| Oracle® Audit Vault and Database Firewall管理者ガイド リリース12.1.2 B71711-11 |
|
 前 |
 次 |
ここでのトピック
Oracle AVDFでは、セキュア・ターゲット・タイプごとにプラグインを提供して、様々なセキュア・ターゲット・タイプをサポートしています。Oracle AVDFには、すぐに使用できるプラグインのセットが付属しています。これらのプラグインは、Audit Vault Serverとともにパッケージ化されてデプロイされます。
独自のプラグインを開発するか新たに使用可能になったプラグインを取得して、Oracle AVDFインストールに追加することもできます。このトピックの詳細は、「プラグインのデプロイとプラグイン・ホストの登録」を参照してください。
この付録には、Oracle AVDFに付属している各プラグインについての概要データが記載されています。付録には、セキュア・ターゲットの登録手順および監査証跡の構成手順を完了するときに必要となる参照情報も記載されています。これらの手順は、この付録内の関連する項に直接リンクしています。
この項では、Oracle AVDFに付属している各プラグインについて説明します。
現在のリリースの最新のプラットフォーム・サポートの詳細は、『Oracle Audit Vault and Database Firewallインストレーション・ガイド』を参照してください。
さらに、前のリリースのプラットフォーム情報は、Webサイト: https://support.oracle.com">>にある記事1536380.1で参照できます。
ここでのトピック
すぐに使用できるOracle AVDFプラグインは、表B-1にリストされているバージョンのセキュア・ターゲットをサポートしています。各セキュア・ターゲットのリンクをクリックすると、詳細情報にアクセスできます。
表B-1 Oracle AVDFでサポートされている、すぐに使用できるプラグインおよび機能
| セキュア・ターゲットのバージョン | 監査証跡の収集 | 監査ポリシーの作成、権限監査 | ストアド・プロシージャ監査 | 監査証跡のクリーンアップ | Database Firewall |
ホスト監視 | データベース問合せ |
|---|---|---|---|---|---|---|---|
|
9i |
可能 |
||||||
|
可能 |
可能 |
可能 |
可能 |
可能 |
可能 |
可能 |
|
|
可能 |
可能 |
可能 |
可能 |
||||
|
2005 |
可能 |
可能 |
可能 |
可能 |
可能(Windows 2008) |
可能 |
|
|
2008、2008 R2 |
可能 |
可能 |
可能 |
可能 |
可能(Windows 2008、2008 R2) |
可能 |
|
|
2012 |
可能 |
可能 |
可能 |
可能 |
|||
|
可能 |
可能 |
可能 |
可能 |
||||
|
可能 |
可能 |
可能 |
可能 |
||||
|
可能 |
可能 |
可能 |
可能 |
||||
|
可能 |
可能 |
可能 |
|||||
|
5.5, 5.6 |
可能 |
可能 |
可能 |
可能 |
可能 |
||
|
可能 |
|||||||
|
Oracle Solaris - その他のバージョン。後述の「注意」を参照。 |
可能 |
||||||
|
Oracle Linux - バージョン5
|
可能 |
||||||
|
Oracle Linux - バージョン6
|
可能 |
||||||
|
Oracle Linux - バージョン6
|
可能 |
||||||
|
可能 |
|||||||
|
可能 |
|||||||
|
可能 |
|
注意: Solarisバージョン2.3以上からの監査データの収集も可能です(Oracle Supportに相談してください)。 |
表B-2に、Oracle Databaseプラグインの機能を示します。
表B-2 Oracle Databaseプラグイン
| プラグインの仕様 | 説明 |
|---|---|
|
プラグイン・ディレクトリ |
|
|
セキュア・ターゲットのバージョン |
Oracle 10g、11g、12c リリース1 (12.1) |
|
セキュア・ターゲットのプラットフォーム |
Linux/x86-64 Solaris /x86-64 Solaris /SPARC64 AIX/Power64 Windows /86-64 HP-UX Itanium |
|
設定スクリプト |
あり。手順は、「Oracle Databaseの設定スクリプト」を参照してください。 |
|
セキュア・ターゲットの場所(接続文字列) |
|
|
コレクション属性 |
ORCLCOLL.NLS_LANGUAGE 詳細は、表B-15を参照してください。 |
|
AVDF監査証跡タイプ |
TABLE DIRECTORY TRANSACTION LOG SYSLOG (Linuxのみ) EVENT LOG (Windowsのみ) NETWORK 監査証跡タイプの説明は、表B-13を参照してください。 |
|
TABLE監査証跡: DIRECTORY監査証跡: SYSLOG監査証跡: syslogファイルを含むディレクトリへのフルパス。 TRANSACTION LOG、EVENT LOGおよびNETWORK監査証跡: 証跡の場所は不要です。 |
|
|
監査証跡のクリーンアップのサポート |
あり。手順は、「Oracle Database監査証跡クリーンアップ」を参照してください。 |
表B-3に、Microsoft SQL Serverプラグインの機能を示します。
表B-3 Microsoft SQL Serverプラグイン
| プラグインの仕様 | 説明 |
|---|---|
|
プラグイン・ディレクトリ |
|
|
セキュア・ターゲットのバージョン |
2000、2005、2008、2008 R2、2012 |
|
セキュア・ターゲットのプラットフォーム |
Windows/x86-64 |
|
設定スクリプト |
あり。手順は、「Microsoft SQL Serverの設定スクリプト」を参照してください。 |
|
セキュア・ターゲットの場所(接続文字列) |
|
|
コレクション属性 |
なし |
|
AVDF監査証跡タイプ |
DIRECTORY EVENT LOG NETWORK 監査証跡タイプの説明は、表B-13を参照してください。 |
|
DIRECTORY監査証跡:
EVENT LOG監査証跡:
|
|
|
監査証跡のクリーンアップのサポート |
あり。手順は、「SQL Server監査証跡クリーンアップ」を参照してください。 |
表B-4に、Sybase ASEプラグインの機能を示します。
表B-4 Sybase ASEプラグイン
| プラグインの仕様 | 説明 |
|---|---|
|
プラグイン・ディレクトリ |
|
|
セキュア・ターゲットのバージョン |
12.5.4~15.7 |
|
セキュア・ターゲットのプラットフォーム |
すべてのプラットフォーム |
|
設定スクリプト |
あり。手順は、「Sybase ASEの設定スクリプト」を参照してください。 |
|
セキュア・ターゲットの場所(接続文字列) |
|
|
コレクション属性 |
