| Oracle® Real User Experience Insightユーザーズ・ガイド リリース11.1 for Linux x86-64 B63041-01 |
|
 前へ |
 次へ |
この章では、トラフィックの監視のためにRUEIで使用されるコレクタ・プロファイルの使用方法およびセキュリティ関連設定の構成方法について説明します。また、ネットワーク・フィルタを設定して、特定のネットワーク、ホスト、仮想Local Area Network(VLAN)が取得されないようにしたり、監視対象トラフィック全体を減らす方法についても説明します。機密データのセキュリティを維持するために、HTTPプロトコル・アイテム(URL引数、HTTPヘッダー、Cookieなど)のマスキング・アクションを指定することもできます。また、暗号化で保護されたトラフィックを処理するWebサーバーの秘密鍵の管理についても説明します。
すべてのセキュリティ関連情報の管理は、セキュリティ担当者が担当します。
コレクタの管理を容易にするため、各コレクタは1つのコレクタ・プロファイルに割り当てられます。コレクタ・プロファイルの構成が変更された場合、それらは割当て済のすべてのコレクタに自動的に適用されます。
インストール時に、事前定義済のコレクタ・プロファイル(System)が作成されます。これはデフォルトのコレクタ・プロファイルです。レポート要件に応じて追加のプロファイルを作成するには、既存のプロファイルをコピーして、それを新規プロファイルのベースとして使用します。ユーザー定義のコレクタ・プロファイルとは異なり、Systemコレクタ・プロファイルは削除できないことに注意してください。
現在使用可能なコレクタ・プロファイルを表示するには、「Configuration」→「Security」→「Collector profiles」の順に選択します。例を図13-1に示します。
各コレクタ・プロファイルでは、表13-1に示すオプションをコンテキスト・メニューで使用できます。
表13-1 コレクタ・プロファイルのコンテキスト・メニュー
| オプション | 説明 |
|---|---|
|
Configure |
選択したプロファイルに割り当てられているすべてのコレクタの構成を指定できます。それには、ネットワーク・フィルタ、コレクタでリスニングするTCPポート、およびセキュリティで保護されたトラフィックの復号化に使用する秘密鍵の使用が含まれます。この詳細は、13.1.2項「コレクタ・プロファイルの構成の変更」に記載されています。プロファイルの構成を変更した後に、プロファイルに割り当てられているコレクタを自動的に再起動するか、または手動による再起動を要求するメッセージを表示するかを指定できます。この詳細は、13.1.5項「コレクタの再起動」に記載されています。 |
|
Copy |
選択したコレクタ・プロファイルを新規プロファイルのベースとして使用します。この詳細は、13.1.1項「コレクタ・プロファイルの作成」に記載されています。 |
|
Edit properties |
コレクタ・プロファイルの名前および簡単な説明を変更できます。デフォルトのコレクタ・プロファイルのプロパティは変更できないことに注意してください。 |
|
Remove |
選択したコレクタ・プロファイルを削除します。選択したプロファイルにコレクタが割り当てられている場合、それらは自動的にデフォルトの(System)コレクタ・プロファイルに再割り当てされることに注意してください。デフォルトのコレクタ・プロファイルは削除できません。 |
新規コレクタ・プロファイルを作成する手順は、次のとおりです。
「Configuration」→「Security」→「Collector profiles」の順に選択します。現時点で定義されているコレクタ・プロファイルが表示されます。例を図13-1に示します。
新規プロファイルのベースとして使用するコレクタ・プロファイルのコンテキスト・メニューで「Copy」を選択します。図13-2に示すダイアログが表示されます。
新規コレクタ・プロファイルに一意の名前および必要に応じて簡単な説明を指定します。この説明にはプロファイルの目的と有効範囲を示すことをお薦めします。次に、「Save」をクリックします。新規プロファイルが作成されると、使用可能なコレクタ・プロファイルのリストに表示されます(図13-1)。
新規コレクタ・プロファイルを監視要件に応じて構成します。この詳細は、13.1.2項「コレクタ・プロファイルの構成の変更」に記載されています。
作成された新規プロファイルの構成は、ベースとなるプロファイルと同じです。その構成を要件に応じて変更する手順は、次のとおりです。
使用可能なコレクタ・プロファイルのリスト(図13-1)から目的のプロファイルをクリックするか、コンテキスト・メニューで「Configure」を選択します。ウィンドウが開き、選択したプロファイルに現在割り当てられているコレクタが表示されます。例を図13-3に示します。
「Configuration」メニュー→「Configure」の順に選択して、コレクタ・プロファイルの構成を変更します。表13-2に示すオプションがあります。
表13-2 コレクタ・プロファイルの「Configuration」のオプション
| オプション | 説明 |
|---|---|
|
Protocols |
プロファイルに割り当てられているコレクタでリスニングするTCPポートを指定するには、このオプションを選択します。この詳細は、13.2項「監視の有効範囲の管理」に記載されています。 |
