| Oracle® Audit Vault and Database Firewall管理者ガイド リリース12.1.1 B71711-02 |
|
 前 |
 次 |
この章の内容は、次のとおりです。
この項の内容は、次のとおりです。
セキュア・ターゲットから監査データを取得するには、Audit Vault Serverと、対象のセキュア・ターゲットのAudit Vault Agentが常駐するホスト・マシン(通常はセキュア・ターゲットと同じコンピュータ)間の接続を構成する必要があります。ホストの登録後に、Audit Vault Agentをホストにデプロイしてアクティブ化する必要があります。
この章では、Audit Vault Agentがセキュア・ターゲット・ホストにデプロイされていることを前提として、Audit Vault ServerコンソールUIを使用してホストを登録し、エージェントをアクティブ化する手順を説明します。同等のコマンドをAVCLIコマンドライン・インタフェースでも使用できます。AVCLIの起動および使用の詳細は、「AVCLIコマンドライン・インタフェースの使用」を参照してください。
ホストの登録とエージェントのデプロイに加えて、監査証跡収集を開始するには、セキュア・ターゲットを追加して監査証跡を構成し、監査証跡収集を手動で開始する必要もあります。これらの手順は、「セキュア・ターゲット、監査証跡および強制ポイントの構成」を参照してください。
Oracle AVDFシステムの構成に関するワークフローの概要を確認するには、「Oracle AVDF構成ワークフローについて」を参照してください。
この章の各項では、各セキュア・ターゲット・タイプに固有の、ホストの構成に関する情報を示します。ただし、Audit Vault Serverでのホスト・マシンの登録手順は同じです。
Audit Vault Serverでホスト・マシンを登録する手順は、次のとおりです。
Audit Vault Serverコンソールに管理者としてログインします。
「ホスト」タブをクリックします。
登録されたホストがある場合は、そのリストが「ホスト」ページに表示されます。このリストの表示を制御するには、「UIでのオブジェクト・リストの操作」を参照してください。
「登録」をクリックします。
ホスト名とホストIPアドレスを入力します。
「保存」をクリックします。
ホストを削除したときに、監査データの収集のためにAudit Vault Agentの再登録が必要になった場合は、このホストにAudit Vault Agentを再インストールする必要があります。
セキュア・ターゲット・ホストを削除するには、次の手順を実行します。
Audit Vault Serverコンソールに管理者としてログインします。
「ホスト」タブをクリックします。
登録されたホストがある場合は、そのリストが「ホスト」ページに表示されます。このリストの表示を制御するには、「UIでのオブジェクト・リストの操作」を参照してください。
削除するホストを選択し、「削除」をクリックします。
Oracleセキュア・ターゲット・データベースで監査が有効になっているかどうかを確認する手順は、次のとおりです。
Oracleデータベースに管理権限を持つユーザーとしてログインします。次に例を示します。
sqlplus trbokuksa
Enter password: password
Connected.
次のコマンドを実行します。
SHOW PARAMETER AUDIT_TRAIL NAME TYPE VALUE ------------------------------------ ----------- ------- audit_trail string DB
SHOW PARAMETERコマンドの出力がNONEである場合、または変更対象の監査値である場合は、次のようにして設定を変更できます。
たとえば、XMLに変更する場合、サーバー・パラメータ・ファイルを使用しているとき、次のように入力します。
CONNECT SYS/AS SYSDBA
Enter password: password
ALTER SYSTEM SET AUDIT_TRAIL=XML SCOPE=SPFILE;
System altered.
SHUTDOWN
Database closed.
Database dismounted.
ORACLE instance shut down.
STARTUP
ORACLE instance started.
