Лог действий администратора в Navision

[chans_max]

Имеется система Navision работающая на MS SQL Server 2008
Возможно ли ввести отслеживание действий администрора, т.е. каким-либо образом вести лог (или создать таблицу) действий совершенных администратором(и) (в частости внесение изменений). Если да то как, и как сделать это малой кровью (ну или ткните где почитать).

Заранее благодарен.

[Sancho]

если администратор изменяет что-то в Наве, то есть стандартный "Протокол Изменений".
если администратор меняет что-то в SQL Server (или данные непосредственно через SQL), то даже и не знаю...

[chans_max]

Цитата:

Сообщение от Sancho

если администратор изменяет что-то в Наве, то есть стандартный "Протокол Изменений".
если администратор меняет что-то в SQL Server (или данные непосредственно через SQL), то даже и не знаю...

Мда это все-таки наверно на sql.ru надо обращатся. Неужели под навижн нет отдельной утилиты котороя бы вела логи действий админа в базе SQL?

[Fordewind]

Цитата:

Сообщение от chans_max

Мда это все-таки наверно на sql.ru надо обращатся. Неужели под навижн нет отдельной утилиты котороя бы вела логи действий админа в базе SQL?

С логами в Наве туго. Не то что с админскими, но и с пользовательскими.

[mazzy]

Цитата:

Сообщение от chans_max

Неужели под навижн нет отдельной утилиты котороя бы вела логи действий админа в базе SQL?

Э-э-э...
Вам же ответили "Протокол Изменений" (Change Log)
Вы ответ не поняли или вас не устраивает, что это встроенная функция?
Вы хотите именно отдельную утилиту? Зачем? И почему только для админа?

Цитата:

Сообщение от Fordewind

С логами в Наве туго. Не то что с админскими, но и с пользовательскими.

Мне кажется, что ты отвечаешь на вопрос, который еще не был задан

[mazzy]

та же тема этого же автора на форуме sql.ru
http://sql.ru/forum/actualthread.aspx?tid=641196

про change log уже сказано Лог действий администратора в Navision

[chans_max]

Цитата:

Сообщение от mazzy

Э-э-э...
Вам же ответили "Протокол Изменений" (Change Log)
Вы ответ не поняли или вас не устраивает, что это встроенная функция?
Вы хотите именно отдельную утилиту? Зачем? И почему только для админа?


Мне кажется, что ты отвечаешь на вопрос, который еще не был задан

Здраствуйте Mazzy, дело в том, что "Протокол Изменений" (Change Log), если я правильно все понимаю, не ведет лог изменений сделаных напрямую в базе (я ведь прав???)
сторонняя утилита виделась мне наиболее безболезненным вариантом выполнения задачи. Существование отдельной утилиты показалось мне вероятным ввиду явной не уникальности задачи.

Зачем это надо? все очень просто, пришел аудитор и задал вопрос: у вас 3 человека с правами администратора как вы проследите что никто из них не внес изменений и не спровоцировал диверсию. Оно понятно что грамотного админа уличить в диверсии можно только при последновательном термо-ректальном анализе..., кроме как доверение тут ничегоне поделаеш но тем не менее. Если есть задача - значит должно быть и решение, Если есть решение - то значит кто-то его уже сделать и сделал лучше тебя (в 90%)... поэтому вопрос и встал.

Если ответа нет значит делать все буду своими ручками, для чего и открыл тему на sql.ru

Всем большое спасибо.

[Fordewind]

Цитата:

Сообщение от chans_max

Зачем это надо? все очень просто, пришел аудитор и задал вопрос: у вас 3 человека с правами администратора как вы проследите что никто из них не внес изменений и не спровоцировал диверсию. Оно понятно что грамотного админа уличить в диверсии можно только при последновательном термо-ректальном анализе..., кроме как доверение тут ничегоне поделаеш но тем не менее. Если есть задача - значит должно быть и решение, Если есть решение - то значит кто-то его уже сделать и сделал лучше тебя (в 90%)... поэтому вопрос и встал.

Откуда только такие продвинутые аудиторы берутся.
У вас в компании все имеют доступ к бумаге для принтера. Как вы отследите кто ее спер себе домой или, еще коварнее, исчиркал ручкой и оставил в принтере?
Ну сделайте так, что у вас 3 админа и только 1 из них имеет право (на бумаге) вносить изменения в базу. А остальные два только через него.

