스냅숏 데이터 캡처

이 문서에서는 엔터프라이즈 콘솔에서 필요할 때 또는 예약된 간격에 따라 스냅숏 데이터를 캡처하는 단계를 설명합니다.
cminderpim14kr
참고:
CA Business Intelligence에 대한 이 섹션은
2016년 4월 1일
이후 신규 고객에게는 해당되지 않지만
2016년 4월 1일
전에 제품을 구입한 고객에게는 여전히 해당됩니다.
이 문서에서는
Privileged Identity Manager
엔터프라이즈 콘솔에서 필요할 때 또는 예약된 간격에 따라 스냅숏 데이터를 캡처하는 단계를 설명합니다.
필요 시 스냅숏 데이터 캡처
일반적으로 보고서 데이터는 예약된 간격으로 스냅숏에 캡처됩니다. 필요할 때 스냅숏 데이터를 캡처할 수도 있습니다. 필요할 때 스냅숏 데이터를 캡처하면 데이터가 즉시 중앙 데이터베이스로 내보내집니다. 
참고:
  • 보고 스냅숏에 많은 양의 데이터가 포함되는 경우 스냅숏을 예약하기 위한 스냅숏 정의를 만드십시오. 데이터의 양이 많으면 스냅숏 데이터를 내보내는 데 시간이 오래 걸릴 수 있습니다.
  • 기본적으로 스냅숏 데이터를 캡처하려면 사용자에게 시스템 관리자 역할이 할당되어 있어야 합니다.
다음 단계를 수행하십시오.
  1. Privileged Identity Manager
    엔터프라이즈 콘솔에서
    보고서, 작업, 스냅숏 데이터 캡처
    를 차례로 클릭합니다.
  2. 캡처할 스냅숏 정의의 이름을 선택하고
    제출
    을 클릭합니다.
    스냅숏 데이터를 중앙 데이터베이스로 내보냅니다. 
  3. 제출된 작업 보기
    작업을 사용하여 작업의 진행 상황을 모니터링할 수 있습니다.
예약된 간격으로 스냅숏 데이터 캡처
보고서를 실행하고 보려면 먼저 스냅숏 정의를 만들고 스냅숏 데이터를 캡처해야 합니다. 스냅숏 정의는 보고서 데이터와 데이터 수집 일정을 지정합니다. 스냅숏 매개 변수 XML 파일은 수집할 보고서 데이터를 지정합니다. 이 XML 파일은 기본적으로 다음과 같은 소스의 데이터를 보고서 스냅숏에 캡처합니다.
  • Privileged Identity Manager
    끝점
  • UNAB 끝점
  • 공유 계정 관리
  • 사용자 저장소
팁:
가장 최신 데이터를 보려면 끝점 스냅숏보다 더 자주 스냅숏을 캡처하도록 예약하지 마십시오.
예:
매주 스냅숏 데이터를 전송하도록 끝점을 구성했다고 가정하겠습니다. 또한 엔터프라이즈 콘솔에서 매일 스냅숏을 캡처하도록 구성했습니다. 이러한 구성을 사용하면 보고서 데이터가 끝점에서는 매주 수집되지만 SAM과 사용자 저장소에서는 매일 수집됩니다. 결과적으로 보고서의 끝점 데이터는 오래된 데이터가 됩니다.
참고:
  • 기본적으로 스냅숏 정의를 만들려면 사용자에게 시스템 관리자 역할이 할당되어 있어야 합니다.
  • 여러 스냅숏 정의를 활성화하지 마십시오. 여러 스냅숏 정의가 사용되는 경우
    Privileged Identity Manager
    엔터프라이즈 콘솔은 일부 보고서를 성공적으로 실행할 수 없습니다.
다음 단계를 수행하십시오.
  1. Privileged Identity Manager
    엔터프라이즈 콘솔에서
    보고서
    ,
    작업
    ,
    스냅숏 정의 관리
    ,
    스냅숏 정의 만들기
    를 차례로 클릭합니다.
