| Oracle® Audit Vault and Database Firewall管理者ガイド リリース12.1.2 B71711-11 |
|
 前 |
 次 |
この項では、初期構成の完了後における毎日のAudit Vault ServerおよびDatabase Firewallの操作の管理について説明します。
ここでのトピック
ここでのトピック
Audit Vault Serverのステータスを確認する手順は、次のとおりです。
Audit Vault Serverに管理者としてログインします。
「設定」タブをクリックします。
「システム」メニューで、「ステータス」をクリックします。
サーバーの統計、プロセス、ネットワーク・サービス、ネットワーク接続が表示されます。
オプションで、「テスト診断」ボタンをクリックし、一連の診断チェックを実行します。
この診断には次のテストが含まれます。
構成ファイルの存在とアクセス権限
ファイル・システムのサニティ
ネットワーク構成
データベース・サーバー・プロセス、イベント収集プロセス、Javaフレームワーク・プロセス、HTTPサーバー・プロセスなど、システムの実行に必要な各種プロセスのステータス。
診断テストが完了すると、各テストの結果を示すレポートが表示されます。
ここでのトピック
Database Firewallをデプロイしている場合、Audit Vault Serverの証明書およびIPアドレスを各Database Firewallに指定する必要があります。
サーバー証明書にアクセスする手順は、次のとおりです。
Audit Vault Serverコンソールに管理者としてログインします。
「設定」タブをクリックします。
「セキュリティ」メニューで、「証明書」をクリックします。
サーバーの証明書が表示されます。証明書をコピーして、各Database Firewallに指定できます。「Audit Vault Serverの証明書およびIPアドレスの指定」を参照してください。
サーバーの公開鍵は、Audit Vault Serverから別のシステムにアーカイブ・ファイルをアップロードするために、そのシステムに指定する必要があります。この公開鍵は、そのシステムのauthorized_keysファイルに追加する必要があります。一般的なLinuxインストールの場合、このファイルは、ユーザーのホーム・ディレクトリの.ssh下にあります。また、権限を0700に設定する必要があります。
サーバー公開鍵にアクセスする手順は、次のとおりです。
Audit Vault Serverコンソールに管理者としてログインします。
「設定」タブをクリックします。
「アーカイブ中」メニューで、「アーカイブの場所の管理」をクリックした後、「作成」をクリックします。
「公開鍵」フィールドに公開鍵が表示されます。この鍵をコピーして、別のシステムの適切なファイルに貼り付けることができます。
Audit Vault Serverを再起動または電源オフする手順は、次のとおりです。
Audit Vault Serverにスーパー管理者としてログインします。
「設定」タブをクリックし、「システム」メニューで「管理」をクリックします。
「再起動」または「電源オフ」をクリックします。
Audit Vault Serverで使用するキーボード・レイアウトを変更する手順は、次のとおりです。
Audit Vault Serverコンソールにスーパー管理者としてログインします。
「設定」タブをクリックし、「システム」メニューで「管理」をクリックします。
「キーボード」ドロップダウン・リストから、目的のキーボードを選択します。
「保存」をクリックします。
この手順では、Audit Vault Serverの診断をダウンロードできます。データベース・ファイアウォールの診断を表示する場合は、「Database Firewallのステータスおよび診断レポートの表示」を参照してください。
ALTER SYSTEMコマンドを使用して各種サーバー・コンポーネントのLOGLEVELを設定することによって、収集する診断情報の量を調整できます。詳細は、「ALTER SYSTEM SET」を参照してください。
Audit Vault Server診断のログ・ファイルをダウンロードする手順は、次のとおりです。
Audit Vault Serverコンソールにスーパー管理者としてログインします。
「設定」タブをクリックし、「システム」メニューで「ステータス」をクリックします。
「診断のダウンロード」ボタンをクリックし、ファイルの場所を選択して、「保存」をクリックします。
選択した場所に、診断ログ・ファイル(.zip)がダウンロードされます。
「Database Firewallのステータスおよび診断レポートの表示」も参照してください。
ここでのトピック
Oracle AVDF監査者がセキュア・ターゲットの保存(アーカイブ)ポリシーを選択した場合、保存ポリシーで指定された「オンラインだった月数」に従って、そのセキュア・ターゲットの監査データがアーカイブ・ジョブの対象となります。「オンラインだった月数」の期間が経過すると、データはアーカイブ可能な状態になり、レポートに表示されなくなります。
