| Oracle® Audit Vault and Database Firewall管理者ガイド リリース12.1.1 B71711-02 |
|
 前 |
 次 |
この付録の内容は、次のとおりです。
Oracle AVDFでは、セキュア・ターゲット・タイプごとにプラグインを提供して、様々なセキュア・ターゲット・タイプをサポートしています。この付録では、監査証跡およびその他の機能がセキュア・ターゲット・タイプごとに適切に機能するのに欠かせない設定を構成するのに必要な情報を示します。
スクリプト: 各タイプのセキュア・ターゲットに対して必要な権限を持つアカウントを簡単に作成できるようになる設定スクリプトが提供されています。Oracle AVDFでは、次の目的のために、これらのアカウント権限を使用します。
Oracle Databaseセキュア・ターゲットの監査ポリシーの管理
Oracle Databaseセキュア・ターゲットの権限データの収集
サポートされるセキュア・ターゲットの監査データの収集
サポートされるセキュア・ターゲットのストアド・プロシージャ監査(SPA)の実行
コレクション属性: Oracle AVDFでセキュア・ターゲットを登録するときに、追加の監査データ・コレクション属性の定義を必要とするセキュア・ターゲット・タイプや、サポートするセキュア・ターゲット・タイプがあります。
Oracle AVDFプラグインは表B-1にリストされているバージョンのセキュア・ターゲット製品をサポートしています。
これらのセキュア・ターゲットの各監査証跡タイプでサポートされるプラットフォームの詳細は、表B-7を参照してください。
最新プラットフォーム・マトリックス
サポートされているプラットフォームに関する最新の情報は、Webサイトhttps://support.oracle.comに掲載されている記事番号1536380.1から入手できます。
表B-1 サポートされているセキュア・ターゲットおよびサポートされているOracle AVDF機能
|
注意: Solarisバージョン2.3以上からの監査データの収集も可能です(Oracle Supportに相談してください)。 |
この項の内容は、次のとおりです。
Oracle AVDFで監査データの監視および収集に関連する機能の実行で使用するための、各セキュア・ターゲットに対する特定の権限を持つユーザー・アカウントを設定する必要があります。セキュア・ターゲットのタイプに応じて、スクリプトにより、Oracle AVDFで次の機能を実行できるユーザー権限が設定されます。
監査データ収集
監査ポリシー管理
ストアド・プロシージャ監査
ユーザー権限監査
データベース問合せ
監査証跡のクリーンアップ(一部のセキュア・ターゲットが対象)
セキュア・ターゲット・ホスト・コンピュータにAudit Vault Agentをデプロイした場合、Oracle AVDFに対するユーザー権限を作成するための設定スクリプトは、次のディレクトリにあります(次の例はLinuxの場合)。
$AGENT_HOME/av/plugins/com.oracle.av.plugin.secured_target_type/config/
Oracle Databaseセキュア・ターゲット用のOracle AVDF設定スクリプトoracle_user_setup.sqlおよびoracle_drop_db_permissions.sqlは、次のディレクトリにあります(次の例はLinuxの場合)。
$AGENT_HOME/av/plugins/com.oracle.av.plugin.oracle/config/
これらのスクリプトは、Oracle AVDFで次の機能を実行するための、Oracle Databaseに対するユーザー権限を設定または取り消すために使用します。
監査データ収集
監査ポリシー管理
ストアド・プロシージャ監査(SPA)
ユーザー権限監査
Oracle Databaseセキュア・ターゲットに対するOracle AVDFユーザー権限を設定または取り消す手順は、次のとおりです。
Oracle DatabaseでOracle AVDFのユーザー・アカウントを作成します。次に例を示します。
SQL> CREATE USER username IDENTIFIED BY password
Audit Vault ServerでこのOracle Databaseをセキュア・ターゲットとして登録するときに、このユーザー名およびパスワードを使用します。
SYSDBA権限を持つSYSユーザーとして接続します。次に例を示します。
SQL> CONNECT SYS/AS SYSDBA
Oracle AVDFユーザー権限を設定するには、次のようにして設定スクリプトを実行します。
SQL> @oracle_user_setup.sql username mode
username: 手順1で作成したユーザーの名前を入力します。
mode: 次のいずれかを入力します。
SETUP: Oracle AVDFからOracle Database監査ポリシーを管理するための権限と、REDOログ以外の監査証跡タイプからデータを収集するための権限を設定する場合。
REDO_COLL: REDOログから監査データを収集するための権限を設定する場合。
SPA: このデータベースに対してストアド・プロシージャ監査を有効にする場合
ENTITLEMENT: このデータベースに対してユーザー権限監査を有効にする場合
セキュア・ターゲット・データベースにOracle Database Vaultがインストールされ有効になっている場合は、次のようにします。
DV_OWNERロールが付与されているユーザーとしてログインし、次のコマンドを実行します。
SQL> EXEC DBMS_MACADM.ADD_AUTH_TO_REALM('Oracle Data Dictionary', 'username', null, dbms_macutl.g_realm_auth_participant);
SQL> COMMIT;
usernameには、手順1で作成したユーザーの名前を入力します。
これで、セキュア・ターゲット・データベース・ユーザーがOracle Data Dictionaryレルムに追加されます。
