プライマリ・コンテンツに移動
Oracle® Audit Vault and Database Firewall管理者ガイド
リリース12.1.2
B71711-11
索引
次
目次
図一覧
表一覧
タイトルおよび著作権情報
はじめに
対象読者
ドキュメントのアクセシビリティについて
関連ドキュメント
表記規則
このリリースでの変更点
Oracle AVDFリリース12.1.2の変更点
Oracle AVDFリリース12.1.1の変更点
一般的なタスクのクイック・リファレンス
このマニュアルについて
Audit Vault Server
Database Firewall
ホスト
エージェント
ホスト監視
セキュア・ターゲット
BIG-IP ASM統合
Arcsight統合
その他の管理者タスク
参照情報
第I部 スタート・ガイド
1
Oracle Audit Vault and Database Firewallの概要
このマニュアルの最新バージョンのダウンロード
サポートされるプラットフォーム
システムの機能および概念について
Audit Vault and Database Firewallの概要
システム要件
サポートされるセキュア・ターゲット
管理機能
監査機能
サード・パーティ製品との統合
Oracle AVDFコンポーネント・アーキテクチャの概要
Oracle AVDFのコンポーネント
Oracle AVDFコンポーネントの連携
Audit Vault Server
Database Firewall
Audit Vault Agent
エンタープライズ・アーキテクチャ内でのOracle AVDFの配置
高可用性モード
管理者のロールについて
構成手順の概要
Oracle AVDFの構成とAudit Vault Agentのデプロイ
Oracle AVDFの構成とDatabase Firewallのデプロイ
システム構成の計画
Oracle AVDF構成の計画に役立つ質問
ステップ1: Audit Vault Server構成の計画
ステップ2: Database Firewall構成の計画
ステップ3: Audit Vault Agentデプロイメントの計画
ステップ4: 監査証跡構成の計画
ステップ5: 統合オプションの計画
ステップ6: 高可用性の計画
ステップ7: ユーザー・アカウントおよびアクセス権限の計画
Audit Vault ServerコンソールUIへのログイン
Audit Vault Serverコンソールへのログイン
Audit Vault Serverコンソールにおけるタブおよびメニューについて
UIでのオブジェクト・リストの使用
Database FirewallコンソールUIへのログイン
Database FirewallコンソールUIへのログイン
Database Firewall UIの使用
AVCLIコマンドライン・インタフェースの使用
AVDF Enterprise Managerプラグインの使用
2
一般的なセキュリティ・ガイドライン
安全なインストールとデータの保護
安全なインストール
データの保護
セキュリティに関する一般的な推奨事項
ネットワークベース・ソリューションのデプロイに関する考慮事項
ネットワーク暗号化の処理
サーバー側のSQLとコンテキストの構成処理
様々なデータベース・アクセス・パスでのOracle AVDFの動作
特別な構成に関するセキュリティ上の考慮事項
Oracle共有サーバー構成とディスパッチャの処理
クライアントのIPアドレスによるTCP許可ノードへの影響
注意が必要なその他の動作
3
Audit Vault Serverの構成
Audit Vault Serverの構成の概要
Audit Vault Serverへのログイン
初期システム設定およびオプションの指定(必須)
サーバーの日付、時刻およびキーボード設定の指定
Audit Vault Serverシステム設定の指定
Audit Vault Serverネットワーク構成の設定または変更
Audit Vault Serverサービスの構成または変更
Audit Vault Serverのsyslog宛先の構成
電子メール通知サービスの構成
Oracle AVDFにおける電子メール通知の概要
電子メール通知サービスの構成
アーカイブの場所および保存ポリシーの構成
Oracle AVDFでのデータのアーカイブおよびリストアの概要
アーカイブ場所の定義
アーカイブ・ポリシーの作成または削除
アーカイブ(保存)ポリシーの作成
アーカイブ・ポリシーの削除
高可用性のための回復可能なペアの定義
Audit Vault ServerでのDatabase Firewallの登録
Audit Vault Serverのシステム操作のテスト
4
Database Firewallの構成
Database Firewallの構成の概要
Database Firewallへのログイン
Database Firewallのネットワークおよびサービス構成の構成
Database Firewallのネットワーク設定の構成
Database Firewallのネットワーク・サービスの構成
Database Firewallでの日付と時刻の設定
Audit Vault Serverの証明書およびIPアドレスの指定
ネットワーク上のDatabase Firewallの構成