アーカイブ・ジョブを開始するには、アーカイブ場所を少なくとも1つ構成する必要があります。「アーカイブ場所の定義」を参照してください。
詳細は、「Oracle AVDFでのデータのアーカイブおよびリストアの概要」を参照してください。
アーカイブ・ジョブを開始する手順は、次のとおりです。
「設定」タブをクリックし、「アーカイブ中」メニューで「アーカイブ」をクリックします。
次のフィールドを指定します。
ジョブ名: アーカイブ・ジョブの名前を入力します。
アーカイブの場所: アーカイブ場所を選択します。
アーカイブ場所を作成していない場合は、「アーカイブ場所の定義」を参照してください。
アーカイブするファイルを選択します。
リストされるファイルは、セキュア・ターゲットの保存ポリシーに従って「オンラインだった月数」の期間が経過したものです。
「Archive」ボタンをクリックします。
「ジョブ」ページ(「設定」タブの「システム」メニュー)から、アーカイブ・ジョブの進捗を確認できます。「ジョブの監視」を参照してください。
特定のセキュア・ターゲットおよび時間範囲のデータ・ファイルをリストアできます。セキュア・ターゲット保存(アーカイブ)ポリシーの「アーカイブされていた月数」の値により、どれくらいの期間セキュア・ターゲットのデータをAudit Vault Serverにリストアできるかが決定されます。「アーカイブされていた月数」の期間が経過すると、データはリストアできなくなりますが、その後もアーカイブ場所には存在します。
詳細は、「アーカイブ(保存)ポリシーの作成」および「Oracle AVDFでのデータのアーカイブおよびリストアの概要」を参照してください。
アーカイブからデータ・ファイルをリストアする手順は、次のとおりです。
Audit Vault Serverに管理者としてログインします。
「設定」タブをクリックし、「アーカイブ中」メニューから、「リストア」をクリックします。
「ジョブ名」フィールドに、このリストア・ジョブの名前を入力します。
データをリストアするセキュア・ターゲットを選択し、リストアするデータの開始日および終了日を選択します。
開始日および終了日は、イベント時間(イベントが発生した時間)に関連付けられます。
「リストア」ボタンをクリックします。
「ジョブ」ページ(「設定」タブの「システム」メニュー)で、リストア・ジョブのステータスを確認できます。リストアされたデータ・ファイルが使用可能になると、「アーカイブからのリストア」ページの「リストアされたデータファイル」セクションにリスト表示されます。また、データはレポートに表示されるようになります。
リストアされたファイルが不要になった場合、そのファイルをパージするには、このページの「リストアされたデータファイル」セクションから、システムからアンロードするファイルを選択した後、「解放」ボタンをクリックします。
正常に解放されると、データはレポートに表示されなくなります。
レポートの生成、セキュア・ターゲットからのユーザー権限または監査ポリシーの取得など、Audit Vault Serverで実行される様々なジョブのステータスを確認できます。
Audit Vault Serverでジョブのステータスを確認する手順は、次のとおりです。
Audit Vault Serverに管理者としてログインします。
「設定」タブをクリックします。
「システム」メニューで、「ジョブ」をクリックします。
ジョブのリストが表示され、ジョブ・タイプ、ID、タイムスタンプ、ステータスおよび関連するユーザー名が表示されます。
個々のジョブの詳細を確認するには、そのジョブの左にあるアイコンをクリックします。
ネットワーク構成またはサービス構成を設定または変更するには、次の関連する手順に従ってください。
コネクタ情報を設定または変更するには、関連する次の手順に従います。
セキュア・ターゲットのタイプをさらにサポートするために追加のプラグインをデプロイしたり、不要になったプラグインをアンデプロイできます。詳細は、「プラグインのデプロイとプラグイン・ホストの登録」を参照してください。
Audit Vault Serverデータベースには、SYSAUX表領域があり、デフォルトでは1つのデータ・ファイルが保持されています。SYSAUX表領域は、自動セグメント領域管理が指定されたローカル管理表領域です。
管理者は、SYSAUX表領域の領域使用量を監視し、必要に応じて保存用の追加のデータファイルを作成する必要があります。
保存用データファイルを追加する場合に使用できるALTER TABLESPACE SQL文の詳細は、『Oracle Database管理者ガイド』を参照してください。表領域を最適化する方法の詳細は、『Oracle Databaseパフォーマンス・チューニング・ガイド』を参照してください。
Audit Vault Serverデータベースでは、デフォルトでARCHIVELOGモードが有効です。ARCHIVELOGモードでは、一杯になったオンラインREDOログがディスクにコピーされます。これにより、データベースをオープンしてユーザーからのアクセスに対応しながらそのデータベースをバックアップすることや、データベースを任意の時点にリカバリすることができます。管理者は、REDOログのディスク領域使用量を監視する必要があります。
