| Oracle® Audit Vault and Database Firewall管理者ガイド リリース12.1.2 B71711-11 |
|
 前 |
 次 |
ここでのトピック
この章では、Audit Vault Serverの初期構成の方法について説明します。
構成プロセスには、4つの主なステップがあります。
Audit Vault Serverで、システム・サービスおよびネットワーク設定の確認や日付と時刻の設定などの初期構成タスクを実行します。
(オプション) 高可用性のための回復可能なペアを定義します。
(オプション) Audit Vault Serverで、各Database Firewallを追加します。
システムが正常に機能していることを確認します。
これらの各ステップを次に説明します。
Oracle AVDFシステムの構成に関するワークフローの概要を確認するには、「構成手順の概要」を参照してください。
|
注意: 高可用性構成のためのAudit Vault Serverの回復可能なペアを構成する場合は、ペアの両方のAudit Vault Serverに対してこの章で説明する初期構成を実行してください。詳細は、「Audit Vault Serverの回復可能なペアの構成」を参照してください。 |
ログインの手順は、「Audit Vault ServerコンソールUIへのログイン」を参照してください。
ここでのトピック
スーパー管理者は、Audit Vault Serverで日付、時刻およびキーボードの設定を変更できます。Audit Vault Serverで実行されるイベントは、そのイベントが発生した日時とともにログに記録されるため、サーバーの日付と時刻が正確に設定されていることが重要です。また、アーカイブは、サーバーの時刻の設定に基づいて特定の間隔で発生します。
タイムスタンプについて
Audit Vault Serverでは、すべてのデータがUTCで保存されます。次のようにタイムスタンプが表示されます。
ユーザーが対話形式(Audit Vault Server UIやAVCLIコマンドラインなど)でデータにアクセスしている場合、タイムスタンプはすべてユーザーのタイムゾーンで表示されます。UIでは、タイムゾーンはブラウザのタイムゾーンから導出されます。AVCLIを使用する場合、タイムゾーンは「シェル」タイムゾーン(通常はTZ環境変数によって設定されます)から導出されます。
rootまたはsupportとしてAudit Vault Serverにログインする場合、そのセッションのTZ環境変数を変更しないかぎり、タイムスタンプはUTCで表示されます。
ユーザーがシステム生成されたPDF、XLSレポートまたは電子メールを参照している場合、表示されるタイムスタンプには、Audit Vault Serverの「管理」ページのタイムゾーン・オフセット設定(下の手順を参照)が反映されます。
|
警告: Audit Vault Serverのデータベース・タイムゾーンを変更しないでください。また、構成ファイルを使用してタイムゾーンを変更しないでください。これにより、Audit Vault Serverで問題が生じる可能性があります。 |
Database Firewall UIを参照している場合、タイムゾーンはすべてUTCで表示されます。詳細は、「Database Firewallでの日付と時刻の設定」を参照してください。
サーバーの日付、時刻およびキーボード設定を設定する手順は、次のとおりです。
Audit Vault Serverコンソールにスーパー管理者としてログインします。
「設定」タブをクリックします。
「システム」メニューから、「管理」をクリックします。
「タイムゾーン・オフセット」ドロップダウン・リストから、協定世界時(UTC)から相対的に示したローカル時間を選択します。
たとえば、-5:00は、UTCより5時間遅れていることを示します。同期で時刻が正確に設定されるように、適切な設定を選択する必要があります。
「キーボード」ドロップダウン・リストから、キーボード設定を選択します。
「システム時間」フィールドで、手動で設定またはNTP同期を選択します。
NTP同期を選択すると、「サーバー1」/「サーバー2」/「サーバー3」の各フィールドで指定したタイム・サーバーからリカバリされる時刻の平均と、時刻の同期が維持されます。
NTP同期を選択した場合、NTPサーバーの時刻の使用を開始するために、NTP時間同期の有効化を選択します。