Oracle AVDFユーザーに、このOracle Databaseに対するDV_SECANALYSTロールを付与します。次に例を示します。
SQL> GRANT DV_SECANALYST TO username;
usernameには、手順1で作成したユーザーの名前を入力します。
DV_SECANALYSTロールにより、Oracle AVDFでOracle Database Vaultの監査証跡データを監視および収集したり、Oracle Database Vaultレポートを実行できます。
Oracle AVDFユーザー権限を取り消すには、このデータベースにSYSDBA権限を持つSYSとして接続し、次のスクリプトを実行します。
SQL> @oracle_drop_db_permissions.sql username mode
username: 手順1で作成したユーザーの名前を入力します。
mode: 次のいずれかを入力します。
SETUP: Oracle AVDFからOracle Database監査ポリシーを管理するための権限と、REDOログ以外の監査証跡タイプからデータを収集するための権限を取り消す場合。
REDO_COLL: REDOログから監査データを収集するための権限を取り消す場合。
SPA: このデータベースに対してストアド・プロシージャ監査を無効にする場合
ENTITLEMENT: このデータベースに対してユーザー権限監査を無効にする場合
この項の内容は、次のとおりです。
Sybase ASEセキュア・ターゲットでOracle AVDFに必要なユーザー権限を構成するために、次のスクリプトが提供されています。
sybase_auditcoll_user_setup.sqlsybase_auditcoll_drop_db_permissions.sqlsybase_spa_user_setup.sqlsybase_spa_drop_db_permissions.sql
このスクリプトは次のディレクトリにあります(次の例はLinuxの場合)。
$AGENT_HOME/av/plugins/com.oracle.av.plugin.sybase/config/
これらのスクリプトにより、Oracle AVDFでSybase ASEに対して次の機能を実行できます。
監査データ収集
ストアド・プロシージャ監査(SPA)
Sybase ASEセキュア・ターゲットに対する監査データ収集権限を設定または取り消す手順は、次のとおりです。
Sybase ASEでOracle AVDFのユーザー・アカウントをavdf_sybuserというユーザー名で作成します。次に例を示します。
sp_addlogin avdf_sybuser, password
Audit Vault ServerでこのSybase ASEデータベースをセキュア・ターゲットとして登録するときに、ユーザー名av_sybuserおよびパスワードを使用します。
次のようにしてsybase_auditcoll_user_setup.sql設定スクリプトを実行します。
isql -S server_name -U sa -P sa_password -i sybase_auditcoll_user_setup.sql
server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。
sa: システム管理者のユーザー名を入力します。
sa_password: システム管理者のパスワードを入力します。
Oracle AVDFユーザー権限を取り消すには、次のようにしてsybase_auditcoll_drop_db_permissions.sqlスクリプトを実行します。
isql -S server_name -U sa -P sa_password -i sybase_auditcoll_drop_db_permissions.sql
server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。
sa: システム管理者のユーザー名を入力します。
sa_password: システム管理者のパスワードを入力します。
Sybase ASEセキュア・ターゲットに対するストアド・プロシージャ監査権限を設定または取り消す手順は、次のとおりです。
Sybase ASEでOracle AVDFのユーザー・アカウントをavdf_sybuserというユーザー名で作成します(まだ行っていない場合)。次に例を示します。
sp_addlogin avdf_sybuser, password
Audit Vault ServerでこのSybase ASEデータベースをセキュア・ターゲットとして登録するときに、ユーザー名av_sybuserおよびパスワードを使用します。
次のようにしてsybase_spa_user_setup.sqlスクリプトを実行します。
isql -S server_name -U sa -P sa_password -i sybase_spa_user_setup.sql
server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。
sa: システム管理者のユーザー名を入力します。
sa_password: システム管理者のパスワードを入力します。
SPAユーザー権限を取り消すには、次のようにしてsybase_spa_drop_db_permissions.sqlスクリプトを実行します。
isql -S server_name -U sa -P sa_password -i sybase_spa_drop_db_permissions.sql
server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。
sa: システム管理者のユーザー名を入力します。
sa_password: システム管理者のパスワードを入力します。
Sybase SQL Anywhereセキュア・ターゲット用のOracle AVDF設定スクリプトsqlanywhere_spa_user_setup.sqlおよびsqlanywhere_spa_drop_db_permissions.sqlは、次のディレクトリにあります(次の例はLinuxの場合)。
