5 トラフィック・ログへのアクセスおよび表示

この章の内容は、次のとおりです。

• トラフィック・ログへのアクセス

• データベース・レスポンス・モニタリングのトラフィック・ログの表示

トラフィック・ログへのアクセス

この項の内容は、次のとおりです。

• トラフィック・ログへのアクセス

• ログに記録されたトラフィックの表示

• トラフィック・ログの検索

• ログ検索結果の表示

トラフィック・ログへのアクセス

監査の目的でトラフィック・ログからデータをリカバリしたり、攻撃を受けた可能性を調べる必要がある場合があります。トラフィック・ログには、記録されたすべてのSQL文の詳細が格納されています。

これを行うには、スタンドアロンDatabase FirewallまたはManagement Server管理コンソールにログインして「Reporting」タブを選択し、「Reporting」ページの「Traffic Log」メニューを使用して、レポートの表示、ログの検索、およびログ検索結果の検索を行います。

図5-1は、管理コンソールの「Traffic Log」ページを示しています。

図5-1 トラフィック・ログへのアクセス

「図5-1 トラフィック・ログへのアクセス」の説明

次の各項で説明するように、「Traffic Log」メニューには、「View」、「Search Log」および「Log Search Results」の3つのオプションがあります。管理コンソールにログインする方法については、『Oracle Database Firewall管理ガイド』を参照してください。

ログに記録されたトラフィックの表示

「View」ボタンをクリックして「Start」をクリックすると、ログに記録されたトラフィックが表示されます(最新情報が表示されるまで、最大で5分かかる場合があります)。パフォーマンスの低下を防ぐために、この機能は1時間後に自動的にオフに切り替えられます。結果をフィルタ処理するための「Filter」ボタンが使用可能になります。

トラフィック・ログの検索

図5-2は、管理コンソールの「Search Traffic Log」ページを示しています。このオプションを使用して、レポート作成の目的でトラフィック・ログから特定範囲のレコードを取得できます。

図5-2 トラフィック・ログの検索

「図5-2 トラフィック・ログの検索」の説明

• Title: レポートのタイトルを入力します(例: Traffic 1st-2nd March)。

• Period Type: 現在日時からの相対的な期間内に発生したレコードのセットを取得する場合は、「relative」を選択します。固定期間内に発生したレコードのセットを取得する場合は、「absolute」を選択します。

「relative」を選択すると、次の項目が表示されます。

• Report Period: たとえば、「1 Week」および「Now - 1 Hour」を選択して18時にレポートを生成すると、17時までの1週間のレコードがすべて取得されます。スケジュール済レポート(「監査レポートおよびサマリー・レポートの生成」を参照)に対して「relative」オプションを使用すると、レポートが生成される時刻に応じてレポート期間が自動的に調整されます。

「absolute」を選択すると、次の項目が表示されます。

• Timerange begin/Timerange end: これらのオプションを使用して、固定期間を指定します。

• Maximum results: 返される結果の数を制限できます。これは、レコードの取得に必要な時間を短縮するのに役立ちます。制限値に達するまで、早期に発生したレコードから順に取得されます。

• Search Conditions: 「Search Conditions」パネルを使用すると、取得するレコードをフィルタ処理できるため、処理完了までの時間を短縮できます。たとえば、脅威の重大度が「moderate」より上のレコードのみを返したり、脅威の重大度が「moderate」より上でsalesデータベースに属するレコードのみを返すように設定できます。このパネルは高度な柔軟性を備えているため、要件に一致するように検索条件をカスタマイズできます。フィルタが指定されていない場合は、すべての結果が返されます。

検索条件を追加するには、パネルの右側にあるメニュー、オプションおよびフィールドを使用します。パネルの左側のツリー・ビューでは、設定された検索条件が表示され、複数の条件の間の論理演算が定義されます。

ツリー・ビューの各演算子(AND、OR、NOT)は、その演算子の下位レベルにある条件に適用されます。

図5-3は、トラフィック・ログの検索条件でAND演算子を使用する方法を示しています。この例では、脅威の重大度が「moderate」より上で、保護対象データベースsales_dbのレコードのみが取得されます。

図5-3 AND演算子条件を使用したトラフィック・ログ検索

「図5-3 AND演算子条件を使用したトラフィック・ログ検索」の説明

図5-4は、脅威の重大度が「moderate」より上で、sales_dbデータベースを参照するレコードを取得するOR演算子の検索条件を示しています。

図5-4 OR演算子条件を使用したトラフィック・ログ検索

「図5-4 OR演算子条件を使用したトラフィック・ログ検索」の説明

図5-5は、脅威の重大度が「moderate」レベルでsales_dbデータベースに属するか、または脅威の重大度が「minor」レベルでデータベース・クライアントIPアドレスが一致するレコードを取得する、OR演算子とAND演算子の検索条件を示しています。

