Oracle Audit Vault and Database Firewall を使用した監査レコードの格納および分析

Oracle Solaris システムの監査イベントは、Oracle Audit Vault and Database Firewall リリース 12.1.0.0 に組み込むことができます。Oracle Audit Vault and Database Firewall では、Oracle および Oracle 以外のデータベースからの監査データの統合およびモニタリングが自動化されます。その後、Oracle Audit Vault and Database Firewall を使用して、Oracle Solaris システム上で監査対象イベントを分析およびレポートできます。詳細は、Oracle Audit Vault and Database Firewall (http://www.oracle.com/technetwork/products/audit-vault/overview/index.html)を参照してください。

次の図は、指定したセキュリティー保護されたターゲットから Oracle Solaris 監査レコードを収集する Oracle Audit Vault and Database Firewall の動作を示しています。セキュリティー保護されたターゲットは、監査レコードまたはデータが格納される任意のシステムです。

図 2  Oracle Solaris と Audit Vault

ホストシステムは、Oracle Audit Vault and Database Firewall と通信する AV エージェントを実行するために指定されています。エージェントを使用すると、Oracle Audit Vault and Database Firewall がセキュリティー保護されたターゲットから監査データを受信して、処理できます。エージェントは、セキュリティー保護されたターゲット上で指定された監査トレールから監査レコードを読み取ります。これらの監査レコードは、ネイティブのバイナリ形式でエンコードされます。エージェントは、データを Oracle Audit Vault and Database Firewall で解析可能な形式に変換します。Oracle Audit Vault and Database Firewall はデータを受信し、必要に応じて、管理者およびセキュリティーマネージャー用のレポートを生成します。

エージェントは、個別のシステムの代わりに、セキュリティー保護されたターゲットにインストールできます。エージェントを使用した複数のシステムを構成して、Audit Vault サーバーに接続することもできます。ただし、監査データを取得するには、セキュリティー保護されたターゲットを登録するときに、AV サーバーが通信する特定のシステムを指定します。

Oracle Solaris でセキュリティー保護されたターゲットと Oracle Solaris 以外でセキュリティー保護されたターゲットの両方からの監査レコードを受け入れるように Oracle Audit Vault and Database Firewall を構成するには、指定したホストシステム上にエージェントがインストールされ、アクティブになっていることを確認します。詳細は、Oracle Audit Vault and Database Firewall のドキュメント (http://www.oracle.com/technetwork/database/database-technologies/audit-vault-and-database-firewall/documentation/index.html) を参照してください。