$AGENT_HOME/av/plugins/com.oracle.av.plugin.sqlanywhere/config/
これらのスクリプトは、Oracle AVDFでストアド・プロシージャ監査(SPA)を実行するための、SQL Anywhereデータベースに対するユーザー権限を設定または取り消すために使用します。
SQL Anywhereセキュア・ターゲットに対するストアド・プロシージャ監査を設定または取り消す手順は、次のとおりです。
ユーザーを作成してユーザー権限を設定する権限を持つユーザーとしてデータベースにログインします。
次のようにしてsqlanywhere_spa_user_setup.sqlスクリプトを実行します。
isql -S server_name -U sa -P sa_password -i sqlanywhere_spa_user_setup.sql -v username="username" password="password"
server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。
sa: システム管理者のユーザー名を入力します。
sa_password: システム管理者のパスワードを入力します。
username: Oracle AVDFでSPAに使用するために作成するユーザーの名前を入力します。このユーザー名は二重引用符で囲みます。
password: Oracle AVDF SPAユーザーのパスワードを入力します。パスワードは二重引用符で囲みます。
スクリプトを実行すると、SPA用の権限を持つユーザーが作成されます。
これらの権限を取り消し、このユーザーをデータベースから削除するには、次のようにしてsqlanywhere_spa_drop_db_permissions.sqlを実行します。
isql -S server_name -U sa -P sa_password -i sqlanywhere_spa_drop_db_permissions.sql -v username="username"
server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。
sa: システム管理者のユーザー名を入力します。
sa_password: システム管理者のパスワードを入力します。
username: Oracle AVDFでSPAに使用するために作成するユーザーの名前を入力します。このユーザー名は二重引用符で囲みます。
この項の内容は、次のとおりです。
Microsoft SQL Serverセキュア・ターゲット用のOracle AVDF設定スクリプトmssql_user_setup.sqlおよびmssql_drop_db_permissions.sqlは、次のディレクトリにあります。
AGENT_HOME\av\plugins\com.oracle.av.plugin.mssql\config\
このスクリプトにより、Oracle AVDFでSQL Serverに対して次の機能を実行するためのユーザー権限が設定または取り消されます。
監査データ収集
ストアド・プロシージャ監査(SPA)
監査データ収集用のOracle AVDFユーザー権限を設定または取り消す手順は、次のとおりです。
SQL ServerでOracle AVDFのユーザー・アカウントを作成します。次に例を示します。
SQL Server 2000の場合:
exec sp_addlogin 'username', 'password'
SQL Server 2005、2008、2012の場合:
exec sp_executesql N'create login username with password = ''password'', check_policy= off' exec sp_executesql N'create user username for login username'
Audit Vault ServerでこのSQL Serverデータベースをセキュア・ターゲットとして登録するときに、このユーザー名およびパスワードを使用します。
次のようにしてmssql_user_setup.sqlスクリプトを実行します。
sqlcmd -S server_name -U sa -P sa_password -i mssql_user_setup.sql -v username="username" mode="AUDIT_COLL" all_databases="NA" database="NA"
server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。
sa: システム管理者のユーザー名を入力します。
sa_password: システム管理者のパスワードを入力します。
username: 手順1で作成したユーザーの名前を入力します。
監査データ収集権限を取り消すには、次のようにしてmssql_drop_db_permissions.sqlスクリプトを実行します。
sqlcmd -S server_name -U sa -P sa_password -i mssql_drop_db_permissions.sql -v username="username" mode="AUDIT_COLL" all_databases="NA" database="NA"
server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。
sa: システム管理者のユーザー名を入力します。
sa_password: システム管理者のパスワードを入力します。
username: 手順1で作成したユーザーの名前を入力します。
ストアド・プロシージャ監査用のOracle AVDFユーザー権限を設定または取り消す手順は、次のとおりです。
SQL ServerでOracle AVDFのユーザー・アカウントを作成します(まだ行っていない場合)。次に例を示します。
SQL Server 2000の場合:
exec sp_addlogin 'username', 'password'
SQL Server 2005および2008の場合:
exec sp_executesql N'create login username with password = ''password'', check_policy= off' exec sp_executesql N'create user username for login username'
Audit Vault ServerでこのSQL Serverデータベースをセキュア・ターゲットとして登録するときに、このユーザー名およびパスワードを使用します。
次のようにしてmssql_user_setup.sqlスクリプトを実行します。
sqlcmd -S server_name -U sa -P sa_password -i mssql_user_setup.sql -v username="username" mode="SPA" all_databases="Y/N" database="NA/database_name"
server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。
sa: システム管理者のユーザー名を入力します。
sa_password: システム管理者のパスワードを入力します。
username: 手順1で作成したユーザーの名前を入力します。
Y/N: ストアド・プロシージャに対してすべてのデータベースを監査する場合は、Yを入力します。databaseパラメータに1つのデータベース名を指定する場合は、Nを入力します。
NA/database_name: all_databasesにYを入力した場合は、NAを入力します。all_databasesにNを入力した場合は、ストアド・プロシージャに対して監査するデータベース名を入力します。
SPA権限を取り消すには、次のようにしてmssql_drop_db_permissions.sqlスクリプトを実行します。
sqlcmd -S server_name -U sa -P sa_password -i mssql_drop_db_permissions.sql -v username="username" mode="SPA" all_databases="Y/N" database="NA/database_name"
server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。
sa: システム管理者のユーザー名を入力します。
sa_password: システム管理者のパスワードを入力します。
username: 手順1で作成したユーザーの名前を入力します。
Y/N: すべてのデータベースについてSPA権限を取り消す場合は、Yを入力します。databaseパラメータに1つのデータベース名を指定する場合は、Nを入力します。
NA/database_name: all_databasesにYを入力した場合は、NAを入力します。all_databasesにNを入力した場合は、SPA権限を取り消すデータベース名を入力します。
この項の内容は、次のとおりです。
DB2セキュア・ターゲット用のOracle AVDF設定スクリプトdb2_auditcoll_user_setup.sqlおよびdb2_spa_user_setup.sqlは、次のディレクトリにあります(次の例はLinuxの場合)。
$AGENT_HOME/av/plugins/com.oracle.av.plugin.db2/config/
これらのスクリプトは、Oracle AVDFで次の機能を実行するための、DB2データベースに対するユーザー権限を設定または取り消すために使用します。
監査データ収集
ストアド・プロシージャ監査(SPA)
監査データ収集用のOracle AVDFユーザー権限を設定または取り消す手順は、次のとおりです。
Oracle AVDFで監査データ収集に使用されるDB2で、新しいユーザー・アカウントを作成します。
Audit Vault ServerでこのDB2データベースをセキュア・ターゲットとして登録するときに、このユーザー名およびパスワードを使用します。
$AGENT_HOME/av/plugins/com.oracle.av.plugin.db2/config/ディレクトリでdb2_auditcoll_user_setup.sqlスクリプトを探し、編集のために開きます。
スクリプトで、手順1のアカウントのユーザー名をgrant文に入れ、変更後のスクリプトを保存します。
次のようにして変更後のスクリプトを実行します。
$> db2 -tvf db2_auditcoll_user_setup.sql
監査収集権限を取り消すには、次のようにします。
前述の手順3のように、db2_auditcoll_drop_db_permissions.sqlスクリプトを変更します。
スクリプトを次のように実行します。
$> db2 -tvf db2_auditcoll_drop_db_permissions.sql
ストアド・プロシージャ監査用のOracle AVDFユーザー権限を設定または取り消す手順は、次のとおりです。
Oracle AVDFでストアド・プロシージャ監査に使用されるDB2で、新しいユーザー・アカウントを作成します。
Audit Vault ServerでこのDB2データベースをセキュア・ターゲットとして登録するときに、このユーザー名およびパスワードを使用します。
$AGENT_HOME/av/plugins/com.oracle.av.plugin.db2/config/ディレクトリでdb2_spa_user_setup.sqlスクリプトを探し、編集のために開きます。
スクリプトで、手順1のアカウントのユーザー名をgrant文に入れ、変更後のスクリプトを保存します。
次のようにして変更後のスクリプトを実行します。
$> db2 -tvf db2_spa_user_setup.sql
SPA権限を取り消すには、次のようにします。
前述の手順3のように、db2_spa_drop_db_permissions.sqlスクリプトを変更します。
スクリプトを次のように実行します。
$> db2 -tvf db2_spa_drop_db_permissions.sql