この手順で時刻の同期を有効にしなくても、後続の手順でNTPサーバー情報を入力し、後でNTP同期を有効にできます。
(オプション)「保存」をクリックしたときに時刻を同期する場合は、「保存後の同期時間」を選択します。
「サーバー1」、「サーバー2」および「サーバー3」のセクションで、デフォルトのサーバー・アドレスを使用するか、希望のタイム・サーバーのIPアドレスまたは名前を入力します。
名前を指定した場合は、「システム」の「サービス」ページで指定したDNSサーバーが名前解決に使用されます。
サーバーから時刻を表示するには、「サーバーのテスト」をクリックします。
このNTPサーバーからAudit Vault Serverの時刻を更新するには、「サーバーの適用」をクリックします。「保存」をクリックするまで、更新は有効になりません。
「保存」をクリックします。
時刻の同期を有効にするには、「Audit Vault Serverネットワーク構成の設定または変更」および「Audit Vault Serverサービスの構成または変更」で説明されているように、デフォルト・ゲートウェイおよびDNSサーバーのIPアドレスの指定が必要な場合もあります。
ここでのトピック
Oracle AVDFインストーラにより、インストール時にAudit Vault Serverの初期ネットワーク設定が構成されます。このネットワーク設定は、インストール後に変更できます。
Audit Vault Serverのデフォルト・ポート番号のリストは、「Audit Vault and Database Firewallで使用されるポート」を参照してください。
|
注意: Audit Vault Serverネットワーク構成を変更する場合は、次の手順の実行も必要になります。
|
Audit Vault Serverのネットワーク設定を構成する手順は、次のとおりです。
Audit Vault Serverコンソールに管理者またはスーパー管理者としてログインします。
「設定」タブをクリックします。
「System」メニューで、「Network」をクリックします。
必要に応じて、次のフィールドを編集し、「保存」をクリックします。
IPアドレス: Audit Vault ServerのIPアドレス。IPアドレスはAudit Vault Serverのインストール時に設定されていますが、別のアドレスを使用する場合は、ここで変更できます。IPアドレスは静的で、ネットワーク管理者から取得する必要があります。注意: IPアドレスを変更すると、再起動する必要があります。
Audit Vault ServerとDatabase Firewallの間のトラフィックを有効にするには、指定したIPアドレスをルーティング表に追加することが必要な場合があります。
ゲートウェイ: (スーパー管理者のみ) デフォルト・ゲートウェイのIPアドレス(たとえば、別のサブネットから管理インタフェースへのアクセス用)。デフォルト・ゲートウェイは、Audit Vault Serverと同じサブネット上にある必要があります。
ホスト名: Audit Vault Serverのホスト名を入力します。ホスト名は文字で開始する必要があり、最大24文字で、空白を含めることはできません。
注意: ホスト名を変更すると、再起動する必要があります。「保存」をクリックすると、再起動するか取り消すかの確認を求められます。確認後、システムは再起動し、Audit Vault Serverは数分間使用できなくなります。
リンクのプロパティ: 自動ネゴシエーションを使用しないようにネットワークが構成されている場合を除き、デフォルト設定を変更しないでください。
Audit Vault Serverサービスを構成する手順は、次のとおりです。
Audit Vault Serverコンソールにスーパー管理者としてログインします。
「システム」タブで、「システム」メニューから、「サービス」をクリックします。
フィールドに必要な情報を入力し、「Save」をクリックします。
|
注意: Oracle AVDFへのアクセスを許可するときに、セキュリティを保つために適切な予防措置を講じるようにしてください。このステップを完了する前に、「データの保護」で推奨事項のリストを参照してください。 |
DNSサーバー1、DNSサーバー2、DNSサーバー3: (オプション)「IPアドレス」を選択し、ネットワーク上にあるDNSサーバーのIPアドレスを最高3つまで入力します。これらのIPアドレスを使用して、Audit Vault Serverで使用されるホスト名を解決します。DNSサーバーがない場合は、このフィールドを無効のままにして、システム・パフォーマンスの低下を防止します。