    "스냅숏 정의 만들기: 스냅숏 정의 선택" 페이지가 나타납니다.
  2. 스냅숏 정의 개체를 새로 만들거나 기존 개체의 사본을 사용하여 스냅숏 정의를 만드는 옵션을 선택합니다. 확인을 클릭합니다.
  3. 프로필
    탭에서 다음 필드를 완성합니다.
    • 스냅숏 정의 이름
      스냅숏 정의의 이름을 정의합니다.
    • 스냅숏 정의 설명
      스냅숏 정의를 설명하는 텍스트를 지정합니다.
    • 사용
      스냅숏을 캡처할지 여부를 지정합니다. 이 옵션을 사용하도록 설정하면
      Privileged Identity Manager
      엔터프라이즈 콘솔이 스냅숏을 캡처하며 사용자가 보고서를 볼 수 있습니다. 스냅숏은 한 번에 하나씩만 활성화할 수 있습니다.
    • 식별자
      보고서 스냅숏의 범위를 정의하는 스냅숏 매개 변수 XML 파일을 지정합니다.
      값:
      • HOST_PROTECTION.XML:
        Privileged Identity Manager
        끝점에서 보고 데이터를 수집합니다.
      • HOST_PROTECTION_SAM_LDAP.XML: LDAP 사용자 저장소를 사용하는
        Privileged Identity Manager
        및 SAM 끝점에서 보고 데이터를 수집합니다.
      • HOST_PROTECTION_SAM_RDB.XML:
        Privileged Identity Manager
        및 SAM 끝점에서 보고 데이터를 수집합니다.
      • HOST_PROTECTION_SAM_UNAB_LDAP.XML: LDAP 사용자 저장소를 사용하는
        Privileged Identity Manager
        , UNAB 및 SAM 끝점에서 보고 데이터를 수집합니다.
      • HOST_PROTECTION_UNAB_LDAP.XML: UNAB 끝점에서 보고 데이터를 수집합니다.
      • SAM_LDAP.XML: LDAP 사용자 저장소를 사용하는 SAM 끝점에서 보고 데이터를 수집합니다.
      • SAM_RDB.XML: SAM 끝점에서 보고 데이터를 수집합니다.
    • 마지막 유지
      중앙 데이터베이스에 저장되는 성공한 스냅숏의 수를 지정합니다. 스냅숏 수가 구성된 값에 도달하면 오래된 스냅숏이 삭제됩니다. 스냅숏 수는 0보다 커야 합니다. 최대 세 개의 성공한 스냅숏을 저장하십시오. 값을 지정하지 않으면 스냅숏이 무제한으로 데이터베이스에 저장됩니다.
      참고:
      PPM_AUDIT_DWH 테이블에는
      마지막 유지
      를 사용할 수 없습니다. 이 테이블에는 전체 기록이 유지 관리되고 각 스냅숏과 함께 새 행이 추가됩니다. 이 테이블에서는 데이터가 삭제되지 않으므로 테이블의 데이터가 계속 늘어납니다.
  4. 되풀이
    을 클릭하고
    일정
    을 선택합니다.
    • 스냅숏 실행 시간
      끝점에서 스냅숏을 실행하는 시간을 지정합니다.
    • 되풀이 패턴
      끝점에서 스냅숏을 실행하기 위한 되풀이 패턴을 지정합니다.
    • 제출
      을 클릭합니다.
스냅숏 정의를 만들고, 지정한 시간 및 빈도에 따라 스냅숏 데이터를 캡처하도록 일정을 구성했습니다.
보고서 스냅숏의 범위 제한
Privileged Identity Manager
엔터프라이즈 콘솔은 보고서 스냅숏을 캡처할 때 다음 스냅숏에서 데이터를 수집합니다.
  • Privileged Identity Manager
    끝점
  • UNAB 끝점
  • Privileged Identity Manager
    엔터프라이즈 콘솔의 SAM 데이터
  • 사용자 저장소의 데이터
엔터프라이즈 관리 서버는 보고서 데이터를 수집한 후 이 데이터를 중앙 데이터베이스에 저장합니다.
