ここでのトピック
ホスト・モニタリングは、分散環境に小規模データベースが多数あり、Oracle AVDFでこれらすべてのデータベースに対するSQLトラフィックを1つのDatabase Firewallを使用して一元的に監視する必要がある状況に対応できるように設計されています。これにより、トラフィックをモニタリングするネットワーク・ポイントを柔軟に選択できます。これは、たとえば、ブリッジを介してトラフィックをルーティングすることや、それをミラー・ポートから取得することが容易でない場合に役立ちます。
ホスト監視は、ネットワーク・カードからSQLトラフィックを取得し、ネットワーク経由でDatabase Firewallに送信します。このSQLデータは、Oracle AVDFで生成されるレポートに利用できます。ホスト・モニタリングは、SQLトラフィックのモニタリングにのみ使用され(DAMモード)、SQL文のブロックまたは置換には使用できません。
ホスト監視を使用するには、ホスト監視をデプロイするホスト・マシン(通常データベースと同じマシン)にAudit Vault Agentをデプロイします。より大規模なデータベースの場合、ホスト監視で取得されるSQLトラフィックにより、ネットワーク・トラフィックは増加します。その場合、ホスト監視ソフトウェアをデータベース・サーバーとは異なるサーバーにインストールできます。その後、スパニング・ポートを使用してこのデータベース・サーバーをホスト監視に使用するサーバーに接続する必要があります。
1つのホスト・モニタリング・インストールを使用した同じホスト上の複数のセキュア・ターゲット・データベースのモニターは、1つのDatabase Firewallを使用して実行できます。これを行うには、DAMモードで強制ポイントを作成し、各セキュア・ターゲットのNETWORK
監査証跡を作成します。
セキュア・ターゲットに対するすべてのネットワーク・トラフィックを監視するには、Oracle AVDF監査者が、イベントを記録するファイアウォール・ポリシー(一意のものを記録など)を選択する必要があります。手順は、『Oracle Audit Vault and Database Firewall監査者ガイド』を参照してください。
ホスト監視は、LinuxプラットフォームとWindowsプラットフォームでサポートされており、Database Firewallがサポートしているデータベースを監視できます。サポートされているデータベースは、表B-1を参照してください。
ここでのトピック
ホスト監視は、LinuxおよびWindows x86-64プラットフォーム上で動作します。ホスト監視は、32ビット・プラットフォーム上ではサポートされていません。追加情報およびサポートされているプラットフォームの最新マトリックスについては、OracleサポートWebサイトhttps://support.oracle.comに掲載されている記事番号1536380.1
を参照してください。
ホスト監視を実行するホスト・マシンには次が必要です(これらは、Linuxシステム上の/usr/lib
、/lib
、/lib64
などのシステム・デフォルト・ディレクトリに存在していることがあります)。
OpenSSL - 完全版(Light版は不可)。http://www.openssl.org/
を参照してください。
Windowsの場合: OpenSSL 1.0.1c以上
Linuxの場合: OpenSSL 0.9.8i以上
Linuxホストの場合: libpcap
ライブラリ、バージョン0.9.4以上。http://www.tcpdump.org/
を参照してください。次のパッケージをホスト・コンピュータにインストールします。
libpcap
libpcap-deve
l
たとえば、Oracle Linuxシステムで、次のコマンドをroot
として実行します。
yum -y install libpcap libpcap-devel
Windowsホストの場合: wincap
ライブラリ、バージョン4.1.2以上。http://www.winpcap.org/
を参照してください。
Audit Vault Serverでホストを登録するには、「Audit Vault Serverでのホストの登録」を参照してください。
ここでのトピック
Windowsホストの場合は、Audit Vault Agentのデプロイ時にホスト監視が自動的にインストールされます。「ホスト・コンピュータでのAudit Vault Agentのデプロイ」を参照してください。
インストールされているOracle AVDFのリリースに応じて、次のいずれかの手順に従います。
Linuxホスト上のOracle AVDF 12.1.2でのホスト監視のインストール
ホスト監視をインストールする手順は、次のとおりです。
Audit Vault Agentをまだデプロイしていない場合は、デプロイします。「ホスト・コンピュータでのAudit Vault Agentのデプロイ」を参照してください。
root
としてログインし、ローカル・ハード・ディスク上で、ホスト監視のインストール先となるroot
