34 Oracle Healthcareの監視

この章では、healthcare integrationコンポーネントおよびアプリケーションのユーザー・アクティビティの監査証跡を有効化および構成する方法を説明します。Oracle SOA Suite for healthcare integrationは、Oracleの共通監査フレームワークを使用して、healthcare integrationコンポーネントに対するユーザー・アクティビティをログします。

この章では、次の項目について説明します。

• 第34.1項「監査証跡の概要」

• 第34.2項「Healthcare Integration監査証跡の構成」

• 第34.3項「ユーザー監査ログの表示」

34.1 監査証跡の概要

Oracle監査フレームワークは、構成されたコンポーネントに影響を与えるイベントに関する情報を収集して格納し、これらのコンポーネントのアクティビティに関する監査ログを提供して、コンプライアンス要件のサポートを支援します。それぞれのSOA Suiteコンポーネントの監査は、監査ポリシーによって定義されます。監査ポリシーは、監査ログに取得するコンポーネントとアクティビティを定義します。必要な情報のみを取得して他の情報は無視するように監査ポリシーを構成できます。これはOracle Enterprise Managerの「監査ポリシー」ページで行います。詳細は、Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイドの監査ポリシーの管理に関する項を参照してください。

それぞれのアプリケーションとコンポーネントの監査可能なイベントのセットは、監査ポリシーによって定義され、各アプリケーションによって異なります。コンポーネントのイベント・リストを開くと、そのコンポーネントで監査可能なイベントのみがリストに表示されます。さらに、各イベントについて、成功した試行のみをログするか、失敗した試行のみをログするかを指定できます(現在Oracle SOA Suite for healthcare integrationは、成功した試行のみをログします)。

監査を構成する際は、次の監査レベルから選択できます。

• 低: このオプションでは、監査ポリシー・リストの監査可能なすべてのコンポーネントから、Oracle SOA Suite for healthcare integrationイベントのサブセットを含むイベントのサブセットが選択されます。このオプションでは、カスタム・フィルタは作成できません。

• 中: このオプションでは、監査ポリシー・リストの監査可能なすべてのコンポーネントから、すべてのOracle SOA Suite for healthcare integrationイベントを含むイベントのより大きなサブセットが選択されます。このオプションでは、カスタム・フィルタは作成できません。

• カスタム:このオプションを使用すると、監査するコンポーネント、イベントおよび条件のみを選択できます。これはOracle SOA Suite for healthcare integrationで推奨されるレベルです。Oracle Healthcareの監査を有効にするには、Oracle Enterprise Managerコンソールでこのレベルを選択する必要があります。

実行したアクションや使用したコンポーネントに関係なくアクティビティを監査するユーザーのリストも指定できます。これらのユーザーに対しては、定義した監査レベルまたはフィルタに関係なく監査が行われます。

監査ポリシーの詳細は、Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイドの監査の構成と管理に関する項を参照してください。

34.1.1 Oracle SOA Suite for Healthcare Integrationの監査オプション

監査可能なコンポーネントとイベントは、Oracle Enterprise Managerの「監査ポリシー」ページにリストされます(Weblogicドメイン→「セキュリティ」→「監査ポリシー」)。これらのオプションを表示または構成するには、「監査コンポーネント名」リストから「Oracle SOA Suite for healthcare integration」を選択し、「監査レベル」リストから「カスタム」を選択して、イベントの隣のチェック・ボックスをクリックします。

図34-1 「監査ポリシー」ページのHealthcare Integrationコンポーネント

「図34-1 「監査ポリシー」ページのHealthcare Integrationコンポーネント」の説明

注意: 現在はSUCCESSイベントのみが監査されます。FAILUREイベントは選択しないでください。

Oracle SOA Suite for healthcare integrationでは現在、次のコンポーネントとイベントの監査がサポートされています(リストには他のイベントも表示されますが、それらのログは現在のところ行われません)。

• ユーザー・セッション

  • ユーザー・ログイン

  • ユーザー・ログアウト

• エンドポイント管理

  • エンドポイントの有効化

  • エンドポイントの無効化

• ドキュメント管理

  • メッセージの再発行

  • メッセージのパージ

  • ペイロードの読取り

34.1.2 監査でのフィルタ条件の使用

それぞれのイベントについて、成功条件のフィルタを定義できます。フィルタでは、イベントの属性に基づいたルールベースの式を使用します。Oracle SOA Suite for healthcare integrationのほとんどのユーザー・アクセス監査では、次の属性をフィルタ式に使用できます。

