ここでのトピック
ここでのトピック
セキュア・ターゲットから監査データを収集するには、Audit Vault Serverと、対象のセキュア・ターゲットのAudit Vault Agentが常駐するホスト・マシン(通常はセキュア・ターゲットと同じコンピュータ)間の接続を構成する必要があります。
ホストの登録後に、Audit Vault Agentをそのホストにデプロイしてアクティブ化する必要があります。「ホスト・コンピュータでのAudit Vault Agentのデプロイおよびアクティブ化」を参照してください。
この章では、Audit Vault Agentがセキュア・ターゲット・ホストにデプロイされていることを前提として、Audit Vault ServerコンソールUIを使用してホストを登録する手順を説明します。コマンドライン・インタフェースの使用の詳細は、「AVCLIコマンドライン・インタフェースの使用」を参照してください。
ホストを登録してホスト上にAudit Vault Agentをデプロイしたら、監査証跡収集を開始するために、セキュア・ターゲットを登録して監査証跡を構成し、監査証跡収集を手動で開始する必要もあります。これらの手順は、以下で説明しています。
Oracle AVDFシステムの構成に関するワークフローの概要を確認するには、「構成手順の概要」を参照してください。
この章の各項では、各セキュア・ターゲット・タイプに固有の、ホストの構成に関する情報を示します。ただし、Audit Vault Serverでのホスト・マシンの登録手順は同じです。
Audit Vault Serverでホスト・マシンを登録する手順は、次のとおりです。
Audit Vault Serverコンソールに管理者としてログインします。
「ホスト」タブをクリックします。
登録されたホストがある場合は、そのリストが「ホスト」ページに表示されます。このリストの表示を制御するには、「UIでのオブジェクト・リストの操作」を参照してください。
「登録」をクリックします。
ホスト名とホストIPアドレスを入力します。
「保存」をクリックします。
Oracle AVDFリリース12.1.2を使用している場合は、ホストを登録するときにエージェント・アクティブ化キーが自動的に生成されます。
登録されたホストの名前を変更すると、名前を変更した後にシステムが自動的に再起動するため、最長で10分間かかる場合があります。
注意: ホスト名を変更した後にシステムを手動で再起動すると、システムが整合性のない状態になる場合があるため、手動で再起動しないでください。システムが自動的に再起動するまで、最長で10分間待ちます。 |
Audit Vault Serverコンソールに管理者としてログインします。
「ホスト」タブをクリックします。
変更するホストの名前をクリックします。
「ホストの変更」ページで、「ホスト名」フィールドを変更して「保存」をクリックします。
システムが自動的に再起動するまで待ちます。
これには最長で10分間かかる場合があります。システムを手動で再起動しないでください。
ここでのトピック
セキュア・ターゲットから監査証跡を収集するために、Audit Vault Agentをホスト・コンピュータ(通常はセキュア・ターゲットが常駐するコンピュータ)にデプロイする必要があります。Audit Vault Agentには、各セキュア・ターゲット・タイプのプラグイン、およびホスト監視機能が含まれています。
Audit Vault Agentのデプロイに加えて、監査証跡収集を開始するには、各ホストおよびセキュア・ターゲットを登録して監査証跡を構成し、監査証跡収集を手動で開始する必要もあります。これらの手順については、以下を参照してください。
Oracle AVDFシステムの構成に関するワークフローの概要を確認するには、「構成手順の概要」を参照してください。
ホスト・マシンでのAudit Vault Agentのデプロイおよびアクティブ化は、次のステップで構成されています。
Audit Vault Agentをデプロイしたホストを登録するには、「Audit Vault Serverでのホストの登録」の手順に従います。
Audit Vault Agentをデプロイするときには、OSのユーザー・アカウントを使用する必要があります。このステップでは、Audit Vault Serverからagent.jar
ファイルをコピーして、ホスト・マシンにこのファイルをデプロイします。
注意: Audit Vault AgentはUnix、Windows、HP-UX Itaniumの各プラットフォームでサポートされており、ホスト・コンピュータにJava SE 6または7が必要です。現在のリリースのプラットフォーム・サポートの詳細は、『Oracle Audit Vault and Database Firewallインストレーション・ガイド』を参照してください。前のリリースでサポートされるプラットフォームの詳細は、Oracle Support Webサイト: https://support.oracle.comの記事1536380.1 を参照してください。 |
Audit Vault Agentをホスト・マシンにコピーしてデプロイするには、次の手順を実行します。
Audit Vault Serverコンソールに管理者としてログインします。
「ホスト」タブをクリックした後、「ホスト」メニューから「エージェント」をクリックします。
エージェントおよびホスト監視ファイルがリストされます。
エージェント・ファイルの横にある「ダウンロード」ボタンをクリックし、agent.jar
ファイルを選択した場所に保存します。