Webアクセス: 選択したコンピュータのみにAudit Vault Serverコンソールへのアクセスを許可する場合は、「IPアドレス」を選択して、そのIPアドレスをスペースで区切ってボックスに入力します。デフォルトの「すべて」を使用すると、サイト内のすべてのコンピュータからアクセス可能になります。
SSHアクセス: リモート・コンソールからAudit Vault ServerにアクセスできるIPアドレスのリストを指定するには、「IPアドレス」を選択して、そのIPアドレスをスペースで区切ってこのフィールドに入力します。値「すべて」を使用すると、サイト内のすべてのコンピュータからアクセス可能になります。値「無効」を使用すると、コンピュータからコンソール・アクセスはできません。
SNMPアクセス: SNMPを使用してAudit Vault Serverのネットワーク構成にアクセスできるIPアドレスのリストを指定するには、「IPアドレス」を選択して、そのIPアドレスをスペースで区切ってこのフィールドに入力します。「すべて」を選択すると、すべてのコンピュータからアクセス可能になります。デフォルト値「無効」を選択すると、SNMPアクセスはできません。SNMPコミュニティ文字列はgT8@fq+Eです。
次の手順を使用して、Audit Vault Serverから送信するsyslogメッセージのタイプを構成します。メッセージ・カテゴリは、デバッグ、情報またはシステムです。Oracle AVDF 12.1.2以降では、アラート・メッセージを転送することもできます。
Audit Vault Serverコンソールに管理者としてログインし、「設定」タブをクリックします。
「システム」メニューから、「コネクタ」をクリックし、「Syslog」セクションまでスクロールします。
必要に応じて、フィールドを指定します。
Syslog宛先(UDP): Audit Vault Serverからのsyslogメッセージの通信にユーザー・データグラム・プロトコル(UDP)を使用している場合は、このボックスを使用します。syslogメッセージの受信を許可されている各マシンのIPアドレスを空白で区切って入力します。
Syslog宛先(TCP): Audit Vault Serverからのsyslogメッセージの通信にトランスミッション・コントロール・プロトコル(TCP)を使用している場合は、このボックスを使用します。syslogメッセージの受信を許可されている各サーバーのIPアドレスとポートの組合せを空白で区切って入力します。
Syslogカテゴリ: 次のように、生成するsyslogメッセージのタイプを選択できます。
アラート: (AVDF 12.1.2のみ) AVDF監査者が指定するアラート条件に基づくアラート。
AVDFアラートをsyslogに転送するには、AVDF監査者がこの設定に加えてアラート転送を構成する必要があります。詳細な手順およびAVDFのsyslogアラート形式は、『Oracle Audit Vault and Database Firewall監査者ガイド』を参照してください。
情報: Oracle AVDFの一般的なメッセージおよびプロパティの変更(Oracle AVDFのsyslogメッセージID: 1、4および8)。
システム: Oracle AVDFまたはその他のソフトウェアによって生成される、syslog優先度レベルが少なくとも"INFO"のシステム・メッセージ。
「保存」をクリックします。
2つのAudit Vault Serverを回復可能なペアとして使用している場合は、2つ目のAudit Vault Serverについて「初期システム設定およびオプションの指定(必須)」を繰り返します。
ここでのトピック
監査者は、アラートまたはレポートが生成されたときにユーザーに電子メール通知を送信するように、Oracle AVDFを構成できます。管理者は、電子メール通知を有効にするために、SMTPサーバーを構成する必要があります。電子メール通知は、テキスト形式でモバイル機器に送信できます。また、すでにSMSゲートウェイがある場合は、SMSゲートウェイを経由してルーティングできます。
次の点に注意してください。
セキュアでないSMTPサーバーと認証済のセキュアなSMTPサーバーの両方と連携して機能するように、Oracle AVDFを構成できます。
