ヘッダーをスキップ
Oracle® Fusion Middleware Oracle Privileged Account Manager管理者ガイド
11gリリース2 (11.1.2)
B69534-07
  目次へ移動
目次
索引へ移動
索引

前
 
次
 

14 Oracle Privileged Account Managerの監査およびロギングの管理

この章では、Oracle Privileged Account Managerの監査機能およびロギング機能を構成および使用する方法を説明します。

この章では、次の項目について説明します。


注意:

IBM WebSphere上でOracle Privileged Account Managerを使用している場合、このトピックの詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementサード・パーティ・アプリケーション・サーバー・ガイドのOracle Privileged Account Managerの監査およびロギングにおける相違点に関する項を参照してください。


14.1 Oracle Privileged Account Managerの監査の理解

Oracle Privileged Account Managerは、その管理下で発生したすべてのセキュリティ・イベントを監査するため、組織内における特権アカウントの使用状況の可視性が向上し、ユーザーは機密情報を効率的に管理できます。

特に、Oracle Privileged Account Manager監査ロガーは、新しいアカウント、ターゲットまたはポリシーの追加、変更、削除など、エンティティ状態が変更されるすべてのイベントを記録します。

次の表では、監査を生成できるすべてのイベント・カテゴリおよびイベント・タイプについて説明します。

表14-1 Oracle Privileged Account Manager監査イベント

イベント・カテゴリ イベント・タイプ 説明

アカウント管理


プリンシパル・アカウントの管理に関連するイベント

注意: プリンシパルは、エンド・ユーザーまたは疑似ユーザー(システム内のサービス)です。


アカウントの追加

ユーザー、グループまたはその他のプリンシパル・アカウントの追加。


パスワードの変更

パスワードの変更。


アカウントの無効化

ユーザー、グループまたはその他のプリンシパル・アカウントの無効化。


アカウントの有効化

ユーザー、グループまたはその他のプリンシパル・アカウントの有効化。


アカウントの変更

アカウント属性の変更。


アカウントの問合せ

ユーザーのアカウントへの問合せ。


アカウントの削除

ユーザー、グループまたはその他のプリンシパル・アカウントの削除。

ポリシー管理


ポリシーの管理に関連するイベント。


ポリシーの作成

ポリシーの作成。


ポリシーの削除

ポリシーの削除。


ポリシーの変更

ポリシーの変更。


ポリシーの問合せ

ポリシーの問合せ。

ターゲットの管理


ターゲットの管理に関連するイベント。


ターゲットの追加

ターゲットの追加。


ターゲットの変更

ターゲットの変更。


ターゲットの問合せ

ターゲットの問合せ。


ターゲットの削除

ターゲットの削除。


これらの監査イベントの記録によって、レポート・ツールが統計を収集できる処理履歴が作成されます(第14.1.2項「Oracle Privileged Account Manager監査レポートの理解」を参照)。

14.1.1 Oracle Privileged Account Managerでの監査の構成

Oracle Privileged Account Managerを構成して、監査イベントをデータベースまたはファイルに保存できます。データベースが使用できない場合、Oracle Privileged Account Managerではその監査ログが次のファイルに保存されます。

DOMAIN_HOME/servers/<opamserver>/logs/auditlogs/OPAM

また、Oracle Privileged Account Managerを構成してBI Publisher (リリース11.1.1.5.0以上)で監査レポートをデプロイし、BI Publisherを使用してデータベース内の監査イベントを表示できます。BI Publisherのレポートは、監査イベントがファイルではなくデータベースに保存される場合にのみ作成できます。

次の各項では、Oracle Privileged Account Managerで監査を構成する手順について説明します。


注意:

IBM WebSphere上のOracle Privileged Account Managerの監査を構成するには、この項で説明されている手順を開始する前に、『Oracle Fusion Middleware Oracle Identity and Access Managementサードパーティ・アプリケーション・サーバー・ガイド』のOracle Privileged Account Managerの監査の構成に関する項を参照してください。


14.1.1.1 Oracle Privileged Account Managerでのファイル・ベース監査の構成

この項では、Oracle Privileged Account Managerでファイルベースの監査を構成する方法について説明します。

始める前に

次の構成手順を開始する前に、次のマニュアルを確認します。

  • 『Oracle Fusion Middleware Oracle WebLogic Scripting Tool』のWLSTオンラインまたはオフラインの使用に関する項