なし |
|
AVDF監査証跡タイプ |
TABLE NETWORK 監査証跡タイプの説明は、表B-13を参照してください。 |
|
|
|
|
監査証跡のクリーンアップのサポート |
不要 |
表B-5に、Sybase SQL Anywhereプラグインの機能を示します。
表B-5 Sybase SQL Anywhereプラグイン
| プラグインの仕様 | 説明 |
|---|---|
|
プラグイン・ディレクトリ |
|
|
セキュア・ターゲットのバージョン |
10.0.1 |
|
セキュア・ターゲットのプラットフォーム |
すべてのプラットフォーム |
|
設定スクリプト |
あり。手順は、「Sybase SQL Anywhereの設定スクリプト」を参照してください。 |
|
セキュア・ターゲットの場所(接続文字列) |
|
|
コレクション属性 |
なし |
|
AVDF監査証跡タイプ |
NETWORK (ホスト監視のみで使用) 監査証跡タイプの説明は、表B-13を参照してください。 |
|
不要 |
|
|
監査証跡のクリーンアップのサポート |
不要 |
表B-6に、IBM DB2 for LUWプラグインの機能を示します。
表B-6 IBM DB2 for LUWプラグイン
| プラグインの仕様 | 説明 |
|---|---|
|
プラグイン・ディレクトリ |
|
|
セキュア・ターゲットのバージョン |
9.x |
|
セキュア・ターゲットのプラットフォーム |
すべてのプラットフォーム |
|
設定スクリプト |
あり。手順は、「IBM DB2 for LUWの設定スクリプト」を参照してください。 |
|
セキュア・ターゲットの場所(接続文字列) |
|
|
コレクション属性 |
|
|
AVDF監査証跡タイプ |
DIRECTORY NETWORK 監査証跡タイプの説明は、表B-13を参照してください。 |
|
ディレクトリへのパス(例: |
|
|
監査証跡のクリーンアップのサポート |
不要 |
表B-7に、MySQLプラグインの機能を示します。
表B-7 MySQLプラグイン
| プラグインの仕様 | 説明 |
|---|---|
|
プラグイン・ディレクトリ |
|
|
セキュア・ターゲットのバージョン |
Database Firewall: 5.0、5.1、5.5、5.6 監査データ収集: 5.5.29~5.6.12 |
|
セキュア・ターゲットのプラットフォーム |
Linux/x86-64 Windows 2008、2008 R2 64ビット |
|
設定スクリプト |
あり。「MySQLの設定スクリプト」を参照してください。 |
|
セキュア・ターゲットの場所(接続文字列) |
|
|
コレクション属性 |
|
|
AVDF監査証跡タイプ |
DIRECTORY NETWORK 監査証跡タイプの説明は、表B-13を参照してください。 |
|
MySQL XML変換ユーティリティを実行したときに変換後のXMLファイルが生成されるディレクトリへのパス。「(MySQLで必要)XML変換ユーティリティの実行」を参照してください。 |
|
|
監査証跡のクリーンアップのサポート |
あり。手順は、「MySQL監査証跡クリーンアップ」を参照してください。 |
表B-8に、Oracle Solarisプラグインの機能を示します。
表B-8 Oracle Solarisプラグイン
| プラグインの仕様 | 説明 |
|---|---|
|
プラグイン・ディレクトリ |
|
|
セキュア・ターゲットのバージョン |
バージョン10アップデート6以上、バージョン11 (SPARC64プラットフォームおよびx86-64プラットフォーム上) |
|
セキュア・ターゲットのプラットフォーム |
Solaris/x86-64 Solaris/SPARC64 |
|
設定スクリプト |
不要 |
|
セキュア・ターゲットの場所(接続文字列) |
|
|
コレクション属性 |
なし |
|
AVDF監査証跡タイプ |
DIRECTORY 監査証跡タイプの説明は、表B-13を参照してください。 |
|
|
|
|
監査証跡のクリーンアップのサポート |
不要 |
表B-9に、Oracle Linuxプラグインの機能を示します。
表B-9 Oracle Linuxプラグイン
| プラグインの仕様 | 説明 |
|---|---|
|
プラグイン・ディレクトリ |
|
|
セキュア・ターゲットのバージョン |
監査パッケージのバージョンを確認するには |
|
セキュア・ターゲットのプラットフォーム |
Linux/x86-64 |
|
設定スクリプト |
不要。ただし、Linux監査証跡を開始するには、次のユーザー/グループ・アクセス権限が必要です。 エージェント・プロセスが エージェント・プロセスが
|
|
セキュア・ターゲットの場所(接続文字列) |
|
|
コレクション属性 |
なし |
|
AVDF監査証跡タイプ |
DIRECTORY 監査証跡タイプの説明は、表B-13を参照してください。 |
|
|
|
|
監査証跡のクリーンアップのサポート |
不要 |
表B-10に、Microsoft Windowsプラグインの機能を示します。
表B-10 Microsoft Windowsプラグイン
| プラグインの仕様 | 説明 |
|---|---|
|
プラグイン・ディレクトリ |
|
|
セキュア・ターゲットのバージョン |
Microsoft Windows Server 2008および2008 R2 |
|
セキュア・ターゲットのプラットフォーム |
Windows/x86-64 |
|
設定スクリプト |
不要 |
|
セキュア・ターゲットの場所(接続文字列) |
|
|
コレクション属性 |
なし |
|
AVDF監査証跡タイプ |
EVENT LOG 監査証跡タイプの説明は、表B-13を参照してください。 |
|
|
|
|
監査証跡のクリーンアップのサポート |
不要 |
表B-11に、Microsoft Active Directoryプラグインの機能を示します。
表B-11 Microsoft Active Directoryプラグイン
| プラグインの仕様 | 説明 |
|---|---|
|
プラグイン・ディレクトリ |
|
|
セキュア・ターゲットのバージョン |
2008および2008 R2 (64ビット上) |
|
セキュア・ターゲットのプラットフォーム |
Windows/x86-64 |
|
設定スクリプト |
不要 |
|
セキュア・ターゲットの場所(接続文字列) |
|
|
コレクション属性 |
なし |
|
AVDF監査証跡タイプ |
EVENT LOG 監査証跡タイプの説明は、表B-13を参照してください。 |
|
|
|
|
監査証跡のクリーンアップのサポート |
不要 |
表B-12に、Oracle ACFSプラグインの機能を示します。
表B-12 Oracle ACFSプラグイン
| プラグインの仕様 | 説明 |
|---|---|
|
プラグイン・ディレクトリ |
|
|
セキュア・ターゲットのバージョン |
12c リリース1 (12.1) |
|
セキュア・ターゲットのプラットフォーム |
Linux/x86-64 Solaris/x86-64 Solaris/SPARC64 Windows 2008、2008 R2 64ビット |