アラートの構成およびレポートの生成の詳細は、『Oracle Audit Vault and Database Firewall 監査者ガイド』を参照してください。
電子メール通知サービスを構成する手順は、次のとおりです。
「設定」タブをクリックし、「システム」メニューで「コネクタ」をクリックします。
「SMTPサーバー・アドレス」フィールドに、SMTPサーバーのIPアドレスを入力します。
「SMTPポート」フィールドに、SMTPサーバー・ポートを入力します。
「送信元ユーザー名」フィールドに、電子メールの送信者として使用するユーザー名を入力します。
「送信元アドレス」フィールドに、電子メール通知に表示される送信者のアドレスを入力します。
このSMTPサーバーで必要な場合は、「資格証明が必要」を選択した後、「ユーザー名」、「パスワード」および「パスワードの再入力」に値を指定します。
このSMTPサーバーで認証が必要な場合は、「セキュアな接続が必要」を選択した後、認証プロトコル(SSLまたはTLS)を選択します。
ここでのトピック
Oracle AVDFでは、情報ライフ・サイクル計画の一環として、データ・ファイルをアーカイブできます。そのためには、アーカイブ(保存)ポリシーを作成し、ポリシーに従ってデータを転送するアーカイブの場所を構成する必要があります。企業ポリシーに従って、定期的にアーカイブすることをお薦めします。必要な場合は、セキュア・ターゲットごとに異なるデータ・ファイル・アーカイブを作成できます。
注意: Oracle AVDF 12.1.2以降では、セキュア・コピー(scp)またはWindows File Sharing (SMB)転送方法を使用する場合、追加のアーカイブ領域要件があります。そのため、これらの方法を使用してアーカイブ場所にデータを転送する場合は、Audit Vault Serverの初期構成の一部としてアーカイブを構成します。
様々なデータ・アーカイブ・ポリシーを作成し、Oracle AVDFで監査データをオンラインで保有する月数と、パージするまでにデータをアーカイブで保有する月数を各ポリシーで指定できます。Oracle AVDF監査者は、各セキュア・ターゲットおよびスケジュールされたレポートについて、特定の保存ポリシーを選択できます。監査者がセキュア・ターゲットまたはスケジュールされたレポートに対して保存ポリシーを選択しなかった場合、デフォルトの保存ポリシーが使用されます(12か月のオンライン保存およびパージ前に12か月のアーカイブ)。
指定された保存ポリシーに応じてアーカイブ可能な状態になったものからデータ・ファイルを選択して、アーカイブ・ジョブを開始します。保存期間は、セキュア・ターゲットで監査イベントが発生した時間に基づきます。
データ・ファイルがアーカイブ可能な状態になると、データはレポートに表示されなくなります。管理者がこれらのデータ・ファイルをアーカイブすると、データはAudit Vault Serverから物理的に削除されます。必要に応じて、アーカイブ場所にあるデータはAudit Vault Serverにリストアでき、リストアされるとレポートに表示されるようになります。保存ポリシーに応じてアーカイブ場所からデータを手動でパージするかどうかは管理者が判断します。
特定のセキュア・ターゲットおよび時間範囲のデータをリストアできます。アーカイブおよびリストアの手順は、「監査データのアーカイブおよびリストア」を参照してください。
アーカイブ・ジョブを開始するには、アーカイブ・ファイルの宛先として1つ以上の場所を定義する必要があります。アーカイブ先の定義では、アーカイブ格納場所およびその他の設定を指定します。
アーカイブの場所へのデータの転送にはNFSを使用することをお薦めします。セキュア・コピー(SCP)またはWindows File Sharing (SMB)を使用してアーカイブの場所にデータを転送する場合、データ・ファイルは、最初にAudit Vault Serverのステージング領域にコピーされます。したがって、ファイル・システムに追加の領域があることを確認する必要があります。そうしないと、データ・ファイルのコピーが失敗する可能性があります。SCPまたはSMBで大きいファイルを転送すると時間がかかることに注意してください。
アーカイブ場所を作成する手順は、次のとおりです。
Audit Vault Serverに管理者としてログインします。