  • 構成手順で使用されるgetAuditPolicysetAuditPolicygetAuditRepositoryおよびsetAuditRepository WLST監査コマンドの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の監査のためのOPSSスクリプトに関する項

ファイルベース監査のためにOracle Privileged Account Managerを構成する手順は、次のとおりです。

  1. 次のようにWebLogicスクリプト・ツール(WLST)を起動し、Oracle WebLogic Serverに接続します。

    1. コマンド・ウィンドウを開き、WLSTを含む次のディレクトリに移動します。

      MW_HOME/oracle_common/common/bin
      
    2. 次のコマンドのいずれかを入力して、WLSTを起動します。

      UNIXの場合、sh wlst.shを入力します。

      Windowsの場合、wlst.cmdを入力します。

      コマンド・プロンプトがwls:>/offlineに変更され、WLSTが起動されたことを示します。

    3. 次のコマンドを入力して、Oracle WebLogic Serverに接続します。

      connect('WLS_Admin_Name','WLS_Admin_Password','WLS_Machine_Name:Port')
      

      次に例を示します。

      connect('weblogic','Welcome1','localhost:7004')
      

      WLSTは、WebLogic管理サーバーと関連付けられた管理者のユーザー名とパスワード、マシン名およびポートを検証します。これらの値がすべて正しければ、WLSTはWebLogic管理サーバーと接続し、コマンド・プロンプトは次のように変更されます。

      wls:>/base_domain/serverConfig
      

      注意:

      詳細は、『Oracle Fusion Middleware WebLogic Scripting Tool』のWLSTオンラインからのアクセスの保護に関する項を参照してください。


  2. Oracle Privileged Account Managerの監査ロギング・レベルを設定するには:

    1. filterPresetパラメータがNONEに設定されている場合は、setAuditPolicyコマンドを使用し、Oracle Privileged Account Managerによって提供されるロギングの必要な分量に基づいて、次のように値をAllMediumまたはLowに変更します。

      setAuditPolicy(filterPreset='All')
      

      監査ロギング・レベルが正常に更新されたことを示す確認メッセージが表示されます。


      注意:

      ロギング・レベル別の説明は、14-10ページの表を参照してください。


    2. プロンプトでgetAuditPolicy( )を入力し、filterPresetパラメータ値をチェックすることによって、Oracle Privileged Account Managerの現在のロギング・レベルを確認します。

  3. 「リポジトリ・タイプ」をデータベース(DB)に変更するには:

    1. 次のようにsetAuditRepositoryコマンドを入力します。

      setAuditRepository(switchToDB='true')
      

      監査リポジトリが正常に更新されたことを示す確認メッセージが表示されます。

    2. 次のようにWLST getAuditRepositoryコマンドを使用して、監査リポジトリがデータベース・ベース監査に設定されていることを確認します。

      getAuditRepository( )
      

      setAuditRepositoryパラメータ値(「リポジトリ・タイプ」フィールドで指定)はFILEである必要があります。

  4. 管理サーバーおよびOracle Privileged Account Manager管理対象サーバーの両方を再起動します。


    注意:

    管理対象サーバーの起動の詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイドのOracleスタックの起動または停止に関する項を参照してください。


    変更内容を有効にするには、両方のサーバーを再起動する必要があります。サーバーを再起動すると、監査ログは次の場所に表示されます。

    DOMAIN_HOME/servers/<opamserver>/logs/auditlogs/OPAM
    

14.1.1.2 Oracle Privileged Account Managerでのデータベース・ベース監査の構成

この項では、Oracle Privileged Account Managerを構成してOracle Privileged Account Managerと関連付けられたOracleデータベースに監査イベントを保存する方法について説明します。

前提条件

次の構成手順を開始する前に、次を実行します。

  • 次のマニュアルを確認します。

    • 『Oracle Fusion Middleware Oracle WebLogic Scripting Tool』のWLSTオンラインまたはオフラインの使用に関する項

    • 構成手順で使用されるgetAuditPolicysetAuditPolicygetAuditRepositoryおよびsetAuditRepository WLST監査コマンドの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の監査のためのWLSTコマンドに関する項