|
設定スクリプト |
不要 |
|
セキュア・ターゲットの場所(接続文字列) |
|
|
コレクション属性 |
|
|
AVDF監査証跡タイプ |
DIRECTORY 監査証跡タイプの説明は、表B-13を参照してください。 |
|
XML監査ファイルが含まれているディレクトリへのパス。たとえば、
|
|
|
監査証跡のクリーンアップのサポート |
不要 |
セキュア・ターゲットの監査証跡を構成するときに、「監査証跡のタイプ」フィールドで監査証跡タイプを選択します。監査証跡タイプは、セキュア・ターゲット・タイプによって異なります。表B-13に、各セキュア・ターゲット・タイプに対して構成できる監査証跡タイプを示します。
セキュア・ターゲット・タイプの監査機能および機能性の詳細は、製品のドキュメントを参照してください。次のOracle製品のドキュメントを参照してください。
Oracle Database 12c リリース1 (12.1): 『Oracle Databaseセキュリティ・ガイド』
Oracle Database 11g リリース2 (11.2): 『Oracle Databaseセキュリティ・ガイド』
Oracle Solaris 11.1: http://docs.oracle.com/cd/E26502_01/html/E29015/audittm-1.html#scrolltoc
Oracle Solaris 10.6: http://docs.oracle.com/cd/E26505_01/html/E27224/audittm-1.html#scrolltoc
Oracle ACFS 12c リリース1 (12.1): 『Oracle Automatic Storage Management管理者ガイド』
表B-13 各セキュア・ターゲット・タイプでサポートされる監査証跡タイプの概要
ここでのトピック
Oracle AVDFで監査データの監視および収集に関連する機能の実行で使用するための、各セキュア・ターゲットに対する適切な権限を持つユーザー・アカウントを設定する必要があります。Oracle AVDFでは、データベース・セキュア・ターゲットの設定スクリプトが提供されています。セキュア・ターゲットのタイプに応じて、スクリプトにより、Oracle AVDFで次の機能を実行できるユーザー権限が設定されます。
監査データ収集
監査ポリシー管理
ストアド・プロシージャ監査
ユーザー権限監査
データベース問合せ
監査証跡のクリーンアップ(一部のセキュア・ターゲットが対象)
ホスト・コンピュータ(通常はセキュア・ターゲットと同じコンピュータ)にAudit Vault Agentをデプロイした場合、Oracle AVDFに対するユーザー権限を作成するための設定スクリプトは、次のディレクトリにあります(次の例はLinuxの場合)。
$AGENT_HOME/av/plugins/com.oracle.av.plugin.secured_target_type/config/
Oracle Databaseセキュア・ターゲット用のOracle AVDF設定スクリプトoracle_user_setup.sqlおよびoracle_drop_db_permissions.sqlは、次のディレクトリにあります(次の例はLinuxの場合)。
$AGENT_HOME/av/plugins/com.oracle.av.plugin.oracle/config/
これらのスクリプトは、Oracle AVDFで次の機能を実行するための、Oracle Databaseに対するユーザー権限を設定または取り消すために使用します。
監査データ収集
監査ポリシー管理
ストアド・プロシージャ監査(SPA)
ユーザー権限監査
Oracle Databaseセキュア・ターゲットに対するOracle AVDFユーザー権限を設定または取り消す手順は、次のとおりです。
Oracle DatabaseでOracle AVDFのユーザー・アカウントを作成します。次に例を示します。
SQL> CREATE USER username IDENTIFIED BY password
Audit Vault ServerでこのOracle Databaseをセキュア・ターゲットとして登録するときに、このユーザー名およびパスワードを使用します。
SYSDBA権限を持つSYSユーザーとして接続します。次に例を示します。
SQL> CONNECT SYS / AS SYSDBA
Oracle AVDFユーザー権限を設定するには、次のようにして設定スクリプトを実行します。
SQL> @oracle_user_setup.sql username mode
username: 手順1で作成したユーザーの名前を入力します。
mode: 次のいずれかを入力します。
SETUP: Oracle AVDFからOracle Database監査ポリシーを管理するための権限と、REDOログ以外の監査証跡タイプからデータを収集するための権限を設定する場合。たとえば、このモードは、Oracle AVDFでのTABLE監査証跡に使用します。
REDO_COLL: REDOログから監査データを収集するための権限を設定する場合。このモードは、Oracle AVDFでのTRANSACTION LOG監査証跡にのみ使用します。
SPA: このデータベースに対してストアド・プロシージャ監査を有効にする場合
ENTITLEMENT: このデータベースに対してユーザー権限監査を有効にする場合
Oracle DatabaseでDatabase Vaultがインストールされて有効化されている場合は、DV_OWNERロールが付与されたユーザーとしてログインし、次の手順を実行します。
Oracle AVDFユーザーに、このOracle Databaseに対するDV_SECANALYSTロールを付与します。次に例を示します。
SQL> GRANT DV_SECANALYST TO username;
usernameには、手順1で作成したユーザーの名前を入力します。
DV_SECANALYSTロールにより、Oracle AVDFでOracle Database Vaultの監査証跡データを監視および収集したり、Oracle Database Vaultレポートを実行できます。
REDO_COLLモード(TRANSACTION LOG監査証跡)の場合にのみ、Oracle Databaseバージョンに応じて次のいずれかの手順を実行します。
Oracle Database 12cの場合:
SQL> GRANT DV_STREAMS_ADMIN TO username;
usernameには、手順1で作成したユーザーの名前を入力します。
サポートされている他のすべてのOracle Databaseリリースの場合:
SQL> EXEC DBMS_MACADM.ADD_AUTH_TO_REALM('Oracle Data Dictionary', 'username', null, dbms_macutl.g_realm_auth_participant);
SQL> COMMIT;
usernameには、手順1で作成したユーザーの名前を入力します。
Oracle AVDFユーザー権限を取り消すには、このデータベースにSYSDBA権限を持つSYSとして接続し、次のスクリプトを実行します。