OSのユーザー・アカウントを使用して、agent.jar
ファイルをセキュア・ターゲットのホスト・コンピュータにコピーします。
ホスト・マシンで、JAVA_HOME
をjdk1.6
(または、それ以上)のインストール・ディレクトリに設定し、java
実行可能ファイルがこのJAVA_HOME
の設定に対応していることを確認します。
注意: Sybase ASEセキュア・ターゲットの場合、SQL*NetがSybase ASEデータベースと通信できるコンピュータにAudit Vault Agentがインストールされていることを確認します。
「管理者として実行」でコマンド・プロンプトを開始します。
agent.jar
ファイルを格納したディレクトリで、次のコマンドを実行して解凍します。
java -jar agent.jar -d
Agent_Home
これにより、Agent_Home
に入力した名前でディレクトリが作成され、そのディレクトリにAudit Vault Agentがインストールされます。
Windowsシステムの場合、このコマンドによりOracleAVAgent
という名前のwindowsサービスが自動的に登録されます。
注意: Audit Vault Agentをデプロイしたら、Oracleサポートから指示がないかぎりAgent_Home ディレクトリを削除しないでください。既存のAudit Vault Agentを更新する場合は、既存のAgent_Home ディレクトリを削除しないでください。 |
Oracle AVDF 12.1.2の場合、このステップは必要ありません。
前提条件: このホスト・コンピュータについて、「Audit Vault Serverでのホストの登録」の手順に従います。
リリース12.1.1でAudit Vault Agentのアクティブ化をリクエストする手順は、次のとおりです。
ホスト・コンピュータで、次のディレクトリに移動します。
Agent_Home
/bin
Agent_Home
は、前述の手順7で作成したディレクトリです。
次のコマンドを実行します。
agentctl activate
これにより、Audit Vault Serverにアクティブ化リクエストが送信されます。
このステップでは、エージェント・アクティブ化キーでAudit Vault Agentをアクティブ化して、エージェントを起動します。
前提条件:
「Audit Vault Serverでのホストの登録」の手順に従います。
(Oracle AVDF 12.1.1のみ)「(Oracle AVDF 12.1.1のみ)エージェント・アクティブ化のリクエスト」の手順に従います。
エージェントをアクティブ化して起動する手順は、次のとおりです。
Audit Vault Serverコンソールに管理者としてログインし、「ホスト」タブをクリックします。
Oracle AVDF 12.1.1のみ: アクティブ化するホストを選択し、「アクティブ化」をクリックします。
これにより、「エージェント・アクティブ化キー」列にアクティブ化キーが生成されます。
AVDFリリース12.1.1では、「(Oracle AVDF 12.1.1のみ)エージェント・アクティブ化のリクエスト」の手順を完了した場合にのみ、ホストをアクティブ化できます。それ以外の場合、そのホストの「エージェント・アクティブ化ステータス」は「リクエストなし」
になります。
「ホスト」タブで、このホストのエージェント・アクティブ化キーをメモします。
ホスト・マシンで、次のようにディレクトリを変更します。
cd
Agent_Home
/bin
Agent_Home
は、前述の手順7で作成したディレクトリです。
次のいずれかのコマンドを実行し、エージェント・アクティブ化キーを指定します。
Oracle AVDF 12.1.2:
agentctl start -k Enter Activation Key:
プロンプトが表示されたら、アクティブ化キーを入力します。入力の際、このキーは表示されません。
Oracle AVDF 12.1.1:
agentctl start -k
activation_key
注意: -k
引数は、初回のagentctl start
コマンドの後は不要です。
関連項目: エージェントがMicrosoft Windowsホスト・コンピュータにデプロイされている場合、Windowsコントロール パネルのWindowsサービス・アプレットでエージェントWindowsサービスを開始または停止できます。「Audit Vault AgentのWindowsサービスとしての登録または登録解除」を参照してください。 |
ここでのトピック
Audit Vault AgentをMicrosoft Windowsホスト・コンピュータにデプロイすると(「ホスト・コンピュータでのAudit Vault Agentのデプロイ」)、エージェントのデプロイ時にOracleAVAgent
というWindowsサービスが自動的に登録されます。また、次のようにagentctl
コマンドを使用してエージェント・サービスを登録または登録解除できます。
Audit Vault AgentがWindowsサービスとして登録されると、Windowsコントロール パネルのWindowsサービス・アプレットを使用してサービスを開始または停止できるようになります。
注意: Audit Vault AgentをWindowsホストにデプロイすると、agentctl
という名前のWindowsサービスが自動的に登録されます。Windowsサービスを再び登録する必要がある場合は、この手順を使用します。
