収集プラグインでOracle Audit Vault and Database Firewallイベントとフィールドをマップできます。
Oracle Audit Vault and Database Firewall値は、コア・フィールド、ラージ・フィールド、マーカー・フィールドおよび拡張フィールドから構成されます。
親トピック: Audit Vault Serverフィールド
Oracle Audit Vaultで監査レコードのモニターおよびフィルタリングに使用するコア・フィールドについて学習します。
コア・フィールドは、すべてのソース・タイプの基本です。イベントの説明の中核となるものです。このフィールドは、ほとんどの監査レコードに存在し、レポート、フィルタ処理などに使用されます。
コア・フィールド定義
EventTimeUTC: 必須: イベントが発生した時間を示すタイム・スタンプ。イベントに複数のタイム・スタンプがある場合(たとえば、イベント開始タイム・スタンプとイベント終了タイム・スタンプなど)、収集プラグイン は、タイム・スタンプをこのフィールドに割り当てる必要があります。このフィールドがNULL
を含む場合、Oracle Audit Vaultは収集プラグインを停止します。
UserName: 必須: 監査レコードを生成したアプリケーションまたはシステムのアクションを実行したユーザー。このフィールドがNULL
を含む場合、監査レコードは無効です。
CommandClass: 必須: イベントで実行したアクション(たとえば、SELECT
、DELETE
など)。このフィールドがNULL
を含む場合、監査レコードは無効です。
OSUserName: 監査レコードを生成したオペレーティング・システムにログインしたユーザー。ユーザーがJOHN
としてオペレーティング・システムにログインし、SCOTT
としてアクションを実行した場合、このフィールドはJOHN
となり、User NameフィールドはSCOTT
となります。
TargetType: アクションを実行したターゲット・オブジェクトのタイプ。たとえば、ユーザーが表から選択した場合、ターゲット・タイプはTABLE
です。
TargetObject: アクションを実行したオブジェクトの名前。たとえば、ユーザーが表から選択した場合、Target Objectフィールドはその表の名前になります。
TargetOwner: アクションが実行されたターゲットの所有者の名前。たとえば、ユーザーがユーザーJOHN
によって所有されている表から選択した場合、「ターゲット所有者」フィールドはユーザー名JOHN
になります。
ClientIP: ユーザーがアクションを開始したホスト(ホスト名)のIPアドレス。
ClientId: アクションが監査されたユーザーのクライアントID。
ClientHostName: ユーザーがアクションを開始したホスト・コンピュータ。たとえば、ユーザーがサーバーのアプリケーションからアクションを実行した場合、このフィールドはそのサーバーの名前になります。
TerminalName: イベントのソースであったUNIX端末の名前。
EventName: 監査証跡からのそのままのイベント名。
EventStatus: イベントのステータス。EventStatus
には、SUCCESS
、FAILURE
およびUNKNOWN
の3つの値が使用できます。
ErrorId: アクションのエラー・コード。
ErrorMessage: アクションのエラー・メッセージ。
ラージ・フィールドは、大量のデータを任意で含むことができるフィールドです。
ラージ・フィールドでは、次を使用します。
CommandText: SQL文、PL/SQL文などを指定できるイベントを発生させたコマンドのテキストを含みます。これはコア・フィールドでもあります。
CommandParam: イベントを発生させたコマンドのパラメータを含みます。これはコア・フィールドでもあります。
レコードのマーカー・フィールド: マーカーは、証跡のレコードを一意に識別する文字列です。リカバリ・プロセス中に、Audit Vaultは、このフィールドを使用して、重複するレコードをフィルタ処理します。収集プラグインは、通常監査レコード・フィールドの連結したサブセットであるマーカー・フィールドを提供します。たとえば、Oracleデータベースでは、セッションIDおよびエントリID(セッション内の一意識別子)によりマーカーが定義されます。
収集プラグインを作成する際、Oracle Audit Vaultで検出可能なターゲット・タイプとアクションを使用できます。
収集プラグインを作成している場合に、フィールドが意味的にマップされていたら、マッパー・ファイルでこれらのフィールドを使用する必要があります。それ以外の場合、独自の値を使用できます。
「ターゲット・タイプ」
フィールドは、ユーザー・アクションが動作するオブジェクトのタイプを説明します。ユーザー・アクションのオブジェクトを説明する名詞と似ています。親トピック: Audit Vault Serverフィールド
Actionフィールドは、監査レコードの生成をトリガーするユーザー・アクティビティの性質を説明します。文の動詞と似ていて、動作を説明します。
用途