「設定」タブをクリックし、「アーカイブ中」で「アーカイブの場所の管理」をクリックします。
既存のアーカイブ場所のリストが表示されます。
「作成」ボタンをクリックして、次のフィールドに入力します。
ロケーション名: アーカイブ先の名前。この名前は、アーカイブを開始するときに、アーカイブ先を選択するために使用します。
リモート・ファイルシステム: (AVDF 12.1.2のみ) ネットワーク・ファイル・システム(NFS)転送方法を使用する場合、既存のファイルシステムを選択できます。ファイルシステムを選択しなかった場合は、このアーカイブ場所の詳細に基づいてファイルシステムが自動的に作成されます。
ここでファイルシステムを選択できるように、AVCLIユーティリティを使用してリモート・ファイルシステムを登録できます。詳細は、「REGISTER REMOTE FILESYSTEM」を参照してください。
Address: データをアーカイブするマシンの名前またはIPアドレス。Windows File Sharingが転送方法である場合は、IPアドレスを指定します。
エクスポート・ディレクトリ: (AVDF 12.1.2のみ) ネットワーク・ファイル・システム(NFS)転送方法を使用する場合、NFSサーバーのエクスポート・ディレクトリを入力します(例: /export_dir)。
Path: アーカイブ格納場所へのパス。転送方法ごとに次の点に注意しながら、(ファイルではなく)ディレクトリへのパスを入力します。
セキュア・コピー(scp): 先頭にスラッシュ文字がないと、パスはユーザーのホーム・ディレクトリへの相対パスになります。先頭にスラッシュがあると、パスはrootディレクトリへの相対パスになります。
Windows File Sharing (SMB): 共有名を入力し、その後にスラッシュとフォルダ名を入力します(例: /sharename/myfolder)。
ネットワーク・ファイル・システム(NFS): (AVDF 12.1.2のみ) エクスポート・ディレクトリへの相対パスを入力します。たとえば、エクスポート・ディレクトリが/export_dirで、アーカイブ場所として指定するディレクトリへのフルパスが/export_dir/dir1/dir2である場合は、「パス」フィールドに/dir1/dir2と入力します。NFSサーバーのエクスポート・ディレクトリに直接アーカイブを配置する場合は、「パス」に/ (スラッシュ)を入力します。
完了したら、「テスト」ボタンをクリックしてNFSの場所を検証できます。
Port: これは、データをアーカイブするマシン上のセキュア・コピーまたはWindowsファイル共有サービスで使用されるポート番号です。通常は、デフォルトのポート番号を使用できます。
Username: アーカイブ・データが転送されるマシンでのアカウント・ユーザー名。
認証方式: セキュア・コピー(scp)が転送方法である場合は、「パスワード」を選択してログイン・パスワードを入力できます。Linuxマシンを使用している場合は、「Key Authentication」を選択できます。
鍵認証を使用している場合、リモート・マシンの管理者は、RSA鍵(~/.ssh/authorized_keys)を含むファイルの権限が664に設定されていることを確認する必要があります。
パスワードおよびパスワードの確認: Windowsファイル共有を使用するか、認証方法として「パスワード」を選択した場合、データをアーカイブするマシンにログインするためのパスワードです。
公開鍵: 鍵認証を選択した場合に表示されます。この公開鍵をコピーして、データをアーカイブするマシンの公開鍵ファイルに追加します。たとえば、~/.ssh/authorized_keysに鍵を追加します。
「保存」をクリックします。
ここでのトピック
保存ポリシーを作成したら、Oracle AVDF監査者がその保存ポリシーをセキュア・ターゲットに適用できるようになります。詳細な手順は、『Oracle Audit Vault and Database Firewall監査者ガイド』を参照してください。
アーカイブ(保存)ポリシーを作成する手順は、次のとおりです。
Audit Vault Serverコンソールに管理者としてログインします。
「設定」タブをクリックします。
「アーカイブ中」で、「ポリシーの管理」を選択した後、「作成」ボタンをクリックします。
このポリシーの名前を入力します。
