8.7 Oracle Access Managementの監査の設定

Oracle Access Managementの監査を実行する前に、監査データ・ストアを設定して監査レポートの公開を設定することを確認します。

次の概要には、監査の前に実行しておく必要があるタスクのリストを示します。

1. 監査データ・ストアを設定します。

   「監査データベース・ストアの設定」を参照してください。

2. 監査レポートの発行を設定します。

   「Oracle Business Intelligence Publisher EEの準備」を参照してください。

3. 次のトピックの説明に従って、Oracle Access Managementコンソールで監査構成を編集します。

   • 監査構成のためのOracle Access Managementコンソールの使用

   • 監査設定の追加、表示、または編集

監査構成をテストおよび検証する方法の詳細は、「監査とレポートの検証」を参照してください。

8.7.1 監査データベース・ストアの設定

ここでは、監査データベースを作成し、リポジトリ作成ユーティリティ(RCU)を使用してスキーマを拡張するために必要なタスクの概要を示します。

監査データをデータベースに保存するよう選択した場合、Oracle Access Managementのイベントを監査できるようにするにはこのタスクが必要になります。

関連項目:

• 監査ストアの管理方法の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』を参照してください。

• Oracle Fusion Middleware Repository Creation Utilityユーザーズ・ガイド

監査データベース・ストアを作成するには、次のようにします。

1. 監査データベース(リリース11.1.0.7以降)を作成します。

   『Oracle Platform Security Servicesによるアプリケーションの保護』を参照してください。

2. データベースに対してRCUを実行します。

   『Oracle Fusion Middleware Repository Creation Utilityユーザーズ・ガイド』のRCUを使用した監査スキーマの作成に関する項を参照してください。

3. 監査ローダーの監査データ・ソースを設定し、OAMサーバー用に構成します。

   『Oracle Platform Security Servicesによるアプリケーションの保護』の監査データ・ソースの設定に関する項を参照してください。

   • WebLogic Server用のJava EE監査ローダー構成を使用

   • 前述のステップ2で設定したデータベースを参照するデータ・ソースjdbc/AuditDBのJNDI名を使用

4. ドメイン・ファイル($DOMAIN_HOME/config/fmwconfig/jps-config.xml)に指定されたサービス・インスタンス内で、プロパティaudit.loader.repositoryTypeの値をDBに変更することによって、データベース監査を有効にします。次に例を示します。

   <serviceInstance name="audit.db" provider="audit.provider">
      <property name="audit.loader.repositoryType" value="DB"/>
      <property name="auditstore.type" value="db"/>
      <property name="audit.loader.jndi" value="jdbc/AuditDB"/>
      <property name="audit.maxDirSize" value="0"/>
      <property name="audit.filterPreset" value="None"/>
      <property name="audit.maxFileSize" value="104857600"/>
      <property name="audit.loader.interval" value="15"/>
      <propertySetRef ref="props.db.1"/>
   </serviceInstance>
   

5. WebLogic Serverを再起動します。
6. 『Oracle Platform Security Servicesによるアプリケーションの保護』のJavaコンポーネント用のデータベース監査データ・ストアの構成に関する項の説明に従って、監査ローダーがOAMサーバー用に構成されていることと、そのローダーが適切なデータベースを参照していることを確認します。
7. 『Oracle Platform Security Servicesによるアプリケーションの保護』のバスストップ・ファイルのチューニングに関する項に従って、バスストップ・ファイルのメンテナンスを行います。

8.7.2 Oracle Business Intelligence Publisher EEの準備

Oracle Business Intelligence Publisher Enterprise Edition (EE)をOracle Access Managementの監査レポートとともに使用するには、準備する必要があります。

ここでは、Oracle Business Intelligence Publisher EEを準備する手順を概説します。

関連項目:

• Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド

• 『Oracle Fusion Middleware Developer's Guide for Oracle Business Intelligence Enterprise Edition』

• Oracle Platform Security Servicesによるアプリケーションの保護

Oracle Business Intelligence Publisherを準備するには、次のようにします。

1. Oracle BI Publisherをインストールします。

   『Oracle Business Intelligence Enterprise Edition Installation and Upgrade Guide』を参照してください。

2. 次のタスクを実行します。

   『Oracle Platform Security Servicesによるアプリケーションの保護』のOracle Business Intelligence PublisherでのOracle Reportsの設定に関する項を参照してください。

   • レポート・フォルダにoam_audit_reports_11_1_2_0_0.zipを解凍します。

     このzipファイルは、$ORACLE_HOME/oam/server/reports/ディレクトリにあります。

   • AuditReportTemplates.jarをレポート・フォルダに解凍します。

     AuditReportTemplates.jarは、$MW_ORA_HOME/oracle_common/modules/oracle.iau_11.1.1/reports/ディレクトリにあります。

   • 監査データ・ソースのJNDI接続または監査データベースのJDBC接続を設定します。

     データソース名は、Auditにする必要があります。

3. 『Oracle Platform Security Servicesによるアプリケーションの保護』の監査レポート・テンプレートの設定に関する項の説明に従って、監査レポート・テンプレートを設定します。
4. 『Oracle Platform Security Servicesによるアプリケーションの保護』の監査レポート・フィルタの設定に関する項の説明に従って、監査レポート・フィルタを設定します。
5. 次のパスからレポートを表示します: Reports/Oracle_Fusion_Middleware_Audit reports

