| Oracle® Fusion Middleware Oracle Privileged Account Manager管理者ガイド 11gリリース2 (11.1.2) B69534-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Privileged Account Manager管理者ガイド 11gリリース2 (11.1.2) B69534-01 |
|
前 |
次 |
この章では、Oracle Privileged Account Managerの監査機能およびロギング機能を構成および使用する方法を説明します。
内容は次のとおりです。
Oracle Privileged Account Managerは、その管理下で発生したすべてのセキュリティ・イベントを監査するため、組織内における特権アカウントの使用状況の可視性が向上し、ユーザーは機密情報を効率的に管理できます。
特に、Oracle Privileged Account Manager監査ロガーは、新しいアカウント、ターゲットまたはポリシーの追加、変更、削除など、エンティティ状態が変更されるすべてのイベントを記録します。
次の表では、監査を生成できるすべてのイベント・カテゴリおよびイベント・タイプについて説明します。
表6-1 監査されるOPAMイベント
| イベント・カテゴリ | イベント・タイプ | 説明 |
|---|---|---|
|
アカウント管理 |
プリンシパル・アカウントの管理に関連するイベント 注意: プリンシパルは、エンド・ユーザーまたは疑似ユーザー(システム内のサービス)です。 |
|
|
アカウントの追加 |
ユーザー、グループまたはその他のプリンシパル・アカウントの追加。 |
|
|
パスワードの変更 |
パスワードの変更。 |
|
|
アカウントの無効化 |
ユーザー、グループまたはその他のプリンシパル・アカウントの無効化。 |
|
|
アカウントの有効化 |
ユーザー、グループまたはその他のプリンシパル・アカウントの有効化。 |
|
|
アカウントの変更 |
アカウント属性の変更。 |
|
|
アカウントの問合せ |
ユーザーのアカウントへの問合せ。 |
|
|
アカウントの削除 |
ユーザー、グループまたはその他のプリンシパル・アカウントの削除。 |
|
|
ポリシー管理 |
ポリシーの管理に関連するイベント。 |
|
|
ポリシーの作成 |
ポリシーの作成。 |
|
|
ポリシーの削除 |
ポリシーの削除。 |
|
|
ポリシーの変更 |
ポリシーの変更。 |
|
|
ポリシーの問合せ |
ポリシーの問合せ。 |
|
|
ターゲットの管理 |
ターゲットの管理に関連するイベント。 |
|
|
ターゲットの追加 |
ターゲットの追加。 |
|
|
ターゲットの変更 |
ターゲットの変更。 |
|
|
ターゲットの問合せ |
ターゲットの問合せ。 |
|
|
ターゲットの削除 |
ターゲットの削除。 |
これらの監査イベントの記録によって、レポート・ツールが統計を収集できる処理履歴が作成されます(第6.1.2項「Oracle Privileged Account Manager監査レポートについて」を参照)。
Oracle Privileged Account Managerを構成して、監査イベントをデータベースまたはファイルに保存できます。データベースが使用できない場合、Oracle Privileged Account Managerではその監査ログが次のファイルに保存されます。
DOMAIN_HOME/servers/<opamserver>/logs/auditlogs/opam#11.1.1.6.0
また、Oracle Privileged Account Managerを構成してBI Publisher (リリース11.1.1.5.0以上)で監査レポートをデプロイし、BI Publisherを使用してデータベース内の監査イベントを表示できます。
次の各項では、Oracle Privileged Account Managerで監査を構成する手順について説明します。
Oracle Privileged Account Managerを構成するには次の手順を使用します。
|
注意: 次の手順では、WebLogicサーバーがすでにインストールされていることを前提としています。 |
コマンドライン・ウィンドウを開き、次のディレクトリに変更(cd)します。
DOMAIN_HOME/config/fmwconfig/
jps-config.xmlファイルを編集して、監査するイベントのタイプに応じてaudit.filterPresetパラメータをNoneからAll、MediumまたはLowに変更します。
次に例を示します。
<serviceInstance location="./audit-store.xml" provider="audit.provider" name="audit">
<property value="All" name="audit.filterPreset"/>
<property value="0" name="audit.maxDirSize"/>
<property value="104857600" name="audit.maxFileSize"/>
<property value="jdbc/AuditDB" name="audit.loader.jndi"/>
<property value="15" name="audit.loader.interval"/>
<property value="File" name="audit.loader.repositoryType"/>
<property value="file" name="auditstore.type"/> </serviceInstance>