監査証跡設定を書き留めます。
この情報は、収集プロセスの開始時に必要です。
Audit Vault Serverでホストを登録するには、「Audit Vault Serverでのホストの登録」を参照してください。
エージェントをダウンロードしてアクティブ化するには、「セキュア・ターゲット・ホストでのAudit Vault Agentのデプロイおよびアクティブ化」の手順に従ってください。
監査データの収集を開始するには、このセキュア・ターゲットをAudit Vault Serverに追加した後、監査証跡収集を構成して手動で開始する必要があります。「セキュア・ターゲット、監査証跡および強制ポイントの構成」を参照してください。
手順は、「Oracle Database監査証跡クリーンアップ」を参照してください。
セキュア・ターゲット・データベース・インスタンスで監査が有効になっていることを確認し、SQL Serverセキュア・ターゲット・データベースで使用されている監査のタイプを書き留めます。詳細は、Microsoft SQL Serverの製品ドキュメントを参照してください。
Audit Vault Serverでホストを登録するには、「Audit Vault Serverでのホストの登録」を参照してください。
エージェントをダウンロードしてアクティブ化するには、「セキュア・ターゲット・ホストでのAudit Vault Agentのデプロイおよびアクティブ化」の手順に従ってください。
監査データの収集を開始するには、このセキュア・ターゲットをAudit Vault Serverに追加した後、監査証跡収集を構成して手動で開始する必要があります。「セキュア・ターゲット、監査証跡および強制ポイントの構成」を参照してください。
手順は、「SQL Server監査証跡クリーンアップ」を参照してください。
Sybase ASEセキュア・ターゲット・データベース・インスタンスで監査が有効になっていることを確認します。詳細は、Sybase ASEの製品ドキュメントを参照してください。
Audit Vault Serverでホストを登録するには、「Audit Vault Serverでのホストの登録」を参照してください。
エージェントをダウンロードしてアクティブ化するには、「セキュア・ターゲット・ホストでのAudit Vault Agentのデプロイおよびアクティブ化」の手順に従ってください。
監査データの収集を開始するには、このセキュア・ターゲットをAudit Vault Serverに追加した後、監査証跡収集を構成して手動で開始する必要があります。「セキュア・ターゲット、監査証跡および強制ポイントの構成」を参照してください。
MySQLセキュア・ターゲット・データベース・インスタンスで監査が有効になっていることを確認します。詳細は、MySQLの製品ドキュメントを参照してください。
Audit Vault Serverでホストを登録するには、「Audit Vault Serverでのホストの登録」を参照してください。
エージェントをダウンロードしてアクティブ化するには、「セキュア・ターゲット・ホストでのAudit Vault Agentのデプロイおよびアクティブ化」の手順に従ってください。
監査データの収集を開始するには、このセキュア・ターゲットをAudit Vault Serverに追加した後、監査証跡収集を構成して手動で開始する必要があります。「セキュア・ターゲット、監査証跡および強制ポイントの構成」を参照してください。
Oracle AVDFに含まれている変換ユーティリティは、MySQLのXML監査ログ・ファイルを監査データの収集で利用できる形式に変換します。Audit Vault Agentのデプロイ後にMySQLホスト・マシンでこのユーティリティを実行する必要があります。
|
注意: このユーティリティを実行する前に、MySqlセキュア・ターゲットをAudit Vault Serverに登録する必要があります。手順は、「Audit Vault Serverでのセキュア・ターゲットの登録または削除」を参照してください。 |
XLM変換ユーティリティを実行するには、次の手順を実行します。
MySQLホスト・コンピュータで、AGENT_HOME/av/plugins/ com.oracle.av.plugin.mysql/bin/ディレクトリに移動します。
次のコマンドを実行します。
MySQLTransformationUtility.bat inputPath=path_to_log_folder
outputPath=path_to_converted_xml agentHome=path_to_AGENT_HOME
interval=interval_in_minutes xslPath=XSL_file_path securedTargetName=registered_secured_target_name
このコマンドには次の変数が含まれています。
path_to_log_folder - my.iniにリストされているMySQLログ・フォルダへのパス。
path_to_converted_xml - 変換後のXMLファイルが格納されるフォルダへのパス。このパスは、このMySQLセキュア・ターゲットの監査証跡をAudit Vault Serverで作成する際またはAVCLIコマンドラインを使用して監査証跡収集を開始する際に、証跡の場所として使用します。
path_to_AGENT_HOME - Audit Vault Agentのインストール・ディレクトリへのパス。
interval_in_minutes - (オプション) 次の変換処理までの待ち時間(分)。指定しなかった場合のデフォルトは60分です。変換ユーティリティを1回実行するには、この引数に-veを指定します。
XSL_file_path - (オプション) 変換に使用するXSLファイルへのパス。
registered_secured_target_name - Audit Vault Serverに登録するMySQLセキュア・ターゲットの名前。
例:
MySQLTransformationUtility.bat inputPath=D:\MySQLLog outputPath=D:\ConvertedXML agentHome=E:\MySQLCollector interval=1 securedTargetName=MYSQL_DEV
