Découverte de l’audit

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 5 minutes de lecture

    • Suivez les modifications d'enregistrement sur les tables activées devant faire l'objet d'un audit. Par défaut, le système suit les modifications apportées aux tables d'incidents, de changements et de problèmes, entre autres.

    L’activation de l’audit permet de suivre la création, la mise à jour et la suppression de tous les enregistrements de la table. Si vous souhaitez auditer des champs individuels d’une table, vous pouvez masquer les champs que vous ne souhaitez pas suivre à l’aide d’un attribut de dictionnaire.

    Les informations d’audit sont conservées dans les tables suivantes :
    Avertissement :
    L’audit des tables système qui reçoivent une grande quantité de trafic, telles que les contextes de workflow [wf_context] ou les alertes Event Management [em_alert], peut avoir un impact sur les performances. Pour cette raison, vous ne pouvez pas auditer la table em_alert dans son ensemble. Vérifiez plutôt les champs d’intérêt sélectionnés. Défini audit=true à la fois sur la table em_alert et sur les champs sélectionnés. Essayez d’auditer le moins de champs possible.

    Audit des tables parent et enfant

    Les tables ne dérivent pas les marqueurs d’audit des tables auditées parents ou enfants.
    • Par exemple, si vous activez l’audit pour la table Éléments de configuration [cmdb_ci], seuls les CI stockés dans cette table de base sont audités.
    • De même, si vous activez l’audit pour la table Ordinateurs [cmdb_ci_computer], seuls les enregistrements CI de l’ordinateur sont audités, y compris tous les champs de la table Ordinateurs [cmdb_ci_computer] dérivés de la table Éléments de configuration [cmdb_ci].

    Audit des tables système

    Par défaut, le système n’audite pas la suppression d’un enregistrement des tables système. Pour auditer une table système, ajoutez-la à la liste des tables de la glide.ui.audit_deleted_tables liste des propriétés.

    Audit des suppressions à partir d’un formulaire ou d’une liste

    Par défaut, le système vérifie les suppressions d’enregistrements individuels d’un formulaire. Pour empêcher l’audit, définissez l’attribut no_audit_deletede dictionnaire de la table .

    Le système vérifie les suppressions d’une liste lorsqu’il est sélectionné dans le dictionnaire de table et que la table n’est pas répertoriée dans la glide.db.audit.ignore.delete propriété.
    Remarque :
    Par défaut, la glide.db.audit.ignore.delete propriété ne figure pas dans la table Propriétés système [sys_properties]. Pour modifier la propriété et ses valeurs associées, vous devez d’abord l’ajouter manuellement. Toutefois, lorsqu’il est ajouté manuellement, il remplace les valeurs par défaut suivantes :

    glide.db.audit.ignore.delete = sys_mutex,sys_db_cache,sys_lucene_block,sys_lucene_file,sys_lucene_directory,sys_user_preference,sys_audit,sc_cart,sc_cart_item,sys_trigger,wf_context,wf_activity,wf_condition,wf_executing,wf_history,wf_log,wf_transition,wf_transition_history, cmdb_ci_windows_service, cmdb_sam_sw_install, cmdb_software_instance, cmdb_sam_sw_usage, sam_sw_counter_detail

    Pour en savoir plus sur l’ajout de propriétés système, consultez Ajouter une propriété système

    Il convient de noter que, par défaut, les suppressions d’audit sont activées, que l’enregistrement soit supprimé de la vue de formulaire, de la vue de liste ou via un script/tâche planifiée.

    Informations vérifiées

    L’audit suit les changements d’enregistrement suivants :
    • Identificateur d’enregistrement unique (sys_id) de l’enregistrement qui a changé
    • Champ qui a changé
    • Nouvelle valeur du champ
    • Ancienne valeur du champ
    • Nombre de mises à jour de cet enregistrement et de ce champ
    • Date et heure auxquelles le changement s’est produit
    • Utilisateur ayant effectué le changement
    • Motif du changement (si un motif est associé au changement)
    • ID de point de contrôle interne pour l’enregistrement, si l’enregistrement a plusieurs versions.