ネットワーク上のDatabase Firewallの構成の概要
トラフィック・ソースの構成
Database Firewallでのブリッジの構成
トラフィック・プロキシとしてのDatabase Firewallの構成
Database Firewallのステータスおよび診断レポートの表示
5
ホストの登録とエージェントのデプロイ
Audit Vault Serverでのホストの登録
ホストの登録の概要
Audit Vault Serverでのホストの登録
ホスト名の変更
ホスト・コンピュータでのAudit Vault Agentのデプロイおよびアクティブ化
Audit Vault Agentのデプロイの概要
Audit Vault Agentのデプロイおよびアクティブ化に必要なステップ
ホストの登録
ホスト・コンピュータでのAudit Vault Agentのデプロイ
(Oracle AVDF 12.1.1のみ)エージェント・アクティブ化のリクエスト
Audit Vault Agentのアクティブ化および起動
Audit Vault AgentのWindowsサービスとしての登録または登録解除
Audit Vault AgentのWindowsサービスの概要
Audit Vault AgentのWindowsサービスとしての登録
Audit Vault AgentのWindowsサービスとしての登録解除
エージェントの起動、停止およびその他の操作
Audit Vault Agentの停止および起動
Unixホスト上のエージェントの停止および起動
Windowsホスト上のエージェントの停止および起動
Audit Vault Agentのロギング・レベルの変更
Audit Vault Agentの非アクティブ化と削除
Audit Vault Agentの更新
プラグインのデプロイとプラグイン・ホストの登録
プラグインの概要
セキュア・ターゲットで監査が有効であることの確認
Audit Vault Serverでのプラグイン・ホストの登録
プラグインのデプロイおよびアクティブ化
プラグインのアンデプロイ
Audit Vault Serverからのホストの削除
6
セキュア・ターゲット、監査証跡および強制ポイントの構成
セキュア・ターゲットの構成の概要
セキュア・ターゲットの登録とグループの作成
Audit Vault Serverでのセキュア・ターゲットの登録または削除
セキュア・ターゲットの登録
セキュア・ターゲットの変更
セキュア・ターゲットの削除
セキュア・ターゲット・グループの作成または変更
セキュア・ターゲットおよびセキュア・ターゲット・グループへのアクセスの制御
監査データ収集のためのセキュア・ターゲットの準備
セキュア・ターゲットでのNTPサービスを使用した時刻の設定
セキュア・ターゲットで監査が有効であることの確認
セキュア・ターゲットに対するユーザー・アカウント権限の設定
監査証跡のクリーンアップのスケジュール
監査証跡収集の構成および管理
Audit Vault Serverでの監査証跡の追加
Audit Vault Serverでの監査証跡の停止および開始
Audit Vault Serverでの監査証跡のステータスの確認
監査証跡の削除
(MySQLで必要)XML変換ユーティリティの実行
(IBM DB2で必要)バイナリDB2監査ファイルのASCII形式への変換
強制ポイントの構成
セキュア・ターゲットの強制ポイントの構成の概要
強制ポイントの作成および構成
強制ポイントの変更
強制ポイントの開始、停止または削除
強制ポイントのステータスの表示
強制ポイントによって使用されるポート番号の確認方法
ストアド・プロシージャ監査(SPA)の構成
データベース問合せの構成および使用
データベース問合せの概要
SQL ServerデータベースおよびSQL Anywhereデータベースでのデータベース問合せの使用
ネットワーク暗号化を使用するOracle Databaseでのデータベース問合せの使用
SQL ServerおよびSQL Anywhere用のデータベース問合せの構成
Microsoft SQL Serverデータベースでのデータベース問合せ権限の設定
Sybase SQL Anywhereデータベースでのデータベース問合せ権限の設定
ネットワーク暗号化を使用するデータベース用のデータベース問合せの構成
ステップ1: 指定されたパッチのOracle Databaseへの適用
ステップ2: Oracle Advance Security統合スクリプトの実行
ステップ3: Oracle DatabaseへのDatabase Firewall公開鍵の指定
ステップ4: Oracle Databaseのデータベース問合せの有効化
データベース問合せの有効化
データベース問合せの無効化
データベース・レスポンス・モニタリングの構成および使用
データベース・レスポンス・モニタリングの概要
データベース・レスポンス・モニタリングの構成
データベース・レスポンス・モニタリングの有効化
ファイアウォール・ポリシーでのログインおよびログアウト・ポリシーの設定
7
ホスト監視の有効化および使用
ホスト監視の概要
ホスト監視のインストールおよび有効化
ホスト監視の前提条件
ステップ1: ホスト監視を実行するコンピュータの登録