MySQLセキュア・ターゲット用のOracle AVDF設定スクリプトmysql_spa_user_setup.sqlおよびmysql_spa_drop_db_permissions.sqlは、次のディレクトリにあります(次の例はLinuxの場合)。
$AGENT_HOME/av/plugins/com.oracle.av.plugin.mysql/config/
これらのスクリプトは、Oracle AVDFでストアド・プロシージャ監査(SPA)を実行するための、MySQLデータベースに対するユーザー権限を設定または取り消すために使用します。
MySQLセキュア・ターゲットに対するストアド・プロシージャ監査を設定または取り消す手順は、次のとおりです。
ユーザーを作成してユーザー権限を設定できるユーザーとしてMySQLにログインします。
ストアド・プロシージャ監査用のユーザーを作成します。次に例を示します。
create user 'username'@'hostname' identified by 'password'
Audit Vault ServerでこのMySQLデータベースをセキュア・ターゲットとして登録するときに、このユーザー名およびパスワードを使用します。
$AGENT_HOME/av/plugins/com.oracle.av.plugin.mysql/config/ディレクトリでmysql_spa_user_setup.sqlスクリプトを探し、編集のために開きます。
スクリプトを変更して、手順1で使用したのと同じ値をusername、hostnameおよびpasswordに指定します。
mysql_spa_user_setup.sqlスクリプトを実行します。
SPA権限を取り消すには、次のようにします。
前述の手順4のように、mysql_spa_drop_db_permissions.sqlスクリプトを変更します。
mysql_spa_drop_db_permissions.sqlスクリプトを実行します。
Audit Vault Serverコンソールでセキュア・ターゲットを登録する際、「セキュア・ターゲットの場所」フィールドに接続文字列を入力します(「Audit Vault Serverでのセキュア・ターゲットの登録または削除」を参照してください)。セキュア・ターゲットのタイプに応じて次の接続文字列形式を使用します。
表B-2 セキュア・ターゲットの接続文字列(「セキュア・ターゲットの場所」フィールド用)
| セキュア・ターゲット・タイプ | 接続文字列 |
|---|---|
|
Oracle Database |
|
|
Sybase ASE |
|
|
Sybase SQL Anywhere |
|
|
Microsoft SQL Server |
|
|
IBM DB2 for LUW |
|
|
MySQL |
|
|
Oracle Solaris |
|
|
Linux |
|
|
Microsoft Windows |
|
|
Microsoft Active Directory Server |
|
|
Oracle ACFS |
|
この項の内容は、次のとおりです。
監査証跡タイプには、監査証跡コレクション属性がオプションであるものと、正しく機能するためにこれらの属性が必須であるものがあります。この項では、コレクション属性と、セキュア・ターゲットの登録または変更時にコレクション属性フィールドで使用する値を示します。「Audit Vault Serverでのセキュア・ターゲットの登録または削除」を参照してください。
コレクション属性が不要なセキュア・ターゲット・タイプ
Oracle DatabaseではDIRECTORY監査証跡のコレクション属性を指定できます。表B-3に、Oracle AVDFでOracle Databaseセキュア・ターゲットを登録するときに、監査証跡タイプとしてDIRECTORYを選択した場合に使用できるコレクション属性を示します。
表B-3 Oracle DatabaseのDIRECTORY監査証跡用のコレクション属性
| 属性名および説明 | 必須 | デフォルト | 備考 |
|---|---|---|---|
|
データ・ソースのNLS言語。 |
必須: 開始された監査証跡がOracleセキュア・ターゲットへの接続を確立できない場合 不要: 開始された監査証跡がOracleセキュア・ターゲットに接続でき、これらのパラメータ値をセキュア・ターゲットから取得できる場合 |
該当なし |
値の大/小文字は区別されません。 |
|
データ・ソースのNLS地域。 |
必須: 開始された監査証跡がOracleセキュア・ターゲットへの接続を確立できない場合 不要: 開始された監査証跡がOracleセキュア・ターゲットに接続でき、これらのパラメータ値をセキュア・ターゲットから取得できる場合 |
該当なし |
値の大/小文字は区別されません。 |
|
データ・ソースのNLSキャラクタ・セット。 |
必須: 開始された監査証跡がOracleセキュア・ターゲットへの接続を確立できない場合 不要: 開始された監査証跡がOracleセキュア・ターゲットに接続でき、これらのパラメータ値をセキュア・ターゲットから取得できる場合 |
該当なし |
値の大/小文字は区別されません。 |
|
各コールによる監査証跡の処理に要する最大処理時間(センチ秒) |
不要 |
600 |
有効な値は10から10000の整数値です。実行時に再構成することはできません。 Audit Vault Serverにレコードのバッチを送信するまでに、コレクタがレコードを処理する最大時間を示します。値が小さすぎる場合、パフォーマンスに影響する可能性があります。値が大きすぎると、監査証跡を停止するまでの時間が長くなります。 |
|
各コールによる監査証跡の処理中に処理されるレコードの最大数 |
不要 |
1000 |
有効な値は10から10000の整数値です。 実行時に再構成することはできません。 Audit Vault Serverにレコードのバッチを送信するまでに、処理されるレコードの最大数を示します。値が小さすぎる場合、パフォーマンスに影響する可能性があります。値が大きすぎると、監査証跡を停止するまでの時間が長くなります。 |
|
Oracle RAC環境のインスタンスID。 |
不要 |
1 |
|
|
メトリック情報を保存する間隔(秒) |
不要 |
