| Oracle® Database Firewallセキュリティ管理ガイド リリース5.0 B65098-01 |
|
 前 |
 次 |
この章の内容は、次のとおりです。
指定したデータベース・サーバー上のデータベース内のストアド・プロシージャおよびユーザー・ロールに対する変更を監査および承認できます。Oracle Database Firewallは、スケジュールされた間隔でデータベース・サーバーに接続し、ストアド・プロシージャに対して行われた変更または追加(ある場合)を判別します。ストアド・プロシージャの監査およびユーザー・ロールの監査は、Oracle、Microsoft SQL Server、Sybase ASE、Sybase SQL AnywhereおよびIBM DB2 SQL(Linux、UNIXおよびMicrosoft Windows)データベースに対してサポートされます。
ストアド・プロシージャおよびロールを監査する前に、ストアド・プロシージャおよびロールの監査が有効になるようにDatabase Firewall保護対象データベースを構成する必要があります。詳細は、『Oracle Database Firewall管理ガイド』を参照してください。
この項の内容は、次のとおりです。
ストアド・プロシージャの監査の構成後、保護対象データベースで実行中のストアド・プロシージャに対する変更の監視をすぐに開始できます。SPA強制ポイント設定で設定したスケジュールに従って自動的に実行されるレポートの生成に加えて、ストアド・プロシージャの手動監査はいつでも実行できます。監査プロセスの完了後、ストアド・プロシージャに対する変更を承認できます。
次のタイプのストアド・プロシージャ監査アクティビティを実行できます。
ストアド・プロシージャに対するすべての追加または変更の表示
承認保留中の変更の判別
変更の承認
実行したすべての承認の表示
以前の承認履歴の検査
|
注意: Oracleデータベースの場合、起動者の権限または定義者の権限などの権限は、ストアド・プロシージャの監査に影響を与えません。 |
|
関連項目:
|
ストアド・プロシージャの手動監査を実行する手順は、次のとおりです。
スタンドアロンDatabase FirewallまたはManagement Server管理コンソールにログインします。
詳細は、「管理コンソールへのログイン」を参照してください。
「Monitoring」タブを選択します。
「Enforcement Points」の下にある「List」をクリックします。
「Enforcement Points」ページが表示され、使用可能な強制ポイントがリストされます。
ストアド・プロシージャ監査を実行する強制ポイントに対して、「Manage」をクリックします。
「Manage Enforcement Point」ページで、「Stored Procedure Auditing Control」まで下にスクロールします。
「Run Now」ボタンをクリックします。
Database Firewallによって、監査を開始したことを通知するメッセージが表示されます。
ストアド・プロシージャに対する変更を承認または承認拒否する手順は、次のとおりです。
まだログインしていない場合は、スタンドアロンDatabase FirewallまたはManagement Server管理コンソールにログインします。
詳細は、「管理コンソールへのログイン」を参照してください。
「Reporting」タブを選択します。
「Stored Procedure Auditing」の下にある「Pending」を選択します。
すべてのオプションの説明は、「ストアド・プロシージャの変更の承認に使用するフィルタ処理オプション」を参照してください。
「Pending Approvals for Stored Procedures」ページが表示され、監査対象のストアド・プロシージャのリストが示されます。
次の画面に示すように、ストアド・プロシージャ・リンクの下の領域をクリックして、各ストアド・プロシージャを確認します。
領域が拡張され、ストアド・プロシージャに対する変更履歴およびメモが表示されます。
ストアド・プロシージャの変更履歴を確認します。
「Event」列に、ストアド・プロシージャに対するすべての変更イベントの履歴が示されます。(変更イベントがない場合は、「Event」の下に「New」リンクのみが表示されます。)ストアド・プロシージャの変更内容を確認するには、ストアド・プロシージャに対するリストされたイベントの後に表示される、「Show Differences」リンクをクリックします。別のウィンドウが表示され、ストアド・プロシージャに対するSQLがどのように変更されたかが示されます。
|
注意: 「Show Differences」リンクは、ストアド・プロシージャが承認された後でのみ表示されます。 |
ストアド・プロシージャの作成に使用された最初のSQLテキストを表示する場合は、ストアド・プロシージャ自体のリンクをクリックします。
次の例は、最初のストアド・プロシージャがどのように表示されるかを示しています。赤のテキストはキーワードを示します。
ストアド・プロシージャに対する「Modification History」領域の「Notes」領域にオプションでメモを追加した後、「Add Note」ボタンをクリックします。
ストアド・プロシージャに対する変更を承認する場合は「Accept」、承認しない場合は「Decline」をクリックします。
