Auditing erkunden

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Verfolgen Sie Datensatzänderungen in für Auditing aktivierten Tabellen. Standardmäßig verfolgt das System unter anderem Änderungen an den Incident-, Change- und Problem-Tabellen nach.

    Wenn Sie Auditing aktivieren, wird die Erstellung, Aktualisierung und Löschung aller Datensätze in der Tabelle nachverfolgt. Wenn Sie einzelne Felder in einer Tabelle prüfen möchten, können Sie Felder, die Sie nicht nachverfolgen möchten, mithilfe eines Dictionary-Attributs ausblenden.

    Audit-Informationen werden in den folgenden Tabellen gespeichert:
    Warnung:
    Die Überwachung von Systemtabellen, die eine große Menge Datenverkehr erhalten, z. B. Workflow-Kontexte [wf_context] oder Event Management-Warnungen [em_alert], kann Auswirkungen auf die Leistung haben. Aus diesem Grund können Sie die Tabelle em_alert nicht als Ganzes prüfen. Auditieren Sie stattdessen ausgewählte Interessenbereiche. Legen Sie audit=true sowohl für die Tabelle em_alert als auch für die ausgewählten Felder fest. Versuchen Sie, so wenige Felder wie möglich zu prüfen.

    Übergeordnete und untergeordnete Tabellen werden geprüft

    Tabellen leiten die Audit-Kennzeichnungen nicht von übergeordneten oder untergeordneten geprüften Tabellen ab.
    • Wenn Sie beispielsweise Auditing für die Tabelle „Konfigurationselemente“ [cmdb_ci] aktivieren, werden nur CIs geprüft, die in dieser Basistabelle gespeichert sind.
    • Wenn Sie analog dazu Auditing für die Tabelle „Computer“ [cmdb_ci_computer] aktivieren, werden nur die Computer-CI-Datensätze geprüft, einschließlich aller Felder in der Tabelle „Computer“ [cmdb_ci_computer], die von der Tabelle „Konfigurationselemente“ [cmdb_ci] abgeleitet ist.

    Systemtabellen werden geprüft

    Standardmäßig prüft das System nicht, ob ein Datensatz aus Systemtabellen gelöscht wird. Um eine Systemtabelle zu prüfen, fügen Sie sie der Liste der Tabellen in der Eigenschaftsliste glide.ui.audit_deleted_tables hinzu.

    Audits von Löschungen aus einem Formular oder einer Liste

    Standardmäßig prüft das System das Löschen einzelner Datensätze aus einem Formular. Um Auditing zu verhindern, legen Sie das Wörterbuchattribut der Tabelle fest no_audit_delete.

    Das System prüft Löschungen aus einer Liste, wenn es für das Wörterbuch der Tabelle ausgewählt ist und die Tabelle nicht in der Eigenschaft glide.db.audit.ignore.delete aufgeführt ist.
    Hinweis:
    Standardmäßig ist die Eigenschaft glide.db.audit.ignore.delete ] in der Tabelle „Systemeigenschaft“ [sys_properties] nicht vorhanden. Um die Eigenschaft und die zugehörigen Werte zu ändern, müssen Sie sie zuerst manuell hinzufügen. Beim manuellen Hinzufügen werden jedoch die folgenden Standardwerte überschrieben:

    glide.db.audit.ignore.delete = sys_mutex,sys_db_cache,sys_lucene_block,sys_lucene_file,sys_lucene_directory,sys_user_preference,sys_audit,sc_cart,sc_cart_item,sys_trigger,wf_context,wf_activity,wf_condition,wf_executing,wf_history,wf_log,wf_transition,wf_transition_history, cmdb_ci_windows_service, cmdb_sam_sw_install, cmdb_software_instance, cmdb_sam_sw_usage, sam_sw_counter_detail

    Weitere Informationen zum Hinzufügen von Systemeigenschaften finden Sie unter Systemeigenschaftenhinzufügen

    Es ist zu beachten, dass Audit-Löschungen standardmäßig aktiviert sind, unabhängig davon, ob der Datensatz aus der Formularansicht, Listenansicht oder durch ein Skript bzw. eine geplante Aufgabe gelöscht wird.

    Informationen geprüft

    Auditing verfolgt die folgenden Datensatzänderungen:
    • Eindeutiger Datensatzbezeichner (sys_id) des geänderten Datensatzes
    • Feld, das sich geändert hat
    • Neuer Feldwert
    • Alter Feldwert
    • Anzahl der Aktualisierungen dieses Datensatzes und Felds
    • Datum und Uhrzeit der Änderung
    • Benutzer, der die Änderung vorgenommen hat
    • Grund für den Change (falls ein Grund mit dem Change verknüpft ist)
    • Interne Prüfpunkt-ID für den Datensatz, wenn der Datensatz mehrere Versionen hat.