60 |
実行時に再構成することはできません。 この間隔はメトリック情報の更新頻度を示します。値が小さすぎると、メトリックをAudit Vault Serverに送信するときのオーバーヘッドが生じます。値が大きすぎると、平均メトリック情報の正確性に影響を及ぼします。 |
|
Microsoft WindowsシステムでのOracle SID名 |
不要 |
デフォルトなし |
値の大/小文字は区別されません。値を指定しない場合、監査証跡にはセキュア・ターゲットからの値が必要です。 |
表B-4に、Oracle AVDFでIBM DB2 for LUWセキュア・ターゲットを登録するときに必要なコレクション属性を示します。
表B-5に、Oracle AVDFでMySQLセキュア・ターゲットを登録するときに必要なコレクション属性とオプションのコレクション属性を示します。
この項の内容は、次のとおりです。
セキュア・ターゲットの監査証跡を構成するときに、「監査証跡のタイプ」フィールドで監査証跡タイプを選択します。
監査証跡タイプは、セキュア・ターゲット・タイプによって異なります。表B-7に、各セキュア・ターゲット・タイプに対して構成できる監査証跡タイプを示します。
表B-7 各セキュア・ターゲット・タイプのプラットフォームおよび収集される監査証跡のタイプ
この項の内容は、次のとおりです。
この監査証跡タイプは、監査証跡がオペレーティング・システム・ファイルに書き込まれている場合に使用します。この証跡タイプの場合、エージェントは、セキュア・ターゲット・データベースと同じサーバーに存在する必要があります。
オペレーティング・システム監査設定により、次のアクティビティが取得されます。
SELECT文
データ定義言語(DDL)文およびデータ操作言語(DML)文
成功および失敗したアクション
SYSの操作(管理者を監査するには、AUDIT_SYS_OPERATIONS初期化パラメータをTRUEに設定します。SYSの監査により、SQLテキスト情報が収集されます。)
表B-8に、DIRECTORY監査証跡タイプを使用するOracle Databaseのオペレーティング・システム監査設定を示します。
表B-8 DIRECTORY監査証跡タイプ用のOracle DatabaseのOS監査設定
| 監査証跡 | 監査証跡設定 | 備考 |
|---|---|---|
|
LinuxおよびUNIXベースのプラットフォーム( |
標準監査レコードの場合: ファイングレイン監査レコードの場合: 該当なし。 |
なし |
|
LinuxおよびUNIXベースのプラットフォーム( |
標準監査レコードの場合: ファイングレイン監査レコードの場合: |
|
|
Windowsプラットフォーム オペレーティング・システムXMLファイル( |
標準監査レコードの場合: ファイングレイン監査レコードの場合: |
|
この監査証跡タイプは、監査証跡がデータベース監査証跡に書き込まれている場合に使用します。この証跡タイプの場合、エージェントは、SQL*Netがセキュア・ターゲット・データベースと通信できるコンピュータに存在する必要があります。
表B-9に、TABLE監査証跡タイプを使用する必要がある、Oracle Databaseのデータベース監査証跡設定を示します。
表B-9 TABLE監査証跡タイプ用のOracle Databaseの監査証跡設定
| 監査証跡 | 監査証跡設定 | 監査対象操作 | 備考 |
|---|---|---|---|
|
|
標準監査レコードの場合: ファイングレイン監査レコードの場合: 該当なし。 |
|
|
|
|
標準監査レコードの場合: 該当なし。 ファイングレイン監査レコードの場合: |
特定のユーザー定義監査条件(ユーザーが表の列を変更した場合など) |
なし |
|
|
標準およびファイングレインの監査レコードと、次のイベントの監査を含みます。
|
Oracle Database 12cにのみ含まれています。 |
|
|
|
該当なし。Oracle Database Vault監査証跡では、Oracle Database監査が無効の場合でもデータが収集されます。 |
レルムやコマンド・ルールなどの監査オプションにより指定されるOracle Database Vaultの監査アクティビティ |
なし |
この監査証跡タイプは、データベースが監査データをREDOログから収集している場合に使用します。この証跡タイプの場合、エージェントは、SQL*Netがセキュア・ターゲット・データベースと通信できるコンピュータに存在する必要があります。Oracle RACインストールでは通常、REDOログは共有の場所に格納されるため、エージェントは1つのデータベース・インスタンスにのみ存在できます。
|
注意: Oracle Database 12cの場合で、PDB/CDBを使用していない場合はトランザクション・ログ監査証跡のみがサポートされます。 |
表B-10に、TRANSACTION LOG監査証跡タイプを使用するREDOログ監査証跡設定を示します。
この監査証跡タイプは、TCP接続を使用するすべてのデータベース操作を取得する場合に使用します。これにより、データベースに対するすべてのネットワーク・トラフィックの取得が開始されます。次のような操作を追跡管理できます。
クライアント・プログラム名
クライアントIPおよびポート
すべてのDDL文およびDML文
成功したアクションおよび失敗したアクション
表B-11に、syslog監査証跡タイプを使用するsyslog監査証跡設定を示します。
イベント・ログ監査証跡はWindowsイベント・ログから監査データを収集します。
表B-12に、イベント・ログ監査証跡タイプを使用するイベント・ログ監査証跡設定を示します。
表B-13に、AVDFのNetwork監査証跡タイプを使用するSybase ASE監査証跡設定を示します。
表B-14に、AVDFのDIRECTORY監査証跡タイプを使用するSQL Server監査証跡設定を示します。
表B-14 DIRECTORY監査証跡タイプ用のSQL Serverデータベースの監査設定
| 監査証跡 - 監査ログ | 監査証跡設定 | 監査対象操作 | 備考 |
|---|---|---|---|
|
C2監査ログ |