所有ディレクトリ(/usr/local
など)を特定します。
注意: ディレクトリ階層全体がroot
によって所有されている必要があり、他のユーザーまたはグループが書込み権限を持つディレクトリが含まれていない必要があります。
Audit Vault Serverコンソールに管理者としてログインし、「ホスト」タブをクリックして、「エージェント」をクリックします。
Host Monitor (Linux x86-64)の横にある「ダウンロード」
ボタンをクリックし、ステップ2
で特定した(ローカル・ハード・ディスク上の)root
所有ディレクトリ(/usr/localなど)に.zip
ファイルを保存します。
root
ユーザーとして、ホスト監視ファイルを解凍します。
これにより、hm
という名前のディレクトリが作成されます。これがHM_Home
ディレクトリで、この例では/usr/local/hm
です。
hostmonsetup
ファイル(hm
ディレクトリ内)に実行権限があることを確認します。
次のコマンドを実行します。
HM_Home/hostmonsetup install agenthome=Agent_Home agentuser=Agent_Username agentgroup=Agent_Group
HM_Home
- ステップ5で作成したディレクトリです。
Agent_Home
: Audit Vault Agentインストール・ディレクトリを入力します。
Agent_Username
: Audit Vault Agentをインストールしたユーザー(java -jar agent.jar
コマンドを実行したユーザー)のユーザー名を入力します。
Agent_Group
: Agent_Username
が所属するグループを入力します。
Linuxホスト上のOracle AVDF 12.1.1でのホスト監視のインストール
ホスト監視をインストールする手順は、次のとおりです。
Audit Vault Agentをまだデプロイしていない場合は、デプロイします。「ホスト・コンピュータでのAudit Vault Agentのデプロイおよびアクティブ化」を参照してください。
root
としてログインし、ローカル・ハード・ディスク上で、ホスト監視のインストール先となるroot
所有ディレクトリ(/usr/local
など)を特定します。
Agent_Home
/stage/plugins
ディレクトリから、2つのホスト監視.zip
ファイルをコピーします。以下はその例です。
agent-linux-x86-64-deps.zip agent-linux-x86-64-hmon.zip
ファイル名は、使用中のサポートされているLinuxプラットフォームと一致する必要があります。
ステップ2
で特定した(ローカル・ハード・ディスク上の)root所有ディレクトリに、コピーしたファイルを保存して、解凍します。
これにより、hm
という名前のディレクトリが作成されます。これがHM_Home
ディレクトリで、この例では/usr/local/hm
です。
hostmonsetup
のファイル権限に実行が含まれていることを確認します。
次のコマンドを実行します。
HM_Home/hostmonsetup install agenthome=Agent_Home
セキュア・ターゲットを作成するには、「Audit Vault Serverでのセキュア・ターゲットの登録または削除」を参照してください。
ホスト監視を使用してリモートで監視するデータベースごとに、Audit Vault Serverで強制ポイントを作成する必要があります。この強制ポイントは、モニタリング・モードとしてデータベース・アクティビティ監視(DAM)を使用する必要があります。「強制ポイントの構成」を参照してください。
以下を指定して、ホスト監視で監視する各セキュア・ターゲットの監査証跡を作成します。
「監査証跡のタイプ」で、NETWORK
を選択します。
(AVDF 12.1.1のみ)「証跡の場所」で、NETWORK
と入力します。
監査証跡を追加する手順については、「Audit Vault Serverでの監査証跡の追加」を参照してください。
ここでのトピック
ホスト監視を開始するには、監視対象のホストでNETWORK監査証跡の収集を開始します。
Audit Vault Serverコンソールからホスト監視を開始するには、次の手順を実行します。
Audit Vault Serverコンソールに管理者としてログインします。
「ステップ5: NETWORK監査証跡の作成」でホスト・モニタリング用に作成した監査証跡を開始します。
「Audit Vault Serverでの監査証跡の停止および開始」を参照してください。
ホスト監視を停止するには、監視中のセキュア・ターゲット用に作成した監査証跡を停止します。「Audit Vault Serverでの監査証跡の停止および開始」を参照してください。
「Audit Vault Agentのロギング・レベルの変更」を参照してください。