SQL> @oracle_drop_db_permissions.sql username mode
username: 手順1で作成したユーザーの名前を入力します。
mode: 次のいずれかを入力します。
SETUP: Oracle AVDFからOracle Database監査ポリシーを管理するための権限と、REDOログ以外の監査証跡タイプからデータを収集するための権限を取り消す場合。
REDO_COLL: REDOログから監査データを収集するための権限を取り消す場合。
SPA: このデータベースに対してストアド・プロシージャ監査を無効にする場合
ENTITLEMENT: このデータベースに対してユーザー権限監査を無効にする場合
ここでのトピック
Sybase ASEセキュア・ターゲットでOracle AVDFに必要なユーザー権限を構成するために、次のスクリプトが提供されています。
sybase_auditcoll_user_setup.sqlsybase_auditcoll_drop_db_permissions.sqlsybase_spa_user_setup.sqlsybase_spa_drop_db_permissions.sql
このスクリプトは次のディレクトリにあります(次の例はLinuxの場合)。
$AGENT_HOME/av/plugins/com.oracle.av.plugin.sybase/config/
これらのスクリプトにより、Oracle AVDFでSybase ASEに対して次の機能を実行できます。
監査データ収集
ストアド・プロシージャ監査(SPA)
Sybase ASEセキュア・ターゲットに対する監査データ収集権限を設定または取り消す手順は、次のとおりです。
Sybase ASEでOracle AVDFのユーザー・アカウントをavdf_sybuserというユーザー名で作成します。次に例を示します。
sp_addlogin avdf_sybuser, password
Audit Vault ServerでこのSybase ASEデータベースをセキュア・ターゲットとして登録するときに、ユーザー名av_sybuserおよびパスワードを使用します。
次のようにしてsybase_auditcoll_user_setup.sql設定スクリプトを実行します。
isql -S server_name -U sa -i sybase_auditcoll_user_setup.sql
server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。
sa: システム管理者のユーザー名を入力します。
パスワードを要求されたら、システム管理者のパスワードを入力します。
Oracle AVDFユーザー権限を取り消すには、次のようにしてsybase_auditcoll_drop_db_permissions.sqlスクリプトを実行します。
isql -S server_name -U sa -i sybase_auditcoll_drop_db_permissions.sql
server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。
sa: システム管理者のユーザー名を入力します。
パスワードを要求されたら、システム管理者のパスワードを入力します。
Sybase ASEセキュア・ターゲットに対するストアド・プロシージャ監査権限を設定または取り消す手順は、次のとおりです。
Sybase ASEでOracle AVDFのユーザー・アカウントをavdf_sybuserというユーザー名で作成します(まだ行っていない場合)。次に例を示します。
sp_addlogin avdf_sybuser, password
Audit Vault ServerでこのSybase ASEデータベースをセキュア・ターゲットとして登録するときに、ユーザー名av_sybuserおよびパスワードを使用します。
次のようにしてsybase_spa_user_setup.sqlスクリプトを実行します。
isql -S server_name -U sa -i sybase_spa_user_setup.sql
server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。
sa: システム管理者のユーザー名を入力します。
パスワードを要求されたら、システム管理者のパスワードを入力します。
SPAユーザー権限を取り消すには、次のようにしてsybase_spa_drop_db_permissions.sqlスクリプトを実行します。
isql -S server_name -U sa -i sybase_spa_drop_db_permissions.sql
server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。
sa: システム管理者のユーザー名を入力します。
パスワードを要求されたら、システム管理者のパスワードを入力します。
Sybase SQL Anywhereセキュア・ターゲット用のOracle AVDF設定スクリプト
sqlanywhere_spa_user_setup.sqlsqlanywhere_spa_drop_db_permissions.sqlは、次のディレクトリにあります(次の例はLinuxの場合)。
$AGENT_HOME/av/plugins/com.oracle.av.plugin.sqlanywhere/config/
これらのスクリプトは、Oracle AVDFでストアド・プロシージャ監査(SPA)を実行するための、SQL Anywhereデータベースに対するユーザー権限を設定または取り消すために使用します。
SQL Anywhereセキュア・ターゲットに対するストアド・プロシージャ監査を設定または取り消す手順は、次のとおりです。
ユーザーを作成してユーザー権限を設定する権限を持つユーザーとしてデータベースにログインします。
次のようにしてsqlanywhere_spa_user_setup.sqlスクリプトを実行します。
isql -S server_name -U sa -i sqlanywhere_spa_user_setup.sql -v username="username" password="password"
server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。
sa: システム管理者のユーザー名を入力します。
username: Oracle AVDFでSPAに使用するために作成するユーザーの名前を入力します。このユーザー名は二重引用符で囲みます。
password: 作成しているOracle AVDF SPAユーザーのパスワードを入力します。パスワードは二重引用符で囲みます。
スクリプトを実行すると、SPA用の権限を持つユーザーが作成されます。
パスワードを要求されたら、システム管理者のパスワードを入力します。
これらの権限を取り消し、このユーザーをデータベースから削除するには、次のようにして
sqlanywhere_spa_drop_db_permissions.sqlを実行します。
isql -S server_name -U sa -i sqlanywhere_spa_drop_db_permissions.sql -v username="username"