SQL Server Enterprise Managerを使用してSQL Serverのセキュリティ・プロパティを構成します。 |
C2評価に準拠した監査。 文およびオブジェクトへのアクセスの試行(成功および失敗の両方)が記録されます。 全部かゼロかの方法による監査。 |
すべてのアクションを記録します(パフォーマンスに大きく影響する可能性があります)。 |
|
サーバー側のトレース・ログ |
ストアド・プロシージャを実行して、トレースの開始および停止、トレースの構成およびフィルタを行います。 |
ファイングレイン・セキュリティ関連のアクティビティが記録されます。 結果をフィルタして、SQLの動詞(たとえば、 |
特定のアクティビティのみを記録するようにトレースを構成できます。 トレース構成情報は保持されません。SQL Serverの再起動時に削除されます。 |
表B-15に、EVENT LOG監査証跡タイプを使用するSQL Server監査証跡設定を示します。
表B-16に、DB2の監査証跡設定を示します。
表B-16 IBM DB2 for LUWデータベースの監査設定
| 監査証跡 - 監査ログ | 監査証跡設定 | 監査対象操作 | 備考 |
|---|---|---|---|
|
ASCIIテキスト・ファイル |
|
監査(AUDIT)。監査レコードまたは監査ログへのアクセス時間に対する変更。 認可チェック(CHECKING)。DB2データベース・オブジェクトまたは機能へのアクセスまたは操作時の認可チェック。 セキュリティ・メンテナンス(SECMAINT)。オブジェクト権限、データベース権限または オブジェクト・メンテナンス(OBJMAINT)。データ・オブジェクトの作成および削除。 システム管理(SYSADMIN)。 ユーザー検証(VALIDATE)。ユーザーの認証またはシステム・セキュリティ情報の取得。 操作コンテキスト(CONTEXT)。実行されるデータベース操作コンテキスト。監査ログ・ファイルの解析時に役立ちます。DB2データベースの操作コンテキストを監査する方法は、IBM DB2のドキュメントを参照してください。 これらのカテゴリに加え、成功または失敗(あるいはその両方)を監査できます。 |
Oracle AVDFではOracle Solarisに対するDIRECTORYタイプの監査証跡をサポートしています。監査証跡をディレクトリに書き込むようOracle Solarisを構成できます。http://docs.oracle.com/にあるOracle Solarisのドキュメントを参照してください。
Audit Vault Serverでセキュア・ターゲットの監査証跡を構成するときに、証跡の場所を指定する必要があります(「Audit Vault Serverでの監査証跡の構成」を参照してください)。証跡の場所は、セキュア・ターゲットのタイプによって異なります。セキュア・ターゲットのタイプに応じて次の形式を使用します。
重要: 証跡の場所は大文字と小文字が区別されます。データ収集の重複を防ぐため、監査証跡の場所を指定するときには大文字のみまたは小文字のみで統一することをお薦めします。
注意: 「監査証跡のタイプ」で「DIRECTORY」を選択した場合、証跡の場所はディレクトリ・マスクにする必要があります。
| セキュア・ターゲット・タイプ | サポートされる証跡の場所 |
|---|---|
|
Oracle Database |
|
|
Microsoft SQL Server |
証跡の場所は
|
|
Sybase ASE |
SYSAUDITS |
|
IBM DB2 for LUW |
ディレクトリへのパス(例: d:\temp\trace)。 |
|
MySQL |
MySQL XML変換ユーティリティを実行したときに変換後のXMLファイルが生成されるディレクトリへのパス。「ステップ4: MySQLホスト・マシンでのXML変換ユーティリティの実行」を参照してください。 |
|
Oracle Solaris |
|
|
|
|
|
Microsoft Active Directory Server |
|
|
Oracle ACFS |
XML監査ファイルが含まれているディレクトリへのパス。たとえば、
|
|
Linux |
|
一部のOracle AVDFプラグインは、監査証跡のクリーンアップをサポートしています。この項では、使用可能な監査証跡クリーンアップ(ATC)ユーティリティについて説明します。
DBMS_AUDIT_MGMT PL/SQLパッケージを使用してデータベース監査証跡をパージできます。
DBMS_AUDIT_MGMTパッケージを使用すると、パージ・ジョブのスケジュール、別の表領域への監査証跡の移動、監査証跡でのアーカイブ・タイムスタンプの設定など、監査証跡のクリーンアップ・タスクを実行できます。DBMS_AUDIT_MGMTを使用するには、そのEXECUTE権限が必要です。
Oracle Database 11g リリース2 (11.2)以上には、DBMS_AUDIT_MGMTパッケージとその関連データ・ディクショナリ・ビューが同梱されており、デフォルトでインストールされます。セキュア・ターゲット・データベースにこのパッケージがインストールされていない場合は、次のMy Oracle SupportのWebサイトからパッケージとデータ・ディクショナリ・ビューをダウンロードできます。
記事ID 731908.1を検索してください。
DBMS_AUDIT_MGMT PL/SQLパッケージおよびビューの使用方法は、次のOracle Database 11g リリース2 (11.2)ドキュメントを参照してください。
概念および手順は、『Oracle Databaseセキュリティ・ガイド』の監査証跡レコードのパージに関する項を参照してください。
DBMS_AUDIT_MGMT PL/SQLパッケージに関するリファレンス情報は、『Oracle Database PL/SQLパッケージ・プロシージャおよびタイプ・リファレンス』を参照してください。
DBA_AUDIT_MGMT_*データ・ディクショナリ・ビューの詳細は、『Oracle Databaseリファレンス』を参照してください。