|
Network filters |
プロファイルに割り当てられているコレクタの監視対象をネットワーク・トラフィックの特定のセグメントに制限するか、または特定のサーバーやサブネットに制限するかを指定するには、このオプションを選択します。この詳細は、13.3項「ネットワーク・フィルタの定義」に記載されています。 |
|
SSL鍵 |
暗号化されたコンテンツを監視するため、プロファイルに割り当てられている各コレクタにインポートする証明書を指定するには、このオプションを選択します。この詳細は、13.4項「SSL鍵の管理」に記載されています。 |
|
Collector restart method |
構成を変更した後で、プロファイルに割り当てられているコレクタを自動的に再起動するかどうか指定するには、このオプションを選択します。この詳細は、13.1.5項「コレクタの再起動」に記載されています。 |
プロファイルに割り当てられているコレクタは、レポート要件に応じて別のコレクタに簡単に再割り当てできます。たとえば、ネットワーク・トラフィックのパターンまたはセキュリティ要件が変更された場合などです。コレクタを再割り当てする手順は、次のとおりです。
コレクタの現在の割当て先であるプロファイルを選択します。図13-3に示すようなウィンドウが表示されます。
コレクタのコンテキスト・メニューで「Assign profile」オプションを選択します。図13-4に示すダイアログが表示されます。
コレクタの新しい割当て先となるプロファイルを選択します。次に、「Save」をクリックします。
選択したプロファイルにコレクタが割り当てられると、図13-5に示すステータス・メッセージが表示されます。
このステータス・メッセージは最大で60秒間表示されます。その後、コレクタが自動的に再起動されるか、手動による再起動を要求するメッセージが表示されます。詳細は、13.1.5項「コレクタの再起動」を参照してください。
|
重要: 新規プロファイルのセグメンテーション・スキームが以前のプロファイルと異なる場合、新規プロファイルと一貫性が保たれるようにコレクタのセグメンテーション・スキームが調整されることに注意してください。したがって、トラフィック・フィルタの設定を新規プロファイルに割り当てた後で確認することを強くお薦めします。詳細は、13.3.3項「全体のトラフィックの制限」を参照してください。 |
複数のコレクタの割当て
異なるプロファイルに複数のコレクタを割り当てる場合は、「Configuration」メニューの「Multiple selection」オプションを使用できます。目的のコレクタをクリックしてから、ツールバーの「Assign profile」コマンド・ボタンをクリックします。
新規コレクタをシステムに登録する手順は、次のとおりです。
「Configuration」→「Security」→「Collector profiles」の順に選択します。現時点で定義されているコレクタ・プロファイルがリストされます。例を図13-1に示します。
新規リモート・コレクタを登録するプロファイルを選択します。または、コンテキスト・メニューで「Configure」を選択します。選択したプロファイルに現在割り当てられているコレクタがリストされます。例を図13-3に示します。
「Configure」メニューで「Register remote Collector」オプションを選択します。図13-6に示すダイアログが表示されます。
新規コレクタ・システムのIPアドレスおよび必要に応じて簡単な説明を指定します。これには、その有効範囲と目的を示すことをお薦めします。次に、「Register」をクリックします。コレクタ・システムの構成要件は、『Oracle Real User Experience Insightインストレーション・ガイド』を参照してください。
コレクタ・プロファイルでなんらかの構成を変更した場合、変更を有効にするには、そのプロファイルに割り当てられているすべてのコレクタを再起動する必要があります。この再起動は自動(デフォルト)または手動のいずれかで実行できます。コレクタの再起動の方法を構成する手順は、次のとおりです。
使用可能なコレクタ・プロファイルのリスト(図13-1)から目的のプロファイルをクリックするか、コンテキスト・メニューで「Configure」を選択します。ウィンドウが開き、選択したプロファイルに現在割り当てられているコレクタが表示されます。例を図13-3に示します。
「Configuration」メニュー→「Configure」→「Collector restart method」の順に選択します。図13-7に示すダイアログが表示されます。
「Restart method」メニューを使用して、選択したプロファイルに割り当てられているコレクタを、プロファイルの構成を変更した後で自動的に再起動(デフォルト)するか、または手動による再起動を要求するかを指定します。次に、「Save」をクリックします。
コレクタの手動による再起動
Configure network data Collectorsウィンドウに再起動を要求するメッセージが表示されるまで、コレクタは再起動できません。例を図13-8に示します。
個々のコレクタを再起動するには、コンテキスト・メニューで「Restart」を選択します。コレクタ・プロファイルに多数のコレクタが含まれている場合は、「Configuration」メニューの「Restart all Collectors」オプションを使用した方が便利です。