ステップ2: Audit Vault Agentのデプロイとホスト監視のインストール
Windowsホストでのエージェントおよびホスト監視のデプロイ
Linuxホストでのエージェントおよびホスト監視のデプロイ
ステップ3: ホスト監視対象のデータベース用のセキュア・ターゲットの作成
ステップ4: DAMモードでの強制ポイントの作成
ステップ5: NETWORK監査証跡の作成
ホスト監視の開始、停止およびその他の操作
ホスト監視の開始
ホスト監視の停止
ホスト監視のロギング・レベルの変更
ホスト監視監査証跡のステータスの確認
ホスト監視のアンインストール(Linuxホストのみ)
ホスト監視の更新(Linuxホストのみ)
ホスト監視における証明書ベース認証の使用
ファイアウォールへのホスト監視接続に署名済証明書を要求
Audit Vault Serverからの署名済証明書の取得
8
高可用性の構成
Oracle AVDFにおける高可用性構成の概要
Audit Vault Serverの回復可能なペアの構成
Audit Vault Serverのペア作成の概要
Audit Vault Serverの回復可能なペアを構成するための前提条件
ステップ1: セカンダリAudit Vault Serverの構成
ステップ2: プライマリAudit Vault Serverの構成
ステップ3: Audit Vault Serverの高可用性ペアの起動
Audit Vault Serverの高可用性ステータスの確認
Audit Vault Serverのペア作成後におけるAudit Vault Agentの更新
Audit Vault Serverペアのフェイルオーバーの処理
Database Firewallの回復可能なペアの構成
Database Firewallの回復可能なペアの構成の概要
Database Firewallの回復可能なペアの構成
Database Firewallの回復可能なペアでのロールの入替え
Database Firewallの回復可能なペアの削除(ペア解除)
9
BIG-IP ASMとの統合の構成
Oracle AVDFとBIG-IP ASMの統合の概要
統合による動作
Oracle AVDFとBIG-IP ASMの統合のデプロイ
デプロイメントの概要
システム要件
F5と連携して機能するためのOracle AVDFの構成
BIG-IP ASMの構成
ロギング・プロファイル
ポリシー設定
BIG-IP ASM iRuleの開発
syslogメッセージの必要な形式
syslog-ng.confの構成
Oracle AVDFレポートでのF5データの表示
10
ArcSight SIEMとの統合の構成
Oracle AVDFとHP ArcSight SIEMの統合による動作
HP ArcSight SIEM統合の有効化
第II部 一般的な管理タスク
11
ユーザー・アカウントおよびアクセス権の管理
Oracle AVDF管理アカウントの概要
Audit Vault Serverの管理アカウントの構成
Oracle AVDFユーザー・アカウントの保護に関するガイドライン
Audit Vault Serverの管理アカウントの作成
Audit Vault Serverのユーザー・アカウント・タイプの変更
Audit Vault Server管理者アカウントの削除
セキュア・ターゲットまたはセキュア・ターゲット・グループへのユーザー・アクセスの管理
ユーザー・アクセスの管理の概要
ユーザーによるアクセス権の制御
セキュア・ターゲットまたはセキュア・ターゲット・グループによるアクセス権の制御
Oracle AVDFでのユーザー・パスワードの変更
推奨パスワードのガイドライン
Audit Vault Server管理者ユーザー・パスワードの変更
Database Firewall管理者パスワードの変更
12
Audit Vault ServerおよびDatabase Firewallの管理
Audit Vault Serverの設定、ステータスおよびメンテナンス操作の管理
サーバー・ステータスおよびシステム操作の確認
Audit Vault Serverの証明書および公開鍵へのアクセス
サーバー証明書へのアクセス
サーバー公開鍵へのアクセス
Audit Vault Serverの再起動および電源オフ
キーボード・レイアウトの変更
Audit Vault Serverの診断のダウンロード(AVDF 12.1.2)
監査データのアーカイブおよびリストア
アーカイブ・ジョブの開始
Oracle AVDF監査データのリストア
ジョブの監視
Audit Vault Serverのネットワーク構成またはサービス構成の変更
電子メール、syslogおよびArcSight SIEMのサーバー・コネクタの管理
プラグインの管理
サーバーの表領域の領域使用量の監視
サーバーのアーカイブ・ログのディスク領域使用量の監視
サーバーのフラッシュ・リカバリ領域の監視
AVCLIコマンドライン・インタフェースのダウンロードおよび使用
AVCLIコマンドライン・インタフェースの概要
AVCLIコマンドライン・ユーティリティのダウンロードおよびJAVA_HOMEの設定
AVCLIの起動
対話モードでのAVCLIの起動
AVCLIスクリプトの実行
AVCLIのログ・レベルの指定