手順は、「MySQL監査証跡クリーンアップ」を参照してください。
IBM DB2 for LUWセキュア・ターゲット・データベース・インスタンスで監査が有効になっていることを確認します。詳細は、IBM DB2の製品ドキュメントを参照してください。
Audit Vault Serverでホストを登録するには、「Audit Vault Serverでのホストの登録」を参照してください。
エージェントをダウンロードしてアクティブ化するには、「セキュア・ターゲット・ホストでのAudit Vault Agentのデプロイおよびアクティブ化」の手順に従ってください。
監査データの収集を開始するには、このセキュア・ターゲットをAudit Vault Serverに追加した後、監査証跡収集を構成して手動で開始する必要もあります。「セキュア・ターゲット、監査証跡および強制ポイントの構成」を参照してください。
IBM DB2では、監査ファイルがDB2データベースとは別のバイナリ・ファイル形式で作成されます。Oracle AVDFがDB2データベースから監査データを収集するたびに、この項で説明するスクリプトを使用して、事前にバイナリ・ファイルをASCIIファイルに変換する必要があります。原則として、このスクリプトを定期的に実行するようにスケジュールします。DB2監査証跡によってすでに収集されている古いテキスト・ファイルがスクリプトによって検出されると、それらのファイルは削除されます。スクリプトを実行するたびに、タイムスタンプが設定されたASCIIテキスト・ファイルが新しく作成されます。オプションで、出力監査ファイルをパージするスクリプトを設定できます。
バイナリのDB2監査ファイルをASCIIファイルに変換する手順は、次のとおりです。
db2auditコマンドを実行する権限を持つユーザーを識別します。
このユーザーはバイナリ・ファイルをテキスト・ファイルに抽出します。
手順1で識別したユーザーに、Oracle AVDFディレクトリから変換スクリプトを実行する権限を付与します。スクリプト名は、次のとおりです。
DB2リリース8.2データベース: DB282ExtractionUtil(Microsoft Windowsでは、このファイルはDB282ExtractionUtil.batになります。)
DB2 9.5リリース・データベース: DB295ExtractionUtil (Microsoft Windowsでは、このファイルはDB295ExtractionUtil.batになります。)
手順1で識別したユーザーに、$AGENT_HOME/av/atcディレクトリおよびその内容の読取り権限を付与します。
IBM DB2データベースをインストールしたサーバーで、SYSADM DB2ユーザーとしてシェルを開きます。
次の変数を設定します。
AGENT_HOME (これは、Audit Vault Agentインストール・ディレクトリです。)
DB2AUDIT_HOME(このディレクトリは、db2auditコマンドを含むメイン・ディレクトリを示します。)
エージェント・プロセスのOracle AVDF所有者が、抽出ユーティリティで生成される監査テキスト・ファイルの読取り権限を持っていることを確認します。
「IBM DB2 for LUWの設定スクリプト」で指定したDB2ユーザーとしてログインします。
インストールしたDB2のバージョンに応じて、次のいずれかのスクリプトを実行します。
DB2リリース8.2データベースの場合:
DB282ExtractionUtil -extractionpath default_DB2_audit_directory -audittrailcleanup yes/no
default_DB2_audit_directory: DB2監査ディレクトリの場所へのフル・ディレクトリ・パスを入力します。通常、このディレクトリは次の場所にあります。
UNIX: DB2_HOME/sqlib/security/auditdata
Microsoft Windows: DB2HOME\instance\security\auditdata
yes/no: yesまたはnoを入力し、監査証跡クリーンアップを有効または無効にします。yesを入力すると、Oracle AVDF DB2監査証跡によって収集された最新の監査レコードまで、IBM DB2監査ファイルが削除されます。この値を省略した場合、デフォルトはnoです。
たとえば、監査ファイルを抽出し、監査証跡クリーンアップを有効にするには、次のように実行します。
DB282ExtractionUtil -extractionpath /home/extract_dir -audittrailcleanup yes
このスクリプトにより、ファイルの作成日時を示す次の書式を使用して、auditdataディレクトリにASCIIテキスト・ファイルが作成されます。
db2audit.instance.log.0.YYYYDDMMHHMMSS.out
DB2リリース9.5データベースの場合:
DB295ExtractionUtil -archivepath archive_path -extractionpath extraction_path -audittrailcleanup yes/no -databasename database_name
詳細は、次のとおりです。
archive_path: DB2リリース8.2で使用されるディレクトリと同じです。
extraction_path: avdb2db alter_collector SINGLE_FILEPATH属性で指定されるディレクトリです。このファイルは、db2audit.instance.log.0.YYYYDDMMHHMMSS.outという書式を使用して作成されます。
yes/no: yesまたはnoを入力し、監査証跡クリーンアップを有効または無効にします。yesを入力すると、Oracle AVDF DB2監査証跡によって収集されたアーカイブ済のIBM DB2監査ファイルが削除されます。この値を省略した場合、デフォルトはnoです。
database_name: 監査レコードが格納されているデータベースの名前です。このパラメータを使用すると、表の作成や削除を取得するオブジェクト・メンテナンス(objmaint)レコードなど、監査レコードのカテゴリを収集できます。複数のデータベースを指定できます。
