| Oracle® Audit Vault and Database Firewall管理者ガイド リリース12.1.2 B71711-11 |
|
 前 |
 次 |
ここでのトピック
問題
Database Firewallで監視しているOracle Databaseのレポートで、すべてまたは一部のトラフィックを確認できません。
解決方法
次の手順を実行し、問題の原因を確認してください。
Audit Vault Serverで、時間帯を含め、レポート・フィルタが正しく設定されていることを確認します。
Database Firewallのシステム時間が、Audit Vault Serverおよびセキュア・ターゲット・システムの時間と同期していることを確認します。
ファイアウォールのライブ取得ユーティリティを使用して、セキュア・ターゲットのネットワーク・トラフィックをDatabase Firewallが認識できていることを確認します。「Database Firewallでのネットワーク・トラフィックの表示および取得」を参照してください。
Oracle Databaseサービス名またはSIDが正しく使用されていることを確認します。このセキュア・ターゲットの強制ポイントの設定にOracle Databaseサービス名を使用した場合は、そのサービス名のトラフィックのみ表示されます。すべてのトラフィックを表示するには、強制ポイントの設定からサービス名を削除します。
強制ポイントにサービス名を入力している場合で、トラフィックが一切表示されない場合は、強制ポイントの設定に正しくサービス名が入力されていることを確認します。
DAMモードを使用するように設定した強制ポイントでは、データベースへの既存のクライアント接続のトラフィックがDatabase Firewallにより監視されることがあります。このような接続はDatabase Firewallをデプロイする前から存在しているため、強制ポイントで指定したサービス名を検出できません。この場合、データベースへのクライアント接続を再起動します。
強制ポイントの詳細は、「強制ポイントの構成」を参照してください。
適切なDatabase Firewallポリシーがデプロイされていることを確認します。ファイアウォール・ポリシーの編集およびデプロイの詳細は、『Oracle Audit Vault and Database Firewall監査者ガイド』を参照してください。
問題
error: %post(dbfw-mgmtsvr-###) scriptlet failed, exit status 1
解決方法
少なくとも10MBの空き容量が/tmpにあることを確認します。
新しいRPMを削除します。
rpm -e dbfw-mgmtsvr-###
アップグレードを再試行します。
問題
次の2つのコマンドを使用して、Audit Vault Agentのホスト・コンピュータ(エージェントのデプロイ先)を登録し、Audit Vault Agentのアクティブ化を要求しようとしました。
Audit Vault Serverから:
avcli> register host 'host_name'
ホスト・コンピュータから:
agentctl activate
しかし、agentctl activateコマンドから、Agent host is not registeredというメッセージが返されます。
解決方法
エージェント・ホストがマルチホームである可能性があります。この場合、エージェントのホスト名からIPアドレスへの解決で、そのエージェントがAVサーバーへの接続時に使用していないNIC/IPに解決されることがあります。この問題を解決するには、with ipオプションを使用してエージェント・ホストを登録し、エージェントのアクティブ化を再試行します。
Audit Vault Serverで次のコマンドを使用します。
avcli> register host 'host_name' with ip 'host_ip_address'
問題が継続する場合は、エージェント・ホストからAudit Vaultサーバーに接続する際のデータベース・セッションで使用されているIPアドレスを、次のコマンドを使用して確認します。
sqlplus username/password@"(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=Audit_Vault_Server_IP)(PORT=1521))(CONNECT_DATA= (SERVICE_NAME=dbfwdb)))"
sqlplus> select SYS_CONTEXT('USERENV','IP_ADDRESS') from dual;
この問合せで得たIPアドレスを使用してホストを登録します。
問題
高可用性ペアのセカンダリAudit Vault ServerにAudit Vault Agentをデプロイしようとすると、ホストが登録されていないというエラーが発生します。
原因
高可用性のために2つのAudit Vault Serverをペアにした後、Audit Vault Agentデプロイメントを含むペアのプライマリ・サーバーに対してのみすべての構成を実行します。「ステップ3: Audit Vault Serverの高可用性ペアの起動」を参照してください。
問題
この問題は次のような様々な症状で現れます。
Oracle Databaseセキュア・ターゲットから監査データを収集しようとしたときに、操作に失敗します。
Audit Vault AgentからAudit Vault Serverに接続できません。
監査証跡が開始しません。
解決方法
次を除くすべての環境変数の設定を解除します。
PATH
TERM
PS1
LANG
LC_*
JAVA_HOME