LOG_ARCHIVE_DEST_nの場所を変更して、これらのアーカイブ・ログ・ファイルの場所をより大きなディスクに変更する方法の詳細は、『Oracle Database管理者ガイド』を参照してください。アーカイブ・ログのバックアップの詳細は、『Oracle Databaseバックアップおよびリカバリ・アドバンスト・ユーザーズ・ガイド』を参照してください。
Audit Vault Serverデータベースには、デフォルトで次の初期化パラメータ設定が含まれます。
DB_RECOVERY_FILE_DEST_SIZE初期化パラメータは、2GBに設定されています。
DB_RECOVERY_FILE_DEST初期化パラメータは、デフォルトのフラッシュ・リカバリ領域(通常はORACLE_HOME/flash_recovery_areaディレクトリ)に設定されています。
フラッシュ・リカバリ領域のサイズが、すべてのデータファイルのコピー、すべての増分バックアップ、オンラインREDOログ、テープにバックアップされていないアーカイブREDOログ、制御ファイル、および制御ファイルの自動バックアップの保持に十分な大きさであることを確認してください。この領域は、構成されている監査証跡の数、監査レコードの収集を管理する範囲、実施するバックアップおよびアーカイブ計画によっては、すぐに一杯になる可能性があります。
管理者は、Oracle Enterprise Manager Database Controlを使用して、フラッシュ・リカバリ領域の空き容量を監視できます。「ホーム」ページの「高可用性」セクションの「使用可能なフラッシュ・リカバリ領域」フィールドで、使用可能な領域の割合を監視します。データベース・コンソールのアラート・ログのメッセージを確認します。フラッシュ・リカバリ領域の使用済の領域の割合が85%になると、警告メッセージがアラート・ログに送信されます。フラッシュ・リカバリ領域の使用済の領域の割合が97%になると、クリティカル警告メッセージがアラート・ログに送信されます。
管理者は、データファイルの保存ポリシーを調整して、保持するコピーの部数を減らすか、リカバリ・ウィンドウでファイルを保持する日数を短縮して、フラッシュ・リカバリ領域を管理できます。または、これらのファイルに対応できるようにDB_RECOVERY_FILE_DEST_SIZE初期化パラメータの値を増やし、より多くのディスク領域を使用できるようにDB_RECOVERY_FILE_DEST初期化パラメータの値を設定します。詳細は、『Oracle Database管理者ガイド』および『Oracle Databaseバックアップおよびリカバリ基礎』を参照してください。
ここでのトピック
Audit Vault Serverコンソール(Web) UIを使用するかわりに、AVCLIコマンドライン・インタフェースを使用して、セキュア・ターゲットの登録および構成、Audit Vault Serverへの接続など、Oracle AVDFを管理できます。
Audit Vault ServerからAVCLIを実行することも、Audit Vault ServerからAVCLIユーティリティをダウンロードし、別のコンピュータにユーティリティをインストールして実行することもできます。
AVCLIで使用される構文は、SQL*Plusに似ています。たとえば、AVCLI内から、CONNECTコマンドを使用して別のユーザーとしてログインできます。また、AVCLIコマンドでは、大/小文字を区別しません。このマニュアルでは、コマンドは大文字で入力しています。
使用可能なAVCLIコマンドの詳細は、「AVCLIコマンド・リファレンス」を参照してください。
AVCLIユーティリティはAudit Vault Serverにインストール済です。AVCLIを別のコンピュータで実行する場合は、Audit Vault ServerコンソールからAVCLIをダウンロードして別のコンピュータにインストールする必要があります。
AVCLIコマンドライン・ユーティリティをダウンロードする手順は、次のとおりです。
Audit Vault Serverコンソールに管理者としてログインします。
「設定」タブをクリックし、「システム」メニューで「管理」をクリックします。
「コマンドライン・ユーティリティのダウンロード」ボタンをクリックし、avcli.jarファイルを保存します。
AVCLIを実行するコンピュータにavcli.jarファイルをコピーした後、このコマンドを実行します。
java -jar avcli.jar
AVCLIユーティリティは、必要な権限を持つ現在のディレクトリにインストールされます。別のディレクトリにインストールするには、次のコマンドを使用します。
java -jar avcli.jar -d directory_name