스냅숏 매개 변수 XML 파일은 엔터프라이즈 관리 서버가 수집하는 보고서 데이터를 지정합니다. 스냅숏 매개 변수 XML 파일을 사용자 지정하여 보고서 스냅숏의 범위를 제한할 수 있습니다.
예를 들어 Active Directory를 사용자 저장소로 사용하는 경우, 엔터프라이즈 관리 서버는 보고서 스냅숏을 캡처할 때 모든 Active Directory 사용자에 대한 데이터를 수집합니다. 이 작업은 완료하는 데 시간이 오래 걸릴 수 있습니다. 스냅숏을 캡처하는 데 걸리는 시간을 줄이려면 스냅숏 매개 변수 XML 파일을 사용자 지정하여 Active Directory 스냅숏의 범위를 제한할 수 있습니다.
다음 단계를 수행하십시오.
  1. 다음 디렉터리로 이동합니다. 여기서
    JBOSS_HOME
    은 JBoss가 설치된 디렉터리를 나타냅니다.
    JBOSS_HOME/server/default/deploy/IdentityMinder.ear/config/com/netegrity/ config/imrexport/sample
  2. 사용 사례에 가장 적합한 샘플 xml 파일을 복사합니다. 새 파일의 이름을 변경한 후 동일한 디렉터리에 저장하십시오. 스냅숏 매개 변수 XML 파일을 만들었습니다.
  3. 새 스냅숏 매개 변수 XML 파일을 엽니다.
  4. <!--IM COLLECTORS--> 섹션의 항목을 편집하여
    Privileged Identity Manager
    엔터프라이즈 콘솔이 사용자 저장소에서 수집하는 데이터의 범위를 지정합니다.
  5. 보고서 스냅숏에 포함하지 않을 구성 요소에 해당하는 <!--PUPM COLLECTORS--> 섹션의 항목을 주석 처리(!-- 및 --)합니다.
  6. (선택 사항) Active Directory 스냅숏의 범위를 제한합니다.
    1. LDAP 쿼리가 보고서 스냅숏을 제한하는 방법LDAP 구문 고려 사항 항목을 검토합니다.
      이 항목의 정보는 다음 단계를 통해 올바른 LDAP 쿼리를 정의하는 데 도움을 줍니다.
    2. <!--PUPM COLLECTORS--> 섹션에서 다음 요소를 찾습니다.
      <export object="com.ca.ppm.export.ADUsersCollector"> </export>
      이 요소는 스냅숏에 포함된 Active Directory 사용자 데이터를 지정합니다.
    3. 이 요소를 다음과 같이 편집합니다. 
      ldap_query
      는 데이터가 수집되는 대상 사용자를 정의하는 LDAP 쿼리를 지정합니다.
      <export object="com.ca.ppm.export.ADUsersCollector"> <where attr="%USER" satisfy="ANY"> <value op="EQUALS">(ldap_query)</value> </where> </export>
    4. <!--PUPM COLLECTORS--> 섹션에서 다음 요소를 찾습니다.
      <export object="com.ca.ppm.export.ADGroupsCollector"> </export>
    5. 이 요소를 다음과 같이 편집합니다. 
      ldap_query
      는 데이터가 수집되는 대상 그룹을 정의하는 LDAP 쿼리를 지정합니다.
      <export object="com.ca.ppm.export.ADGroupsCollector"> <where attr="%USER" satisfy="ANY"> <value op="EQUALS">(ldap_query)</value> </where> </export>
      Active Directory 스냅숏의 범위를 제한했습니다.
  7. 새 스냅숏 매개 변수 XML 파일을 저장하고 닫습니다.
  8. 새 스냅숏 매개 변수 XML 파일을 사용하도록
    Privileged Identity Manager
    엔터프라이즈 콘솔에서 스냅숏 정의를 수정합니다.
    캡처 스냅숏 작업이 실행되면 이 작업은 스냅숏 매개 변수 XML 파일에 지정한 데이터만 수집합니다.