「Decline」をクリックすると、ストアド・プロシージャの変更は即時に拒否されます。
「Accept」をクリックすると、「Accept Changes for name」領域が表示されるので、「Approval Comment」フィールドにメモを入力します。
次に例を示します。
Changes to stored procedure AVSRCUSER1.DBMS_SRC_STREAMS_UTILITY_BODY approved by LBouligny, 8/17/10
「Accept」をクリックします。監査対象のストアド・プロシージャのリストが再表示されます。
userまたはauthorizationなど、ストアド・プロシージャの設定のいずれかをクリックすると、このメイン・リストからメモを追加できます。画面が拡張され、「Add Note」フィールドが表示されます。このフィールドの表示を削除するには、再度クリックします。
リンクであるストアド・プロシージャ名をクリックすると、ストアド・プロシージャのテキストが表示されます。
次のいずれかのフィルタ処理オプションを使用して、ストアド・プロシージャ監査レポートを表示できます。
Summary: 強制ポイント設定で「Stored Procedure Auditing」を有効にした各強制ポイントがリストされます。強制ポイントごとに、ページには、完全に承認されたストアド・プロシージャの数、少なくとも1つの承認が保留中の数、および監査履歴の合計レコード数がリストされます。
Approved: 少なくとも1つの承認がある各ストアド・プロシージャがリストされます。結果をフィルタ処理するために「Filter」ボタンを使用できます(フィルタ検索条件の設定方法の詳細は、「トラフィック・ログの検索」を参照してください)。ストアド・プロシージャの名前をクリックすると、最初の承認日、およびそれ以降の変更に対して付与されたすべての承認など、変更の詳細が表示されます。「Tags」列に表示されるテキストは、詳細では赤でハイライト表示されます。タグは、事前設定のルールに基づいて、Oracle Database Firewall自体で生成されます。
Pending: 「Filter」設定と一致し、少なくとも1つの承認が待機中である各ストアド・プロシージャがリストされます。「New」または「Modify」などの変更のタイプが、「Modifications」列に表示されます。ストアド・プロシージャの名前をクリックすると、変更後のプロシージャの内容が表示されます。緑のバーの任意の場所をクリックすると、承認を付与する前に調査する必要があるアクションの詳細など、変更の詳細およびメモを入力するボックスが表示されます。変更が「Modify」の場合は「Show Difference」リンクも表示され、このリンクを使用して、変更内容を識別できます。「Tags」列に表示されるテキストは、詳細では赤でハイライト表示されます。
ページの右側に、各ストアド・プロシージャに対する「Decline」および「Accept」ボタンが表示されます。「Accept」ボタンをクリックすると、ストアド・プロシージャに対する承認保留中のすべての変更が承認されます。「Decline」をクリックすると、「Approve All」の選択時に、その変更は承認されません。
ページ上部にある「Approve All」をクリックすると、現在選択されている「Filter」と一致し、拒否されていないすべてのストアド・プロシージャに対するすべての変更が承認されます。
Audit History: 「Filter」設定と一致する、以前のすべての承認および保留中のすべての承認がリストされます。プロシージャを承認するたびに、監査履歴にトランザクションが記録されます。緑のバーの任意の場所をクリックすると、詳細が表示されます。
この項の内容は、次のとおりです。
ユーザー・ロールの監査の構成後、保護対象データベースで使用中のユーザー・ロールに対する変更の監視をすぐに開始できます。URA強制ポイント設定で設定したスケジュールに従って自動的に実行されるレポートの生成に加えて、ユーザー・ロールの手動監査はいつでも実行できます。監査プロセスの完了後、ユーザー・ロールに対する変更を承認できます。
次のタイプのユーザー・ロール監査アクティビティを実行できます。
ユーザー・ロールに対するすべての追加または変更の表示
変更の承認
承認保留中の変更の判別
実行したすべての承認の表示
以前の承認履歴の検査
|
関連項目:
|
ユーザー・ロールの手動監査を実行する手順は、次のとおりです。
スタンドアロンDatabase FirewallまたはManagement Server管理コンソールにログインします。
詳細は、「管理コンソールへのログイン」を参照してください。
「Monitoring」タブを選択します。
「Enforcement Points」の下にある「List」をクリックします。
「Enforcement Points」ページが表示され、使用可能な強制ポイントがリストされます。
ユーザー・ロール監査を実行する強制ポイントに対して、「Manage」をクリックします。
「Manage Enforcement Point」ページで、「User Auditing Control」まで下にスクロールします。
「Run Now」ボタンをクリックします。
Database Firewallによって、監査を開始したことを通知するメッセージが表示されます。監査プロセスは数分かかります。
ストアド・プロシージャに対する変更を承認または承認拒否する手順は、次のとおりです。
