リリース・ノート
リリース12.2.0
E70389-14(原本部品番号:E49588-19)
2021年3月
これらのリリース・ノートには、Oracle Audit Vault and Database Firewall (Oracle AVDF)リリース12.2.0に関する重要な情報が含まれています。
このリリース・ノートでは、次の項目について説明します。
このリリースの新機能は、次のとおりです。
Audit Vault Serverのバックアップおよびリストア・ユーティリティが製品に統合されました。
監査証跡は、Audit Vault Agentの再起動時またはOracle AVDFのアップグレード時に自動的に開始します。
監視者の資格証明をAVCLIウォレットに格納することで、AVCLIコマンドライン・ユーティリティを非対話形式で使用できます。
Oracle Database In-Memoryを構成してレポートの速度を上げることができます。
Oracle AVDF 12.2の新規(完全)インストールでは、Oracle Database透過的データ暗号化(TDE)を使用して、すべての監査データを暗号化します。
新しい監査証跡が、保存(アーカイブ)ポリシーに設定されている期限よりも古いデータを収集すると、そのデータはポリシーに従って自動的にアーカイブされます。
Audit Vault Server and Database Firewall Web UIの証明書を変更できます。
ホストをホスト名またはドメイン名で登録できます。
Web UIからシステム・コンポーネントのロギング・レベルを変更できます。
Web UIからユーザー・アカウントのロックを解除できます。
新しいレポートが追加されました(Oracle Database Vaultレポート、サマリー・レポート、IRSコンプライアンス・レポート、およびデータベース監査イベントとsu
またはsudo
を使用してコマンドを実行したOSユーザーを関連付けるレポートなど)。
管理者のWeb UIで、「ホスト」タブに「ホスト・モニター」の詳細が新規追加され、「Audit Vault Agent」の詳細が追加されました。
Audit Vault Serverの高可用性ペアのUIの操作性が改善されました。
IBM AIXセキュア・ターゲットのサポートが追加されました。
Oracle AVDFの監査者は、syslogへのアラートのテンプレートを作成できます。
Oracle AVDFの監査者は、Oracle Databaseから監査データおよびエンタイトルメントを取得するスケジュールを設定できます。
ドキュメント・ライブラリにOracle Audit Vault and Database Firewall概要ガイドが追加されました。
12.1
またはそれより古いバージョンからのアップグレードに関する重要情報を含めました。詳細は、Oracle Audit Vault and Database Firewallのインストールまたはアップグレードについてを参照してください。
My Oracle SupportからOracle Audit Vault and Database Firewall (Oracle AVDF)のアップグレード用の実行可能ファイルをダウンロードする必要があります。
内容は次のとおりです。
この手順には、単一アプライアンス環境および高可用性環境でのOracle Audit Vault and Database Firewall (Oracle AVDF)のインストールまたはアップグレードに関する情報が含まれています。
ノート:
Oracle Lifetime Support Policyガイドで指定されているようにリリース12.2のプレミア・サポートが2021年3月に終了するため、早い時期にOracle AVDF 20にアップグレードします。詳細は、Oracle AVDF 20インストレーション・ガイドの第5章「Oracle Audit Vault and Database Firewallのアップグレード」を参照してください。アップグレード・プロセスを開始する前に、次の点に注意してください。
このアップグレード・プロセスでは、以前のOracle Audit Vault and Database Firewallインストールのユーザー・アカウントとパスワードは保持されます。
Oracle Audit Vault and Database Firewallの12.2.0.0.0以降のバージョンは、12.2の新しいリリースにアップグレードする前に、12.2.0.9.0にアップグレードする必要があります。
最初のアップグレードを実行する前に、単一のバックアップ操作を実行します。
インストーラはアップグレードの完了を許可する前に、次の条件をチェックします。
現在インストールされているバージョンとの互換性
8GBの最小メモリー容量。システムのメモリー量がこれより少ない場合(たとえば4GB)、インストール用にメモリーを拡張することは難しくないため、強制的にアップグレードを完了できます。ただし、Oracle Audit Vault and Database Firewallは、使用しているシステムのメモリーをアップグレードする注意喚起を毎日送信します。