図5-5 ORおよびAND条件を使用したトラフィック・ログ検索

「図5-5 ORおよびAND条件を使用したトラフィック・ログ検索」の説明

検索条件を定義する手順は、次のとおりです。

1. スタンドアロンDatabase FirewallまたはManagement Server管理コンソールにログインします。

   詳細は、「管理コンソールへのログイン」を参照してください。

2. 「Reporting」タブを選択して、「Reporting」ページを表示します。

3. 「Traffic Log」メニューから「Search Log」を選択します。

4. 「Filter Search Conditions」領域で、「Select a new operator to add or change the current operator」リストから演算子(「AND」など)を選択し、「Add Operator」をクリックします。

5. 図5-5に示すように条件をネストする場合は、最上位レベルの条件(この例では「OR」)を選択し、新しい演算子を選択して「Add Operator」をクリックします。

6. 各演算子の下位に1つ以上の条件を追加する手順は、次のとおりです。

   1. 条件を追加する演算子を選択します。

   2. 「Add a new condition or select an existing condition to change it」リストで、条件(「Threat Severity」など)を選択し、演算子(「Moderate」など)を設定します。

   3. 「Add Condition」をクリックします。

7. 検索を開始するには、「Search」ボタンをクリックします。

   「Search」をクリックすると、「Searches」ページが表示され、検索の現在の進行状況と詳細が表示されます。「Searches」ページには、「Traffic Log」メニューの「Log Search Results」(次の項を参照)をクリックしてもアクセスできます。

ログ検索結果の表示

図5-6は、「Reporting」ページの「Traffic Log」メニューにある「Log Search Results」ボタンをクリックして表示される結果の例を示しています。

図5-6 ログ検索結果の表示

「図5-6 ログ検索結果の表示」の説明

表示されるステータスは自動的に更新されます。たとえば、「running」から「completed」に更新されます。ページには、複数の検索をリストできます。

タイトルをクリックすると、その検索に含まれる文が表示されます。「Report」ボタンをクリックして、結果の監査レポートを生成できます。(結果をフィルタ処理するための「Filter」ボタンが使用可能になります。)使用可能な監査レポートのリストが表示され、いずれかを選択すると、ログ検索結果に含まれるデータのみを使用してレポートが生成されます。「Reports」メニューから監査レポートを生成することもできます。詳細は、第6章「Oracle Database Firewallレポートの生成」を参照してください。

トラフィック・ログで各レコードを展開すると、アクション・コード、ロギング・レベル、データベース・タイプ、クラスタ・タイプ、属性値の作成元(Oracle Database FirewallまたはF5システム(あるいはその両方)などの属性を表示できます。

文の右側にある記号は、Oracle Database FirewallシステムまたはF5システム(あるいはその両方)から作成された属性値がその文に含まれるかどうかを示します。

値は属性値で、作成元の記号はその属性値がOracle Database Firewallシステムで作成されたことを示します。

トラフィック・ログ属性の詳細は、『Oracle Database Firewall管理ガイド』を参照してください。

ログ検索結果とスケジュール済レポート

同じログ検索結果セットに基づいて複数の監査レポートをスケジュールする場合は、意味のあるデータを取得し、レポートがスケジュールどおりに生成されるようにするために、次のガイドラインに従ってください。

• 複数のレポートの間でデータの一貫性を維持するには、同じログ検索結果を使用して同時に実行するようにレポートをスケジュールしてください。これによって、対象のレポートで同じ期間とログ・データが使用されます。

• ログ検索結果の生成には長時間かかる場合があります。ログ検索結果を使用するレポートの場合、スケジュールされた時刻の前にそれぞれのログ検索結果が再生成されるため、複数のレポートを異なる時刻に実行するようにスケジュールする場合は注意してください。多数の異なる期間にレポートを実行するようにスケジュールすると、ログ検索結果の実行に時間がかかりレポートが生成されない場合があります。

データベース・レスポンス・モニタリングのトラフィック・ログの表示

トラフィック・ログを開き(「トラフィック・ログへのアクセス」を参照)、特に「Transaction Status」セクションを調べることによって、データベース・レスポンス情報を表示できます。

「Database Firewall Analysis」セクションの「Failure Count」属性は、連続して失敗したログインの最初のログイン試行を示します。

関連項目: トラフィック・ログ属性の詳細は、『Oracle Database Firewall管理ガイド』を参照してください。

「Response Text」属性には、データベースで生成された詳細なエラー・メッセージが表示されます。この例のテキストは、検出されなかった表を参照しています。この属性にレスポンスが含まれるのは、データベース・レスポンス・モニタリング設定で「Full error message annotation」が選択されている場合のみです。(この設定を変更するには、データベース・レスポンス・モニタリングを再構成する必要があります。『Oracle Database Firewall管理ガイド』を参照してください。)