    Informations exemptées d’audit

    Certaines mises à jour ne sont pas auditées malgré l’activation de l’audit sur une table. C’est pourquoi vous pouvez voir 132 mises à jour dans l’historique d’un enregistrement, mais seulement sept mises à jour vérifiées.
    L’audit exclut les informations suivantes :
    • Mises à jour effectuées par une mise à niveau.
    • Les mises à jour sont effectuées via des jeux d’importation.
    • Enregistrements dans des tables parent ou enfant.
    • Champs avec l’attribut de dictionnaire no_audit.
    • Les tables système ne sont pas répertoriées dans la glide.ui.audit_deleted_tables liste des propriétés.
    • Champs commençant par le préfixe sys_ (champs système), à l’exception des colonnes sys_class_name et sys_domain_id.
    • Les pages de l’interface utilisateur peuvent parfois déclencher des mises à jour d’enregistrement sans créer de journal d’audit.
    • Chaque fois qu’un moniteur d’inactivité touche un enregistrement. Cela vous empêche de voir des centaines de mises à jour répertoriées par rapport à un incident, le bruit noyant les données utiles.
    • Changements manuels des Analyse des performances scores.

    Audit d’une table

    Pour obtenir des instructions sur l’audit d’une table, reportez-vous à Configurer l’audit pour une table.
    Par défaut, le système suit tous les champs d’une table auditée. Vous pouvez auditer un sous-ensemble de champs dans une table de l’une des deux façons suivantes :
    • Vous pouvez activer l’audit pour l’ensemble de la table, puis exclure les champs que vous ne souhaitez pas inclure. Elle est appropriée lorsque vous souhaitez auditer la plupart des champs, mais pas tous, et est appelée liste d’exclusion. Pour plus d'informations, consultez Exclusion d’un champ de l’audit (liste d’exclusion).
    • Vous pouvez activer l’audit pour la table, mais uniquement pour les champs spécifiés. Cette propriété est appropriée lorsque vous souhaitez auditer uniquement un petit nombre de champs de la table et est appelée liste d’inclusion. Pour en savoir plus sur la façon d’inclure un champ à l’aide d’une liste d’inclusion, reportez-vous à la rubrique Inclusion d’un champ de table dans l’audit (liste d’inclusion).

    Enregistrements d’audit non annulables

    Réduisez les risques que les enregistrements d’audit ne soient pas enregistrés lorsqu’une transaction est annulée avec le nouveau paramètre par défaut.

    Des audits ont été définis pour créer un enregistrement immédiatement dans la même transaction que les opérations d’écriture d’enregistrement cible. Si l’enregistrement cible est supprimé, l’audit est quand même créé et conservé sous le module de suppression d’audit de test NCA .
    Remarque :
    Le processus d’audit amélioré est activé par défaut. Si la propriété glide.db.audit.lazy est définie sur True, le processus d’audit amélioré est désactivé.
    Avant la mise en Washington DC production, si une transaction est annulée, certaines opérations auditables n’étaient pas enregistrées. Cela est dû au fait que la plateforme exécute certaines opérations entre le changement d’enregistrement et l’annulation avant la création de l’audit. Désormais, les audits sont créés immédiatement après la modification de l’enregistrement, ce qui réduit les risques qu’une transaction annulée annule l’opération avant l’enregistrement de l’audit.
    Les audits sont maintenant enregistrés dans le même thread que la transaction. Les audits précédents ont été créés dans un thread d’arrière-plan. Ce changement redéfinit la valeur par défaut de la propriété glide.db.audit.lazy de True à False. Cette propriété n’est généralement pas définie dans la table Propriétés, car la majorité des instances commencent à utiliser la nouvelle valeur et le nouveau comportement par défaut. Sur certaines instances, cette propriété peut déjà être présente et définie sur True, ce qui signifie que ces instances ne seront pas en mesure d’utiliser ce changement pour auditer le comportement.
    Remarque :
    Il est recommandé de supprimer cette propriété pour tirer parti de la mise à jour.