リモート・コレクタ・システムでメンテナンスまたはトラブルシューティングを実行するときは、コレクタ・インスタンスを停止する必要が生じる可能性があります。この場合は、コレクタのコンテキスト・メニューで「Disable」を選択します。次に、「Restart」オプションを選択すると、コレクタに監視を再開するように指示できます。
リモート・コレクタ・システムが廃止された場合は、インストール済RUEIからそれを削除する必要があります。それには、コレクタのコンテキスト・メニューで「Unregister」オプションを選択します。確認後に、レポータのコレクタ・システムへの接続が中止されます。ローカル・コレクタ・インスタンスは登録解除できないことに注意してください。
ローカル・コレクタ
レポータ・システムのローカル・コレクタ・インスタンスは、System(localhost)項目で表します。インストール後はまだ有効化されておらず、現在定義されているすべてのコレクタ・プロファイルに表示されることに注意してください。特定のプロファイルで有効になると、選択したコレクタ・プロファイルのみで表示されます。ローカル・コネクタ・インスタンスは登録解除できません。
RUEIでは、監視対象のTCPポートを指定して、トラフィック監視の有効範囲を設定します。監視対象外のポートについては、何の情報も表示されません。監視対象および監視対象外のTCPポート(HTTPおよびHTTPSの両方)の選択について、注意深く確認することをお薦めします。
現在監視対象であるポートを表示するには、「Configuration」→「Security」→「Protocols」の順に選択します。例を図13-9に示します。
この設定を変更する手順は、次のとおりです。
「Profile」メニューを使用して、目的のコレクタ・プロファイルを選択します。
ポート設定を変更するプロトコルをクリックします。表13-3に使用可能な設定を示します。
表13-3 プロトコル設定
| プロトコル | 説明 |
|---|---|
|
HTTP/Forms servlet mode |
プロファイルのコレクタがFormsサーブレット・トラフィックをリスニングするポートを指定します。このオプションはEBSベース・トラフィック専用です(付録M「Oracle E-Business Suite(EBS)のサポート」を参照)。 |
|
Forms socket mode |
プロファイルのコレクタがソケット・モードのFormsトラフィックをリスニングするポートを指定します。このオプションはEBSベース・トラフィック専用です(付録M「Oracle E-Business Suite(EBS)のサポート」を参照)。 |
|
HTTP |
プロファイルのコレクタがHTTPトラフィックをリスニングするポートを指定します。この設定は「純粋な」HTTPトラフィックに対してのみ使用してください。 |
|
HTTPS proxy |
SSLトラフィックの送信先のプロキシ・サーバーのポート番号を指定します。次の点に注意してください。
|
|
HTTPS |
プロファイルのコレクタがHTTPSトラフィックをリスニングするポートを指定します。インストール時には、デフォルトの監視対象ポートとしてHTTPSポート443が定義されます。 |
図13-10に示すようなダイアログが表示されます。
新規のポート番号を追加するには、「Port number」フィールドに目的の番号を入力し、「Add」をクリックします。リストからポートを削除するには、ポートの右側にある「Remove」アイコンをクリックします。次に、「Save」をクリックします。
|
重要: 各プロトコルに指定するポート番号はコレクタ・プロファイル内で重複しないようにしてください。つまり、1つのポート番号は、1つのプロトコルの割当てポート番号リストのみに指定する必要があります。 |
再起動を要求するメッセージが表示されたら、プロファイルに割り当てられているコレクタを再起動します。この詳細は、13.1.5項「コレクタの再起動」に記載されています。
ポート番号の他に、ネットワーク・フィルタを使用しても、監視するトラフィックの有効範囲を管理できます。また、監視対象を特定のサーバーやサブネットに制限したり、パケットの取得レベルを制限できます。
ネットワーク・フィルタを定義または変更する手順は、次のとおりです。
「Configuration」→「Security」→「Network filters」の順に選択します。
「Profile」メニューを使用して、目的のコレクタ・プロファイルを選択します。現時点で定義されているネットワーク・フィルタが表示されます。例を図13-11に示します。
次の項で説明しているフィルタを使用して、監視対象トラフィックの有効範囲を管理します。
再起動を要求するメッセージが表示されたら、プロファイルに割り当てられているコレクタを再起動します。この詳細は、13.1.5項「コレクタの再起動」に記載されています。
フィルタを定義すると、監視対象の有効範囲を特定のサーバーやサブネットに制限できます。この機能は、コレクタ・プロファイルにコレクタが1つ以上割り当てられている場合にのみ使用できることに注意してください。次の手順を実行します。
「Add new filter」をクリックして新しいフィルタを定義するか、または既存のフィルタをクリックして変更します。図13-12に示すダイアログが表示されます。