これらの2つのディレクトリ・パスは同じにすることも、任意にそれぞれ別のディレクトリを指定することもできます。
たとえば、監査データの収集後にアーカイブ・ファイルを削除するには、次のように実行します。
DB295ExtractionUtil -archivepath /home/archive_dir -extractionpath /home/extract_dir -audittrailcleanup yes -databasename TOOLSDB TESTDB EMPDB
スクリプトを自動的に実行するようにスケジュールする場合、次のガイドラインに従ってください。
UNIX: crontab UNIXユーティリティを使用します。スクリプトを通常どおりに実行するときに前述のパラメータを使用して指定したのと同じ情報を指定します。
Microsoft Windows: Windows Schedulerを使用します。アーカイブ・ディレクトリ・パス(リリース9.5データベースの場合のみ)、抽出パスおよびセキュア・ターゲット・データベース名をスケジュールしたタスクに指定します。
Solarisセキュア・ターゲットで監査が有効になっていることを確認します。詳細は、Oracle Solarisの製品ドキュメントを参照してください。
Audit Vault Serverでホストを登録するには、「Audit Vault Serverでのホストの登録」を参照してください。
エージェントをダウンロードしてアクティブ化するには、「セキュア・ターゲット・ホストでのAudit Vault Agentのデプロイおよびアクティブ化」の手順に従ってください。
監査データの収集を開始するには、このセキュア・ターゲットをAudit Vault Serverに追加した後、監査証跡収集を構成して手動で開始する必要があります。「セキュア・ターゲット、監査証跡および強制ポイントの構成」を参照してください。
Windowsセキュア・ターゲットで監査が有効になっていることを確認します。詳細は、Windowsの製品ドキュメントを参照してください。
Audit Vault Serverでホストを登録するには、「Audit Vault Serverでのホストの登録」を参照してください。
エージェントをダウンロードしてアクティブ化するには、「セキュア・ターゲット・ホストでのAudit Vault Agentのデプロイおよびアクティブ化」の手順に従ってください。
監査データの収集を開始するには、このセキュア・ターゲットをAudit Vault Serverに追加した後、監査証跡収集を構成して手動で開始する必要があります。「セキュア・ターゲット、監査証跡および強制ポイントの構成」を参照してください。
Linuxセキュア・ターゲットで監査が有効になっていることを確認します。詳細は、Linuxの製品ドキュメントを参照してください。
Audit Vault Serverでホストを登録するには、「Audit Vault Serverでのホストの登録」を参照してください。
エージェントをダウンロードしてアクティブ化するには、「セキュア・ターゲット・ホストでのAudit Vault Agentのデプロイおよびアクティブ化」の手順に従ってください。
監査データの収集を開始するには、このセキュア・ターゲットをAudit Vault Serverに追加した後、監査証跡収集を構成して手動で開始する必要があります。「セキュア・ターゲット、監査証跡および強制ポイントの構成」を参照してください。
Active Directoryセキュア・ターゲットで監査が有効になっていることを確認します。詳細は、Active Directoryの製品ドキュメントを参照してください。
Audit Vault Serverでホストを登録するには、「Audit Vault Serverでのホストの登録」を参照してください。
エージェントをダウンロードしてアクティブ化するには、「セキュア・ターゲット・ホストでのAudit Vault Agentのデプロイおよびアクティブ化」の手順に従ってください。
監査データの収集を開始するには、このセキュア・ターゲットをAudit Vault Serverに追加した後、監査証跡収集を構成して手動で開始する必要があります。「セキュア・ターゲット、監査証跡および強制ポイントの構成」を参照してください。
Oracle ACFSセキュア・ターゲットで監査が有効になっていることを確認します。コマンドライン・ツールacfsutil audit initおよびacfsutil audit enableを使用できます。
Audit Vault Serverでホストを登録するには、「Audit Vault Serverでのホストの登録」を参照してください。
エージェントをダウンロードしてアクティブ化するには、「セキュア・ターゲット・ホストでのAudit Vault Agentのデプロイおよびアクティブ化」の手順に従ってください。
監査データの収集を開始するには、このセキュア・ターゲットをAudit Vault Serverに追加した後、監査証跡収集を構成して手動で開始する必要があります。「セキュア・ターゲット、監査証跡および強制ポイントの構成」を参照してください。
Audit Vault Agentをデプロイするときには、OSのユーザー・アカウントを使用する必要があります。このステップでは、agent.jarファイルをホスト・マシンにコピーし、アクティブ化リクエストをAudit Vault Serverに送信します。
Audit Vault Agentをホスト・マシンにコピーしてデプロイするには、次の手順を実行します。
Audit Vault Serverコンソールに管理者としてログインします。
「ホスト」タブをクリックした後、「ホスト」メニューから「エージェント」をクリックします。
「エージェントのダウンロード」をクリックし、agent.jarファイルを選択した場所に保存します。
OSのユーザー・アカウントを使用して、agent.jarファイルをセキュア・ターゲットのホスト・コンピュータにコピーします。
ホスト・マシンで、JAVA_HOMEをjdk1.6 (または、それ以上)のインストール・ディレクトリに設定し、java実行可能ファイルがこのJAVA_HOMEの設定に対応していることを確認します。
「管理者として実行」でコマンド・プロンプトを開始します。
agent.jarファイルを格納したディレクトリで、次のコマンドを実行して解凍します。