その後、ホスト・マシンでjava -jar agent.jarコマンドを再実行します。手順は、「ホスト・コンピュータでのAudit Vault Agentのデプロイ」を参照してください。
Linux環境にAudit Vault Agentをデプロイした場合、ホスト・マシン名が/etc/hostsファイルに存在することを確認します。
問題
Windowsセキュア・ターゲット・マシンでコマンドjava -jar agent.jarに失敗し、Audit Vault Agentサービスのインストール/アンインストールに失敗したことがログ・ファイルに記録されます。
解決方法
エージェントの登録解除の手順は、「Audit Vault AgentのWindowsサービスとしての登録または登録解除」を参照してください。
方法1に失敗した場合は、方法2を試します。
java -jar agent.jarコマンドを再実行します。
エージェントの登録解除の手順は、「Audit Vault AgentのWindowsサービスとしての登録または登録解除」を参照してください。
方法1に失敗した場合は、方法2を試します。
問題
Audit Vault AgentをWindowsにインストールしようとしたときにエラーが発生し、AGENT_HOME\av\log\av.agent.prunsvrログ・ファイルに次のエラーが記録されます。
[2013-05-02 11:55:53] [info] Commons Daemon procrun (1.0.6.0 32-bit) started [2013-05-02 11:55:53] [error] Unable to open the Service Manager [2013-05-02 11:55:53] [error] Access is denied. [2013-05-02 11:55:53] [error] Commons Daemon procrun failed with exit value: 7 (Failed to ) [2013-05-02 11:55:53] [error] Access is denied.
解決方法
このメッセージはログイン・ユーザーにAudit Vault AgentをWindowsサービスとしてインストールする権限がないことを意味しています。このメッセージが表示された場合は、「管理者として実行」オプションを指定してコマンド・シェルを起動し、そのコマンド・シェルでjava -jar agent.jarを実行します。
問題
java -jar agent.jarコマンドを使用してAudit Vault Agentをインストールしました。
Audit Vault Agentをアクティブ化しました。
agentctl start -k keyコマンドを使用してAudit Vault Agentを開始しました。
エージェントが起動し、RUNNING状態になりました。
Audit Vault Agentを停止しました。
Windowsコントロール パネルの「サービス」アプレットでAudit Vault Agentを開始しようとしました。
Audit Vault Agentでエラーが発生しました。
解決方法
これは、Audit Vault Agentが使用しているWindowsアカウントに、Audit Vault Serverへの接続権限がないことを意味しています。
次の手順を実行してください。
「コントロール パネル」、「サービス」アプレットに移動します。
Oracle Audit Vault Agentサービスを選択します。
右クリックして「プロパティ」メニューを選択します。
「ログオン」タブをクリックします。
「アカウント:」を選択し、有効なアカウント名とパスワードを入力します。
保存して終了します。
「サービス」アプレットからAudit Vault Agentを開始します。
問題
Audit Vault Agentのインストール後、OracleAVAgent Windowsサービスのプロパティの「ログオン」タブでユーザー名とパスワードを設定しました。OracleAVAgentサービスを開始しようとすると、Agent_Home\av\log\av.agent.prunsvr.date.logファイルに次のエラーが記録されます。
[info] Commons Daemon procrun (1.0.6.0 32-bit) started [info] Running 'OracleAVAgent' Service... [info] Starting service... [error] Failed creating java [error] ServiceStart returned 1 [info] Run service finished. [info] Commons Daemon procrun finished
解決方法
これは、OracleAVAgentサービスがJavaプロセスを起動できないことを意味しています。次の方法を試してみてください。
システムからすべてのJDKまたはJRE(あるいはその両方)をアンインストールします。
JDK SEまたはJREを再インストールし、OracleAVAgentサービスを開始します。
問題が解決しない場合は、32ビットのJDK SEまたはJREをインストールし、OracleAVAgentサービスを開始します。
問題
ホスト監視を設定しています。コマンドbin/hostmonsetup installを実行すると、次のエラーが表示されます。
[root@dbsec1 av]# bin/hostmonsetup install
/usr/bin/ld: cannot find -lpcap
collect2: ld returned 1 exit status
make: *** [hostmonitor] Error 1
Line 105: Failed to generate executables for Host monitor.