「Server IP address」と「Netmask」フィールドを使用して、コレクタでリスニングするアドレスを指定します。これは、ネットワーク・スペシャリストに相談した上で行うことをお薦めします。次に、「Save」をクリックします。
ネットワークおよびVLANフィルタを使用できる以外にも、他のフィルタが適用された後に残るトラフィック全体のどの程度を実際に監視するかも指定できます。デフォルトでは、残るすべてのトラフィックが監視されます。
トラフィック全体の監視レベルを指定する手順は、次のとおりです。
図13-11に表示されている「Traffic filter」の現在の設定をクリックします。図13-14に示すダイアログが表示されます。
「Filtering scheme」メニューを使用して、物理IPアドレスと機能IPアドレスのどちらに基づいてネットワーク・トラフィックのフィルタリングを行うかを指定します。
デフォルトでは、ネットワーク・トラフィックのフィルタリングは物理IPアドレスに基づいて行われます。つまり、IPアドレスがIPパケットから取得されます。ただし、コレクタがCDNデバイスまたはプロキシ・サーバーの後ろにインストールされている場合は、機能IPアドレスに基づいたフィルタリングをお薦めします。この場合は、次の点に注意する必要があります。
機能IPアドレスが使用できない場合は、IPパケットから取得されたIPアドレスがかわりに使用されます。
ネットワーク・フィルタリングで構成済のクライアントIPヘッダーを使用すると、かなりの処理オーバーヘッドがコレクタで発生します。監視対象のトラフィックでSSL暗号化が使用されている場合は特に増加します。物理アドレスのフィルタリングはTCPレベルで実行できるのに対して、機能IPアドレスのフィルタリングは通常はHTTPレベルで実行する必要があるためです。
「Packet capture」メニューを使用して、プロファイルのコレクタで監視する必要のあるトラフィックの一部を指定します。表13-4に使用可能なオプションを示します。
表13-4 Packet captureスキーム
| オプション | 説明 |
|---|---|
|
All traffic |
他のフィルタが適用された後に残るすべてのトラフィックを監視するように指定します。これがデフォルトです。 |
|
Specified domains |
アプリケーション、スイートおよびサービスの定義で明示的に指定されたドメインのみに監視対象を制限するように指定します。 |
|
Traffic sampling |
トラフィックの一部のみを監視対象とすること、およびその割合を指定します。たとえば、4つのコレクタが構成されているインストール環境がある場合は、各コレクタでパケット・ストリームを同じ割合(4分の1ずつ)で監視できます。 |
|
Load balancing |
コレクタ・プロファイル内のコレクタ間でパケット・ストリームを分散し、各コレクタが一部ずつ取得して監視するように指定します。この構成でサポートされるコレクタ数は2~16個です。コレクタの割り当てには次の種類があります。
このオプションは、コレクタ・プロファイルにコレクタが1つ以上割り当てられている場合にのみ使用できます。 |
次に、「Save」をクリックします。
再起動を要求するメッセージが表示されたら、プロファイルに割り当てられているコレクタを再起動します。この詳細は、13.1.5項「コレクタの再起動」に記載されています。
前述の設定では、合計ネットワーク・トラフィックの何分の1を測定するかを指定しています。したがって、トラフィックの1/2を監視対象とするよう指定した場合は、監視対象の1/2のみがレポートされます。100%未満の設定を使用する場合、レポートされる情報は実際のトラフィック全体ではなく選択したサンプルを反映していることを忘れないようにしてください。
トラフィックの監視はIPアドレスに基づいて行われます。このことは、使用する設定に関係なく、すべてのユーザー・セッションが記録されることを意味します。ただし、これらのセッションの数は選択した設定によって決まります。
暗号化データ(HTTPSやSSLなど)を監視するようRUEIを構成できます。この構成を行うには、WebサーバーのSSL秘密鍵のコピーをRUEIにインポートする必要があります。暗号化されたコンテンツを監視するための証明書をインポートする手順は、次のとおりです。
「Configuration」→「Security」→「SSL keys」→「SSL keys management」の順に選択します。「Profile」メニューを使用して、目的のコレクタ・プロファイルを選択します。現時点でインストール済の鍵のリストが表示されます。例を図13-15に示します。
「Add new key」をクリックして新規の鍵を定義します。既存のSSL鍵の定義は変更できないことに注意してください。図13-16に示すダイアログが表示されます。
「Key」フィールドを使用して、鍵を含むファイルを指定します。鍵が暗号化されている場合は、パスフレーズを指定する必要があります。次に、「Install key」をクリックします。
証明書が暗号化されてディスク上に配置されます。
|
注意: PEM、DERまたはPKCS12形式のファイルを指定でき、ファイルには鍵および一致する証明書が含まれている必要があります。鍵はRSA鍵である必要があります。40ビット鍵(DES_40、RS2_4-0、RC4_40など)を使用する暗号化プロトコルはサポートされていないことに注意してください。 |
サポートされる暗号化プロトコルとメカニズム