cmd> java -jar agent.jar -d Agent_Home
これにより、Agent_Homeに入力した名前でディレクトリが作成され、そのディレクトリにAudit Vault Agentがインストールされます。
Windowsシステムの場合、このコマンドによりOracleAVAgentという名前のwindowsサービスが自動的に登録されます。
Audit Vault Agentのアクティブ化をリクエストするには、次の手順を実行します。
セキュア・ターゲット・ホスト・コンピュータで、次のディレクトリに移動します。
Agent_Home/bin
Agent_Homeは、前述の手順7で作成したディレクトリです。
次のコマンドを実行します。
./agentctl activate
これにより、Audit Vault Serverにアクティブ化リクエストが送信されます。
このステップでは、Audit Vault Serverでエージェント・アクティブ化リクエストを承認した後、セキュア・ターゲット・ホスト・マシンでエージェントを起動します。
エージェントをアクティブ化して起動する手順は、次のとおりです。
Audit Vault Serverコンソールに管理者としてログインします。
「ホスト」タブをクリックします。
アクティブ化するホストを選択し、「アクティブ化」をクリックします。
これにより、「エージェント・アクティブ化キー」列に新しいアクティブ化キーが生成されます。
「ステップ1: ホスト・マシンでのAudit Vault Agentのデプロイ」の手順を完了している場合は、ホストのアクティブ化のみできます。それ以外の場合、そのホストの「エージェント・アクティブ化ステータス」は「リクエストなし」になります。
次のようにディレクトリを変更します。
cd Agent_Home/bin
Agent_Homeは、前述の手順7で作成したディレクトリです。
セキュア・ターゲット・ホスト・マシンで、次のコマンドを実行し、手順3のアクティブ化キーを指定します。
./agentctl start -k key
注意: -k引数は、初回のagentctl startコマンドの後は不要です。
|
関連項目: エージェントがMicrosoft Windowsホスト・コンピュータにデプロイされている場合、Windowsコントロール パネルのWindowsサービス・アプレットでエージェントWindowsサービスを開始または停止できます。「Audit Vault AgentのWindowsサービスとしての登録または登録解除」を参照してください。 |
初回のアクティブ化および起動の後に、Audit Vault Agentを停止または起動するには、セキュア・ターゲット・ホスト・マシンのAgent_Home/binディレクトリから、次のコマンドのいずれかを実行します。
./agentctl stop
./agentctl start
|
関連項目: エージェントがMicrosoft Windowsホスト・コンピュータにデプロイされている場合、Windowsコントロール パネルのWindowsサービス・アプレットでエージェントWindowsサービスを開始または停止できます。「Audit Vault AgentのWindowsサービスとしての登録または登録解除」を参照してください。 |
Audit Vault AgentをMicrosoft Windowsホスト・コンピュータにデプロイすると(「ステップ1: ホスト・マシンでのAudit Vault Agentのデプロイ」)、エージェントのデプロイ時にOracleAVAgentというWindowsサービスが自動的に登録されます。また、次のようにagentctlコマンドを使用してエージェント・サービスを登録または登録解除できます。
Audit Vault AgentがWindowsサービスとして登録されると、Windowsコントロール パネルのWindowsサービス・アプレットを使用してサービスを開始または停止できるようになります。
Audit Vault AgentをWindowsサービスとして登録するには、次の手順を実行します。
セキュア・ターゲット・ホスト・コンピュータで、Agent_Home/binディレクトリから次のコマンドを実行します。
./agentctl registersvc
これにより、Oracle Audit Vault AgentサービスがWindowsサービス・レジストリに追加されます。
|
注意: Audit Vault Serverにアクセスするための十分な権限があるWindowsユーザー・アカウント使用するように、Audit Vault Agentサービスを設定してください。手順は、Microsoft Windowsのドキュメントを参照してください。 |
Audit Vault AgentのWindowsサービスとしての登録を解除するには、次のいずれかの方法を使用します。
方法1 (推奨)
セキュア・ターゲット・ホスト・マシンで、Agent_Home/binディレクトリから次のコマンドを実行します。
./agentctl unregistersvc
これにより、Oracle Audit Vault AgentサービスがWindowsサービス・レジストリから削除されます。
方法2
方法1が失敗した場合は、Windowsコマンド・プロンプトから次を実行します(管理者として実行)。
cmd> sc delete OracleAVAgent
Windowsコマンド・プロンプトから次の問合せを実行して(管理者として実行)、Audit Vault Agentが削除されたかどうかを確認できます。
cmd> sc queryex OracleAVAgent
設定したロギング・レベルは、ログ・ファイルに書き込まれる情報量に影響を与えます。ディスク領域の制限には、これを考慮する必要があります。
次に、ログ・ファイルに書き込まれる情報量の順にロギング・レベルを示します。debugが最も多い情報量を提供します。
error: エラー・メッセージのみ書き込みます。
warn: (デフォルト) 警告メッセージとエラー・メッセージを書き込みます。
info: 情報メッセージ、警告メッセージ、エラー・メッセージを書き込みます。
debug: デバッグのために詳細なメッセージを書き込みます。
Audit Vault Agentのロギング・レベルを変更するには、次の手順を実行します。