まだログインしていない場合は、スタンドアロンDatabase FirewallまたはManagement Server管理コンソールにログインします。
詳細は、「管理コンソールへのログイン」を参照してください。
「Reporting」タブを選択します。
「User Role Auditing」の下にあるフィルタ処理オプションの「Pending」を選択します。
すべてのオプションの説明は、「ユーザー・ロールの変更の承認に使用するフィルタ処理オプション」を参照してください。
「Pending Approvals for User Roles」ページが表示され、監査対象のユーザー・ロールのリストが示されます。
次の画面に示すように、ユーザー・ロール・リンクの下の領域をクリックして、各ユーザー・ロールを確認します。
領域が拡張され、ユーザー・ロールに対する変更履歴およびメモが表示されます。
ユーザー・ロールの変更履歴を確認します。
「Event」列に、ユーザー・ロールに対するすべての変更イベントの履歴が示されます。(変更イベントがない場合は、「Event」の下に「New」リンクのみが表示されます。)ユーザー・ロールの変更内容を確認するには、そのユーザー・ロールに対するイベントに続いて表示される、「Show Differences」リンクをクリックします。別のウィンドウが表示され、ユーザー・ロールに対するSQLがどのように変更されたかが示されます。
ユーザー・ロールの作成に使用された最初のSQLテキストを表示する場合は、ユーザー・ロール自体のリンクをクリックします。
次の例は、AVUSRロールがどのように変更されたかを示しています。
ユーザー・ロールに対する「Modification History」領域の「Notes」領域にオプションでメモを追加した後、「Add Note」ボタンをクリックします。
ユーザー・ロールに対する変更を承認する場合は「Accept」、承認しない場合は「Decline」をクリックします。
「Accept」をクリックすると、「Accept Changes for name」領域が表示されるので、「Approval Comment」フィールドにメモを入力します。
次に例を示します。
Changes to user role AVUSER approved by LBouligny, 8/17/10
「Accept」をクリックします。監査対象のユーザー・ロールのリストが再表示されます。
userまたはauthorizationなど、ストアド・プロシージャの設定のいずれかをクリックすると、このメイン・リストからメモを追加できます。画面が拡張され、「Add Note」フィールドが表示されます。このフィールドの表示を削除するには、再度クリックします。
リンクであるストアド・プロシージャ名をクリックすると、ストアド・プロシージャのテキストが表示されます。
次のいずれかのフィルタ処理オプションを使用して、ストアド・プロシージャ監査レポートを表示できます。
Summary: 強制ポイント設定で「User Role Auditing」を有効にした各強制ポイントがリストされます。強制ポイントごとに、ページには、完全に承認されたユーザー・ロールの数、少なくとも1つの承認が保留中の数、および監査履歴の合計レコード数がリストされます。
Approved: 少なくとも1つの承認がある各ユーザー・ロールがリストされます。結果をフィルタ処理するために「Filter」ボタンを使用できます(フィルタ検索条件の設定方法の詳細は、「トラフィック・ログの検索」を参照してください)。ユーザー・ロールの名前をクリックすると、最初の承認日、およびそれ以降の変更に対して付与されたすべての承認など、変更の詳細が表示されます。「Tags」列に表示されるテキストは、詳細では赤でハイライト表示されます。タグは、事前設定のルールに基づいて、Oracle Database Firewall自体で生成されます。
Pending: 「Filter」設定と一致し、少なくとも1つの承認が待機中である各ユーザー・ロールがリストされます。「New」または「Modify」などの変更のタイプが、「Modifications」列に表示されます。ユーザー・ロールの名前をクリックすると、変更後のユーザー・ロールの内容が表示されます。緑のバーの任意の場所をクリックすると、承認を付与する前に調査する必要があるアクションの詳細など、変更の詳細およびメモを入力するボックスが表示されます。変更が「Modify」の場合は「Show Difference」リンクも表示され、このリンクを使用して、変更内容を識別できます。「Tags」列に表示されるテキストは、詳細では赤でハイライト表示されます。
ページの右側に、各ユーザー・ロールに対する「Decline」および「Accept」ボタンが表示されます。「Accept」ボタンをクリックすると、そのユーザー・ロールに対する承認保留中のすべての変更が承認されます。「Decline」をクリックすると、「Approve All」の選択時に、その変更は承認されません。
ページ上部にある「Approve All」をクリックすると、現在選択されている「Filter」と一致し、拒否されていないすべてのユーザー・ロールに対するすべての変更が承認されます。
Audit History: 「Filter」設定と一致する、以前のすべての承認および保留中のすべての承認がリストされます。ユーザー・ロールを承認するたびに、監査履歴にトランザクションが記録されます。緑のバーの任意の場所をクリックすると、詳細が表示されます。