예: 보고서 스냅숏 범위를
Privileged Identity Manager
끝점으로 제한
SAM 및 UNAB를 사용하지 않는 경우
Privileged Identity Manager
끝점의 데이터만 수집하도록 보고서 스냅숏 범위를 제한할 수 있습니다. 데이터 수집 범위를
Privileged Identity Manager
끝점으로 제한하려면 <-- PUPM COLLECTORS --> 섹션 아래에서 ReportIdMarkerCollector 항목을
제외한
모든 항목을 주석 처리(!-- 및 --)하십시오.
다음 코드는 ReportIdMarkerCollector 항목을 제외하고 <-- PUPM COLLECTORS --> 섹션 아래의 모든 항목을 주석 처리하도록 수정한 후 샘플 XML 파일의 코드 조각입니다.
<!--  PUPM COLLECTORS --> <!-- export object="com.ca.ppm.export.AccountPasswordCollector"> </export --> <!-- export object="com.ca.ppm.export.PPMRolesCollector"> <exportattr attr="|rolemembers|" /> </export --> <!-- export object="com.ca.ppm.export. PrivilegedAccountExceptionCollector"> </export --> <!-- export object="com.ca.ppm.export.PPMPasswordPolicyCollector"> </export --> <!-- export object="com.ca.ppm.export.ADUsersCollector"> </export --> <export object="com.ca.ppm.export.PPMAccountUserAccessCollector"> </export --!> <!-- export object="com.ca.ppm.export.ADGroupsCollector"> <exportattr attr="|groupmembers|" /> </export --> <export object="com.ca.ppm.export.ReportIdMarkerCollector"> </export>
스냅숏 매개 변수 XML 파일 구문 - 보고서 스냅숏 제한
스냅숏 매개 변수 XML 파일은
Privileged Identity Manager
엔터프라이즈 콘솔이 수집하는 보고서 데이터를 지정합니다. 스냅숏 매개 변수 XML 파일을 편집하여 보고서 스냅숏의 범위를 제한할 수 있습니다.
Privileged Identity Manager
엔터프라이즈 콘솔은 스냅숏 매개 변수 XML 파일에 정의된 조건을 충족하는 개체에 대해서만 보고서 데이터를 수집합니다. 파일의 각 수집기는
Privileged Identity Manager
엔터프라이즈 관리가 수집하는 여러 개체를 정의합니다.
각 수집기는 다음과 같은 구조를 갖습니다.
<export object=" "> <where attr=" " satisfy=" "> <value> </value> </where> <exportattr attr=" " /> </export>
참고:
<where>, <value> 및 <exportattr> 요소는 선택 사항입니다.
각 수집기는 다음 요소를 포함하고 있습니다.
<export> 
Privileged Identity Manager
엔터프라이즈 콘솔이 수집하는 개체 데이터를 나타냅니다. 예를 들어 <export> 요소는 엔터프라이즈 관리 서버가 사용자 데이터를 수집하도록 지정합니다.
<export> 요소는 하나 이상의 <exportattr> 및 <where> 요소를 포함할 수 있으며, 이 요소를 사용하여 특정 조건을 충족하는 데이터만 수집할 수 있습니다. <exportattr> 또는 <where> 요소를 지정하지 않으면
Privileged Identity Manager
엔터프라이즈 콘솔은 개체에 대한 모든 데이터를 수집합니다.
<export> 요소는 개체 매개 변수만 가집니다.
<where>
<value> 요소에 정의된 조건을 기준으로 수집된 데이터를 필터링합니다. <where> 요소는 하나 이상의 <value> 요소를 포함해야 합니다. 또한 필터를 구체화하기 위해 여러 개의 <where> 요소(OR 요소로 작동)를 지정할 수 있습니다.
매개 변수
Description
attr
필터에서 사용할 특성을 나타냅니다.
satisfy
개체 또는 특성을 수집하기 위해 일부 또는 모든 값 평가를 충족해야 하는지 나타냅니다.
  • ALL: 특성 또는 개체가 모든 값 평가를 충족해야 합니다.