Message Authentication Code(MAC)では、MD5、SDA-1およびSDA-2機能がサポートされます。SSL v3およびTLS v1.0暗号化プロトコルもサポートされます。現在サポートされているすべての暗号化アルゴリズムは、Collector statisticsウィンドウの「SSL connections」セクションに表示されます(15.2項「コレクタのステータスの表示」を参照)。
SSLトラフィックの監視
SSLトラフィックおよびOracle Formsトラフィックは両方とも、TCPパケット・ストリームの中断によって影響を受けやすいことに注意してください。これらのトラフィックでは、接続中は状態情報を維持する必要があり、パケットが失われるとこの情報が失われる可能性があるためです。この場合は、RUEIが接続の監視およびレポートを正しく実行できなくなります。
したがって、各コレクタが信頼性の高いネットワーク・デバイス(TAPなど)に接続されることを確認する必要があります。また、Collector Statisticsウィンドウ(15.2項「コレクタのステータスの表示」を参照)に表示される情報を定期的に調べて、TCPパケット・ストリームが正常な状態であることを確認するように強くお薦めします。TCPおよびSSLの接続エラーのレポートには特に注意する必要があります。
オプションで、保留中のSSL鍵の有効期限に関する通知を構成できます。これにより、新規の鍵のインポートを計画でき、新規の鍵を取得してアクティブ化する間に監視対象データにずれが生じることがなくなります。次を実行します。
タスクバーにある「Monitor key expiration」アイコンをクリックします。アイコンが未表示の場合は、「Configuration」→「Security」→「SSL keys」→「SSL keys management」の順に選択します。図13-17に示すダイアログが表示されます。
有効期限より何日前に通知を生成する必要があるか、その日数を指定します。その他のタブにあるコントロールを使用して、電子メール、SNMPおよびテキスト・メッセージの通知詳細を指定します。これらは7.5.1項「アラート・プロファイル」で説明したダイアログと似ています。次に、「Save」をクリックします。
再起動を要求するメッセージが表示されたら、プロファイルに割り当てられているコレクタを再起動します。この詳細は、13.1.5項「コレクタの再起動」に記載されています。
|
注意: 期限切れのSSL鍵がないかどうかのチェックが、1日に1回6:00AM(レポータ・システム時間)に実行されるようスケジュールされます。 |
RUEIインストールは機密情報をログに記録しないように構成できます。これをマスキングと呼びます。これによって、パスワード、クレジット・カード情報などの機密情報をディスクに記録しないようにできます。RUEIのセキュリティ機能によって、POST URL引数、HTTPヘッダー、Cookieとその値、Oracle Forms要素およびURLの内容のログを制御できます。
|
注意: 定義するマスキング・アクションはすべての監視対象ドメインに適用されます。 |
マスキングを実装する手順は、次のとおりです。
「Configuration」→「Security」→「Masking」の順に選択し、構成するHTTPプロトコル・アイテムについて適切なオプションを選択します。たとえば、「URL prefix masking」を選択します。図13-18に示すようなウィンドウが表示されます。
選択したHTTPプロトコル・アイテムについて現時点で定義されているマスキングが表示されます。
「Add new masking」をクリックして新しいマスキングを定義するか、既存のマスキングをクリックして変更します。図13-19に示すようなダイアログが表示されます。
ログを制御するアイテムの名前を指定します。選択したプロトコル・アイテムに応じて、POST URL引数の名前、Cookie名または値、Oracle Forms要素、またはHTTPヘッダーやURL接頭辞内のアイテムを指定します。URL接頭辞のマスキングを定義する手順は、この項で後から説明します。
定義するアイテムに割り当てるマスキング・アクションを選択します。表13-5に、URL接頭辞以外のプロトコル・アイテムで使用可能なオプションを示します。
表13-5 マスキング・アクション
| オプション | 説明 |
|---|---|
|
Default |
選択したHTTPプロトコル・アイテムの定義済デフォルト・アクションをこのアイテムに対して実行するように指定します。この機能の使用方法は次の項に記載されています。 |
|
Hashed |
計算されたハッシュ値でアイテムの内容を置き換えてログに記録するように指定します。ハッシュは比較に使用可能な一意の値であるものの、判読可能な形式ではありません。たとえば、5つの異なるユーザーIDでログインすると、5つの異なるハッシュを受け取りますが、同じビジターによる複数セッションでは、同じハッシュを受け取ります。この作成された(ハッシュされた)値には一意性がありますが、それ自体は実質的な値ではありません。 |
|
Blinded |
アイテムの元の内容をXで置き換えてログに記録するように指定します。 |
|
Plain |
アイテムを元の状態のままログに記録するように指定します。つまり、保護されません。 |
|
Truncated |
