プライマリ・コンテンツに移動
Oracle® Audit Vault and Database Firewall開発者ガイド
リリース12.2.0
E70387-11
目次へ移動
目次
索引へ移動
索引

前
次

A Audit Vault Serverフィールド

収集プラグインでOracle Audit Vault and Database Firewallイベントとフィールドをマップできます。

A.1 Oracle Audit Vault and Database Firewallフィールド

Oracle Audit Vault and Database Firewall値は、コア・フィールド、ラージ・フィールド、マーカー・フィールドおよび拡張フィールドから構成されます。

A.1.1 コア・フィールド

Oracle Audit Vaultで監査レコードのモニターおよびフィルタリングに使用するコア・フィールドについて学習します。

コア・フィールドは、すべてのソース・タイプの基本です。イベントの説明の中核となるものです。このフィールドは、ほとんどの監査レコードに存在し、レポート、フィルタ処理などに使用されます。

コア・フィールド定義

EventTimeUTC: 必須: イベントが発生した時間を示すタイム・スタンプ。イベントに複数のタイム・スタンプがある場合(たとえば、イベント開始タイム・スタンプとイベント終了タイム・スタンプなど)、収集プラグイン は、タイム・スタンプをこのフィールドに割り当てる必要があります。このフィールドがNULLを含む場合、Oracle Audit Vaultは収集プラグインを停止します。

UserName: 必須: 監査レコードを生成したアプリケーションまたはシステムのアクションを実行したユーザー。このフィールドがNULLを含む場合、監査レコードは無効です。

CommandClass: 必須: イベントで実行したアクション(たとえば、SELECTDELETEなど)。このフィールドがNULLを含む場合、監査レコードは無効です。

OSUserName: 監査レコードを生成したオペレーティング・システムにログインしたユーザー。ユーザーがJOHNとしてオペレーティング・システムにログインし、SCOTTとしてアクションを実行した場合、このフィールドはJOHNとなり、User NameフィールドはSCOTTとなります。

TargetType: アクションを実行したターゲット・オブジェクトのタイプ。たとえば、ユーザーが表から選択した場合、ターゲット・タイプはTABLEです。

TargetObject: アクションを実行したオブジェクトの名前。たとえば、ユーザーが表から選択した場合、Target Objectフィールドはその表の名前になります。

TargetOwner: アクションが実行されたターゲットの所有者の名前。たとえば、ユーザーがユーザーJOHNによって所有されている表から選択した場合、「ターゲット所有者」フィールドはユーザー名JOHNになります。

ClientIP: ユーザーがアクションを開始したホスト(ホスト名)のIPアドレス。

ClientId: アクションが監査されたユーザーのクライアントID。

ClientHostName: ユーザーがアクションを開始したホスト・コンピュータ。たとえば、ユーザーがサーバーのアプリケーションからアクションを実行した場合、このフィールドはそのサーバーの名前になります。

TerminalName: イベントのソースであったUNIX端末の名前。

EventName: 監査証跡からのそのままのイベント名。

EventStatus: イベントのステータス。EventStatusには、SUCCESSFAILUREおよびUNKNOWNの3つの値が使用できます。

ErrorId: アクションのエラー・コード。

ErrorMessage: アクションのエラー・メッセージ。

A.1.2 ラージ・フィールド

ラージ・フィールドは、大量のデータを任意で含むことができるフィールドです。

ラージ・フィールドでは、次を使用します。

  • CommandText: SQL文、PL/SQL文などを指定できるイベントを発生させたコマンドのテキストを含みます。これはコア・フィールドでもあります。

  • CommandParam: イベントを発生させたコマンドのパラメータを含みます。これはコア・フィールドでもあります。

A.1.3 マーカー・フィールド

レコードのマーカー・フィールド: マーカーは、証跡のレコードを一意に識別する文字列です。リカバリ・プロセス中に、Audit Vaultは、このフィールドを使用して、重複するレコードをフィルタ処理します。収集プラグインは、通常監査レコード・フィールドの連結したサブセットであるマーカー・フィールドを提供します。たとえば、Oracleデータベースでは、セッションIDおよびエントリID(セッション内の一意識別子)によりマーカーが定義されます。

A.1.4 拡張フィールド

拡張フィールドは、単一のAudit Vaultフィールド内のデリミタで区切られた名前/値ペアとしてコアまたはラージ・フィールドに対応できないフィールドを格納できます。

拡張フィールドにはCLOB列が含まれます。RLS$INFO列には、構成された行レベルのセキュリティ・ポリシーが示されます。これは、Audit Vault and Database Firewallの拡張フィールドにマップされます。この列に移入するには、ユーザーがセキュア・ターゲットのAUDIT_TRAILパラメータをDB EXTENDEDに設定する必要があります。