Audit Vault ServerでAVCLIにログインしていることを確認します。
ALTER HOSTコマンドを実行します。
構文は、次のとおりです。
ALTER HOST host_name SET LOGLEVEL=av.agent:log_level
詳細は、次のとおりです。
host_name: Audit Vault Agentがデプロイされたホストの名前。
log_level: 値info、warn、debugまたはerrorを入力します。
Audit Vault AgentをWindowsサービスとして登録している場合は、「Audit Vault AgentのWindowsサービスとしての登録または登録解除」でサービス登録解除の方法を確認してください。
それ以外の場合は、Audit Vault Agentを次の手順で削除します。
Audit Vault Agentによって収集されている監査証跡をすべて停止します。
Audit Vault Serverコンソールで、「ホスト」タブをクリックした後、「監査証跡」をクリックします。
このAudit Vault Agentによって収集されている監査証跡を選択し、「停止」をクリックします。
セキュア・ターゲット・ホスト・コンピュータで次のコマンドを実行し、Audit Vault Agentを停止します。
agentctl stop
ホスト・コンピュータでAudit Vault Agentを非アクティブ化します。
Audit Vault Serverコンソールで、「ホスト」タブをクリックします。
ホスト名を選択し、「非アクティブ化」をクリックします。
オプションで、ホストを選択した後、「削除」をクリックしてホストを削除します。
ホスト・コンピュータのAudit Vault Agentホーム・ディレクトリを削除します。
この項の内容は、次のとおりです。
Oracle AVDF 12.1.1に初めてアップグレードするときには、デプロイされている各Audit Vault Agentを次の手順で更新する必要があります。
監査証跡を停止します。
「Audit Vault Serverでの監査証跡の開始および停止」を参照してください。
Audit Vault Agentを停止します。
「Audit Vault Agentの停止および起動」を参照してください。
Audit Vault Serverから新しいagent.jarファイルをダウンロードし、セキュア・ターゲット・ホスト・コンピュータにデプロイします。
「ステップ1: ホスト・マシンでのAudit Vault Agentのデプロイ」を参照してください。
Audit Vault Agentを開始します。
監査証跡を再開します。
Oracle AVDFリリース12.1.0からリリース12.1.1へのアップグレード時にAudit Vault Agentを1度更新しておくと、それ以降Audit Vault Agentは次のタイミングで自動更新されます。
Audit Vault Serverへのパッチの適用
新しいAudit Vault Agentプラグインのデプロイ
Audit Vault Server構成の変更
構成の変更とは、IPアドレスの変更や高可用性の構成など、Audit Vault Serverとクライアントの通信方法を変えるものを指します。
自動更新中Audit Vault Agentは一時的に停止し、その後再起動します。更新後、監査証跡を再開する必要があります。
この項の内容は、次のとおりです。
ホスト監視を使用すると、強制ポイントでデータベースのSQLトラフィックを直接監視できます。この機能は、分散環境に小規模データベースが多数あり、Oracle AVDFでこれらの小規模データベースを一元的に監視する必要がある状況に対応できるように設計されています。
ホスト監視は、LinuxプラットフォームとWindowsプラットフォームでサポートされており、Database Firewallがサポートしているデータベースを監視できます。サポートされているデータベースは、表B-1を参照してください。
ホスト監視は、ネットワーク・カードからSQLトラフィックを取得し、ネットワーク経由でDatabase Firewallに送信します。このSQLデータは、Oracle AVDFで生成されるレポートに利用できます。ホスト監視は、SQLトラフィックの監視にのみ使用され、SQL文のブロックまたは置換には使用できません。
ホスト監視を使用するには、ホスト監視をデプロイするホスト・マシン(通常データベースと同じマシン)にAudit Vault Agentをデプロイします。より大規模なデータベースの場合、ホスト監視で取得されるSQLトラフィックにより、ネットワーク・トラフィックは増加します。その場合、ホスト監視ソフトウェアをデータベース・サーバーとは異なるサーバーにインストールできます。その後、スパニング・ポートを使用してこのデータベース・サーバーをホスト監視に使用するサーバーに接続する必要があります。
ホスト監視を使用した複数のセキュア・ターゲット・データベースの監視は、1つのDatabase Firewallを使用して実行できます。これを行うには、各セキュア・ターゲットの強制ポイントを作成します。
セキュア・ターゲットに対するすべてのネットワーク・トラフィックを監視するには、Oracle AVDF監査者がセキュア・ターゲットに「Log all」または「Log all - no mask」のファイアウォール・ポリシーを選択する必要があります。手順は、『Oracle Audit Vault and Database Firewall監査者ガイド』を参照してください。
ホスト監視を実行するホスト・マシンには次が必要です(これらは、/usr/lib、/libまたは/lib64などのシステム・デフォルト・ディレクトリに存在していることがあります)。
OpenSSL。http://www.openssl.org/を参照してください。
Windowsの場合: OpenSSL 1.0.1c以上
Linuxの場合: OpenSSL 0.9.8i以上
Linuxホストの場合: libpcapライブラリ、バージョン0.9.4以上。http://www.tcpdump.org/を参照してください。セキュア・ターゲット・ホストに次のパッケージをインストールします。
libpcap
libpcap-devel
たとえば、Oracle Linuxシステムで、次のコマンドをrootとして実行します。