Oracle Privileged Account Managerサーバーを再起動します。
|
注意: 管理対象サーバーの起動に関する詳細は、『Oracle® Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracleスタックの起動と停止に関する項を参照してください。 |
サーバーを再起動すると、監査ログは次の場所に表示されます。
DOMAIN_HOME/servers/<opamserver>/logs/auditlogs/opam#11.1.1.6.0
この項では、Oracle Privileged Account Managerでデータベース・ベース監査を構成する方法について説明します。
前提条件
データベースおよびBI Publisherから監査レポートを生成する場合は、次をインストールする必要があります。
データベース
Oracleリポジトリ作成ユーティリティ・アプリケーション(スキーマの作成とリポジトリのデータベースへのロードに使用)。
|
注意: リポジトリ作成ユーティリティのインストールおよび使用の詳細は、 BI Publisherのインストールおよび構成の詳細は、Oracle Fusion Middleware Oracle Identity Navigator管理者ガイドのOracle Business Intelligence Publisherの構成に関する項を参照してください。 |
データベース・ベース監査を構成するには、次の手順を実行します。
Oracle Technology Network (OTN)からリポジトリ作成ユーティリティの.zipファイルをダウンロードします。
./rcuを実行してデータベースに監査スキーマをロードします。
デフォルトでは、この手順によってデータベースにdev_iauユーザーが作成され、このユーザーを使用して表がロードされます。
WebLogic Server管理コンソールにログインし、WebLogicを構成します。
http://adminserver_host:adminserver_port/console
次の情報を入力してJDBCデータ・ソースを作成します。
「名前」フィールドにjdbc/AuditDBと入力します。
「JNDI名」フィールドは空白のままにします。
dev_iauユーザーを指定してそれを管理サーバーと管理対象サーバーの両方に適用します。
|
注意: JDBCデータ・ソースを作成してそれをサーバーにデプロイする方法の詳細は、Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプのJDBCデータ・ソースの作成に関する項を参照してください。 |
DOMAIN_HOME/config/fmwconfig/jps-config.xml
にあるjps-config.xmlファイルを次のように編集します。
<property value="File" name="audit.loader.repositoryType"/>パラメータを<property value="Db" name="audit.loader.repositoryType"/>に変更します。
監査するイベントのタイプに応じて、audit.filterPresetパラメータをNoneからAll、MediumまたはLowに変更します。
次に例を示します。
<serviceInstance location="./audit-store.xml" provider="audit.provider" name="audit">
<property value="All" name="audit.filterPreset"/>
<property value="0" name="audit.maxDirSize"/>
<property value="104857600" name="audit.maxFileSize"/>
<property value="jdbc/AuditDB" name="audit.loader.jndi"/>
<property value="15" name="audit.loader.interval"/>
<property value="File" name="audit.loader.repositoryType"/>
<property value="file" name="auditstore.type"/> </serviceInstance>
Oracle Privileged Account Managerサーバーを再起動します。
この項では、BI Publisher (レポートの管理および配信に使用されるコンポーネント)でOracle Privileged Account Manager監査レポートをデプロイする方法について説明します。
次の手順を実行します。
まだインストールしていない場合、Oracle Business Intelligence Publisher (BI Publisher)リリース11.1.1.5.0以上をインストールして構成します。
手順については、Oracle Fusion Middleware Oracle Identity Navigator管理者ガイドのOracle Business Intelligence Publisherの構成に関する項を参照してください。
BI Publisherのインストール後、WebLogicドメインで次のディレクトリを特定します。
|
注意: BI Publisherは、同じホストまたは異なるドメインにデプロイできます。 |
BI_DOMAIN_HOME/config/bupublisher/repository/Reports