使用可能なディレクトリ領域の領域チェック。アップグレード・プロセスでは、インストールされるデータについて考慮しません。領域チェックは最低限で、既知の失敗したアップグレードよりも少なくなります。領域チェックは次のとおりです。
ファイル・システム | 領域チェック |
---|---|
|
100MB |
|
200MB |
|
7.5GB |
|
5.5GB (Audit Vault Server) 10GB (Database Firewall) |
|
2GB |
|
1.4GB |
|
100MB |
|
100MB |
|
5GB |
アップグレードを開始する前に、最新のアップグレード・ソフトウェアが手元にあることを確認してください。このソフトウェアは、入手可能な最新のバンドル・パッチ内にあります。
以前のリリースからアップグレードする場合でも、最新リリースにパッチを適用する場合でも、アップグレード・ソフトウェアに含まれているREADMEの詳細な手順に従ってください。
アップグレード・ソフトウェアおよびREADMEをダウンロードするには:
My Oracle Supportに移動してサインインします。
「パッチと更新版」タブをクリックします。
「パッチ検索」ボックスを使用してパッチを検索します。
左側の「製品またはファミリ(拡張)」リンクをクリックします。
「製品」フィールドに、Audit Vault and Database Firewall
と入力していき、製品名を選択します。
「リリース」フィールドのドロップダウン・リストから最新パッチを選択します。
「検索」をクリックします。
検索結果ページの「パッチ名」列で、最新のバンドル・パッチの番号をクリックします。
対応するパッチ・ページが表示されます。
「README」をクリックしてインストール手順を参照します。
「ダウンロード」をクリックします。
「ファイルのダウンロード」ページが表示されます。
「ファイル・メタデータのダウンロード」をクリックし、「ダウンロード」をクリックしてメタデータ.txt
ファイルを保存します。
このファイル内のデータを使用して、パッチ・ファイルのダウンロードを検証できます。
ダウンロードするパッチの.zip
ファイルをクリックします。
次に表示されるダイアログで、パッチ.zip
ファイルを保存する場所を選択します。
ダウンロードしたファイルを解凍してアップグレード・ファイル(.iso
ファイル)にアクセスします。
ダウンロードされるOracle AVDFのzipファイルには次のファイルが含まれます。
avdf-pre-upgrade-12.2.0.11.0-1.x86_64.rpm
: この実行可能ファイルは、アップグレードを開始する前にインストールする必要があるアップグレード前チェックです。システムが正常なアップグレードの条件を満たしているかどうかをチェックし、主要なアップグレードISOのコピー先のボリュームを作成してシステムを準備し、avdf-upgrade
スクリプトをインストールします。このスクリプトによってアップグレード・プロセスが容易になります。
アップグレードの実行に必要なすべてのファイルが含まれる次の3つのISOファイル:
avdf-upgrade-12.2.0.11.0-part1.iso
avdf-upgrade-12.2.0.11.0-part2.iso
avdf-upgrade-12.2.0.11.0-part3.iso
readme_12.2.0.11.0.html:
このファイルには、高可用性などのより複雑なアップグレードに対応した詳細なアップグレード手順が含まれています。
この3つのISOファイルを1つのISOファイルに結合します。
Microsoft Windowsの場合:
copy /b avdf-upgrade-12.2.0.11.0-part1.iso+avdf-upgrade-12.2.0.11.0-part2.iso+avdf-upgrade-12.2.0.11.0-part3.iso avdf-upgrade-12.2.0.11.0.iso
Linuxの場合:
cat avdf-upgrade-12.2.0.11.0-part1.iso avdf-upgrade-12.2.0.11.0-part2.iso avdf-upgrade-12.2.0.11.0-part3.iso > avdf-upgrade-12.2.0.11.0.iso
結合されたISOファイル用のMD5チェックサム・ファイルを生成します。
Microsoft Windowsの場合: Microsoft File Checksum Integrity Verifierを使用します。このツールはMicrosoftダウンロード・センターからダウンロードできます
Linuxの場合:
md5sum avdf-upgrade-12.2.0.11.0.iso
チェックサム・ファイルが次の値に一致することを確認します。
b2a709d49eb23930639de1b95bcdbab9