server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。
sa: システム管理者のユーザー名を入力します。
username: Oracle AVDFでSPAに使用するために作成するユーザーの名前を入力します。このユーザー名は二重引用符で囲みます。
パスワードを要求されたら、システム管理者のパスワードを入力します。
ここでのトピック
Microsoft SQL Serverセキュア・ターゲット用のOracle AVDF設定スクリプトmssql_user_setup.sqlおよびmssql_drop_db_permissions.sqlは、次のディレクトリにあります。
AGENT_HOME\av\plugins\com.oracle.av.plugin.mssql\config\
このスクリプトにより、Oracle AVDFでSQL Serverに対して次の機能を実行するためのユーザー権限が設定または取り消されます。
監査データ収集
ストアド・プロシージャ監査(SPA)
監査データ収集用のOracle AVDFユーザー権限を設定または取り消す手順は、次のとおりです。
SQL ServerでOracle AVDFのユーザー・アカウントを作成します。次に例を示します。
SQL Server 2000の場合:
exec sp_addlogin 'username', 'password'
SQL Server 2005、2008、2012の場合:
exec sp_executesql N'create login username with password = ''password'',
check_policy= off' exec sp_executesql N'create user username for login username'
Audit Vault ServerでこのSQL Serverデータベースをセキュア・ターゲットとして登録するときに、このユーザー名およびパスワードを使用します。
次のようにしてmssql_user_setup.sqlスクリプトを実行します。
sqlcmd -S server_name -U sa -i mssql_user_setup.sql -v username="username" mode="AUDIT_COLL" all_databases="NA" database="NA"
server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。
sa: システム管理者のユーザー名を入力します。
username: 手順1で作成したユーザーの名前を入力します。
パスワードを要求されたら、システム管理者のパスワードを入力します。
監査データ収集権限を取り消すには、次のようにしてmssql_drop_db_permissions.sqlスクリプトを実行します。
sqlcmd -S server_name -U sa -i mssql_drop_db_permissions.sql -v username="username" mode="AUDIT_COLL" all_databases="NA" database="NA"
server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。
sa: システム管理者のユーザー名を入力します。
username: 手順1で作成したユーザーの名前を入力します。
パスワードを要求されたら、システム管理者のパスワードを入力します。
ストアド・プロシージャ監査用のOracle AVDFユーザー権限を設定または取り消す手順は、次のとおりです。
SQL ServerでOracle AVDFのユーザー・アカウントを作成します(まだ行っていない場合)。次に例を示します。
SQL Server 2000の場合:
exec sp_addlogin 'username', 'password'
SQL Server 2005および2008の場合:
exec sp_executesql N'create login username with password = ''password'',
check_policy= off' exec sp_executesql N'create user username for login username'
Audit Vault ServerでこのSQL Serverデータベースをセキュア・ターゲットとして登録するときに、このユーザー名およびパスワードを使用します。
次のようにしてmssql_user_setup.sqlスクリプトを実行します。
sqlcmd -S server_name -U sa -i mssql_user_setup.sql -v username="username" mode="SPA" all_databases="Y/N"
database="NA/database_name"
server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。
sa: システム管理者のユーザー名を入力します。
username: 手順1で作成したユーザーの名前を入力します。
Y/N: ストアド・プロシージャに対してすべてのデータベースを監査する場合は、Yを入力します。databaseパラメータに1つのデータベース名を指定する場合は、Nを入力します。
NA/database_name: all_databasesにYを入力した場合は、NAを入力します。all_databasesにNを入力した場合は、ストアド・プロシージャに対して監査するデータベース名を入力します。
パスワードを要求されたら、システム管理者のパスワードを入力します。
SPA権限を取り消すには、次のようにしてmssql_drop_db_permissions.sqlスクリプトを実行します。
sqlcmd -S server_name -U sa -imssql_drop_db_permissions.sql-v username="username" mode="SPA" all_databases="Y/N"
database="NA/database_name"
server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。
sa: システム管理者のユーザー名を入力します。
sa_password: システム管理者のパスワードを入力します。
Y/N: すべてのデータベースについてSPA権限を取り消す場合は、Yを入力します。databaseパラメータに1つのデータベース名を指定する場合は、Nを入力します。
NA/database_name: all_databasesにYを入力した場合は、NAを入力します。all_databasesにNを入力した場合は、SPA権限を取り消すデータベース名を入力します。
パスワードを要求されたら、ステップ1で作成したユーザーの名前を入力します。
ここでのトピック
DB2セキュア・ターゲット用のOracle AVDF設定スクリプトdb2_auditcoll_user_setup.sqlおよびdb2_spa_user_setup.sqlは、次のディレクトリにあります(次の例はLinuxの場合)。