Audit Vault AgentをWindowsサービスとして登録するには、次の手順を実行します。
ホスト・マシンで、Agent_Home
\bin
ディレクトリから次のコマンドを実行します。
agentctl registersvc
これにより、Oracle Audit Vault AgentサービスがWindowsサービス・レジストリに追加されます。
重要: java -jar コマンドを使用してエージェントをデプロイするときに使用したWindows OSユーザー・アカウントの資格証明を使用するように、Audit Vault Agentサービスを設定してください。これは、サービスの「プロパティ」ダイアログで行います。
サービスの「プロパティ」ダイアログでは、「アカウント」フィールドに入力するローカル・ユーザー名の書式に注意してください(たとえば、ユーザー名「 |
Audit Vault AgentのWindowsサービスとしての登録を解除するには、次のいずれかの方法を使用します。
方法1 (推奨)
ホスト・マシンで、
Agent_Home\bin
ディレクトリから次のコマンドを実行します。
agentctl unregistersvc
これにより、Oracle Audit Vault AgentサービスがWindowsサービス・レジストリから削除されます。
方法2
方法1が失敗した場合は、Windowsコマンド・プロンプトから次を実行します(管理者として実行)。
cmd>
sc delete OracleAVAgent
Windowsコマンド・プロンプトから次の問合せを実行して(管理者として実行)、Audit Vault Agentが削除されたかどうかを確認できます。
cmd>
sc queryex OracleAVAgent
ここでのトピック
ここでのトピック
初回のアクティブ化および起動の後に、Audit Vault Agentを停止または起動するには、ホスト・マシンのAgent_Home/bin
ディレクトリから、次のいずれかのコマンドを実行します。
agentctl stop
agentctl start
Audit Vault AgentをWindowsホストにデプロイすると、Agentは自動的にWindowsサービスとして登録されます。ユーザーがログアウトした後も引き続き実行されるように、AgentをWindowsサービスとして実行することをお薦めします。
「Audit Vault AgentのWindowsサービスとしての登録または登録解除」も参照してください。
Agent Windowsサービスを停止または起動する手順は、次のとおりです。
次の方法のいずれかを使用します。
Windows GUI (「コントロール パネル」、「管理ツール」、「サービス」)で、Oracle Audit Vault Agentサービスを探し、右クリックして「開始」または「停止」を選択します。
ホスト・マシンのAgent_Home\bin
ディレクトリから次のコマンドのいずれかを実行します。
agentctl stopsvc
agentctl startsvc
Windowsサービスが停止していることを確認する手順は、次のとおりです。
次のコマンドを実行します。
cmd>sc queryex OracleAVAgent
エージェントWindowsサービスがSTOPPED
状態であることを確認します。
Agentをコンソール・モードで停止または起動する手順は、次のとおりです。
start /b agentctl stop
start /b
agentctl start
設定したロギング・レベルは、ログ・ファイルに書き込まれる情報量に影響を与えます。ディスク領域の制限には、これを考慮する必要があります。
ログ・ファイルは、Agent_Home
/av/log
ディレクトリに保存されます。
次に、ログ・ファイルに書き込まれる情報量の順にロギング・レベルを示します。debugが最も多い情報量を提供します。
error: エラー・メッセージのみ書き込みます。
warning: (デフォルト) 警告メッセージとエラー・メッセージを書き込みます。
info: 情報メッセージ、警告メッセージ、エラー・メッセージを書き込みます。
Audit Vault Agentのロギング・レベルを変更するには、次の手順を実行します。
Audit Vault ServerでAVCLI
にログインしていることを確認します。
ALTER HOST
コマンドを実行します。
構文は、次のとおりです。
ALTER HOST
host_name
SET LOGLEVEL=av.agent:
log_level
詳細は、次のとおりです。
host_name
: Audit Vault Agentがデプロイされたホストの名前。
log_level
: 値info
、warn
、debug
またはerror
を入力します。
Audit Vault AgentをWindowsサービスとして登録している場合は、「Audit Vault AgentのWindowsサービスとしての登録または登録解除」でサービス登録解除の方法を確認してください。
それ以外の場合は、Audit Vault Agentを次の手順で非アクティブ化して削除します。
Audit Vault Agentによって収集されている監査証跡をすべて停止します。
Audit Vault Serverコンソールで、「ホスト」タブをクリックした後、「監査証跡」をクリックします。
このAudit Vault Agentによって収集されている監査証跡を選択し、「停止」をクリックします。
ホスト・コンピュータで次のコマンドを実行して、Audit Vault Agentを停止します。
