Логировать работу софта не имея доступа к его исходникам?

Question

[SparF]

Краткое описание задачи: есть некий софт (на java, без исходников) от некоего заграничного разработчика, который либо не желает вносить изменения в исходники, либо будет делать это очень долго. Есть требования безопасников к конечной системе на базе этого софта: должен логироваться доступ юзеров к некоторым объектам. Текущая версия программы это делать не умеет.

Как проще всего реализовать данный функционал?

На данный момент рассматривается следующее решение: decompile с последующим code injection через применение JBoss Javassist + java agent.

Возможно, что есть еще более короткий путь/более простая реализация/существующие решения.

Прошу знающих подсказать.

Answer 1

[ivnik]

аспекты, load time weaving

Answer 2

[javax]

как выше уже сказали — аспекты
посмотрите на aspectj, запустите приложение с аспектом, который запишет в файл лога все вызываемые методы, потом решите какие методы вам интересны, сделайте аспекты, которые их аргументы пишут и т.д.

Answer 3

[dborovikov]

Посмотрите jboss byteman

Answer 4

[merlin-vrn]

Объекты, о которых речь — сущности в программе или про них также знает что-то другое (ну, записи в БД, файлы)? Если второе, то можно настроить аудит средствами ОС и сервера БД.

Comments

[SparF]

К сожалению, софт сидит в базе под одной общей учеткой. Все разделение по доступу производится внутренними средствами самой программы.

[vlivyur]

Ну я б всё равно в БД покопался. Наверняка есть какие-то функции/процедуры для определения текущего пользователя. Особенно удобно будет, если доступ к данным через процедуры осуществляется.