$AGENT_HOME/av/plugins/com.oracle.av.plugin.db2/config/
これらのスクリプトは、Oracle AVDFで次の機能を実行するための、DB2データベースに対するユーザー権限を設定または取り消すために使用します。
監査データ収集
ストアド・プロシージャ監査(SPA)
監査データ収集用のOracle AVDFユーザー権限を設定または取り消す手順は、次のとおりです。
Oracle AVDFで監査データ収集に使用されるDB2で、新しいユーザー・アカウントを作成します。
Audit Vault ServerでこのDB2データベースをセキュア・ターゲットとして登録するときに、このユーザー名およびパスワードを使用します。
$AGENT_HOME/av/plugins/com.oracle.av.plugin.db2/config/ディレクトリでdb2_auditcoll_user_setup.sqlスクリプトを探し、編集のために開きます。
スクリプトで、手順1のアカウントのユーザー名をgrant文に入れ、変更後のスクリプトを保存します。
次のようにして変更後のスクリプトを実行します。
$> db2 -tvf db2_auditcoll_user_setup.sql
監査収集権限を取り消すには、次のようにします。
前述の手順3のように、db2_auditcoll_drop_db_permissions.sqlスクリプトを変更します。
スクリプトを次のように実行します。
$> db2 -tvf db2_auditcoll_drop_db_permissions.sql
ストアド・プロシージャ監査用のOracle AVDFユーザー権限を設定または取り消す手順は、次のとおりです。
Oracle AVDFでストアド・プロシージャ監査に使用されるDB2で、新しいユーザー・アカウントを作成します。
Audit Vault ServerでこのDB2データベースをセキュア・ターゲットとして登録するときに、このユーザー名およびパスワードを使用します。
$AGENT_HOME/av/plugins/com.oracle.av.plugin.db2/config/ディレクトリでdb2_spa_user_setup.sqlスクリプトを探し、編集のために開きます。
スクリプトで、手順1のアカウントのユーザー名をgrant文に入れ、変更後のスクリプトを保存します。
次のようにして変更後のスクリプトを実行します。
$> db2 -tvf db2_spa_user_setup.sql
SPA権限を取り消すには、次のようにします。
前述の手順3のように、db2_spa_drop_db_permissions.sqlスクリプトを変更します。
スクリプトを次のように実行します。
$> db2 -tvf db2_spa_drop_db_permissions.sql
MySQLセキュア・ターゲット用のOracle AVDF設定スクリプト
mysql_spa_user_setup.sqlmysql_spa_drop_db_permissions.sqlは、次のディレクトリにあります(次の例はLinuxの場合)。
$AGENT_HOME/av/plugins/com.oracle.av.plugin.mysql/config/
これらのスクリプトは、Oracle AVDFでストアド・プロシージャ監査(SPA)を実行するための、MySQLデータベースに対するユーザー権限を設定または取り消すために使用します。
MySQLセキュア・ターゲットに対するストアド・プロシージャ監査を設定または取り消す手順は、次のとおりです。
ユーザーを作成してユーザー権限を設定できるユーザーとしてMySQLにログインします。
ストアド・プロシージャ監査用のユーザーを作成します。次に例を示します。
create user 'username'@'hostname' identified by 'password'
Audit Vault ServerでこのMySQLデータベースをセキュア・ターゲットとして登録するときに、このユーザー名およびパスワードを使用します。
$AGENT_HOME/av/plugins/com.oracle.av.plugin.mysql/config/ディレクトリでmysql_spa_user_setup.sqlスクリプトを探し、編集のために開きます。
スクリプトを変更して、手順1で使用したのと同じ値をusername、hostnameおよびpasswordに指定します。
mysql_spa_user_setup.sqlスクリプトを実行します。
SPA権限を取り消すには、次のようにします。
前述の手順4のように、mysql_spa_drop_db_permissions.sqlスクリプトを変更します。
mysql_spa_drop_db_permissions.sqlスクリプトを実行します。
一部のOracle AVDFプラグインは、監査証跡のクリーンアップをサポートしています。この項では、使用可能な監査証跡クリーンアップ(ATC)ユーティリティについて説明します。
ここでのトピック
DBMS_AUDIT_MGMT PL/SQLパッケージを使用してデータベース監査証跡をパージできます。
DBMS_AUDIT_MGMTパッケージを使用すると、パージ・ジョブのスケジュール、別の表領域への監査証跡の移動、監査証跡でのアーカイブ・タイムスタンプの設定など、監査証跡のクリーンアップ・タスクを実行できます。DBMS_AUDIT_MGMTを使用するには、そのEXECUTE権限が必要です。
Oracle Database 11g リリース2 (11.2)以上には、DBMS_AUDIT_MGMTパッケージとその関連データ・ディクショナリ・ビューが同梱されており、デフォルトでインストールされます。セキュア・ターゲット・データベースにこのパッケージがインストールされていない場合は、次のMy Oracle SupportのWebサイトからパッケージとデータ・ディクショナリ・ビューをダウンロードできます。
記事ID 731908.1を検索してください。
DBMS_AUDIT_MGMT PL/SQLパッケージおよびビューの使用方法は、次のOracle Database 11g リリース2 (11.2)ドキュメントを参照してください。
概念および手順は、『Oracle Databaseセキュリティ・ガイド』の監査証跡レコードのパージに関する項を参照してください。
DBMS_AUDIT_MGMT PL/SQLパッケージに関するリファレンス情報は、『Oracle Database PL/SQLパッケージ・プロシージャおよびタイプ・リファレンス』を参照してください。
DBA_AUDIT_MGMT_*データ・ディクショナリ・ビューの詳細は、『Oracle Databaseリファレンス』を参照してください。
Oracle AVDFは、Oracle DatabaseのDBMS_AUDIT_MGMTパッケージと統合されています。この統合により、Audit Vault Serverリポジトリに正常に挿入された後、AUD$ファイルおよびFGA_LOG$ファイル、オペレーティング・システムの.audファイルおよび.xmlファイルから監査レコードをパージすることが自動化されます。