ユーザー名を指定してもしなくても、AVCLIを対話モードで起動できます(つまり、パスワードを指定する必要があります)。
AVCLIを対話モードで起動するには、次の方法のいずれかを使用します。オプションであるいくつかのコマンドを除いて、AVCLIコマンドはすべてセミコロン(;)で終了する必要があります。簡単にするために、このガイドではすべてのAVCLIコマンドにセミコロンを使用します。
ユーザー名を指定した対話型モードの使用
ユーザー名を指定してAVCLIを起動する場合のコマンド構文は、次のとおりです。
avcli -u username Enter password: password
次に例を示します。
avcli -u psmith AVCLI : Release 12.1.0.0.0 - Production on timestamp Copyright (c) 1996, 2012 Oracle. All Rights Reserved. Enter password for 'psmith': password Connected to: Oracle Audit Vault Server 12.1.0.0.0 AVCLI>
ユーザー名を指定しない対話型モードの使用
ユーザー名を指定せずにAVCLIを起動する場合は、AV_ADMINロールを付与された有効なユーザーとしてAudit Vault Serverに接続する必要があります。ユーザー名を指定してAVCLIを起動する場合のコマンド構文は、次のとおりです。
avcli
AVCLI> CONNECT username;
次に例を示します。
avcli AVCLI : Release 12.1.2.0.0 - Production on timestamp Copyright (c) 1996, 2014 Oracle. All Rights Reserved. AVCLI> CONNECT psmith Enter password: password; Connected.
AVCLIスクリプトには一連のAVCLIコマンドが含まれています。シェルからAVCLIスクリプトを実行できます。有効なAVCLIスクリプト名には、.av拡張子が付いています。
AVCLIスクリプトの例を次に示します。
#Here is an AVCLI command start collection for secured target sample_target1 using host sample_host1 from table SYS.AUD$; #More AVCLI commands #Quit command quit;
シェルからAVCLIスクリプトを実行するには、次の構文を使用します。
avcli -u username -f scriptname.av
次に例を示します。
avcli -u psmith -f myscript.av AVCLI : Release 12.1.0.0.0 - Production on timestamp Copyright (c) 1996, 2012 Oracle. All Rights Reserved. Enter password for 'psmith': password Connected to: Oracle Audit Vault Server 12.1.0.0.0 AVCLI> the script myscript.av executes
AVCLIを起動するときに、次のログ・レベルを指定できます。Oracle AVDFにより、Audit Vault Serverの$ORACLE_HOME/av/logディレクトリにログが書き込まれます。
info: 情報およびエラー・メッセージが記録されます。
warning: 警告およびエラー・メッセージが記録されます。
error: エラー・メッセージのみが記録されます(デフォルト)。
debug: デバッグ、エラー、警告および情報メッセージが記録されます。
ログ・レベルを指定するには、Lオプションを入力します。たとえば、ユーザーpsmithとしてAVCLIを起動し、ログ・レベルをwarningに設定するには、次のようにします。
avcli -l warning -u psmith AVCLI : Release 12.1.0.0.0 - Production on timestamp Copyright (c) 1996, 2012 Oracle. All Rights Reserved. Enter password for 'psmith': password Connected to: Oracle Audit Vault Server 12.1.0.0.0 AVCLI>
スクリプトを使用してAVCLIを起動し、debug警告レベルを指定するには、次のようにします。
avcli -l debug -f myscript.av AVCLI : Release 12.1.0.0.0 - Production on timestamp Copyright (c) 1996, 2012 Oracle. All Rights Reserved. AVCLI> Connected. AVCLI> the script myscript.av executes