「オンラインだった月数」フィールドに、アーカイブ対象のマークが付くまでAudit Vault Serverで監査データを保有する月数を入力します。デフォルト値は1です。
たとえば、「2」と入力すると、この保存ポリシーを使用するセキュア・ターゲットの監査データは、Audit Vault Serverで2か月間オンラインで使用できた後、アーカイブ・ジョブの対象となります。オンライン状態の月数を経過すると、データはレポートに表示されなくなります。
「アーカイブされていた月数」フィールドに、アーカイブ場所で監査データを保有する月数を入力します。デフォルト値は6です。
この値により、データをAudit Vault Serverにリストアできる期間が決定されますが、データがアーカイブ場所からパージされることはありません。たとえば、「4」と入力すると、アーカイブされてから4か月間はデータをアーカイブからリストアできます。
ユーザー定義のアーカイブ・ポリシーのみを削除できます。
アーカイブ(保存)ポリシーを削除する手順は、次のとおりです。
Audit Vault Serverコンソールに管理者としてログインします。
「設定」タブをクリックします。
「アーカイブ中」で、「ポリシーの管理」をクリックします。
削除するユーザー定義ポリシーを選択して、「削除」をクリックします。
Audit Vault ServerまたはDatabase Firewall (あるいはその両方)の回復可能なペアを定義できます。この手順は、「高可用性の構成」を参照してください。
Audit Vault Serverの回復可能なペアを定義する場合は、サーバーへのDatabase Firewallの追加やセキュア・ターゲットの登録などのすべての構成タスクをプライマリAudit Vault Serverで実行します。
Database Firewallをデプロイする場合は、二者間での通信を可能にするためにAudit Vault Serverでそれぞれを登録する必要があります。「Database Firewallの構成」の手順に従って、まずDatabase Firewallを構成することをお薦めします。
Database Firewallを高可用性のためにペアとして設定するには、Database FirewallをAudit Vault Serverに登録する必要があります。詳細は、「Database Firewallの回復可能なペアの構成」を参照してください。
Audit Vault ServerでDatabase Firewallを登録する手順は、次のとおりです。
まだ実行していない場合は、Audit Vault Serverの証明書およびIPアドレスを登録するDatabase Firewallに指定します。「Audit Vault Serverの証明書およびIPアドレスの指定」を参照してください。
Audit Vault Serverに管理者としてログインします。
Audit Vault Serverの回復可能なペアがある場合は、プライマリ・サーバーにログインします。
「ファイアウォール」タブをクリックします。
「ファイアウォール」ページに、現在登録されているファイアウォールとそのステータスが表示されます。
「登録」をクリックします。
Database Firewallの名前を入力し、そのIP アドレスも入力します。
「保存」をクリックします。
証明書に問題があるという内容のメッセージが表示された場合には、Database FirewallとAudit Vault Serverとの間で日付と時刻の設定が一致していることを確認してください。
日常的な操作を開始する前に、システムが完全に機能していることを検証する必要があります。
システム操作をテストする手順は、次のとおりです。
Audit Vault Serverに管理者としてログインします。
Audit Vault Serverの日付と時刻を確認します。
「設定」タブをクリックします。
「システム」メニューで、「ステータス」をクリックします。
「テスト診断」ボタンをクリックし、一連の診断テストを実行して結果を確認します。
この診断には次のテストが含まれます。
構成ファイルの存在とアクセス権限
ファイル・システムのサニティ
ネットワーク構成
データベース・サーバー・プロセス、イベント収集プロセス、Javaフレームワーク・プロセス、HTTPサーバー・プロセスなど、システムの実行に必要な各種プロセスのステータス。
「ホーム」タブをクリックし、「Database Firewall」と「ホスト」のステータスを確認します。