agentctl stop
ホスト・コンピュータでAudit Vault Agentを非アクティブ化します。
Audit Vault Serverコンソールで、「ホスト」タブをクリックします。
ホスト名を選択し、「非アクティブ化」をクリックします。
オプションで、ホストを選択した後、「削除」をクリックしてホストを削除します。
ホスト・コンピュータのAudit Vault Agentホーム・ディレクトリを削除します。
Oracle AVDF 12.1.1 BP2では、Audit Vault Serverを今後のリリースに更新すると、Audit Vault Agentが自動的に更新されます。
現在使用中のリリースが12.1.1 BP2より前の場合のAudit Vault Agentの更新方法の手順は、アップグレード・ソフトウェアまたはパッチ更新に含まれているREADMEを参照してください。
アップグレード・ソフトウェアのダウンロードに関する詳細は、『Oracle Audit Vault and Database Firewallインストレーション・ガイド』を参照してください。
ここでのトピック
セキュア・ターゲットの各タイプに対応するソフトウェア・プラグインはAudit Vault Serverにあり、これによってAudit Vault Agentで監査データを収集できるようになります。さらに多くのセキュア・ターゲット・タイプから監査データを収集するために、Oracle AVDFの標準プラグインに加えて、別のプラグインをデプロイできます。新しいプラグインは、Oracle Technology Networkまたはサード・パーティから入手できます。プラグイン・デプロイメント・プロセスでは、Audit Vault Serverのagent.jar
ファイルを更新します。
1つのプラグインでサポートするセキュア・ターゲット・タイプは1つのみです。ただし、開発者からそれぞれ異なるプラグインを取得したり、各プラグインが同じセキュア・ターゲット・タイプについて固有の監査証跡タイプをサポートする場合などは、同じセキュア・ターゲット・タイプに対して複数のプラグインをデプロイできます。監査証跡収集の構成時に、使用する特定のプラグインを選択できます。
プラグインに関連付けられたセキュア・ターゲット・タイプからの監査データの収集を開始するには、このセキュア・ターゲットをAudit Vault Serverに追加した後、監査証跡収集を構成して手動で開始する必要もあります。「セキュア・ターゲット、監査証跡および強制ポイントの構成」を参照してください。
プラグインのデプロイは、次の3つのステップで構成されています。
セキュア・ターゲットで監査が有効になっていることを確認します。詳細は、セキュア・ターゲットの製品ドキュメントを参照してください。Oracle Databaseのプラグインは、「Oracle Databaseセキュア・ターゲットで監査が有効であることの確認」を参照してください。
Audit Vault Serverでホストを登録するには、「Audit Vault Serverでのホストの登録」を参照してください。
プラグインをデプロイしてアクティブ化する手順は、次のとおりです。
Audit Vault Serverにプラグイン・アーカイブをコピーし、ファイルの場所を書き留めます。
プラグイン・アーカイブは、Oracle Technology Networkまたはサード・パーティから入手できます。
Audit Vault Serverコンソールに管理者としてログインします。
「設定」タブをクリックし、「システム」メニューから「プラグイン」をクリックします。
「プラグイン」ページに、現在デプロイされているプラグインがリストされます。
「デプロイ」をクリックし、「プラグイン・アーカイブ」フィールドにプラグイン・アーカイブの名前を入力するか、参照します。
「プラグインのデプロイ」をクリックします。
新しいプラグインが、「ホスト」タブの「エージェント」ページの「プラグイン」にリスト表示されます。更新されたagent.jar
ファイルの新しいエージェント生成時間が「エージェント」ページに表示されます。
「ホスト」ページには、登録されたホストごとに「エージェント生成時間」列が表示され、そのホストにあるagent.jar
のバージョンを示します。
登録された各ホスト・マシンに更新後のagent.jar
ファイルをコピーします。
ホスト・マシンを登録していない場合は、「Audit Vault Serverでのホストの登録」を参照してください。
ホスト・マシンで、エージェントを抽出します。
java -jar agent.jar
注意: agent.jar を更新しているため、プラグインのデプロイと同じログイン・セッション中にエージェントをダウンロードすることはできません。だたし、他のセッションのユーザーは、プラグイン・デプロイメント・プロセスが完了し、新しいバージョンが使用可能になるまで、最新バージョンのagent.jar をダウンロードできます。 |
ホストを削除したときに、監査データの収集のためにAudit Vault Agentの再登録が必要になった場合は、このホストにAudit Vault Agentを再インストールする必要があります。
Audit Vault Serverコンソールに管理者としてログインします。
「ホスト」タブをクリックします。
登録されたホストがある場合は、そのリストが「ホスト」ページに表示されます。このリストの表示を制御するには、「UIでのオブジェクト・リストの操作」を参照してください。
削除するホストを選択し、「削除」をクリックします。