   関連項目:

   監査とレポートの検証

8.7.3 監査構成のためのOracle Access Managementコンソールの使用

Oracle Access Management内では、特定の「監査構成」設定には「システム構成」の「共通設定」でアクセスできます。データベースに対して監査を行なう時は、これらの設定は必要ありません。

図8-2は、「共通設定」ページの「監査構成」セクションを示しています。

図8-2 「共通設定」: 「監査構成」

「図8-2 「共通設定」: 「監査構成」」の説明

「監査中」セクションには、「ログ・ディレクトリ」、「フィルタ設定」、および「監査構成」の「ユーザー」に対する設定が表示されます。

ノート:

実際のログ・ディレクトリは、Oracle Access Managementコンソールを使用して構成できません。これは、共通監査フレームワークの監査ローダーのデフォルト・ディレクトリです。このディレクトリの変更は監査ローダーに影響が及ぶため、サポートされません。

「監査構成」ページの要素を表8-13に示します。

表8-13 監査構成要素

要素	説明
最大ディレクトリ・サイズ	監査出力ファイルが格納されるディレクトリの最大サイズ(MB)。たとえば最大ファイル・サイズが10であるとすると、このパラメータの値を100にした場合はそのディレクトリに最大10個のファイルを格納できることになります。最大ディレクトリ・サイズに達すると、監査ロギングは停止します。 たとえば値を100とすると、ファイル・サイズが10MBの場合は最大10ファイルと指定したことになります。サイズがこの値を超えると、監査ログ・ファイルの作成は停止します。 これは、構成ファイルjps-config.xmlに記述されたmax.DirSizeプロパティを使って構成されます。このプロパティは、『Oracle Platform Security Servicesによるアプリケーションの保護』の説明に従って、Javaコンポーネントのバスストップ・ディレクトリの最大サイズを制御します。
最大ファイル・サイズ	監査ログ・ファイルの最大サイズ(MB)。ファイルのサイズが最大サイズに達すると、新しいログ・ファイルが作成されます。たとえば値を10に指定すると、ファイル・サイズが10MBに達した時点でファイル・ローテーションが指示されます。 これは、構成ファイルjps-config.xmlに記述されたmax.fileSizeプロパティを使って構成されます。このプロパティは、『Oracle Platform Security Servicesによるアプリケーションの保護』の説明に従って、Javaコンポーネントのバスストップ・ファイルの最大サイズを制御します。
フィルタ有効	イベント・フィルタリングを有効にするにはこのボックスを選択します。
フィルタ・プリセット	フィルタを有効にしたときにログに記録される情報の量とタイプを定義します。デフォルト値は「低」です。 「すべて」: 監査可能なすべてのOAMイベントを取得して記録します。 「低」: 監査可能なOAMイベントの特定セットを取得して記録します。 「中」: 「低」設定の対象となるイベントと他のいくつかの監査可能OAMイベントを取得して記録します。 「なし」: OAMイベントの取得と記録を行いません。 各フィルタ・プリセットのイベントは、読取専用のcomponent_events.xmlファイル内に指定されています。Oracle Access Managementでは、このファイルの編集やカスタマイズはサポートされていません。指定されたフィルタ・プリセットに監査対象として構成された項目だけが監査可能です。
ユーザー	フィルタが有効になったときだけアクションが含められるユーザーのリストを指定します。特別なユーザーのアクションは、フィルタ・プリセットにかかわらずすべて監査されます。管理者は、この表の特別なユーザーを追加、削除、または編集することができます。

8.7.4 監査設定の追加、表示、または編集

管理者は、「OAMサーバー共通プロパティ」ページの「監査構成」タブでフィルタ・プリセットを選択することによって、記録される情報の量とタイプを制御します。

ノート:

各フィルタ・プリセットの監査可能イベントは、読取専用のcomponent_events.xmlファイル内に指定されています。このファイルをカスタマイズしたり編集したりすることはできません。

次の手順では、OAMサーバー共通監査構成の設定を追加、表示または編集する方法を示します。Fusion Middleware Controlを使用して個々の管理ポリシーを構成することはできません。Oracle Access Managementは、監査構成でJPSインフラストラクチャを使用しません。監査用のWebLogic Scripting Tool (WLST)コマンドはありません。

1. Oracle Access Managementコンソールで、ウィンドウの上部にある「構成」をクリックします。
2. 「設定」セクションで、「表示」メニューから「共通設定」を選択します。
3. 「監査構成」セクションで、使用環境の詳細を正しく入力します(表8-13を参照)。

   • 最大ログ・ディレクトリ・サイズ

   • 最大ログ・ファイル・サイズ

   • フィルタ有効

   • フィルタ・プリセット(監査データの冗長性を定義)

   • 監査から特定のユーザーを含めるための「ユーザー」。「ユーザー」表の上の「追加」(+)ボタンをクリックしてフィールドに値を入力します。

4. 「適用」をクリックして、「監査構成」を送信します(または変更を適用しないでページを閉じます)。
5. AdminServerおよびOAMサーバーを、変更が適用された後で再起動します。