Subsistema de auditoría
El subsistema de auditoría proporciona una capacidad de auditoría integrada para los administradores del sistema, administradores de aplicaciones y auditores de la solución de IoT.
Para garantizar la integridad de los datos de auditoría, los registros no se pueden modificar. Además, los registros de auditoría no contienen información confidencial.
Cuando está activado y la opción Inicio automático está seleccionada, el subsistema de auditoría se inicia cuando se inicia ThingWorx Platform y se detiene cuando se detiene la instancia. Soporta las siguientes funciones de auditoría:
• Búsqueda de entradas de auditoría (utilice el servicio QueryAuditHistory).
• Archivado de entradas de auditoría en el almacenamiento fuera de línea (se realiza cada día automáticamente por defecto).
• Exportación de datos de auditoría, utilizando el idioma seleccionado para la exportación.
• Depuración de datos de auditoría en línea en función del número especificado de días que los datos de auditoría deben permanecer en línea y el número de filas que se deben conservar en línea, que se definen en la configuración del subsistema de auditoría.
• Auditoría de las acciones de inicio, detención y reinicio
• A partir de ThingWorx Platform v.8.5, el subsistema de auditoría permite auditar el cambio de contexto de seguridad de un usuario a otro, así como la elevación del contexto de seguridad a superusuario. Para obtener información detallada, consulte
Auditoría del cambio del contexto de seguridad .
 |
Por defecto, el subsistema de auditoría se desactiva para una nueva instalación o una actualización. Los administradores del sistema deberían consultar
Activación del subsistema de auditoría para obtener información sobre cómo activar el subsistema.
|
¿Qué actividades se auditan?
Las actividades de ThingWorx Platform pueden generar eventos. Por ejemplo, el inicio de una descarga de fichero genera un evento. Es posible que el usuario desee suscribirse a estos eventos y utilizarlos para activar otras acciones. La auditoría existe para los siguientes tipos de eventos integrados en ThingWorx:
• Eventos relacionados con cosas: ThingStart, FileTransfer y RemoteSession.
• Eventos de supervisión de seguridad: LoginSucceeded, LoginFailed, ApplicationKeySucceeded y ApplicationKeyFailed.
• Eventos del subsistema: a partir de ThingWorx Platform v.8.5.0, se auditan las acciones de inicio, detención y reinicio en los subsistemas. Se debe tener en cuenta que, en las acciones de reinicio, se muestra un mensaje de auditoría de reinicio y, en las acciones de inicio/detención, mensajes de auditoría en el registro de auditoría.
|
|
Los eventos ApplicationKeySucceeded y ApplicationKeyFailed solo se activan para las conexiones HTTP/HTTPS de REST.
|
Normalmente, una operación en una entidad de ThingWorx activa estos eventos:
• Los eventos relacionados con cosas se activan mediante operaciones que se pueden realizar en cosas, como el inicio y reinicio de una cosa, la transferencia de ficheros mediante el subsistema de transferencia de ficheros y la tunelización (evento RemoteSession).
• Los eventos de supervisión de seguridad son para los usuarios que acceden a ThingWorx.
• Los eventos del subsistema se activan al iniciar, detener o reiniciar un subsistema.
|
|
No se soporta la auditoría de eventos definidos por el usuario (personalizados).
|
Cuando se reinicia un subsistema, en función del estado del subsistema, se insertan dos o tres mensajes de auditoría. Tenga en cuenta los siguientes escenarios:
• Escenario: si el estado del subsistema es RUNNING, la operación Restart inserta tres mensajes.
◦ System Subsystem "FederationSubsystem" restarted
◦ System Subsystem "FederationSubsystem" stopped
◦ System Subsystem "Federation Subsystem" started
• Escenario: si el estado actual del subsistema no es RUNNING, la operación Restart inserta solo dos mensajes porque no se realiza la operación Stop.
◦ System Subsystem "FederationSubsystem" restarted
◦ System Subsystem "Federation Subsystem" started
Auditoría del cambio del contexto de seguridad
A partir de ThingWorx Platform v.8.5, el subsistema de auditoría permite auditar el cambio de contexto de seguridad de un usuario a otro, así como el contexto de elevación de seguridad a superusuario. Un ejemplo de cambio de contexto de seguridad se produce al invocar el método SecurityContext.createUserContext(User anotherUser) de la API de ThingWorx Extension. Este método permite que una extensión o un script cambie al contexto de seguridad de otro usuario. El método SecurityContext.createSuperUserContext() de la API de ThingWorx Extension permite que una extensión o un script cambien al contexto de seguridad del superusuario del sistema, lo que permite que el código de extensión acceda a todas las entidades a las que puede acceder un superusuario.
El cambio de contexto de seguridad suele producirse internamente en ThingWorx Platform para permitir que distintas funciones accedan a servicios y entidades que pueden no estar visibles para los usuarios estándar. Por este motivo, no se auditarán todos los cambios de contexto de seguridad. Solo se auditarán los cambios deliberados de contexto de seguridad que puedan indicar una infracción de seguridad.
La categoría de estos mensajes es SECURITY_CONFIGURATION.
Los mensajes de auditoría del cambio del contexto de seguridad son los siguientes:
audit.securityContext.SuperUser
User _currentUser__switched context to SuperUser within the Entity Context of __thingName__.
audit.SecurityContext.Changed
User __currentUser__ switched context to __username__within the Entity Context of __thingName__.
User _currentUser__switched context to SuperUser within the Entity Context of __thingName__.
audit.SecurityContext.Changed
User __currentUser__ switched context to __username__within the Entity Context of __thingName__.