yum -y install libpcap libpcap-devel
Windowsホストの場合: wincapライブラリ、バージョン4.1.2以上。http://www.winpcap.org/を参照してください。
Audit Vault Serverでホストを登録するには、「Audit Vault Serverでのホストの登録」を参照してください。
このステップでは、Audit Vault Agentをデプロイします(まだデプロイしていない場合)。WindowsホストにAudit Vault Agentをデプロイすると、ホスト監視が設定され、インストールされます。サポートされているUNIXホストにAudit Vault Agentをデプロイする場合は、hostmonitorバイナリ・ファイルに適切な権限を設定するため、スクリプトの実行も必要になります。
Audit Vault Agentをデプロイしてホスト監視設定スクリプトを実行するには、次の手順を実行します。
ホスト・マシンにAudit Vault Agentをデプロイし、アクティブ化します(まだ行っていない場合)。次を参照してください。
(UNIXホストのみ) rootとしてAgent_Home/binディレクトリから次のコマンドを実行します。
./hostmonsetup install
セキュア・ターゲットを作成するには、「Audit Vault Serverでのセキュア・ターゲットの登録または削除」を参照してください。
リモートで監視するデータベースごとに、Audit Vault Serverで強制ポイントを作成する必要があります。
強制ポイントを作成するには、「強制ポイントの構成」を参照してください。
この項の内容は、次のとおりです。
ホスト監視を開始するには、監視対象のセキュア・ターゲット・ホストでNETWORK監査証跡の収集を開始します。この項では、この手順をAudit Vault ServerコンソールとAVCLIコマンド・ユーティリティで実行する方法を説明します。
Audit Vault Serverコンソールからホスト監視を開始するには、次の手順を実行します。
Audit Vault Serverコンソールに管理者としてログインします。
監視対象のセキュア・ターゲットの監査証跡をタイプNETWORKとして作成します。
「Audit Vault Serverでの監査証跡の構成」を参照してください。
前の手順で作成した監査証跡を開始します。
「Audit Vault Serverでの監査証跡の開始および停止」を参照してください。
AVCLIユーティリティを使用してホスト監視を開始するには、次の手順を実行します。
Audit Vault ServerでAVCLIにログインしていることを確認します。
「AVCLIコマンドライン・インタフェースのダウンロードおよび使用」を参照してください。
ホスト監視を開始するには、監視しているセキュア・ターゲット・データベースごとに、START COLLECTIONコマンドを実行します。
構文は、次のとおりです。
AVCLI> START COLLECTION FOR SECURED TARGET secured_target USING HOST host_name FROM trail_location;
このコマンドの説明は次のとおりです。
secured_target: 「ステップ3: ホスト監視対象のセキュア・ターゲット用のセキュア・ターゲットの作成」で指定したセキュア・ターゲット・データベースの名前を入力します。
host_name: ホスト・コンピュータ名を入力します。
trail_location: NETWORKと入力します。
次に例を示します。
AVCLI> START COLLECTION FOR SECURED TARGET hr_orcl_db USING HOST hrdb.example.com FROM NETWORK;
ホスト監視を停止する手順は、次のとおりです。
ホスト監視を停止するセキュア・ターゲット・データベースごとに、STOP COLLECTIONコマンドを実行します。
構文は、次のとおりです。
STOP COLLECTION FOR SECURED TARGET secured_target USING HOST host_name FROM NETWORK
詳細は、次のとおりです。
secured_target: 「ステップ3: ホスト監視対象のセキュア・ターゲット用のセキュア・ターゲットの作成」で指定したセキュア・ターゲット・データベースの名前を入力します。
host_name: ホスト・コンピュータ名を入力します。
次に例を示します。
avcli> STOP COLLECTION FOR SECURED TARGET hr_orcl_db USING HOST hrdb.example.com FROM NETWORK;
「Audit Vault Agentのロギング・レベルの変更」を参照してください。
Audit Vault Serverコンソールに監査者としてログインします。
「セキュア・ターゲット」タブをクリックした後、「監視」メニューから「監査証跡」をクリックします。
ホスト監視監査証跡の収集ステータスが「監査証跡」ページにリストされます。ホスト監視を探すために、リストを検索したり、ソートできます。「UIでのオブジェクト・リストの操作」を参照してください。
ホスト監視を実行するホストのIPアドレスはホストとDatabase Firewall間の通信で認証されますが、ホスト監視実行可能ファイルはデフォルトで認証されません。ホスト監視で証明書ベースの認証を使用してセキュリティを強化するには、次の手順を実行します。
ホスト監視接続に署名済証明書を要求するには、次の手順を実行します。
ホスト監視を停止します(実行している場合)。
「ホスト監視の停止」を参照してください。
Database Firewallで、rootとしてログインし、次のコマンドを実行します。
cp /usr/local/dbfw/etc/controller.crt /usr/local/dbfw/etc/fw_ca.crt chown dbfw:dbfw /usr/local/dbfw/etc/fw_ca.crt chmod 400 /usr/local/dbfw/etc/fw_ca.crt
Database Firewallを再起動します。
ホスト監視を実行する各ホストで、次の手順を実行します。