Oracle AVDFは、Oracle DatabaseのDBMS_AUDIT_MGMTパッケージと統合されています。この統合により、Audit Vault Serverリポジトリに正常に挿入された後、AUD$ファイルおよびFGA_LOG$ファイル、オペレーティング・システムの.audファイルおよび.xmlファイルから監査レコードをパージすることが自動化されます。
パージの完了後、Audit Vault Agentは、収集された監査データにタイムスタンプを自動的に設定します。そのため、USE_LAST_ARCH_TIMESTAMPプロパティをTRUEに設定し、確実に適切な監査レコード・セットがパージされるようにする必要があります。パージ・ジョブの間隔を手動で設定する必要はありません。
Oracle Databaseセキュア・ターゲット用の自動パージ・ジョブをスケジュールする手順は、次のとおりです。
セキュア・ターゲット・データベースでSQL*Plusに、DBMS_AUDIT_MGMT PL/SQLパッケージに対するEXECUTE権限が付与されたユーザーとしてログインします。
次に例を示します。
sqlplus tjones
Enter password: password
監査証跡をクリーン・アップ操作用に初期化します。
次の例では、DEFAULT_CLEANUP_INTERVAL設定により、2時間ごとにジョブが実行されます。
BEGIN DBMS_AUDIT_MGMT.INIT_CLEANUP( AUDIT_TRAIL_TYPE => DBMS_AUDIT_MGMT.AUDIT_TRAIL_ALL, DEFAULT_CLEANUP_INTERVAL => 2 ); END; /
監査証跡がクリーンアップのために初期化されることを確認します。
次に例を示します。
SET SERVEROUTPUT ON
BEGIN
IF
DBMS_AUDIT_MGMT.IS_CLEANUP_INITIALIZED(DBMS_AUDIT_MGMT.AUDIT_TRAIL_ALL)
THEN
DBMS_OUTPUT.PUT_LINE('Database and OS audit are initialized for cleanup');
ELSE
DBMS_OUTPUT.PUT_LINE('Database and OS audit are not initialized for cleanup.');
END IF;
END;
/
DBMS_AUDIT_MGMT.CREATE_PURGE_JOBプロシージャを使用してパージ・ジョブを作成し、スケジュールします。
このプロシージャで、USE_LAST_ARCH_TIMESTAMPプロパティをTRUEに設定し、タイムスタンプより古いすべてのレコードを削除できるようにします。
次のプロシージャにより、CLEANUP_OS_DB_AUDIT_RECORDSという名前のパージ・ジョブが作成されます。このジョブは、2時間ごとに実行され、監査レコードがパージされます。
BEGIN DBMS_AUDIT_MGMT.CREATE_PURGE_JOB ( AUDIT_TRAIL_TYPE => DBMS_AUDIT_MGMT.AUDIT_TRAIL_ALL, AUDIT_TRAIL_PURGE_INTERVAL => 2, AUDIT_TRAIL_PURGE_NAME => 'CLEANUP_OS_DB_AUDIT_RECORDS', USE_LAST_ARCH_TIMESTAMP => TRUE ); END; /
SQL Server監査証跡にトレース・ファイルから収集されたデータがあり、トレース・ファイルが非アクティブである場合、このファイルをクリーンアップできます。SQL Server監査証跡により、SQL Server監査テキスト・ファイルの名前が、拡張子.atcのプレーン・テキスト・ファイルに書き込まれます。.atcファイルは、エージェントがインストールされているコンピュータのAGENT_HOME\av\atcディレクトリにあります。
Oracle AVDFによる監査レコードの抽出が完了したファイルを手動でクリーンアップする手順は、次のとおりです。
Audit Vault AgentがインストールされているコンピュータのAGENT_HOME\av\plugins\com.oracle.av.plugin.mssql\binディレクトリに移動します。
AGENT_HOME環境変数がagent.jarファイルが抽出されているディレクトリ・パスに正しく設定されていることを確認します。
次のユーティリティを実行します。
SQLServerCleanupHandler secured_target_name
次に例を示します。
SQLServerCleanupHandler mssqldb4
AGENT_HOME環境変数を設定しない場合は、次の構文を使用してコマンドラインでエージェントのホーム場所を指定できます。
SQLServerCleanupHandler -securedtargetname secured_target_name agent_home_location
次に例を示します。
SQLServerCleanupHandler mssqldb4 c:\AV_agent_installation
重要: Audit Vault Agentのインストール・ディレクトリの名前にスペースが含まれている場合は、名前を二重引用符で囲んでください(例:"C:\Agent Directory")。
SQL Serverトレース・ファイルのクリーンアップを自動化するために、Windows Schedulerを使用できます。
MySQL監査証跡クリーンアップ・ユーティリティを実行するには、次の手順を実行します。
MySQLセキュア・ターゲット・ホスト・マシンで、AGENT_HOME\av\plugins\com.oracle.av.plugin.mysql\binディレクトリに移動します。
次のコマンドを実行します。
MySQLServerCleanupHandler.bat secured_target_name AGENT_HOME
このコマンドには次の変数が含まれています。
secured_target_name - MySQLセキュア・ターゲットの名前
AGENT_HOME - Audit Vault Agentがデプロイされたディレクトリへのパス