パージの完了後、Audit Vault Agentは、収集された監査データにタイムスタンプを自動的に設定します。そのため、USE_LAST_ARCH_TIMESTAMPプロパティをTRUEに設定し、確実に適切な監査レコード・セットがパージされるようにする必要があります。パージ・ジョブの間隔を手動で設定する必要はありません。
Oracle Databaseセキュア・ターゲット用の自動パージ・ジョブをスケジュールする手順は、次のとおりです。
セキュア・ターゲット・データベースでSQL*Plusに、DBMS_AUDIT_MGMT PL/SQLパッケージに対するEXECUTE権限が付与されたユーザーとしてログインします。
次に例を示します。
sqlplus tjones
Enter password: password
監査証跡をクリーン・アップ操作用に初期化します。
次の例では、DEFAULT_CLEANUP_INTERVAL設定により、2時間ごとにジョブが実行されます。
BEGIN DBMS_AUDIT_MGMT.INIT_CLEANUP( AUDIT_TRAIL_TYPE => DBMS_AUDIT_MGMT.AUDIT_TRAIL_ALL, DEFAULT_CLEANUP_INTERVAL => 2 ); END; /
監査証跡がクリーンアップのために初期化されることを確認します。
次に例を示します。
SET SERVEROUTPUT ON
BEGIN
IF
DBMS_AUDIT_MGMT.IS_CLEANUP_INITIALIZED(DBMS_AUDIT_MGMT.AUDIT_TRAIL_ALL)
THEN
DBMS_OUTPUT.PUT_LINE('Database and OS audit are initialized for cleanup');
ELSE
DBMS_OUTPUT.PUT_LINE('Database and OS audit are not initialized for cleanup.');
END IF;
END;
/
DBMS_AUDIT_MGMT.CREATE_PURGE_JOBプロシージャを使用してパージ・ジョブを作成し、スケジュールします。
このプロシージャで、USE_LAST_ARCH_TIMESTAMPプロパティをTRUEに設定し、タイムスタンプより古いすべてのレコードを削除できるようにします。
次のプロシージャにより、CLEANUP_OS_DB_AUDIT_RECORDSという名前のパージ・ジョブが作成されます。このジョブは、2時間ごとに実行され、監査レコードがパージされます。
BEGIN DBMS_AUDIT_MGMT.CREATE_PURGE_JOB ( AUDIT_TRAIL_TYPE => DBMS_AUDIT_MGMT.AUDIT_TRAIL_ALL, AUDIT_TRAIL_PURGE_INTERVAL => 2, AUDIT_TRAIL_PURGE_NAME => 'CLEANUP_OS_DB_AUDIT_RECORDS', USE_LAST_ARCH_TIMESTAMP => TRUE ); END; /
SQL Server監査証跡にトレース・ファイルまたはsqlauditファイルから収集されたデータがあり、そのファイルが非アクティブである場合、このファイルをクリーンアップできます。SQL Server監査証跡により、SQL Server監査テキスト・ファイルの名前が、拡張子.atcのプレーン・テキスト・ファイルに書き込まれます。.atcファイルは、エージェントがインストールされているコンピュータのAGENT_HOME\av\atcディレクトリにあります。
Oracle AVDFによる監査レコードの抽出が完了したファイルを手動でクリーンアップする手順は、次のとおりです。
Audit Vault AgentがインストールされているコンピュータのAGENT_HOME\av\plugins\com.oracle.av.plugin.mssql\binディレクトリに移動します。
AGENT_HOME環境変数がagent.jarファイルが抽出されているディレクトリ・パスに正しく設定されていることを確認します。
次のユーティリティを実行します。
SQLServerCleanupHandler secured_target_name
次に例を示します。
SQLServerCleanupHandler mssqldb4
AGENT_HOME環境変数を設定しない場合は、次の構文を使用してコマンドラインでエージェントのホーム場所を指定できます。
SQLServerCleanupHandler -securedtargetname secured_target_name agent_home_location
次に例を示します。
SQLServerCleanupHandler mssqldb4 c:\AV_agent_installation
重要: Audit Vault Agentのインストール・ディレクトリの名前にスペースが含まれている場合は、名前を二重引用符で囲んでください(例:"C:\Agent Directory")。
SQL Serverトレース・ファイルのクリーンアップを自動化するために、Windows Schedulerを使用できます。
MySQL監査証跡クリーンアップ・ユーティリティを実行するには、次の手順を実行します。
ホスト・マシンで、AGENT_HOME\av\plugins\com.oracle.av.plugin.mysql\binディレクトリに移動します。
次のコマンドを実行します。
MySQLServerCleanupHandler.bat secured_target_name AGENT_HOME
このコマンドには次の変数が含まれています。
secured_target_name - MySQLセキュア・ターゲットの名前
AGENT_HOME - Audit Vault Agentがデプロイされたディレクトリへのパス
この項には、このマニュアル内にあるセキュア・ターゲットの登録手順および監査証跡の構成手順を完了するときに必要となる参照情報が記載されています。手順には、この項の内容へのリンクが含まれます。
ここでのトピック
Audit Vault Serverコンソールでセキュア・ターゲットを登録する際、「セキュア・ターゲットの場所」フィールドに接続文字列を入力します(「Audit Vault Serverでのセキュア・ターゲットの登録または削除」を参照してください)。セキュア・ターゲットのタイプに応じて、表B-14の接続文字列形式を使用します。
注意: 接続文字列は、Database Firewallのみのデプロイでは必要ありません。
表B-14 セキュア・ターゲットの接続文字列(「セキュア・ターゲットの場所」フィールド用)
| セキュア・ターゲット・タイプ | 接続文字列 |
|---|---|
|
Oracle Database |
|
|
Sybase ASE |
|
|
Sybase SQL Anywhere |
|
|
Microsoft SQL Server |
|
|
IBM DB2 for LUW |
|
|
MySQL |
|
|
Oracle Solaris |
|
|
Oracle Linux |
|
|
Microsoft Windows |
|
|
Microsoft Active Directory Server |
|
|