ReportsフォルダにOracle Privileged Account Managerという名前の新しいフォルダを作成します。
次のディレクトリでopam_product_BIP11gReports_11_1_1_6_0.zipファイルを特定します。
ORACLE_HOME/opam/reports
このファイルを新しく作成したOracle Privileged Account Managerフォルダに解凍します。
カタログを設定してデータ・ソースを構成するには、ブラウザ・ウィンドウを開いてBI PublisherのURLを入力します。
このURLの書式は次のとおりです。
http://hostname: port/xmlpserver/
次に例を示します。
http:/localhost:7001/xmlpserver/
BI Publisherのログイン・ページが表示されたら、WebLogic権限を持つユーザーとしてログインし、「サインイン」をクリックします。
次の手順に従い、カタログを設定します。
「管理」→「システム・メンテナンス」→「サーバー構成」を選択します。
「カタログ」ダイアログを開き、「カタログ・タイプ」メニューから「Oracle BI Publisher - ファイル・システム」を選択して、「パス」フィールドに次のパスを入力します。
BI_DOMAIN_HOME/config/bupublisher/repository/Reports
管理者としてログインします。
「カタログ」をクリックして、Shared Folder/ Oracle Privileged Account Managerフォルダを開きます。
|
注意: このフォルダが表示されない場合、WebLogicコンソールからアプリケーションを再起動します。 |
Oracle Privileged Account Managerレポート用に1つのJDBC (Oracle Privileged Account Manager JDBC)接続が必要です。次の手順を使用して、Oracle Privileged Account Manager JDBC接続を定義し、データ・ソースを定義します。
「BI Publisher」ページの右側にある「管理」リンクをクリックします。
BI Publisherの「管理」ページが表示されます。(このページの「データソース」セクションを確認してください。)
「データソース」セクションにある「JDBC接続」リンクをクリックします。
「データソース」ページが表示されたら、「JDBC」セクションの「データソースの追加」をクリックし、データベースへのJDBC接続を作成します。
「データソースの追加」ページに、次の情報を入力します。
|
データソース名 |
Oracle Privileged Account Manager JDBC |
|
ドライバ・タイプ |
データベース(Oracle 10gやOracle 11gなど)に適したドライバ・タイプを選択します。 |
|
データベース・ドライバ・クラス |
|
|
接続文字列 |
データベース接続の詳細を指定します。 |
|
ユーザー名 |
Oracle Privileged Account Manager監査DBユーザーの名前。 |
|
パスワード |
Oracle Privileged Account Manager監査DBユーザーのパスワード。 |
データベースへの接続が確立されると、成功を示す確認メッセージが表示されます。
「適用」をクリックします。
この新しく定義された接続(Oracle Privileged Account Manager JDBC)がJDBCデータ・ソースのリストに表示されます。
Oracle Privileged Account Manager監査レポートにナビゲートします。
ページの左側にツリー構造、右側に詳細が含まれる「カタログ」ページが表示されます。
Shared Foldersを開いてOracle Privileged Account Managerフォルダを選択すると、そのフォルダ内のすべてのオブジェクトが表示されます。
Oracle Identity Navigatorを使用してBI Publisherサーバーへの接続を構成します。
必要な手順については、Oracle Fusion Middleware Oracle Identity Navigator管理者ガイドのBI Publisherへの接続作成に関する項を参照してください。
接続の構成に成功すると、Oracle Identity Navigatorの「ダッシュボード」ページの「マイ・レポート」セクションに「レポートを作成するにはここをクリックしてください」というリンクが表示されます。また、セキュリティ監査者ロールを持つユーザーは、次のタスクを実行できます。
Oracle Identity Management BI Publisherレポートおよび監査レポートの表示
|
注意: Oracle Privileged Account Managerでは、BI Publisher 11gおよびOracle Fusion Middleware監査フレームワークに統合された、すぐに使用可能な監査レポートのセットが提供されます。Oracle Privileged Account Managerによって、監査ストアに記録された監査イベントに基づいてこれらのレポートが生成されます。詳細は、第6.1項「Oracle Privileged Account Managerの監査について」を参照してください。 |
レポートの選択および「マイ・レポート」リストへの追加
アクセス権限を持っている任意のレポートの表示および実行
これで、BI PublisherをナビゲートしてOracle Privileged Account Manager 11g BIレポートを使用できます。