[Fordewind]

Цитата:

Сообщение от mazzy

Мне кажется, что ты отвечаешь на вопрос, который еще не был задан

Ну а продолжение то обычно одно, хотя цели разные

[mazzy]

Цитата:

Сообщение от chans_max

если я правильно все понимаю, не ведет лог изменений сделаных напрямую в базе (я ведь прав???)

Прав.

Цитата:

Сообщение от chans_max

сторонняя утилита виделась мне наиболее безболезненным вариантом выполнения задачи. Существование отдельной утилиты показалось мне вероятным ввиду явной не уникальности задачи.

Да, тогда копайте в инструменты, которые работают с самим SQL.
Но и они не дадут 100% гарантии, поскольку изменения можно записать на диск напрямую в указанный сектор

Цитата:

Сообщение от chans_max

Зачем это надо? все очень просто, пришел аудитор и задал вопрос: у вас 3 человека с правами администратора как вы проследите что никто из них не внес изменений и не спровоцировал диверсию. Оно понятно что грамотного админа уличить в диверсии можно только при последновательном термо-ректальном анализе..., кроме как доверение тут ничегоне поделаеш но тем не менее. Если есть задача - значит должно быть и решение, Если есть решение - то значит кто-то его уже сделать и сделал лучше тебя (в 90%)... поэтому вопрос и встал.

Смотрите: аудитор задал вопрос не про "проследите", а про 3 человека.
Действительно ли только 3 человека имеют подобные полномочия?
Пересекаются ли полномочия этих людей во времени?
Думали ли вы о том, что некоторым людям даны излишние полномочия?
Кто будет виноват, если?

Т.е. аудитор спрашивал у вас скорее об административных мерах, а не об утилитке.
Что вы должны были ответить:
= права администратора только у 3 человек (другие не имеют подобных прав)
= права database creator у стольки то человек (другие не имеют подобных прав)
= права на непосредственную правку средствами SQL у стольки то человек (другие не имеют подобных прав)
= права на непосредственную правку при помощи Excel(!), Access(!) или других ODBC инструментов есть у стольки то человек (другие не имеют подобных прав)
= других возможностей несанкционированной правки данных нет(!)

по правам администраторов вы должны были ответить:
= администраторы работают круглосуточно, сменами по 8 часов.
= поэтому за несанкционированные изменения, выполненные любым образом с 8:00 по 16:00 отвечает Администратор1, с 16:00 по 24:00 отвечает Администратор2, а с 24:00 по 8:00 отвечает Администратор3
= меньшее количество администраторов невозможно для обеспечения заданного уровня надежности (хорошо бы ссылку на приказ)

Также вы должны были рассказать про мониторинг:
= в пересменку делается снапшот/бэкап
= такие-то настроечные таблицы сравниваются скриптом, при обнаружении расхождений алерт рассылается...

Что интересует аудитора: не гребанная(!) утилитка, а будут ли администраторы переводить стрелки друг на друга или для каждого администратора будет четко определена зона ответственности. В т.ч. уголовной.
Аудитора также интересует: есть ли у вас вообще процедура обнаружения несанкционированных изменений (для этого в вашей компании должно быть понимание какие изменения являются санкиоцнированными, а какие не являются)

Вот о чем спрашивает аудитор.
А не о "сторонней утилите".

Цитата:

Сообщение от chans_max

Если ответа нет значит делать все буду своими ручками, для чего и открыл тему на sql.ru

Типичный программист

Вы что именно будете делать?
Вы напишете определение несанкционированных измений?
Вы напишите утилитку, которая будет записывать ВСЕ изменения? Не мучайтесь - она уже есть. Называется Transaction log. Вот только он большой очень. И никто туда не смотрит.

Вы лучше закройте возможность пользователям непосредственно править данные через Excel/Access

Еще раз: аудитор спрашивает не утилиту. аудитор спрашивает - есть ли у вас понимание и предусмотрели ли вы процедуры обнаружения несанкционированных изменений.
Ваш ответ четко показывает: понимания у вас нет. процедур тоже.

[mazzy]

Цитата:

Сообщение от Fordewind

Откуда только такие продвинутые аудиторы берутся.