    Informationen, die von der Prüfung ausgenommen sind

    Einige Updates werden nicht geprüft, obwohl die Prüfung für eine Tabelle aktiviert ist. Aus diesem Grund werden im Verlauf eines Datensatzes möglicherweise 132 Aktualisierungen angezeigt, aber nur sieben geprüfte.
    Auditing schließt die folgenden Informationen aus:
    • Durch ein Upgrade vorgenommene Updates.
    • Aktualisierungen werden über Import Sets vorgenommen.
    • Datensätze in übergeordneten oder untergeordneten Tabellen.
    • Felder mit dem Wörterbuchattribut no_audit.
    • Systemtabellen sind in der Eigenschaftenliste glide.ui.audit_deleted_tables nicht aufgeführt.
    • Felder, die mit dem Präfix sys_ beginnen (Systemfelder), mit Ausnahme der Spalten sys_class_name und sys_domain_id.
    • UI-Seiten können manchmal Aktualisierungen eines Datensatzes auslösen, ohne ein Audit-Protokoll zu erstellen.
    • Jedes Mal, wenn eine Inaktivitätsüberwachung einen Datensatz berührt. Dadurch wird verhindert, dass möglicherweise Hunderte von Aktualisierungen für einen Incident angezeigt werden, wobei das Rauschen die nützlichen Daten übertönt.
    • Manuelle Änderungen an Performance Analytics Punktzahlen.

    Audit einer Tabelle

    Anweisungen zum Audit einer Tabelle finden Sie unter Auditing für eine Tabelle konfigurieren.
    Standardmäßig verfolgt das System alle Felder in einer geprüften Tabelle. Sie können eine Teilmenge von Feldern in einer Tabelle auf zwei Arten prüfen:
    • Sie können Auditing für die gesamte Tabelle aktivieren und dann die Felder ausschließen, die Sie nicht einbeziehen möchten. Es ist angemessen, wenn Sie die meisten, aber nicht alle Felder prüfen möchten, und wird als Ausschlusslistebezeichnet. Weitere Informationen finden Sie unter Feld von der Prüfung ausschließen (Ausschlussliste).
    • Sie können Auditing für die Tabelle aktivieren, aber nur für angegebene Felder. Dies ist angemessen, wenn Sie nur eine kleine Anzahl von Feldern der Tabelle prüfen möchten, und wird als Aufnahmelistebezeichnet. Informationen zum Einbeziehen eines Felds mithilfe einer Aufnahmeliste finden Sie unter Tabellenfelder in Audits einbeziehen (Inklusionsliste).

    Audit-Datensätze, die nicht abgebrochen werden können

    Reduzieren Sie mit der neuen Standardeinstellung die Wahrscheinlichkeit, dass Audit-Datensätze nicht aufgezeichnet werden, wenn eine Transaktion abgebrochen wird.

    Audits wurden so festgelegt, dass ein Datensatz sofort in derselben Transaktion mit den Schreibvorgängen für den Zieldatensatz erstellt wird. Wenn der Zieldatensatz gelöscht wird, wird das Audit weiterhin erstellt und im Modul „NCA Test Audit Delete“ gespeichert.
    Hinweis:
    Der erweiterte Auditprozess ist standardmäßig aktiviert. Wenn die Eigenschaft glide.db.audit.lazy auf Truefestgelegt ist, ist der erweiterte Audit-Prozess deaktiviert.
    Wenn vor Release Washington DC eine Transaktion abgebrochen wurde, konnten bestimmte auditierbare Vorgänge nicht aufgezeichnet werden. Dies liegt daran, dass die Plattform einige Vorgänge zwischen der Datensatzänderung ausführt und vor der Audit-Erstellung abgebrochen wird. Jetzt werden Audits jedoch unmittelbar nach der Änderung des Datensatzes erstellt, wodurch die Wahrscheinlichkeit verringert wird, dass eine abgebrochene Transaktion den Vorgang abbricht, bevor das Audit aufgezeichnet wird.
    Audits werden jetzt im selben Thread wie die Transaktion aufgezeichnet. Frühere Audits wurden in einem Hintergrund-Thread erstellt. Durch diese Änderung wird der Standardwert der Eigenschaft glide.db.audit.lazy von True in False neu definiert. Diese Eigenschaft wird normalerweise nicht in der Tabelle „Eigenschaften“ definiert, da die meisten Instanzen den neuen Standardwert und das neue Verhalten verwenden. In einigen Instanzen ist diese Eigenschaft möglicherweise bereits vorhanden und auf True festgelegt, was bedeutet, dass diese Instanzen diese Änderung nicht zum Audit-Verhalten verwenden können.
    Hinweis:
    Es wird empfohlen, diese Eigenschaft zu löschen, um das Update zu nutzen.