Audit Vault Serverから署名済証明書を取得するには、次の手順を実行します。
Audit Vault Serverにrootとしてログインします。
ディレクトリ/usr/local/dbfw/etcに移動します。
次の2つのコマンドを実行します。
openssl genrsa -out hmprivkey.perm 2048
openssl req -new -key hmprivkey.perm -out hmcsr.csr -subj "/CN=Hostmonior_Cert_hostname/"
hostnameは、Audit Vault Agentがインストールされているコンピュータのホスト名です。
OpenSSLの要件の詳細は、「ホスト監視の前提条件」を参照してください。
署名済証明書を1つ生成するには、次のコマンドを実行します。
/usr/local/dbfw/bin/generate_casigned_hmcert.sh
署名済証明書ファイルhmcert.crtが生成されます。
生成されたhmcert.crtファイルをコピーします。
ホスト・コンピュータで、rootとしてログインします。
ディレクトリAgent_Home/bin/platformに移動し、Audit Vault Serverからコピーしたhmcert.crtファイルをこのディレクトリに置きます。
platformディレクトリは、次のように実際のホスト・プラットフォームに依存します。
Windowsの場合: Agent_Home/bin/mswin-x86-64
Linuxの場合: Agent_Home/bin/linux-x86-64
(Linuxホストのみ) rootとして、次のコマンドを実行します。
chown root:root Agent_Home/bin/linux-x86-64/hmcert.crt
chmod 400 Agent_Home/bin/linux-x86-64/hmcert.crt
(Windowsホストのみ) 不要なユーザー・アクセスを防ぐため、署名済証明書ファイルhmcert.crtの権限が適切であることを確認します。
ホスト監視を開始して、ネットワーク・トラフィックを捕捉します。
「ホスト監視の開始」を参照してください。
ホスト監視を実行する各ホストで、この手順を繰り返します。
この項の内容は、次のとおりです。
サポートされているセキュア・ターゲットの各タイプに対応するソフトウェア・プラグインがAudit Vault Agentにあります。新しいプラグインをデプロイして、デフォルトのOracle AVDFインストールでサポートされている以外のセキュア・ターゲット・タイプから監査データを収集できます。新しいプラグインは、Oracle Technology Networkまたはサード・パーティから入手できます。プラグイン・デプロイメント・プロセスでは、プラグイン・アーカイブのコードを使用してAudit Vault Serverのagent.jarファイルを更新します。
1つのプラグインでサポートするセキュア・ターゲット・タイプは1つのみです。ただし、開発者からそれぞれ異なるプラグインを取得したり、各プラグインが同じセキュア・ターゲット・タイプについて固有の監査証跡タイプをサポートする場合などは、同じセキュア・ターゲット・タイプに対して複数のプラグインをデプロイできます。監査証跡収集の構成時に、使用する特定のプラグインを選択できます。
プラグインに関連付けられたセキュア・ターゲット・タイプからの監査データの収集を開始するには、このセキュア・ターゲットをAudit Vault Serverに追加した後、監査証跡収集を構成して手動で開始する必要もあります。「セキュア・ターゲット、監査証跡および強制ポイントの構成」を参照してください。
セキュア・ターゲットで監査が有効になっていることを確認します。詳細は、セキュア・ターゲットの製品ドキュメントを参照してください。Oracle Database用のプラグインは、「ステップ1: Oracleセキュア・ターゲット・データベースで監査が有効になっていることの確認」を参照してください。
Audit Vault Serverでホストを登録するには、「Audit Vault Serverでのホストの登録」を参照してください。
Audit Vault Agentプラグインをデプロイしてアクティブ化する手順は、次のとおりです。
Audit Vault Serverにプラグイン・アーカイブをコピーし、ファイルの場所を書き留めます。
プラグイン・アーカイブは、Oracle Technology Networkまたはサード・パーティから入手できます。
Audit Vault Serverコンソールに管理者としてログインします。
「ホスト」タブをクリックした後、「エージェント」をクリックすると、現在デプロイされているプラグインが表示されます。デプロイ対象のプラグインがまだデプロイされていないことを確認します。
エージェント生成時間は、agent.jarファイルの最終更新時間を示します。
「設定」タブをクリックし、「システム」メニューから「プラグイン」をクリックします。
「デプロイ」をクリックし、「プラグイン・アーカイブ」フィールドにプラグイン・アーカイブの名前を入力するか、参照します。
「プラグインのデプロイ」をクリックします。
新しいプラグインが、「ホスト」タブの「エージェント」ページの「プラグイン」にリスト表示されます。更新されたagent.jarファイルの新しいエージェント生成時間が「エージェント」ページに表示されます。
「ホスト」ページには、登録されたホストごとに「エージェント生成時間」列が表示され、そのホストにあるagent.jarのバージョンを示します。
登録された各ホスト・マシンに更新後のagent.jarファイルをコピーします。
ホスト・マシンを登録していない場合は、「Audit Vault Serverでのホストの登録」を参照してください。
ホスト・マシンで、エージェントを抽出します。
java -jar agent.jar
|
注意: agent.jarを更新しているため、プラグインのデプロイと同じログイン・セッション中にエージェントをダウンロードすることはできません。だたし、他のセッションのユーザーは、プラグイン・デプロイメント・プロセスが完了し、新しいバージョンが使用可能になるまで、最新バージョンのagent.jarをダウンロードできます。 |