注意: AV_ADMINロールを付与された有効なユーザーとして接続する必要があります。そのためには、CONNECT username/passwordディレクティブを使用します。
SDKは、カスタムOracle AVDFプラグインを開発するために使用できます。詳細は、「プラグインの概要」を参照してください。開発者情報は、『Oracle Audit Vault and Database Firewallインストレーション・ガイド』を参照してください。
SDKをダウンロードする手順は、次のとおりです。
Audit Vault Serverコンソールに管理者としてログインします。
「設定」タブをクリックし、(「システム」サブセクションにある)「プラグイン」をクリックします。
「SDKのダウンロード」をクリックします。
Audit Vault Serverのバックアップとリストアに関するナレッジ・ベース記事が用意されています。ドキュメント番号1556200.1を、次のWebサイトから入手してください。
ここでのトピック
Database Firewallのネットワーク、トラフィック・ソースまたはサービス構成を変更する必要がある場合、次の項のいずれかを参照してください。
デバッグの目的でネットワーク・トラフィックを表示したい場合があります。ファイアウォールを通過するライブ・ネットワーク・トラフィックは、表示したり、ダウンロードして分析できるファイル(.pcapファイル・タイプ)に取得できます。
Database Firewallでライブ・ネットワーク・トラフィックを表示する手順は、次のとおりです。
Database Firewall管理コンソールにログインします。
「Database FirewallコンソールUIへのログイン」を参照してください。
「ネットワーク・トラフィック」で、「ライブ取得」をクリックします。
「詳細のレベル」フィールドで、「サマリー」または「パケット・コンテンツ」を選択します。
「期間」フィールドで、ライブ・トラフィックを取得する秒数を選択します。
「ネットワーク」フィールドで、トラフィックを取得するネットワーク・トラフィック・ソースを選択します。
「トラフィックの表示」ボタンをクリックします。
選択した期間のライブ・トラフィックが表示されます。
ネットワーク・トラフィックをファイルに取得する手順は、次のとおりです。
Database Firewall管理コンソールにログインします。
「Database FirewallコンソールUIへのログイン」を参照してください。
「ネットワーク・トラフィック」で、「ファイル取得」をクリックします。
「期間」フィールドで、トラフィックを取得する秒数を選択します。
「ネットワーク」フィールドで、トラフィックを取得するネットワーク・トラフィック・ソースを選択します。
「取得」ボタンをクリックします。
トラフィック・ファイル(.pcap形式)が「ネットワーク・トラフィック・ファイル」リストに表示されます。
ダウンロードするファイルの「ダウンロード」をクリックします。
Database Firewallを再起動または電源オフする手順は、次のとおりです。
Audit Vault Serverに管理者としてログインします。
「ファイアウォール」タブをクリックした後、再起動または電源オフするファイアウォールを選択します。
「再起動」または「電源オフ」ボタンをクリックします。
Audit Vault ServerからDatabase Firewallを削除する手順は、次のとおりです。
Audit Vault Serverに管理者としてログインします。
「ファイアウォール」タブをクリックした後、削除するファイアウォールを選択します。
「削除」ボタンをクリックします。
AVDF 12.1.2以降では、Audit Vault ServerコンソールUIを使用して、Audit Vault Serverに保存されているDatabase Firewall証明書を更新できます。ファイアウォールとAudit Vault Server間の通信を保守するためにDatabase Firewallをアップグレードする場合は、この証明書を更新する必要があります。
古いAVDFリリースを使用されている場合は、アップグレードしたDatabase FirewallにAudit Vault Server証明書を手動でコピーする必要があります。「Audit Vault Serverの証明書およびIPアドレスの指定」を参照してください。
Audit Vault Serverに保存されているDatabase Firewall証明書を更新する手順は、次のとおりです。
Database Firewallをアップグレードした後、Audit Vault Serverコンソールに管理者としてログインします。
「ファイアウォール」タブをクリックします。
ファイアウォールのリストが表示されます。
このDatabase Firewall診断の表示手順「Database Firewallのステータスおよび診断レポートの表示」を参照してください。