• ホストID

• ホスト・ネットワーク・アドレス

• イニシエータ

• クライアントIPアドレス

• リソース

• ドメイン名

式にはANDおよびOR演算子に加え、次と等しい、次で始まる、次を含む、次と等しくない。といった様々な比較関数を含めることができます。

34.2 Healthcare Integration監査証跡の構成

監査ポリシーは、Oracle Enterprise Managerで監査ログに含めるイベントやコンポーネント選択することで構成します。現在、Oracle B2Bコンポーネントおよびイベントは、監査証跡に含まれません。

デフォルトの構成は低および中の監査レベルの2つで、コンポーネントまたはイベントの定義済のサブセットが選択されます。これらはOracle SOA Suite for healthcare integrationではお薦めできません。なぜなら、これらは、Oracle SOA Suite for healthcare integrationのコンポーネントのみでなく、監査可能なすべてのコンポーネントに影響するからです。これらのオプションのいずれかを選択すると、無関係な監査エントリと不必要に大きな監査ログが生成される可能性があります。さらに、これら2つのオプションでは、フィルタをまったく定義できません。

次の手順は、カスタムレベルの監査ポリシー構成に適用されます。

healthcare integrationの監査を構成する手順は次のとおりです。

1. Oracle Enterprise Managerにログインします。

2. 左側のナビゲーション・パネルで、「WebLogicドメイン」を開き、ユーザー監査を有効にするドメインの名前を右クリックします。

3. 表示されたコンテキスト・メニューで、「セキュリティ」をポイントして、「監査ポリシー」を選択します。

   図34-2 WebLogicドメインの「セキュリティ」コンテキスト・メニュー

   
   「図34-2 WebLogicドメインの「セキュリティ」コンテキスト・メニュー」の説明
   
   

4. 「監査レベル」フィールドで、「カスタム」を選択します。

   「監査用に選択」列にチェック・ボックスが表示され、監査対象のhealthcare integrationコンポーネントおよびイベントを選択できます。

5. 「ユーザー・セッション」といったイベント・カテゴリをクリックし、そのカテゴリに関するイベントのリストを下部に表示します。

6. 次のいずれかを実行します。

   • Oracle SOA Suite for healthcare integrationのすべてのコンポーネントとイベントの監査を有効にするには、「すべてのイベントを監査」ボタンをクリックします。

   • 特定コンポーネントのすべてのイベントの監査を有効にするには、コンポーネント名の隣の「監査用に選択」列のチェック・ボックスをクリックします。

     たとえば、エンドポイントに対して行われるすべてのアクションを監査するには、「 エンドポイント管理」のチェック・ボックスを選択します。

     図34-3 すべてのイベントが選択された「エンドポイント管理」コンポーネント

     
     「図34-3 すべてのイベントが選択された「エンドポイント管理」コンポーネント」の説明
     
     

   • コンポーネントの特定イベントの監査を有効にするには、そのコンポーネントを開き、コンポーネント下のイベント名の隣の「監査の有効化」列のチェック・ボックスを選択します。

7. 成功条件のフィルタを定義するには、成功条件について「監査の有効化」を選択し、その「フィルタの編集」アイコンをクリックします。表示されたダイアログでフィルタを定義して、「OK」をクリックします。

   フィルタの詳細は、第34.1.2項「監査でのフィルタ条件の使用」および「フィルタの編集」ダイアログから使用可能なオンライン・ヘルプを参照してください。この時点では、フィルタは成功条件にのみ定義できることに注意してください。

8. コンポーネントの構成に関係なく常にそのアクティビティを監査するユーザーのリストを指定するには、「常に監査するユーザー」セクションにユーザー・アカウントのリストを入力します。アカウント名はカンマで区切ります。

9. 監査の構成が完了したら、「適用」をクリックします。

10. 変更を有効にするためにサーバーを再起動します。

34.3 ユーザー監査ログの表示

イベントが監査ログの入力をトリガーすると、イベント情報が監査ログ・ファイルに書き込まれます。監査ログには次の情報が取得されます。入力をトリガーしたイベント・タイプに応じて、これらのフィールドの一部は空になる場合もあります。

• 日付と時刻

• イベントのイニシエータ

• イベント・タイプ

• イベント・ステータス

• メッセージ・テキスト(何が発生したかを示します)

• ECID

• RID

• コンテキスト・フィールド

• セッションID

• ターゲット・コンポーネント・タイプ

• アプリケーション名

• イベント・カテゴリ

• スレッドID

• 失敗コード

• リモートIPアドレス

• ターゲット

• リソース

• ロール

• 認証方式

• 理由

監査ログ・ファイルは直接表示できます。これは次の場所に書き込まれます。

fmw_home/user_projects/domains/domain_name/servers/managed_server_name/logs/auditlogs/SOA-HCFP/audit.log