Обычные аудиторы. У них опросники есть.
Похоже компания автора вопроса проходит какую-нибудь сертификацию типа ISO9000 или что-нибудь в этом духе.

Цитата:

Сообщение от Fordewind

Ну а продолжение то обычно одно, хотя цели разные

Не. Нормальные инструменты.

Предпосылка1:
= администратор - царь, и бог, и воинский начальник в своем домене/зоне
= если человек не должен выполнять некоторых действий, значит он не должен иметь права администратора для этих действий.

Следствие1:
= действия администратора всегда санкционированы
= отслеживать действия администратора бесполезно
= отслеживать можно и нужно только действия обычного юзверя

Предпосылка2:
= код ERP-системы имеет права администратора над данными ERP-системы (это плохо, но в Навижине так)
= см. Предпосылка1 и Следствие1: действия кода отслеживать бесполезно

Следствие2:
= любой программист, который может изменить код, автоматически получает права администратора над данными, с которыми работает этот код.

Что делает Навижин:
Отслеживает юзверей. Но даже не пытается отслеживать администраторов и код ПРОГРАММНЫМИ средствами.
Потому что администраторов и код надо отслеживать внепрограммными.

[rmv]

Mazzy - красиво написано, тем не менее не думаю что проблема высосана из пальца.
К примеру, при тиражировании системы порой приходится сталкиваться как с открытым саботажем со стороны сотрудников, так и попытками администратора руками поправить кривые на его взляд (или взгляд главбуха) данные. Естественно изменение данных в учетных таблицах напрямое запрещено лицензией, отсюда прямой путь к SQL. Обвинять админа сложно , внедренцы сами порой чистия руками со своей лицензией, а бывают оставляют продвинутым админам инструкции на этот счет.
Ну а в результате имеем обвинения в невозможности работы в системе с одной стороны и крики "Нечего лазить руками в базу" с другой.
Доказательная база - это как раз лог, который так упорно пытается реализовать chans_max.
Общие рекомендации на sql.ru уже приведены, от себя хочу добавить:
1. Дырки в номерах операции - признак того, что операции удаляли.
2. Подозрение на ручную правку в записи учетной таблице можно проверить сравнив таймстампы подозрительной и соседних записей - cast(timestamp as bigint). Для того чтобы получить точное время модификации записи можно также сравнить с ближайшим по значению тайстамптом в change log entry.

[Alterant]

Цитата:

Сообщение от mazzy

...
= код ERP-системы имеет права администратора над данными ERP-системы (это плохо, но в Навижине так)
...
= любой программист, который может изменить код, автоматически получает права администратора над данными, с которыми работает этот код.

Может я не прав, но с моей точки зрения это не верно. Код Navision никаких прав над данными не имеет. Если у пользователя не будет прав на чтение/изменение данных таблицы, запуск того или иного отчета/формы/кодъюнита, то как бы он не пытался изменить данные, кодом или вручную, ничего у него не выйдет.
Даже если в самом объекте прописать разрешения (свойство Permissions), то пока пользователю не будет дано разрешение (полное или косвенное), он с данными сделать ничего не сможет.

[finn]

Да уж без 7300 гранулы никак таблицу фин. операций из NAV не покоцать. Только напрямую через SQL если идти....

http://blogs.technet.com/alexef/archive/20...ectedTable.aspx

http://blogs.technet.com/alexef/archive/20...7200vs7300.aspx

[mazzy]

Цитата:

Сообщение от rmv

К примеру, при тиражировании системы порой приходится сталкиваться как с открытым саботажем со стороны сотрудников, так и попытками администратора руками поправить кривые на его взляд (или взгляд главбуха) данные. Естественно изменение данных в учетных таблицах напрямое запрещено лицензией, отсюда прямой путь к SQL. Обвинять админа сложно , внедренцы сами порой чистия руками со своей лицензией, а бывают оставляют продвинутым админам инструкции на этот счет.

Повторюсь:

Смотрите: аудитор задал вопрос не про "проследите", а про 3 человека.
Действительно ли только 3 человека имеют подобные полномочия?
Пересекаются ли полномочия этих людей во времени?
Думали ли вы о том, что некоторым людям даны излишние полномочия?
Кто будет виноват, если?

Цитата:

Сообщение от rmv

Ну а в результате имеем обвинения в невозможности работы в системе с одной стороны и крики "Нечего лазить руками в базу" с другой.

