この付録には、収集プラグインでマップできるAVDFイベントおよびフィールドが含まれています。
この付録の項目は次のとおりです。
この項では、様々なタイプのAVDF値について説明します。
コア・フィールドは、すべてのソース・タイプの基本で、イベントの説明において非常に重要です。このフィールドは、ほとんどの監査レコードに存在し、レポート、フィルタ処理などに使用されます。
EventTimeUTC: 必須: イベントが発生した時間を示すタイム・スタンプ。イベントに複数のタイム・スタンプがある場合(たとえば、イベント開始タイム・スタンプとイベント終了タイム・スタンプなど)、収集プラグインは、タイム・スタンプをこのフィールドに割り当てる必要があります。このフィールドがNULL
を含む場合、Oracle Audit Vaultは収集プラグインを停止します。
UserName: 必須: 監査レコードを生成したアプリケーションまたはシステムのアクションを実行したユーザー。このフィールドがNULL
を含む場合、監査レコードは無効です。
CommandClass: 必須: イベントで実行したアクション(たとえば、SELECT
、DELETE
など)。このフィールドがNULL
を含む場合、監査レコードは無効です。「アクション」を参照してください。
OSUserName: 監査レコードを生成したオペレーティング・システムにログインしたユーザー。ユーザーがJOHN
としてオペレーティング・システムにログインし、SCOTT
としてアクションを実行した場合、このフィールドはJOHN
となり、User NameフィールドはSCOTT
となります。
TargetType: アクションを実行したターゲット・オブジェクトのタイプ。たとえば、ユーザーが表から選択した場合、ターゲット・タイプはTABLE
です。「ターゲット・タイプ」を参照してください。
TargetObject: アクションを実行したオブジェクトの名前。たとえば、ユーザーが表から選択した場合、Target Objectフィールドはその表の名前になります。
TargetOwner: アクションが実行されたターゲットの所有者の名前。たとえば、ユーザーがユーザーJOHN
によって所有されている表から選択した場合、「ターゲット所有者」フィールドはユーザー名JOHN
になります。
ClientIP: ユーザーがアクションを開始したホスト(ホスト名)のIPアドレス。
ClientHostName: ユーザーがアクションを開始したホスト・コンピュータ。たとえば、ユーザーがサーバーのアプリケーションからアクションを実行した場合、このフィールドはそのサーバーの名前になります。
EventName: 監査証跡からのそのままのイベント名。
EventStatus: イベントのステータス。EventStatus
には、SUCCESS
、FAILURE
およびUNKNOWN
の3つの値が使用できます。
ErrorId: アクションのエラー・コード。
ErrorMessage: アクションのエラー・メッセージ。
CommandText: SQL文、PL/SQL文などを指定できるイベントを発生させたコマンドのテキストを含みます。これはラージ・フィールドでもあります。
CommandParam: イベントを発生させたコマンドのパラメータを含みます。これはラージ・フィールドでもあります。
ラージ・フィールドは、大量のデータを任意で含むことができるフィールドです。
ラージ・フィールドでは、次を使用します。
CommandText: SQL文、PL/SQL文などを指定できるイベントを発生させたコマンドのテキストを含みます。これはコア・フィールドでもあります。
CommandParam: イベントを発生させたコマンドのパラメータを含みます。これはコア・フィールドでもあります。
レコードのマーカー・フィールド: マーカーは、証跡のレコードを一意に識別する文字列です。リカバリ・プロセス中に、Audit Vaultは、このフィールドを使用して、重複するレコードをフィルタ処理します。収集プラグインは、通常監査レコード・フィールドの連結したサブセットであるマーカー・フィールドを提供します。たとえば、Oracleデータベースでは、セッションIDおよびエントリID(セッション内の一意識別子)によりマーカーが定義されます。
この項には、Audit Vaultが認識するターゲット・タイプおよびアクションのリストが含まれます。収集プラグインを作成している場合に、フィールドが意味的にマップされていたら、マッパー・ファイルでこれらのフィールドを使用する必要があります。それ以外の場合、独自の値を使用できます。
この項の内容は次のとおりです。
Actionフィールドは、監査レコードの生成をトリガーするユーザー・アクティビティの性質を説明します。文の動詞と似ていて、動作を説明します。
Oracle Audit Vault and Database Firewallでは、ユーザー・アクティビティが意味的にマップされている場合、監査イベントをActionフィールドの適切な値にマップすることを強くお薦めします。Audit Vault Serverは、現在、次のアクションを認識します。
作成
読取り
選択
挿入
削除
除去
切捨て
更新
変更
実行
通信
設定
取得
確認
ログオン
ログオフ
認可
違反
獲得
リリース
有効化
無効化
バックアップ
リストア
オープン
クローズ
適用
付与
失効
拒否
一時停止
再開
コミット
セーブポイント
チェックポイント
ロールバック
ロールフォワード
コピー
移動
名前変更
分析
監査
監査なし
移行
検証
起動
停止
アンマウント
マウント
無効
関連付け
関連付け解除
拒否
プロキシ
初期化
不明
サブスクライブ
サブスクライブ解除
ユーザー構成可能イベント
DDL
制御
元に戻す
アクセス
デッドロック
DML
トランザクション制御
TargetType
フィールドは、ユーザー・アクションが動作するオブジェクトのタイプを説明します。ユーザー・アクションのオブジェクトを説明する名詞と似ています。
Oracle Audit Vault and Database Firewallでは、ユーザー・アクティビティが意味的にマップされている場合、監査イベントをTargetType
フィールドの適切な値にマップすることを強くお薦めします。
Audit Vault Serverは、現在、次のターゲット・タイプを認識します。
DATABASE
OBJECT
OPERATOR
OUTLINE
PROCEDURE
PUBLIC DATABASE LINK
TYPE BODY
CONTROL FILE
FLASHBACK
BROKER QUEING
BUFFERPOOL
SCHEMA
SYSTEM
TRIGGER
PRIVILEGE
EVENT MONITOR
RULE
EVALUATION
USER
STATISTICS
METHOD
CONTEXT
MESSAGE
VIEW
CONNECTION
TAPE
SAVEPOINT
USER OR PROGRAM UNIT LABEL
APP ROLE
EDITION
FLASHBACK ARCHIVE
MATERIALIZED VIEW LOG
NODEGROUP
PACKAGE BODY
RESOURCE COST
ROLE
INDEXTYPE
USER_RECYCLEBIN
SAVEPOINT
ASSEMBLY
CLUSTER
FUNCTION
JAVA
MINING MODEL
PUBLIC SYNONYM
REWRITE EQUIVALENCE
SEQUENCE
SUMMARY
DEFAULT
AUTHORIZATION
INSTANCE
NODE
CHECKPOINT
EXPRESSION
DATABASE LINK
DIMENSION
INDEX
PACKAGE
SYNONYM
TABLE
TABLESPACE
TYPE
DIRECTORY
LIBRARY
RESTORE POINT
ALL TRIGGERS
APPLICATION
TRANSACTION
USER LOGON
REVOKE
UNKNOWN
MATERIALIZED VIEW
SESSION
TABLE OR SCHEMA POLICY
INDEXES
PROFILE
ROLLBACK SEG
TRACE
DBA_RECYCLEBIN
SUBSCRIPTION