  • 次のものをインストールします。

    • データベース

    • リポジトリ作成ユーティリティ・アプリケーション(スキーマの作成とリポジトリのデータベースへのロードに使用)。


      注意:

      Oracle Repository作成ユーティリティのインストールおよび使用の詳細は、http://www.oracle.com/technology/documentation/index.htmlで入手できる『Oracle Fusion Middleware Repository Creation Utilityユーザーズ・ガイド』を参照してください。


データベース・ベース監査を構成するには、次の手順を実行します。

  1. 次のようにWebLogicスクリプト・ツール(WLST)を起動し、Oracle WebLogic Serverに接続します。

    1. コマンド・ウィンドウを開き、WLSTを含む次のディレクトリに移動します。

      MW_HOME/oracle_common/common/bin
      
    2. 次のコマンドのいずれかを入力して、WLSTを起動します。

      UNIXの場合、sh wlst.shを入力します。

      Windowsの場合、wlst.cmdを入力します。

      コマンド・プロンプトがwls:>/offlineに変更され、WLSTが起動されたことを示します。

    3. 次のコマンドを入力して、Oracle WebLogic Serverに接続します。

      connect('WLS_Admin_Name','WLS_Admin_Password','WLS_Machine_Name:Port')
      

      次に例を示します。

      connect('weblogic','Welcome1','localhost:7004')
      

      WLSTは、WebLogic管理サーバーと関連付けられた管理者のユーザー名とパスワード、マシン名およびポートを検証します。これらの値がすべて正しければ、WLSTはWebLogic管理サーバーと接続し、コマンド・プロンプトは次のように変更されます。

      wls:>/base_domain/serverConfig
      

      注意:

      詳細は、『Oracle Fusion Middleware WebLogic Scripting Tool』のWLSTオンラインからのアクセスの保護に関する項を参照してください。


  2. Oracle Privileged Account Managerの監査ロギング・レベルを設定するには:

    1. filterPresetパラメータがNONEに設定されている場合は、setAuditPolicyコマンドを使用し、Oracle Privileged Account Managerによって提供されるロギングの必要な分量に基づいて、次のように値をAllMediumまたはLowに変更します。

      setAuditPolicy(filterPreset='All')
      

      監査ロギング・レベルが正常に更新されたことを示す確認メッセージが表示されます。


      注意:

      ロギング・レベル別の説明は、14-10ページの表を参照してください。


    2. プロンプトでgetAuditPolicy( )を入力し、filterPresetパラメータ値をチェックすることによって、Oracle Privileged Account Managerの現在のロギング・レベルを確認します。

  3. 「リポジトリ・タイプ」をデータベース(DB)に変更するには:

    1. 次のようにsetAuditRepositoryコマンドを入力します。

      setAuditRepository(switchToDB='true')
      

      監査リポジトリが正常に更新されたことを示す確認メッセージが表示されます。

    2. 次のようにWLST getAuditRepositoryコマンドを使用して、監査リポジトリがデータベース・ベース監査に設定されていることを確認します。

      getAuditRepository( )
      

      setAuditRepositoryパラメータ値(「リポジトリ・タイプ」フィールドで指定)はDBである必要があります。

  4. リポジトリ作成ユーティリティを使用して監査スキーマをデータベースに作成およびロードし、WebLogic Server管理コンソールを使用してJDBCデータ・ソースを作成します。

    データ・ソースには、Oracle Privileged Account Managerと関連付けられたOracleデータベースに接続するためにBI Publisherが必要とする資格証明が含まれます。BI Publisherはこの接続を使用して、Oracle Privileged Account Managerデータベースからデータを取得します。BI Publisherはこのデータを使用して、ターゲット、特権アカウント、権限付与およびポリシーのレポートを生成します。


    注意:

    監査スキーマの作成およびJDBCデータ・ソースの作成の手順は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の監査の構成と管理に関する項を参照してください。