AVCLIのヘルプおよびバージョン番号の表示
Oracle AVDF SDKのダウンロード
Audit Vault Serverのバックアップとリストア
Database Firewallの管理
Database Firewallのネットワーク構成またはサービス構成の変更
Database Firewallでのネットワーク・トラフィックの表示および取得
Database Firewallの再起動および電源オフ
Audit Vault ServerからのDatabase Firewallの削除
Database Firewallからの更新済証明書のフェッチ
Database Firewallの診断の表示
13
SANリポジトリの構成(AVDF 12.1.2)
SANリポジトリの構成の概要
Oracle AVDFと通信するためのSANサーバーの構成
Audit Vault ServerでのSANサーバーの登録または削除
SANサーバーの登録
SANサーバーの削除
SANサーバーでのターゲットの検出
SANのターゲットおよびディスクの概要
SANサーバーでのターゲットの検出とディスクの有効化
SANサーバーでのターゲットからのログアウト
Audit Vault ServerリポジトリでのSANディスクの追加または削除
Audit Vault Serverリポジトリ内のディスク・グループの概要
Audit Vault ServerリポジトリへのSANディスクの追加
Audit Vault ServerリポジトリからのSANディスクの削除
第III部 一般的なリファレンス
A
AVCLIコマンド・リファレンス
AVCLIコマンドの概要
エージェント・ホストのAVCLIコマンド
REGISTER HOST
ALTER HOST
LIST HOST
DROP HOST
ACTIVATE HOST
DEACTIVATE HOST
Database FirewallのAVCLIコマンド
REGISTER FIREWALL
DROP FIREWALL
LIST FIREWALL
REBOOT FIREWALL
POWEROFF FIREWALL
CREATE RESILIENT PAIR
SWAP RESILIENT PAIR
DROP RESILIENT PAIR
ALTER FIREWALL
SHOW STATUS FOR FIREWALL
強制ポイントのAVCLIコマンド
CREATE ENFORCEMENT POINT
DROP ENFORCEMENT POINT
LIST ENFORCEMENT POINT
START ENFORCEMENT POINT
STOP ENFORCEMENT POINT
ALTER ENFORCEMENT POINT
セキュア・ターゲットのAVCLIコマンド
REGISTER SECURED TARGET
ALTER SECURED TARGET
LIST ADDRESS FOR SECURED TARGET
LIST SECURED TARGET
LIST SECURED TARGET TYPE
LIST ATTRIBUTE FOR SECURED TARGET
LIST METRICS
DROP SECURED TARGET
監査証跡収集のAVCLIコマンド
START COLLECTION FOR SECURED TARGET
STOP COLLECTION FOR SECURED TARGET
LIST TRAIL FOR SECURED TARGET
DROP TRAIL FOR SECURED TARGET
SMTP接続のAVCLIコマンド
REGISTER SMTP SERVER
ALTER SMTP SERVER
ALTER SMTP SERVER ENABLE
ALTER SMTP SERVER DISABLE
ALTER SMTP SERVER SECURE MODE ON
ALTER SMTP SERVER SECURE MODE OFF
TEST SMTP SERVER
LIST ATTRIBUTE OF SMTP SERVER
DROP SMTP SERVER
セキュリティ管理のAVCLIコマンド
GRANT SUPERADMIN
REVOKE SUPERADMIN
GRANT ACCESS
REVOKE ACCESS
GRANT ADMIN
REVOKE ADMIN
SANストレージのAVCLIコマンド(AVDF 12.1.2)
REGISTER SAN SERVER
ALTER SAN SERVER
LIST TARGET FOR SAN SERVER
DROP SAN SERVER
LIST DISK
ALTER DISKGROUP
LIST DISKGROUP
LIST SAN SERVER
SHOW ISCSI INITIATOR DETAILS FOR SERVER
リモート・ファイルシステムのAVCLIコマンド(AVDF 12.1.2)
REGISTER REMOTE FILESYSTEM
ALTER REMOTE FILESYSTEM
DROP REMOTE FILESYSTEM
LIST EXPORT
LIST REMOTE FILESYSTEM
SHOW STATUS OF REMOTE FILESYSTEM
サーバー管理のAVCLIコマンド
ALTER SYSTEM SET
SHOW CERTIFICATE