HTTPプロトコル・アイテムの最初の1KB分の文字のみがログに記録されるように指定します。1KBより長い値の場合は、その値が切り捨てられてハッシュされたアラームが、(ハッシュされていない)プレーン・データの最初の1KBに追加されます。このような方法で、一意性が保持されます。 |
次に、「Save」をクリックします。指定した変更は5分以内に有効になります。
|
注意: すべてのアイテムで大/小文字が区別されません。 |
デフォルト・アクションの指定
前述のように、デフォルト設定では、セキュリティ定義においてアクションが明示的に指定されないHTTPプロトコル・アイテムに対して実行する必要があるアクションが指定されます。「デフォルト」アクションのアイテムを定義すると、1回の操作で多数のデータ・アイテム(表示されているアイテムと非表示のアイテムの両方)のセキュリティ設定を変更できます。
デフォルト・アクションを指定する手順は、次のとおりです。
デフォルト・アクションを指定するHTTPプロトコル・アイテムを選択します。たとえば、「HTTP header masking」を選択します。
「Default masking action」メニューの現在の設定をクリックします。これは、マスキングのウィンドウの一番上にあります。図13-16に示すようなダイアログが表示されます。
アクションが「デフォルト」のすべてのデータ・アイテムに適用する、目的のセキュリティ設定を選択します。次に、「Save」をクリックします。この設定は、変更すると、5分以内に有効になります。
自動表示アイテム
明示的に定義するHTTPプロトコル・アイテムのマスキングに加えて、構成時にRUEIで自動的に検出されるアイテムもあります。これらのアイテムにはアクション「デフォルト」が割り当てられます。割り当てられたアクションは、個々に変更することも、定義済のデフォルト・アクションを変更して一括して変更することもできますが、削除することはできません。
また、アイテム(たとえば、3.11項「カスタム・ディメンションの使用」に記載されているカスタム・ディメンション・アイテム)を削除すると、そのマスキング・アクションを変更しなくても、そのアイテムは表示されるアイテム・リストから自動的に削除されることに注意してください。ただし、定義済アクションを事前に変更していた場合は、アイテム・リストから明示的にアイテムを削除する必要があります。
HTTPヘッダーのマスキング
事前定義済のHTTPヘッダー・マスキングがいくつも定義されています。これらのアイテムは、RUEIが監視対象トラフィックを処理するために使用します。これらにはアクション「Used in system」が定義されています。これは、関連付けられているアイテムが元の状態で記録されることを意味します。このアクションは、ネットワーク・トラフィックの正確な監視のために必要であり変更できません。
セッションの追跡が標準のテクノロジ(ApacheまたはColdFusionなど)に基づいている場合、Cookieは「Used in」セクションではレポートされません。このようなCookieは手動で定義されて、デフォルト値以外に構成されていないかぎり、デフォルト・マスキング・アクションが割り当てられています。デフォルト・マスキング・アクションが「blinded」に設定されていない場合、問題はありません。設定されていると、すべてのビジター・セッションが1セッションに記録されます。
URL POST引数、Forms要素、CookieおよびHTTPヘッダーの他に、接頭辞を指定してURLの特定の内容を保護することもできます。この機能が役立つのは、機密情報を含む可能性があるURL構文を保存できないようにする場合です。
オプションによって、Replay Viewer機能とコレクタ・ログ・ファイルで保存する部分(リクエストとレスポンスのヘッダーおよび本文)を指定します(データ・ブラウザ・グループとセッション診断機能の情報はコレクタ・ログ・ファイルから導出されます)。表13-6に使用可能なマスキング・アクションを示します。
表13-6 URLマスキング・アクション
| マスキング・アクション | 説明 |
|---|---|
|
Complete logging |
Replay Viewerとコレクタ・ログ・ファイルの両方にすべての部分を保存するように指定します(他のすべての定義済マスキングを適用後)。 |
|
No request body |
すべての部分(他のすべての定義済マスキングを適用後)をコレクタ・ログ・ファイルに保存するが、リクエスト本文はReplay Viewerに保存しないように指定します。 |
|
Headers only |
すべての部分(他のすべての定義済マスキングを適用後)をコレクタ・ログ・ファイルに保存するが、Replay Viewerにはリクエスト・ヘッダーとレスポンス・ヘッダーのみを保存するように指定します。 |
|
No replay |
すべての部分(他のすべての定義済マスキングを適用後)をコレクタ・ログ・ファイルに保存するが、Replay Viewerには何も保存しないように指定します。 |
|
No logging |
Replay Viewerにもコレクタ・ログ・ファイルにも何も保存しないように指定します。 |
|
注意: 「Complete logging」オプションをデフォルト・マスキング・アクションとして選択するのは、以前のバージョンのRUEIで再生機能を有効にする(「Configuration」→「Security」→「Blinding」を順に選択し、ツールバーの「Toggle Replay functionality」アイコンをクリックして「Enabled」オプションを選択)ことと同じです。 |