解決方法
これは、ホスト監視に必要なライブラリがホスト・コンピュータにないことを意味しています。「ホスト監視の前提条件」に記載されている必須ライブラリをインストールします。
問題
Oracle Databaseセキュア・ターゲットをXMLファイルに監査するように構成し、Oracle AVDFでタイプDIRECTORYの監査証跡を構成し、アラートを特定のイベントでトリガーされるように構成しました。長時間経過しましたが、アラートがトリガーされません。
解決方法
この問題は、Oracle Databaseセキュア・ターゲットが監査レコードをファイルにすぐにフラッシュしない場合に発生することがあります。サポート・ノート「1358183.1 Audit Files Are Not Immediately Flushed To Disk」にアクセスするため、Oracleサポートに連絡してください。
問題
想定されるトラフィックの一部がDBFWによって取得または記録されず、"Internal capacity exceeded"というテキストを含むエラー・メッセージが/var/log/messagesファイルに表示されます。
解決策1
MAXIMUM_ENFORCEMENT_POINT_THREADSコレクション属性の設定によって、問題が発生するセキュア・ターゲットの使用可能な処理リソースを増やします。詳細は、セキュア・ターゲットの登録を参照してください。
解決策2
DBFWのプロセス間通信に使用されるバッファのサイズを増やして、スループットを向上させることができます。ただし、関連するプロセスによって割り当てられるメモリー量も増加します。この設定はMB単位で行うことに注意してください。デフォルト値は16です。この値の構成を変更するには、次の手順を実行します。
rootユーザーとしてDBFWコンソールにログインします。
/usr/local/dbfw/etc/dbfw.confファイルを編集します。キーIPC_PRIMARY_BUF_SIZE_MBを持つエントリを探します。存在する場合は、その行を変更します。存在しない場合は、IPC_PRIMARY_BUF_SIZE_MBで始まる新しい行を追加します。
IPC_PRIMARY_BUF_SIZE_MB行を変更して、必要なバッファ・サイズを反映します。たとえば、バッファ・サイズを24MBに変更する場合、構成行はIPC_PRIMARY_BUF_SIZE_MB="24"になります。変更を保存します。
新しい設定が使用されるように、コマンドライン/etc/init.d/dbfw restartを使用してDBFWプロセスを再起動します。
プロセス間通信バッファの最大サイズを変更するために使用できる2つ目の設定もあります。単位はMB、デフォルト値は64MBです。この値の構成を変更するには、次の手順を実行します。
rootユーザーとしてDBFWコンソールにログインします。
/var/dbfw/va/N/etc/appliance.confファイルを編集します(Nは該当する強制ポイントの番号です)。キーIPC_BUF_SIZ_MBを持つエントリを探します。存在する場合は、その行を変更します。存在しない場合は、IPC_BUF_SIZ_MBで始まる新しい行を追加します。
IPC_BUF_SIZ_MBを変更して、目的の最大バッファ・サイズを反映します。たとえば、バッファ・サイズを80MBに変更する場合、構成行はIPC_BUF_SIZ_MB="80"になります。変更を保存します。
新しい設定が使用されるように、コマンドライン/etc/init.d/dbfw restartを使用してDBFWプロセスを再起動します。
問題が解決せず、前述の設定を変更した後もInternal capacity exceededエラーが発生する場合は、サポートによる詳細な調査が必要です。次の手順を実行します。
rootユーザーとしてDBFWコンソールにログインします。
/usr/local/dbfw/etc/logging.confファイルを編集します
log4j.logger.com.oracle.dbfw.Metrics=ERROR行を見つけます
log4j.logger.com.oracle.dbfw.Metrics=ERROR行の先頭に#文字を入力して、この行をコメントアウトします。変更を保存します。
新しい設定が使用されるように、コマンドライン/etc/init.d/dbfw restartを使用してDBFWプロセスを再起動します
Internal capacity exceededエラーが発生しても、負荷がかかった状態でDBFWを数時間実行したままにします。
この期間の後、MOSノートAudit Vault Serverから診断ログを収集する方法(Doc ID 2144813.1)の説明に従ってDBFWの診断出力を取得します。診断出力を詳しく分析するためにサポートに提供します。