  5. 管理サーバーおよびOracle Privileged Account Manager管理対象サーバーの両方を再起動します。

    変更内容を有効にするには、両方のサーバーを再起動する必要があります。両方のサーバーの再起動後、監査ログがインストール済のデータベースに表示されます。

14.1.1.3 BI PublisherでのOracle Privileged Account Manager監査レポートのデプロイ

この項では、レポートの管理および配信に使用されるコンポーネントであるOracle Business Intelligence Publisher (BI Publisher)でOracle Privileged Account Manager監査レポートをデプロイする方法について説明します。

次の手順を実行します。

  1. まだインストールしていない場合、BI Publisherリリース11.1.1.5.0以上をインストールして構成します。

    手順については、Oracle Fusion Middleware Oracle Identity Navigator管理者ガイドのOracle Business Intelligence Publisherの構成に関する項を参照してください。

  2. BI Publisherのインストール後、WebLogicドメインで次のディレクトリを特定します。


    注意:

    BI Publisherは、同一のホストまたは別のドメインにデプロイできます。


    BI_DOMAIN_HOME/config/bupublisher/repository/Reports
    
  3. 次のディレクトリでopam_product_BIP11gReports_11_1_2_1_0.zipファイルを特定します。

    ORACLE_HOME/opam/reports
    

    このファイルを手順2に記載のReportsフォルダに解凍し、次のディレクトリが作成されていることを確認します。

    ORACLE_HOME/opam/reports/Oracle Privileged Account Manager
    
  4. カタログを設定してデータ・ソースを構成するには、ブラウザ・ウィンドウを開いてBI PublisherのURLを入力します。

    このURLの形式は次のとおりです。

    http://hostname: port/xmlpserver/

    次に例を示します。

    http:/localhost:7001/xmlpserver/

  5. BI Publisherのログイン・ページが表示されたら、WebLogic権限を持つユーザーとしてログインし、「サインイン」をクリックします。

  6. 次の手順に従い、カタログを設定します。

    1. 「管理」「システム・メンテナンス」「サーバー構成」を選択します。

    2. 「システム・メンテナンス」ページが表示されたら、「構成フォルダ」セクションの「パス」フィールドに移動して構成フォルダのパスを入力します。次に例を示します。

      BI_DOMAIN_HOME/config/bupublisher/repository
      

      サーバーの構成設定を含むファイル(第14.1.1.2項の手順4で作成したJDBCデータ・ソースなど)は「構成フォルダ」に格納されています。このフォルダへのパスは、xmlp-server-config.xml構成ファイルに格納されています。xmlp-server-config.xmlファイルは次の場所にあります。

      BI_DOMAIN_HOME/config/bupublisher/repository/Admin/Configuration
      
    3. 「システム・メンテナンス」ページで「カタログ」セクションを特定して、次の情報を指定します。

      パラメータ名 パラメータ値

      カタログ・タイプ

      メニューからBI Publisher - ファイル・システムを選択します。

      パス

      BI Publisherの「カタログ」フォルダへのパスを入力します。次に例を示します。

      BI_DOMAIN_HOME/config/bipublisher/repository
      

      注意: BI Publisherの「カタログ」へのパスには、Oracle Privileged Account Managerレポートの解凍先であるreportsサブディレクトリが含まれます。

      「パス」フィールドにreportsサブディレクトリを含めないでください。BI Publisherが破損します。



      注意:

      ファイル・システムにはレポート・リポジトリが含まれるため、BI Publisherを実行しているプラットフォームにより、フォルダ名やレポート名の大文字と小文字を区別するかどうかが決められます。Windowsベースの環境ではリポジトリ・オブジェクト名の大文字と小文字は区別されませんが、UNIXベースの環境では区別されます。


    4. 「適用」をクリックします。

      確認メッセージが表示されます。

    5. 管理者としてログインします。

    6. 「カタログ」をクリックして、Shared Folder/ Oracle Privileged Account Managerフォルダを開きます。


      注意:

      このフォルダが表示されない場合、WebLogicコンソールからアプリケーションを再起動します。


  7. Oracle Privileged Account Managerレポート用に1つのJDBC (Oracle Privileged Account Manager JDBC)接続が必要です。次の手順を使用して、Oracle Privileged Account Manager JDBC接続を定義し、データ・ソースを定義します。

    1. 「BI Publisher」ページの右側にある「管理」リンクをクリックします。

      BI Publisherの「管理」ページが表示されます。(このページの「データ・ソース」セクションを確認してください。)