  • ANY: 특성 또는 개체가 하나 이상의 값 평가를 충족해야 합니다.
<value>
<where> 요소에서 특성 또는 개체를 수집하기 위해 충족해야 하는 조건을 정의합니다. <value> 요소에는 연산자(op) 매개 변수가 필요합니다. 연산자는 EQUALS 또는 CONTAINS일 수 있습니다.
참고:
스냅숏 매개 변수 XML 파일의 <!--PUPM COLLECTORS--> 섹션에서 <value> 요소에 LDAP 구문을 사용할 수 있습니다. LDAP 구문을 사용하면
Privileged Identity Manager
엔터프라이즈 콘솔이 Active Directory에서 수집하는 사용자 및 그룹 데이터를 지정할 수 있습니다.
<exportattr>
수집할 특정 특성을 나타냅니다. 수집하는 개체에 대한 하위 특성을 수집하려면 <exportattr> 요소를 사용하십시오. 예를 들어 <exportattr> 요소를 사용하여 사용자 ID만 수집할 수 있습니다. <exportattr> 요소는 attr 매개 변수를 갖습니다.
개체
<where> 요소에 사용할 수 있는 특성
<exportattr> 요소에 사용할 수 있는 특성
role
이름 특성으로 필터링할 수 있습니다.
name - 필터를 충족하는 이름의 역할
다음 특성을 수집할 수 있습니다.
|tasks| - 역할과 연결된 모든 작업입니다.
|rules| - 역할에 적용되는 모든 구성원, 관리자, 소유자 및 범위 규칙
|users| - 역할의 모든 구성원, 관리자 및 소유자
|rolemembers| - 모든 역할 구성원
|roleadmins| - 모든 역할 관리자
|roleowners| - 모든 역할 소유자
user
well-known 또는 물리적 특성과 다음 특성:
|groups| - 그룹의 구성원
|roles| - 역할의 구성원
|orgs| - 필터를 충족하는 조직에 프로필이 있는 사용자
다음 특성을 수집할 수 있습니다.
|all_attributes| - 사용 가능한 모든 사용자 특성
|groups| - 사용자가 구성원 또는 관리자로 있는 모든 그룹
|roles| - 사용자가 구성원, 관리자 또는 소유자로 있는 모든 역할
그룹
well-known 또는 물리적 특성이나 다음 특성:
|groups| - 필터를 충족하는 그룹 내 중첩된 그룹 목록
well-known 또는 물리적 특성이나 다음 특성을 수집할 수 있습니다.
|all_attributes| - 디렉터리 구성 파일(directory.xml)에서 Group 개체에 대해 정의된 모든 특성
|groups| - 그룹 내 중첩된 모든 그룹
|users| - 그룹의 모든 구성원
|groupadmins| - 지정된 그룹의 관리자인 모든 사용자
|groupmembers| - 지정된 그룹의 구성원인 모든 사용자
|users| - 모든 그룹 관리자 및 구성원
organization
well-known 또는 물리적 특성
well-known 또는 물리적 특성이나 다음 특성을 수집할 수 있습니다.
|all_attributes| - 디렉터리 구성 파일(directory.xml)에서 Organization 개체에 대해 정의된 모든 특성
|orgs| - 조직 내 중첩된 모든 조직
|groups| - 조직의 모든 그룹
|users| - 조직의 모든 사용자
LDAP 쿼리가 보고서 스냅숏에서 사용자 및 그룹 데이터를 제한하는 방법
사용자 저장소로 Active Directory를 사용하는 경우 보고서 스냅숏에 캡처된 사용자 및 그룹 데이터를 지정할 수 있습니다.
사용자 및 그룹으로 Active Directory 데이터를 필터링하는 LDAP 쿼리를 스냅숏 매개 변수 XML 파일에서 사용할 수 있습니다. 하지만 역할 구성원 자격으로 Active Directory 데이터를 필터링하는 LDAP 쿼리를 사용할 수는 없습니다. LDAP 쿼리는 스냅숏 매개 변수 XML 파일의 <!--PUPM COLLECTORS--> 섹션에서만 사용할 수 있습니다.