Oracle Privileged Account Managerによって提供される監査ロギングの分量を変更するには、次の手順を実行します。
コマンドライン・ウィンドウを開き、次のディレクトリに変更(cd)します。
DOMAIN_HOME/config/fmwconfig/
audit.filterPresetパラメータをNoneから次のいずれかの設定に変更します。
All: すべてのイベント・タイプを記録します。
Medium: PolicyManagementおよびTargetManagementカテゴリのすべてのイベント・タイプと、AccountManagementカテゴリの次のイベント・タイプを記録します。
ChangePassword
CheckinAccount
CreateAccount
DeleteAccount
DisableAccount
EnableAccount
ModifyAccount
QueryAccount
Low: 次のイベント・タイプをログします。
AccountManagementカテゴリのChangePassword、CheckinAccount、CreateAccount、DeleteAccount、DisableAccount、EnableAccountおよびModifyAccount
PolicyManagementカテゴリのCreatePolicy、DeletePolicyおよびModifyPolicy
TargetManagementカテゴリのCreateTarget、DeleteTargetおよびModifyTarget
次に例を示します。
<serviceInstance location="./audit-store.xml" provider="audit.provider" name="audit">
<property value="All" name="audit.filterPreset"/>
<property value="0" name="audit.maxDirSize"/>
<property value="104857600" name="audit.maxFileSize"/>
<property value="jdbc/AuditDB" name="audit.loader.jndi"/>
<property value="15" name="audit.loader.interval"/>
<property value="File" name="audit.loader.repositoryType"/>
<property value="file" name="auditstore.type"/> </serviceInstance>
Oracle Privileged Account Managerサーバーを再起動します。
|
注意: 管理対象サーバーの起動に関する詳細は、『Oracle® Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracleスタックの起動と停止に関する項を参照してください。 |
サーバーを再起動すると、監査ログは次の場所に表示されます。
DOMAIN_HOME/servers/<opamserver>/logs/auditlogs/opam#11.1.1.6.0
Oracle Privileged Account Managerでは、BI Publisher 11gおよびOracle Fusion Middleware監査フレームワークに統合されたデフォルト監査レポートのセットが提供されます。Oracle Privileged Account Managerによって、監査ストアに記録された監査イベントに基づいてこれらのレポートが生成されます。
ユーザー・アクティビティ・レポート(アカウントのチェックアウトおよびチェックイン履歴など)
操作レポート(権限受領者の割当てや、追加、編集または削除されたターゲット、アカウント、ポリシーなど)
すべてのイベント・レポート(監査ストアに記録されたすべての監査イベントなど)
Oracle Privileged Account Manager監査レポートでは、アカウントをチェックアウトしたユーザーとチェックアウトされたシステム、理由、すでにチェックアウトされているシステムに対するリクエスト、およびユーザーが権限を持たないシステムに対するリクエストを確認できます。
たとえば、次の図は、BI Publisherに表示された標準的なOracle Privileged Account Manager監査レポートを示しています。
|
注意: Oracle Privileged Account Manager監査レポートはBI Publisherで表示できます。 |
このレポートには、次の情報が含まれていることに注意してください。
カテゴリ: イベント・カテゴリ
イベント: 発生したイベントのタイプです。
ユーザーID: イベントを起動したユーザー
ステータス: イベントの結果(1は成功、0は失敗)を示します。
ターゲット: イベントが発生したターゲット
リソースID: リソース識別子
時間: イベントが発生した日時
Oracle Privileged Account Managerの汎用ロガーは、デバッグ文や例外メッセージなど、監査ロガーによって記録されないすべてのログを扱います。処理ツールでは、これらのログを使用して、Oracle Privileged Account Managerサーバー内で発生した問題を診断できます。
Oracle Privileged Account Manager関連のログ・ファイルは、次の場所に格納されます。
DOMAIN_HOME/servers/adminserver/logs DOMAIN_HOME/servers/opamserver/logs