A.2 アクションおよびターゲット・タイプ

収集プラグインを作成する際、Oracle Audit Vaultで検出可能なターゲット・タイプとアクションを使用できます。

収集プラグインを作成している場合に、フィールドが意味的にマップされていたら、マッパー・ファイルでこれらのフィールドを使用する必要があります。それ以外の場合、独自の値を使用できます。

A.2.1 アクション

Actionフィールドは、監査レコードの生成をトリガーするユーザー・アクティビティの性質を説明します。文の動詞と似ていて、動作を説明します。

用途

監査レコードの生成をトリガーするユーザー・アクティビティの性質を説明します。

Oracle Audit Vault and Database Firewallでは、ユーザー・アクティビティが意味的にマップされている場合、監査イベントをActionフィールドの適切な値にマップすることを強くお薦めします。

許可されているアクション

Oracle Audit Vault Serverは、現在、次のアクションを認識します。

ABORT
ACCESS
ACQUIRE
ALTER
ANALYZE
APPLY
ARCHIVE
ASSIGN
ASSOCIATE
AUDIT
AUTHENTICATE
AUTHORIZE
BACKUP
BIND
BLOCK
CACHE
CALCULATE
CALL
CANCEL
CLOSE
COMMIT
COMMUNICATE
COMPARE
CONFIGURE
CONNECT
CONTROL
CONVERT
COPY
CREATE 
DDL
DEADLOCK
DELETE
DEMOTE
DENY
DENY
DISABLE
DISASSOCIATE
DISCONNECT
DML
DROP
ENABLE
EXCEED
EXECUTE
EXPIRE
EXPORT
FAIL
FILTER
FINISH
GET
GRANT
IMPORT
INHERIT
INITIALIZE
INSERT
INSTALL
INVALID
INVALIDATE
LOAD
LOCK
LOGIN
LOGOUT
MIGRATE
MOUNT
MOVE
NOAUDIT
NOTIFY
NOTIFY
OPEN
PAUSE
PROMOTE
PROXY
PUBLISH
QUARANTINE
RAISE
READ
RECEIVE
RECOVER
REDO
REFRESH
REGISTER
RELEASE
REMOTE CALL
RENAME
RENEW
REQUEST
RESET
RESTORE
RESUME
RETRIEVE
REVOKE
ROLLBACK
ROLLFORWARD
SAVEPOINT
SEARCH
SELECT
SEND
SET
START
STOP
SUBMIT
SUBSCRIBE
SUSPEND
SYNCHRONIZE
TRANSACTION MANAGEMENT
TRUNCATE
UNDO
UNINSTALL
UNKNOWN
UNLOCK
UNMOUNT
UNREGISTER
UNSUBSCRIBE
UPDATE
VALIDATE
VIOLATE
WAIT
WRITE

A.2.2 ターゲット・タイプ

TargetTypeフィールドは、ユーザー・アクションが動作するオブジェクトのタイプを説明します。ユーザー・アクションのオブジェクトを説明する名詞と似ています。

用途

ユーザー・アクションが動作するオブジェクトのタイプを説明します。

Oracle Audit Vault and Database Firewallでは、ユーザー・アクティビティが意味的にマップされている場合、監査イベントをTargetTypeフィールドの適切な値にマップすることを強くお薦めします。

許可されているオブジェクト

Oracle Audit Vault Serverは、現在、次のターゲット・タイプを認識します。

ALL TRIGGERS
APP ROLE
APPLICATION
ASSEMBLY
AUTHORIZATION
BROKER QUEING
BUFFERPOOL
CHECKPOINT
CLUSTER
CONNECTION
CONTEXT
CONTROL FILE
DATABASE
DATABASE LINK
DBA_RECYCLEBIN
DEFAULT
DIMENSION
DIRECTORY
EDITION
EVALUATION
EVENT MONITOR
EXPRESSION
FLASHBACK
FLASHBACK ARCHIVE
FUNCTION
INDEX
INDEXES
INDEXTYPE
INSTANCE
JAVA
LIBRARY
MATERIALIZED VIEW
MATERIALIZED VIEW LOG
MESSAGE
METHOD
MINING MODEL
NODE
NODEGROUP
OBJECT
OPERATOR
OUTLINE
PACKAGE
PACKAGE BODY
PRIVILEGE
PROCEDURE
PROFILE
PUBLIC DATABASE LINK
PUBLIC SYNONYM
RESOURCE COST
RESTORE POINT
REVOKE
REWRITE EQUIVALENCE
ROLE
ROLLBACK SEG
RULE
SAVEPOINT
SAVEPOINT
SCHEMA
SEQUENCE
SESSION
STATISTICS
SUBSCRIPTION
SUMMARY
SYNONYM
SYSTEM
TABLE
TABLE OR SCHEMA POLICY
TABLESPACE
TAPE
TRACE
TRANSACTION
TRIGGER
TYPE
TYPE BODY
UNKNOWN
USER
USER LOGON
USER OR PROGRAM UNIT LABEL
USER_RECYCLEBIN
VIEW