Audit Vault Serverコンソールに監査者としてログインします。
「セキュア・ターゲット」タブをクリックした後、「監視」メニューから「監査証跡」をクリックします。
ホスト監視監査証跡の収集ステータスが「監査証跡」ページにリストされます。ホスト監視監査証跡の「監査証跡のタイプ」
列にNETWORKがあります。
この手順は、Linuxホストのみに適用されます。Windowsホストでは、インストールおよびアンインストールは不要です。
ホスト監視リリース12.1.1 BP2以上のアンインストール
root
としてホスト・コンピュータにログインします。
(ステップ7でホスト監視をインストールした)
HM_Homeディレクトリから、次のコマンドを実行します。
hostmonsetup uninstall
ホスト監視リリース12.1.1 BP1以下のアンインストール
ホスト監視をアンインストールする手順は、次のとおりです。
root
としてホスト・コンピュータにログインします。
Agent_Home
/bin/
ディレクトリから、次のコマンドを実行します。
hostmonsetup uninstall
Oracle AVDF 12.1.2では、Audit Vault Serverを今後のリリースに更新すると、ホスト監視が自動的に更新されます。
現在使用中のリリースが12.1.2より前の場合のホスト監視の更新方法の手順は、アップグレード・ソフトウェアまたはパッチ更新に含まれているREADMEを参照してください。
アップグレード・ソフトウェアのダウンロードに関する詳細は、『Oracle Audit Vault and Database Firewallインストレーション・ガイド』を参照してください。
デフォルトでは、Database Firewallは、ホストの(送信元)IPアドレスの検証結果に基づいてホスト監視の接続を許可します。
ホスト監視で証明書ベースの認証を使用してセキュリティを強化するには、ホスト監視のインストール後に次の手順を実行します。
ホスト監視接続に署名済証明書を要求するには、次の手順を実行します。
ホスト監視を停止します(実行している場合)。
「ホスト監視の停止」を参照してください。
Database Firewallで、root
としてログインし、次のコマンドを実行します。
cp /usr/local/dbfw/etc/controller.crt /usr/local/dbfw/etc/fw_ca.crt chown dbfw:dbfw /usr/local/dbfw/etc/fw_ca.crt chmod 400 /usr/local/dbfw/etc/fw_ca.crt
次のコマンドを実行して監視プロセスを再起動します。
/etc/init.d/monitor restart
ホスト監視を実行する各ホストで、次の手順を実行します。ホスト監視はすでにインストールされている必要があります。
Audit Vault Serverから署名済証明書を取得するには、次の手順を実行します。
Audit Vault Serverにroot
としてログインします。
ディレクトリ/usr/local/dbfw/etc
に移動します。
次の2つのコマンドを実行します。
openssl genrsa -out hmprivkey.perm 2048
openssl req -new -key hmprivkey.perm -out hmcsr.csr -subj "/CN=Hostmonior_Cert_hostname/"
hostname
は、Audit Vault Agentがインストールされているホスト・マシンの名前です。
署名済証明書を1つ生成するには、次のコマンドを実行します。
/usr/local/dbfw/bin/generate_casigned_hmcert.sh
署名済証明書ファイルhmcert.crt
がディレクトリ/usr/local/dbfw/etc
に生成されます。
Audit Vault Serverから次のファイルを、Audit Vault Agentがインストールされているホスト・マシンのAgent_Home
/hm
ディレクトリにコピーします。
/usr/local/dbfw/etc/hmcert.crt /usr/local/dbfw/etc/hmprivkey.perm
(Linuxホストのみ) root
として、次のコマンドを実行します。
chown root:root Agent_Home/hm/hmcert.crt Agent_Home/hm/hmprivkey.perm chmod 400 Agent_Home/hm/hmcert.crt Agent_Home/hm/hmprivkey.perm
(Windowsホストのみ)望ましくないユーザー・アクセスを回避するために、ファイルhmcert.crt
およびhmprivkey.perm
にエージェント・ユーザーの所有権および適切な権限が割り当てられていることを確認します。
ホスト監視を開始して、ネットワーク・トラフィックを捕捉します。「ホスト監視の開始」を参照してください。
ホスト監視を実行する各ホストで、この手順を繰り返します。