監査レコードの生成をトリガーするユーザー・アクティビティの性質を説明します。
Oracle Audit Vault and Database Firewallでは、ユーザー・アクティビティが意味的にマップされている場合、監査イベントをActionフィールドの適切な値にマップすることを強くお薦めします。
許可されているアクション
Oracle Audit Vault Serverは、現在、次のアクションを認識します。
ABORT ACCESS ACQUIRE ALTER ANALYZE APPLY ARCHIVE ASSIGN ASSOCIATE AUDIT AUTHENTICATE AUTHORIZE BACKUP BIND BLOCK CACHE CALCULATE CALL CANCEL CLOSE COMMIT COMMUNICATE COMPARE CONFIGURE CONNECT CONTROL CONVERT COPY CREATE DDL DEADLOCK DELETE DEMOTE DENY DENY DISABLE DISASSOCIATE DISCONNECT DML DROP ENABLE EXCEED EXECUTE EXPIRE EXPORT FAIL FILTER FINISH GET GRANT IMPORT INHERIT INITIALIZE INSERT INSTALL INVALID INVALIDATE LOAD LOCK LOGIN LOGOUT MIGRATE MOUNT MOVE NOAUDIT NOTIFY NOTIFY OPEN PAUSE PROMOTE PROXY PUBLISH QUARANTINE RAISE READ RECEIVE RECOVER REDO REFRESH REGISTER RELEASE REMOTE CALL RENAME RENEW REQUEST RESET RESTORE RESUME RETRIEVE REVOKE ROLLBACK ROLLFORWARD SAVEPOINT SEARCH SELECT SEND SET START STOP SUBMIT SUBSCRIBE SUSPEND SYNCHRONIZE TRANSACTION MANAGEMENT TRUNCATE UNDO UNINSTALL UNKNOWN UNLOCK UNMOUNT UNREGISTER UNSUBSCRIBE UPDATE VALIDATE VIOLATE WAIT WRITE
親トピック: アクションおよびターゲット・タイプ
TargetType
フィールドは、ユーザー・アクションが動作するオブジェクトのタイプを説明します。ユーザー・アクションのオブジェクトを説明する名詞と似ています。
用途
ユーザー・アクションが動作するオブジェクトのタイプを説明します。
Oracle Audit Vault and Database Firewallでは、ユーザー・アクティビティが意味的にマップされている場合、監査イベントをTargetType
フィールドの適切な値にマップすることを強くお薦めします。
許可されているオブジェクト
Oracle Audit Vault Serverは、現在、次のターゲット・タイプを認識します。
ALL TRIGGERS APP ROLE APPLICATION ASSEMBLY AUTHORIZATION BROKER QUEING BUFFERPOOL CHECKPOINT CLUSTER CONNECTION CONTEXT CONTROL FILE DATABASE DATABASE LINK DBA_RECYCLEBIN DEFAULT DIMENSION DIRECTORY EDITION EVALUATION EVENT MONITOR EXPRESSION FLASHBACK FLASHBACK ARCHIVE FUNCTION INDEX INDEXES INDEXTYPE INSTANCE JAVA LIBRARY MATERIALIZED VIEW MATERIALIZED VIEW LOG MESSAGE METHOD MINING MODEL NODE NODEGROUP OBJECT OPERATOR OUTLINE PACKAGE PACKAGE BODY PRIVILEGE PROCEDURE PROFILE PUBLIC DATABASE LINK PUBLIC SYNONYM RESOURCE COST RESTORE POINT REVOKE REWRITE EQUIVALENCE ROLE ROLLBACK SEG RULE SAVEPOINT SAVEPOINT SCHEMA SEQUENCE SESSION STATISTICS SUBSCRIPTION SUMMARY SYNONYM SYSTEM TABLE TABLE OR SCHEMA POLICY TABLESPACE TAPE TRACE TRANSACTION TRIGGER TYPE TYPE BODY UNKNOWN USER USER LOGON USER OR PROGRAM UNIT LABEL USER_RECYCLEBIN VIEW
親トピック: アクションおよびターゲット・タイプ