 (53)、移动 (39)、重命名 (40)、执行 (35)
|