これらの各マスキング・アクションでReplay Viewer機能とコレクタ・ログ・ファイル(データ・ブラウザ・グループとセッション診断の情報が導出される)に記録されるアイテムを表13-7に示します。
表13-7 URL接頭辞のマスキング・アクションを使用したときに記録されるアイテム
| マスキング・アクション | リクエスト・ヘッダー | リクエスト本文 | レスポンス・ヘッダー | レスポンス本文 | コレクタ・ログ・ファイルへの記録 |
|---|---|---|---|---|---|
|
Complete logging |
X |
X |
X |
X |
X |
|
No request body |
X |
X |
X |
X |
|
|
Headers only |
X |
X |
X |
||
|
No replay |
X |
||||
|
No logging |
アイテムがRUEIインストール内で使用される(たとえば、アプリケーションまたはスイート定義の一部として)場合は、そのことが表示リストに示され、そのアイテムは削除できないことに注意してください。また、複数の(重なり合う)アイテム定義が可能ですが、一致部分が長い方の指定が、割当てのマスキング・アクションとして使用されます。
一致するURL接頭辞が重なり(たとえば、/ruと/ruei)、それぞれに別のマスキング・アクションが割り当てられている場合は、長い方の一致が採用されます。また、接頭辞は厳密に先頭部分に適用されることに注意してください。たとえば、対象のURLが/app/rueiの場合は、/ruも/rueiも一致しません。
また、疑問符(?)はURL接頭辞内に指定しないことをお薦めします。指定すると、疑問符とその後の内容がすべて無視されます。たとえば、URL /catalog/jn.php?itemと指定すると、切り捨てられて/catalog/jn.phpになります。URLは判読可能な形式で(エンコーディングではなく)指定する必要があります。
|
注意: URL接頭辞は大/小文字が区別されます。 |
外部アプリケーションで使用されるマスキング・データ
付録R「エンリッチ・データのエクスポート機能」に記載しているように、RUEIによって収集されるデータをエクスポートして、他のデータ・ウェアハウス・データと組み合せることができます。RUEIでマスキングしたデータ・アイテムはマスキングされたままエクスポートされるため、外部アプリケーションで使用されるデータ・アイテムの要件をよく確認することをお薦めします。マスキング機能の設定ウィンドウで、セキュリティ要件を確認するために最適な監査ツールが提供されます。
8.2.10項「ユーザー識別の定義」に記載しているように、ユーザーの識別は最初は「HTTP Authorization」フィールドに基づいて行われます。この情報がネットワーク上でプレーン形式で送信されると、ユーザー名とパスワードをデコードされる可能性があり、セキュリティ問題が生じることに注意してください。これは、基本的な認証プロトコルの制限です。
認証フィールドがネットワーク上でプレーン形式で送信される場合は、前のセクションで説明したマスキング・オプションを使用して、Replay Viewerに保存する内容を制御できます。または、認証がネットワーク・トラフィックに含まれるときにハッシュされるようにすることができます。この場合、セッション診断機能でユーザーIDを表示できません。
各国語サポート
各国語のキャラクタ・セットを使用する際のデータ・マスキング設定の詳細は、付録G「各国語サポートの使用」を参照してください。
Cookie値のマスキング
Cookie値-1には自動的にマスキング・アクション「Plain」が割り当てられる(つまり、元の状態のまま保持される)ことに注意してください。これが必要な理由は、Oracle E-Business Suite内ではセッションの終了を示すためにこの値が頻繁に使用されるからです。
マスキング定義の変更
データ・アイテムのセキュリティを変更するときは、ログ・ファイルにすでに保存されているデータは変更の影響を受けないことに注意してください。必要であれば、システムのパージを検討する必要があります(この詳細は、15.11項「システムのリセット」に記載されています)。
|
重要: すべての機密データが間違いなくマスキングされていることを定期的に検証することを強くお薦めします。通常、アプリケーションは時間とともに変化し、それに伴ってPOST変数、Cookie、ヘッダー、URL構文の使用方法も変化します。コレクタおよびレポータのRAWログ・ファイルは、ディレクトリ/var/opt/ruei/processor/dataを参照してください。セッション診断のエクスポート機能を使用して、これらのファイルの内容を監査することもできます。この詳細は、4.4項「すべてのセッション情報のエクスポート」に記載されています。 |
デフォルトでは、すべてのSSLクライアント証明書プロパティ(ある場合)は、各コレクタ・システムで生成されるログ・ファイルの一部として記録されます。これが組織のセキュリティ・ポリシーにそぐわない場合は、次の手順を実行します。
「Configuration」→「General」→「Advanced settings」→「SSL certificate masking」の順に選択します。図13-21に示すパネルが表示されます。
目的のコレクタ・プロファイルの証明書マスキング・アクションをクリックします。図13-22に示すダイアログが表示されます。