Oracle ACFS |
|
ここでのトピック
一部のセキュア・ターゲットのタイプには、オプションまたは必須の監査証跡コレクション属性があります。セキュア・ターゲットの登録または変更時には、コレクション属性の各フィールドでコレクション属性を指定できます。「Audit Vault Serverでのセキュア・ターゲットの登録または削除」を参照してください。
次のセキュア・ターゲット・タイプではコレクション属性は必要ありません。
Oracle DatabaseではDIRECTORY監査証跡のコレクション属性を指定できます。表B-15に、Oracle AVDFでOracle Databaseセキュア・ターゲットを登録するときに、監査証跡タイプとしてDIRECTORYを選択した場合に使用できるコレクション属性を示します。
表B-15 Oracle DatabaseのDIRECTORY監査証跡用のコレクション属性
| 属性名および説明 | 必須 | デフォルト | 備考 |
|---|---|---|---|
|
データ・ソースのNLS言語。 |
必須: 開始された監査証跡がOracleセキュア・ターゲットへの接続を確立できない場合(例: セキュア・ターゲットが実行されていない) 不要: 開始された監査証跡がOracleセキュア・ターゲットに接続でき、これらのパラメータ値をセキュア・ターゲットから取得できる場合(例: 証跡の開始時にセキュア・ターゲットが実行されている) |
該当なし |
値の大/小文字は区別されません。 |
|
データ・ソースのNLS地域。 |
必須: 開始された監査証跡がOracleセキュア・ターゲットへの接続を確立できない場合(例: セキュア・ターゲットが実行されていない) 不要: 開始された監査証跡がOracleセキュア・ターゲットに接続でき、これらのパラメータ値をセキュア・ターゲットから取得できる場合(例: 証跡の開始時にセキュア・ターゲットが実行されている) |
該当なし |
値の大/小文字は区別されません。 |
|
データ・ソースのNLSキャラクタ・セット。 |
必須: 開始された監査証跡がOracleセキュア・ターゲットへの接続を確立できない場合(例: セキュア・ターゲットが実行されていない) 不要: 開始された監査証跡がOracleセキュア・ターゲットに接続でき、これらのパラメータ値をセキュア・ターゲットから取得できる場合(例: 証跡の開始時にセキュア・ターゲットが実行されている) |
該当なし |
値の大/小文字は区別されません。 |
|
各コールによる監査証跡の処理に要する最大処理時間(センチ秒) |
不要 |
600 |
有効な値は10から10000の整数値です。実行時に再構成することはできません。 Audit Vault Serverにレコードのバッチを送信するまでに、レコードを収集処理する最大時間を示します。値が小さすぎる場合、パフォーマンスに影響する可能性があります。値が大きすぎると、監査証跡を停止するまでの時間が長くなります。 |
|
各コールによる監査証跡の処理中に処理されるレコードの最大数 |
不要 |
1000 |
有効な値は10から10000の整数値です。 実行時に再構成することはできません。 Audit Vault Serverにレコードのバッチを送信するまでに、処理されるレコードの最大数を示します。値が小さすぎる場合、パフォーマンスに影響する可能性があります。値が大きすぎると、監査証跡を停止するまでの時間が長くなります。 |
|
Oracle RAC環境のインスタンスID。 |
不要 |
1 |
|
|
メトリック情報を保存する間隔(秒) |
不要 |
60 |
実行時に再構成することはできません。 この間隔はメトリック情報の更新頻度を示します。値が小さすぎると、メトリックをAudit Vault Serverに送信するときのオーバーヘッドが生じます。値が大きすぎると、平均メトリック情報の正確性に影響を及ぼします。 |
|
Microsoft WindowsシステムでのOracle SID名 |
不要 |
デフォルトなし |
値の大/小文字は区別されません。値を指定しない場合、監査証跡にはセキュア・ターゲットからの値が必要です。 |
表B-16に、Oracle AVDFでIBM DB2 for LUWセキュア・ターゲットを登録するときに必要なコレクション属性を示します。
表B-17に、Oracle AVDFでMySQLセキュア・ターゲットを登録するときに必要なコレクション属性とオプションのコレクション属性を示します。
表B-17 MySQLデータベースのコレクション属性
| 属性名および説明 | 必須 | デフォルト | 備考 |
|---|---|---|---|
|
MySQLデータベースのバージョン |
必須 |
該当なし |
|
|
監査証跡クリーンアップ時間を更新する時間間隔(分単位)を指定します。 |
不要 |
20 |
例: この値が20である場合、監査証跡クリーンアップ時間は20分ごとに更新されます。タイムスタンプが監査証跡クリーンアップ時間よりも前である監査ログ・ファイルは、監査証跡クリーンアップ・ユーティリティを実行したときにソース・フォルダからクリーンアップされます。「MySQL監査証跡クリーンアップ」も参照してください。 |
表B-18に、Oracle AVDFでOracle ACFSセキュア・ターゲットを登録するときに必要なコレクション属性を示します。
Audit Vault Serverでセキュア・ターゲットの監査証跡を構成するときに、証跡の場所を指定する必要があります(「Audit Vault Serverでの監査証跡の追加」を参照してください)。証跡の場所は、セキュア・ターゲットのタイプによって異なります。セキュア・ターゲットのタイプに応じて次の形式を使用します。
重要: 証跡の場所は大文字と小文字が区別されます。データ収集の重複を防ぐため、監査証跡の場所を指定するときには大文字のみまたは小文字のみで統一することをお薦めします。
注意: 「監査証跡のタイプ」で「DIRECTORY」を選択した場合、証跡の場所はディレクトリ・マスクにする必要があります。
| セキュア・ターゲット・タイプ | サポートされる証跡の場所 |
|---|---|
|
Oracle Database |
TABLE監査証跡: DIRECTORY監査証跡: SYSLOG監査証跡: syslogファイルを含むディレクトリへのフルパス。 TRANSACTION LOG、EVENT LOGおよびNETWORK監査証跡: 証跡の場所は不要です。 |
|
Microsoft SQL Server |
DIRECTORY監査証跡:
EVENT LOG監査証跡:
|
|
Sybase ASE |
|
|
IBM DB2 for LUW |
ディレクトリへのパス(例: |
|
MySQL |
MySQL XML変換ユーティリティを実行したときに変換後のXMLファイルが生成されるディレクトリへのパス。「(MySQLで必要)XML変換ユーティリティの実行」を参照してください。 |
|
Oracle Solaris |
|
|
Microsoft Windows |
|
|
Microsoft Active Directory Server |
|
|
Oracle ACFS |
XML監査ファイルが含まれているディレクトリへのパス。たとえば、
|
|
Linux |
|