    2. 「データ・ソース」セクションにある「JDBC接続」リンクをクリックします。

    3. 「データ・ソース」ページが表示されたら、「JDBC」セクションの「データ・ソースの追加」をクリックし、データベースへのJDBC接続を作成します。

    4. 「データ・ソースの追加」ページに、次の情報を入力します。

      データ・ソース名

      OPAM JDBC

      ドライバ・タイプ

      データベース(Oracle 10gやOracle 11gなど)に適したドライバ・タイプを選択します。

      データベース・ドライバ・クラス

      oracle.jdbc.driver.OracleDriver (データベースに適したドライバ・クラスを定義します。)

      接続文字列

      データベース接続の詳細を指定します。例: hostname:port:sid

      ユーザー名

      Oracle Privileged Account Manager監査DBユーザーの名前。

      パスワード

      Oracle Privileged Account Manager監査DBユーザーのパスワード。


      データベースへの接続が確立されると、成功を示す確認メッセージが表示されます。

    5. 「適用」をクリックします。

      この新しく定義された接続(Oracle Privileged Account Manager JDBC)がJDBCデータ・ソースのリストに表示されます。

    6. Oracle Privileged Account Manager監査レポートにナビゲートします。

      ページの左側にツリー構造、右側に詳細が含まれる「カタログ」ページが表示されます。

    7. Shared Foldersを開いてOracle Privileged Account Managerフォルダを選択すると、そのフォルダ内のすべてのオブジェクトが表示されます。

  8. Oracle Identity Navigatorを使用してBI Publisherサーバーへの接続を構成します。

    必要な手順については、Oracle Fusion Middleware Oracle Identity Navigator管理者ガイドのBI Publisherへの接続作成に関する項を参照してください。

接続の構成に成功すると、Oracle Identity Navigatorの「ダッシュボード」ページの「マイ・レポート」セクションに「レポートを作成するにはここをクリックしてください」というリンクが表示されます。また、セキュリティ監査者ロールを持つユーザーは、次のタスクを実行できます。

  • Oracle Identity Management BI Publisherレポートおよび監査レポートの表示


    注意:

    Oracle Privileged Account Managerでは、BI Publisher 11gおよびOracle Fusion Middleware監査フレームワークに統合された、すぐに使用可能な監査レポートのセットが提供されます。Oracle Privileged Account Managerによって、監査ストアに記録された監査イベントに基づいてこれらのレポートが生成されます。詳細は、第14.2項「Oracle Privileged Account Managerのロギングの理解」を参照してください。


  • レポートの選択および「マイ・レポート」リストへの追加

  • アクセス権限を持っている任意のレポートの表示および実行

これで、BI PublisherをナビゲートしてOracle Privileged Account Manager 11g BIレポートを使用できます。

14.1.1.4 監査ロギング・レベルの設定

Oracle Privileged Account Managerによって提供される監査ロギングの分量を変更するには、次の手順を実行します。

  1. 第14.1.1.2項「Oracle Privileged Account Managerでのデータベース・ベース監査の構成」の手順4の説明に従い、アプリケーション・サーバー・シェル(WLST)を起動してOracle WebLogic Serverへの接続を確立します。


    注意:

    詳細は、『Oracle Fusion Middleware Oracle WebLogic Scripting Tool』のWLSTオンラインからのアクセスの保護に関する項を参照してください。


  2. getAuditPolicyコマンドを使用して、現在の監査ポリシーを取得します。

    FilterPresetフィールドがNONEに設定されている場合は、setAuditPolicyコマンドを使用して値を変更します。監査するイベントのタイプに応じて、次の表に記載されているオプションのいずれかを選択します。


    注意:

    これらのWLST監査コマンドの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のgetAuditPolicyおよびsetAuditPolicyに関する項を参照してください。


    オプション ログに記録されるイベント

    All

    すべてのイベント・タイプを記録します。

    Medium

    次のイベント・タイプを記録します。

    • AccountManagementカテゴリ: ChangePassword、CheckinAccount、CreateAccount、DeleteAccount、DisableAccount、EnableAccount、ModifyAccountおよびQueryAccount