図13-22 「Edit Collector SSL Certificate Masking」ダイアログ
表13-8に示すオプションがあります。
表13-8 SSL証明書マスキング・アクション
| オプション | 説明 |
|---|---|
|
Log full certificate properties |
SSL証明書全体をログに記録するように指定します。これがデフォルトです。 |
|
Log session ID only |
セッションID情報のみを記録するように指定します。 |
|
No certificate properties logged |
SSL証明書をまったくログに記録しないように指定します。 |
目的のマスキング・アクションを選択します。次に、「Save」をクリックします。
再起動を要求するメッセージが表示されたら、プロファイルに割り当てられているコレクタを再起動します。この詳細は、13.1.5項「コレクタの再起動」に記載されています。
レポータに登録済のすべてのコレクタで使用するデータ保存ポリシーを指定する手順は、次のとおりです。
「Configuration」→「Security」→「Collector data retention policy」の順に選択します。図13-23に示すパネルが表示されます。
現時点で定義されている各アプリケーション、スイートまたはサービスについて、「Oldest data」列は、表示されるストレージ・アイテムのデータがどれくらい前の分からあるか(秒、時、分または日)を示します。通常、最も古いエントリが10分とレポートされる場合は、10分よりも前のデータを格納できないほどシステムがビジーであることを意味します。「Newest entry」列は、表示されるストレージ・アイテムのデータがどれだけ前に書き込まれたかを示します。
アプリケーション、スイート、またはサービスについて、「Options」列のチェック・ボックスを使用して、再生データの作成を有効にするかどうかを指定します。デフォルトでは、再生データは有効になっています。
変更するアプリケーションの「Error page replay store」または「Full session replay storage」オプションをクリックします。図13-24に示すようなダイアログが表示されます。
選択したコレクタで、指定したアプリケーション、スイートまたはサービスについて、FSRまたはEPRデータのために予約しておくディスク領域の最大容量を指定します。
「未分類の」アプリケーションのストレージ・アイテムは、特定のアプリケーション、スイートまたはサービスに関連付けられないネットワーク・トラフィックのために予約するディスク領域の最大容量を使用することに注意してください。
次に、「Save」をクリックします。
必要に応じて、「View security URL masking policies」項目をクリックします。図13-25に示すダイアログが表示されます。現時点で定義されているURL接頭辞のマスキング・アクションとデフォルトのマスキング・アクションが示されます。
または、個々のアプリケーション、スイートおよびサービスのFSRデータ・ストアおよびEPRデータ・ストアのサイズを指定するかわりに、図13-23に示す「Set Full session replay store size for all applications」または「Set Error page replay store size for all applications」アイコンをクリックできます。図13-26に示すようなダイアログが表示されます。
選択したコレクタ・システムで、各アプリケーション、スイートまたはサービスについて、FSRまたはEPRデータのために予約しておくディスク領域の最大容量を指定します。次に、「Save」をクリックします。
再起動を要求するメッセージが表示されたら、すべてのコレクタを再起動します。この詳細は、13.1.5項「コレクタの再起動」に記載されています。
アプリケーション、スイートまたはサービスが削除されるとき、関連するFSRおよびEPRデータはコレクタ・システムから自動的に削除されません。引き続き表示することができます。これらのデータを削除する場合は、「Status」列に表示される「Remove」アイコンをクリックする必要があります。データの削除を確認するように求められます。
重要:
次の点に注意してください。
アプリケーションで使用可能な再生用のディスク領域を、現在使用中の容量よりも減らすと、再生データ・ストアのサイズを調整するために、ストアの最も古いデータが削除されます。たとえば、アプリケーションのFSRデータ・ストアを20GBから10GBに減らすように指定し、現在14GBが使用されているとします。この場合、ストアのサイズを調整するために、現在のFSRデータ・ストアの最も古い4GB分が削除されます。
EPRデータ・ストアに、失敗したイベント・データの設定を超える日数のデータが保持されている場合は、余分な量のデータにはGUIからアクセスできません。逆に、EPRのサイズ設定が、失敗したイベント・データの日数を下回る場合は、余分な期間のReplay Viewerデータにはアクセスできません。ただし、データの他のビューには、他のデータ・ブラウザ・グループから通常どおりアクセスできます。
FSRデータ設定が15分未満に設定されると、エラー再生機能が正常に実行されない場合があります。また、0に設定されると、EPRサイズ設定を変更できなくなります。