DOWNLOAD LOG FILE
AVCLI収集プラグイン・コマンド
DEPLOY PLUGIN
LIST PLUGIN FOR SECURED TARGET TYPE
UNDEPLOY PLUGIN
汎用のAVCLIコマンド
CONNECT
HELP
-HELP
-VERSION
QUIT
B
プラグイン・リファレンス
Oracle AVDFプラグインの概要
Oracle AVDFの付属プラグイン
すぐに使用できるプラグインの一覧
Oracle Database
Microsoft SQL Server
Sybase ASE
Sybase SQL Anywhere
IBM DB2 for LUW
MySQL
Oracle Solaris
Oracle Linux
Microsoft Windows
Microsoft Active Directory
Oracle ACFS
各監査証跡タイプに対して収集されるデータの概要
セキュア・ターゲットに対するOracle AVDFアカウント権限用のスクリプト
Oracle AVDFアカウント権限を設定するためのスクリプトの概要
Oracle Databaseの設定スクリプト
Sybase ASEの設定スクリプト
Sybase ASEの設定スクリプトの概要
Sybase ASEセキュア・ターゲットの監査データ収集権限の設定
Sybase ASEセキュア・ターゲットのストアド・プロシージャ監査権限の設定
Sybase SQL Anywhereの設定スクリプト
Microsoft SQL Serverの設定スクリプト
SQL Serverの設定スクリプトの概要
SQL Serverセキュア・ターゲットの監査データ収集権限の設定
SQL Serverセキュア・ターゲットのストアド・プロシージャ監査権限の設定
IBM DB2 for LUWの設定スクリプト
IBM DB2 for LUWの設定スクリプトの概要
IBM DB2 for LUWの監査データ収集権限の設定
IBM DB2 for LUWセキュア・ターゲットのSPA権限の設定
MySQLの設定スクリプト
監査証跡のクリーンアップ
Oracle Database監査証跡クリーンアップ
Oracle Databaseセキュア・ターゲット監査証跡のパージの概要
自動パージ・ジョブのスケジューリング
SQL Server監査証跡クリーンアップ
MySQL監査証跡クリーンアップ
手順に関する参照情報: 接続文字列、コレクション属性、監査証跡の場所
セキュア・ターゲットの場所(接続文字列)
コレクション属性
コレクション属性の概要
Oracle Databaseのコレクション属性
IBM DB2 for LUWのコレクション属性
MySQLのコレクション属性
Oracle ACFSのコレクション属性
監査証跡の場所
C
REDOログ監査データ収集リファレンス
REDOログから収集するための推奨設定の概要
Oracle Database 11
g
リリース2 (11.2)および12
c
のセキュア・ターゲット監査パラメータの推奨事項
Oracle Database 11
g
リリース1 (11.1)のセキュア・ターゲット監査パラメータの推奨事項
Oracle Database 10
g
リリース2 (10.2)のセキュア・ターゲット監査パラメータの推奨事項
D
Audit Vault and Database Firewallで使用されるポート
Database Firewallをセキュア・ターゲット用にデプロイするときに必要となるポート
Audit Vault Serverによって提供されるサービス用のポート
Database Firewallによって提供されるサービス用のポート
Audit Vault Serverによる外部ネットワーク・アクセスのためのポート
Database Firewallによる外部ネットワーク・アクセスのためのポート
AVDFの内部TCP通信用ポート
E
Oracle Audit Vault and Database Firewallのトラブルシューティング
トラブルシューティングのヒント
Database Firewallで監視しているOracle Databaseで、一部またはすべてのトラフィックを確認できない
RPMアップグレードに失敗する
エージェントのアクティブ化リクエストで「host is not registered」というエラーが返される
セカンダリAudit Vault Serverにエージェントをデプロイできない
ホスト監視の作成またはOracle Database証跡の収集に失敗する
Windowsマシンで'java -jar agent.jar'に失敗する
Audit Vault AgentのWindowsサービスをアンインストールできない
エージェントをWindowsサービスとしてインストールしようとしたときにアクセス拒否エラーが発生する
コントロール パネルの「サービス」アプレットでエージェントを開始できない
エージェント開始時のエラー
ホスト監視の設定時のエラー
Oracle Databaseセキュア・ターゲットのアラートが長時間トリガーされない
/var/log/messagesファイルに表示されるInternal capacity exceededメッセージ
F
Audit Vaultのエラー・メッセージ
索引