    • PolicyManagementカテゴリ: All

    • TargetManagementカテゴリ: All

    Low

    次のイベント・タイプを記録します。

    • AccountManagementカテゴリ: ChangePassword、CheckinAccount、CreateAccount、DeleteAccount、DisableAccount、EnableAccountおよびModifyAccount

    • PolicyManagementカテゴリ: CreatePolicy、DeletePolicyおよびModifyPolicy

    • TargetManagementカテゴリ: CreateTarget、DeleteTargetおよびModifyTarget

    None

    ロギングは実行されません。


  3. Oracle Privileged Account Managerサーバーを再起動します。


    注意:

    管理対象サーバーの起動の詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイドのOracleスタックの起動または停止に関する項を参照してください。


    サーバーを再起動すると、監査ログは次の場所に表示されます。

    DOMAIN_HOME/servers/<opamserver>/logs/auditlogs/OPAM
    

14.1.2 Oracle Privileged Account Manager監査レポートの理解

Oracle Privileged Account Managerでは、BI Publisher 11gおよびOracle Fusion Middleware監査フレームワークに統合されたデフォルト監査レポートのセットが提供されます。Oracle Privileged Account Managerによって、監査ストアに記録された監査イベントに基づいてこれらのレポートが生成されます。

デフォルト監査レポートのタイプは次のとおりです。

  • アカウント・チェックイン/チェックアウト・レポート: アカウントのチェックインとチェックアウトの履歴を提供します。

  • すべてのイベント・レポート: 監査ストアに記録されるすべての監査イベントが含まれます。

  • エラー・イベント・レポート: 認証および認可の失敗など、Oracle Privileged Account Managerで発生するエラーの情報を提供します。

  • 一般レポート: チェックイン、チェックアウトまたは特権アカウントの変更に関連するイベント、および特権アカウントとターゲットについての問合せに関連するイベントの情報を提供します。

  • ターゲット管理レポート: ターゲットの追加、変更、問合せまたは削除に関連するイベントの情報を提供します。

Oracle Privileged Account Manager監査レポートでは、アカウントをチェックアウトしたユーザーとチェックアウトされたシステム、理由、すでにチェックアウトされているシステムに対するリクエスト、およびユーザーが権限を持たないシステムに対するリクエストを確認できます。

たとえば、次の図は、BI Publisherに表示された標準的なOracle Privileged Account Manager監査レポートを示しています。


注意:

Oracle Privileged Account Manager監査レポートはBI Publisherで表示できます。


図14-1 Oracle Privileged Account Manager監査レポートの例

監査レポートの例を示す図

このレポートには、次の情報が含まれていることに注意してください。

  • イベント: 発生したイベントのタイプです。

  • ステータス: イベントの結果(1は成功、0は失敗)を示します。

  • ユーザーID: イベントを起動したユーザー

  • ターゲット: イベントが発生したターゲット

  • リソースID: リソース識別子

  • メッセージ: サーバーから返されるメッセージ

  • 時間: イベントが発生した日時

14.1.3 CSFの資格証明のアプリケーション負荷の監査

第17.3項「資格証明ストア・フレームワークとの統合」に説明されているように、Oracle Privileged Account ManagerはパスワードをCSFに同期化できます。ただし、Oracle Privileged Account ManagerではCSFコンテンツを監査できません。Oracle Privileged Account ManagerとCSFは、WebLogicドメイン内の2つの別個のエンティティであるからです。CSFアクセスを監査する場合は、CSF自体で監査を有効化する必要があります。


注意:

CSFでの監査の有効化は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の次の項を参照してください。

  • CSFでサポートされている監査イベントのリストは、Oracle Platform Security Servicesのイベントとその属性に関する項を参照します。

  • CSFでの監査の有効化に使用するWLSTコマンドは、監査のためのWLSTコマンドに関する項を参照するか、コマンド行から次のコマンドを入力します。

    help('<Audit WLST command>')
    
  • Enterprise Managerを使用したこのタイプの監査の管理は、監査ポリシーの管理に関する項を参照します。

WSAdminコマンドを使用したCSFでの監査の有効化は、『Oracle Fusion Middleware Oracle Identity and Access Managementサードパーティ・アプリケーション・サーバー・ガイド』の共通監査フレームワークwsadminコマンドに関する項を参照してください。