다음 프로세스에서는 스냅숏 매개 변수 XML 파일의 LDAP 쿼리가 엔터프라이즈 관리 서버가 수집하는 Active Directory 데이터를 제한하는 방법을 설명합니다. 이 정보는 보고서 스냅숏을 제한하기 위해 올바른 LDAP 쿼리를 작성하는 데 도움을 줍니다.
엔터프라이즈 관리 서버는 Active Directory 보고서 스냅숏을 캡처할 때 다음을 수행합니다.
  1. 다음 요소 내에서 LDAP 쿼리에 지정된 Active Directory 사용자에 대해서만 데이터를 수집합니다.
    <export object="com.ca.ppm.export.ADUsersCollector">
    요소에 LDAP 쿼리가 없으면 엔터프라이즈 관리 서버는 스냅숏에 모든 Active Directory 사용자에 대한 데이터를 포함합니다.
  2. 다음 요소 내에서 LDAP 쿼리에 지정된 Active Directory 그룹에 대해서만 데이터를 수집합니다.
    <export object="com.ca.ppm.export.ADGroupsCollector">
    요소에 LDAP 쿼리가 없으면 엔터프라이즈 관리 서버는 스냅숏에 모든 Active Directory 그룹에 대한 데이터를 포함합니다.
참고
  • 엔터프라이즈 관리 서버는 1단계의 쿼리에서 반환되지 않은 모든 사용자에 대해 데이터를 수집하지 않습니다.
  • 사용자가 2단계의 쿼리에서 반환된 그룹의 구성원이지만 1단계의 쿼리에서 동일한 사용자가 반환되지 않으면 엔터프라이즈 관리 서버는 해당 사용자에 대한 데이터를 Active Directory 스냅숏에 수집하지 않습니다.
LDAP 구문 고려 사항
Active Directory 스냅숏의 범위를 제한하기 위해 LDAP 쿼리를 작성할 때는 다음 사항을 고려하십시오.
  • LDAP 쿼리에 다음과 같은 논리 연산자를 사용할 수 있습니다.
    • EQUAL TO ( = )
    • OR ( | )
    • AND ( & )
      참고:
      앰퍼샌드(&) 문자를 사용하는 데는 몇 가지 제한이 적용됩니다.
    • NOT ( ! )
    • 와일드카드( * )
  • 앰퍼샌드(&) 및 왼쪽 꺾쇠 괄호( < ) 문자는 다음과 같은 컨텍스트에서만 사용할 수 있습니다.
    • 태그 구분 기호로 사용
    • 주석 내에서 사용
    • 프로세싱 지침 내에서 사용
    • CDATA 섹션 내에서 사용
    다른 컨텍스트에서 앰퍼샌드 문자를 나타내려면 문자열
    &amp;
    또는 유니코드 문자 참조를 사용하십시오.
    다른 컨텍스트에서 왼쪽 꺾쇠 괄호 문자를 나타내려면 문자열
    &lt;
    또는 유니코드 문자 참조를 사용하십시오.
  • 오른쪽 꺾쇠 괄호(>) 문자는 CDATA 섹션의 끝( )을 표시하는 문자열 뒤에만 사용할 수 있습니다.
    다른 컨텍스트에서 오른쪽 꺾쇠 괄호 문자를 나타내려면 문자열
    &gt;
    또는 유니코드 문자 참조를 사용하십시오.
예: 앰퍼샌드 문자
스냅숏 매개 변수 XML 파일의 다음 코드 조각은 보고서 스냅숏에 모든 Active Directory 사용자 데이터를 포함합니다. 스냅숏의 LDAP 쿼리는 &amp; 문자열을 사용하여 앰퍼샌드를 나타냅니다.
<export object ="com.ca.ppm.export.ADUsersCollector"> <where attr="%USER%" satisfy="ANY"> <value op="EQUALS">(&#38;(objectClass=user))</value> </where> </export>