Что значит "в невозможности"? Если это значит, что ошибки пользователей видны в базе, то да, видны

Цитата:

Сообщение от rmv

Доказательная база - это как раз лог, который так упорно пытается реализовать chans_max.

Вслушайтесь в слова "пытается реализовать chans_max".
Это ж пестня!
А кто даст гарантию, что его реализация не позволяет модифицировать лог

Админ - царь, бог и воинский начальник. В своем домене.

Цитата:

Сообщение от Alterant

Может я не прав, но с моей точки зрения это не верно.

Если человек может программить, то он может вставить кусок, который выполняется во время действий администратора.
Администратор зашел пользователя добавить, а при открытии формы с пользователями выполняется злой код

Поэтому лучше исходить из того, что любой программист и любой код в Навижине может получить привелегии Администратора.

[mazzy]

Цитата:

Сообщение от finn

Да уж без 7300 гранулы никак таблицу фин. операций из NAV не покоцать.

Значит, если хочется свалить вину на другого, нужно сделать такой код, который будет выполняться при заходе разработчика с такой гранулой. И позвать партнера.

Еще раз:
аудитора скорее всего не волнует, можно или нельзя сделать в принципе!
аудитора волнует, есть ли определение несанкционированного доступа в компании, есть ли процедура надежного обнаружения несанкционированного доступа, продуманы ли мероприятия, которые снижают риски несанкционированного доступа.

"попытка реализовать лог неким chans_max" НЕ снижает риск несанкционированного доступа. Наоборот, даже повышает.

[rmv]

Mazzy - спорить не буду, пусть каждый останется при своем мнении.

Очень рад, что Ваш код и проекты не содержат программных ошибок.
Вдвойне рад за пользователей, работающих в идеальной базе и не допускающих ошибок.
Рад втройне за клиентскую службу поддержки, все задачи которые видимо сводятся к своевременному созданию бэкапов.

Мне как разработчику продукта, потенциально содержащего ошибки, гораздо проще работать зная источник ошибки. Ради таких целей и создаются механизмы, позволяющие хотя на 90 процентов логировать несанкционнированные действия с данными (в моем контексте - минуя Навижн), либо хотя бы понимать что такие действия произошли.

PS. Вариантов защиты от действительно продвинутых администратов разумеется не существует, но как показывает практика это и не нужно.

[RedFox]

Цитата:

Сообщение от rmv

Мне как разработчику продукта, потенциально содержащего ошибки, гораздо проще работать зная источник ошибки. Ради таких целей и создаются механизмы, позволяющие хотя на 90 процентов логировать несанкционнированные действия с данными (в моем контексте - минуя Навижн), либо хотя бы понимать что такие действия произошли.

Вы сами написали возможный ответ на свой вопрос, именно "логировать несанкционнированные действия". Отсюда следует определить:
- - каким образом определять что действия несанкционированные?
- как нужно их блогировать или блокировать (триггеры, откаты, корректировка ЛОГа транзакций (если используется Recovery Model, отличный от Simple)?
- когда именно это нужно делать?

[rmv]

Цитата:

Сообщение от RedFox

Вы сами написали возможный ответ на свой вопрос, именно "логировать несанкционнированные действия". Отсюда следует определить:
- - каким образом определять что действия несанкционированные?
- как нужно их блогировать или блокировать (триггеры, откаты, корректировка ЛОГа транзакций (если используется Recovery Model, отличный от Simple)?
- когда именно это нужно делать?

RedFox для ответа на п. 1 специально для вас повторяю в моем контексте - минуя Навижн.
По п.2. Видимо блогирование - действительно свежая мысль, автоматом выложить в открытый доступ и устроить публичную порку, спасибо задумался . Корректировка лога транзакий - тоже интересная идея, видимо нужно писать парсер .
По п. 3 - Думаю нужно делать в момент совершения действия, так сказать в рамках одной транзакции. Если есть другие работающие идеи - с удовольствием выслушаю.

[RedFox]

Цитата:

Сообщение от rmv

RedFox для ответа на п. 1 специально для вас повторяю в моем контексте - минуя Навижн

Хорошо, тогда я тоже Вам уточняю, каким образом в SQL система должна определять, что ЭТО действия несанкционированные (извините, но в моём вопросе это подразумевалось!!!)?