14.2 Oracle Privileged Account Managerのロギングの理解

Oracle Privileged Account Managerは、Oracle Fusion MiddlewareのロギングおよびOracle Diagnostic Logging (ODL)フレームワークと完全に統合されています。

Oracle Privileged Account Managerの汎用ロガー(oracle.idm.opam)は、デバッグ文や例外メッセージなど、監査ロガーによって記録されないすべてのログを扱います。処理ツールでは、これらのログを使用して、Oracle Privileged Account Managerサーバー内で発生した問題を診断できます。

表14-2では、別のOracle Privileged Account Manager関連のログ・ファイルについて説明します。

表14-2 Oracle Privileged Account Manager関連ログ・ファイル

ファイル名 説明

AdminServer.log

WebLogic管理サーバーがサブシステムおよびアプリケーションからメッセージを書き込む汎用ログ・ファイル。

AdminServer-diagnostic.log

WebLogic管理サーバーによって生成されるメッセージを格納する際に使用される診断ログ・ファイル。

base_domain.log

WebLogic管理サーバーがドメインの全体的なステータスについてのメッセージを書き込む汎用ログ・ファイル。

access.log

特権アカウントおよびターゲットにアクセスするリクエストについての情報を格納する際に使用される汎用ログ・ファイル。

opam_server1.log

Oracle Privileged Account Managerサーバーがサブシステムおよびアプリケーションからメッセージを書き込む汎用ログ・ファイル。

opam_server1-diagnostic.log

Oracle Privileged Account Manager管理サーバーによって生成されるメッセージを格納する際に使用される診断ログ・ファイル。


Oracle Privileged Account Managerログ・ファイルは、次の場所に格納されます。


注意:

Oracle Fusion MiddlewareのロギングおよびOracle Diagnostic Logging (ODL)フレームワークの詳細は、『Oracle Fusion Middleware管理者ガイド』のログ・ファイルと診断データの管理に関する項を参照してください。


14.2.1 基本的なロギングの構成

『Oracle Fusion Middleware WebLogic Scripting Toolコマンド・リファレンス』ロギング・カスタムWLSTコマンドの項に説明されているように、標準のWLSTコマンドを使用してOracle Privileged Account Managerのロギングを構成できます。

次に、前述の参照に基づいたタスクベースの起動をいくつか示します。


注意:

IBM WebSphereサーバーでロギングを構成している場合は、同じコマンドが適用されます。ただし、考慮が必要な相違点がいくつかあります。

これらのコマンドを使用する前に、『Oracle Fusion Middleware Oracle Identity and Access Managementサードパーティ・アプリケーション・サーバー・ガイド』のOracle Privileged Account Managerの基本ロギングの構成に関する項を参照してください。


  • 使用可能なすべてのOracle Privileged Account Managerロガーおよび現在の構成レベルのリストを表示するには、listLoggersコマンドを実行します。

    listLoggers(target="<opamserver>",pattern="oracle.idm.opam.*")
    

    次に例を示します。

    listLoggers(target="opam_server1",pattern="oracle.idm.opam.*")
    
  • Oracle Privileged Account Managerの現在のログ・レベルをチェックするには、getLogLevelコマンドを実行します。

    getLogLevel(logger="oracle.idm.opam",target="<opamserver>")
    

    次に例を示します。

    getLogLevel(logger="oracle.idm.opam",target="opam_server1")
    
  • 特定のロガーのログ・レベルを設定するには、setLogLevelコマンドを実行します。

    setLogLevel(target="<opamserver>",logger="oracle.idm.opam",level="TRACE:32",
    persist=1)

    次に例を示します。

    setLogLevel(target="opam_server1",logger="oracle.idm.opam",level="TRACE:32",
    persist=1)

14.2.2 ロギング・データの例

次の図では、WebLogicコンソールに表示されるロギング・データの例を示します。

図14-2 ロギング・レポートの例

ロギング・レポートの例を示す図

このレポートには、次の情報が含まれていることに注意してください。

  • イベントが発生したときの日付およびタイムスタンプ

  • イベントが発生したサブシステム

  • メッセージの重大度

  • メッセージID

  • 実行されていた操作についての説明のメッセージ