メタデータ.txt
ファイルを使用してパッチのダウンロードを検証します。
avdf-pre-upgrade-12.2.0.11.0-1.x86_64.rpm
実行可能ファイルは、前に説明したアップグレードの前提条件をチェックし、主要なアップグレードISOファイルを格納するための十分な領域を持つ/var/dbfw/upgrade
ディレクトリを作成して、システムのアップグレードを準備します。
SSHからユーザーsupport
としてAudit Vault Serverにログインし、ユーザー(su
)をroot
に切り替えます。
avdf-pre-upgrade-12.2.0.11.0-1.x86_64.rpm
実行可能ファイルをダウンロード場所からアップグレードを実行するアプライアンスにコピーします。
scp remote_host:/path/to/avdf-pre-upgrade-12.2.0.11.0-1.x86_64.rpm /root
avdf-pre-upgrade-12.2.0.11.0-1.x86_64.rpm
実行可能ファイルをインストールします。
rpm -i /root/avdf-pre-upgrade-12.2.0.11.0-1.x86_64.rpm
次のメッセージが表示されることを確認します。
SUCCESS: The upgrade media can now be copied to '/var/dbfw/upgrade'. The upgrade can then be started by running: /usr/bin/avdf-upgrade
ノート:
アップグレード前RPMの実行中にエラーが発生した場合、パッケージを削除し、問題を修正して再インストールします。アップグレード前RPMパッケージをアンインストールしてから、再度インストールするには、次のコマンドを実行します。
rpm -e avdf-pre-upgrade-12.2.0.11.0-1.x86_64
このコマンドで、アップグレード前RPMが正常にアンインストールされます。アップグレード前のRPMインストール・コマンドを再度実行します。
avdf-upgrade-12.2.0.11.0.iso
ファイルは、付属の主要なアップグレードISOです。
Oracle AVDFのsupport
ユーザーとしてアプライアンスにログインします。
次のようにavdf-upgrade-12.2.0.11.0.iso
ファイルをコピーします。
scp remote_host:/path/to/avdf-upgrade-12.2.0.11.0.iso /var/dbfw/upgrade
アップグレード・スクリプトは、ISOをマウントし、正しい作業ディレクトリに変更を加え、アップグレード・プロセスを実行し、アップグレード・プロセスの完了後にISOをマウント解除します。
SSHからユーザーsupport
としてAudit Vault Serverにログインし、ユーザー(su
)をroot
に切り替えます。
アップグレード・スクリプトを起動するにはroot
権限が必要です。
次のように、アップグレード・スクリプトを起動します。
/usr/bin/avdf-upgrade --confirm
次のような出力が表示されます。
WARNING: power loss during upgrade may cause data loss. Do not power off during upgrade. Verifying upgrade preconditions 1/19: Mounting filesystems (1) 2/19: Allocating space for upgrade 3/19: Mounting new install root 4/19: Extracting minimal root filesystem 5/19: Mounting required filesystems (2) 6/19: Mounting required filesystems (3) 7/19: Creating mountpoints for ASM 8/19: Populating new root filesystem 9/19: Adding required platform packages 10/19: Adding preconditions for AVDF packages 11/19: Ensuring sufficient space on oracle filesystem Extending oracle file system 12/19: Installing AVDF packages 13/19: Migrating configuration 14/19: Creating mountpoints for NFS 15/19: Installing ASM initscripts 16/19: Applying LVM adjustments 17/19: Migrating old root log files 18/19: Unmounting 19/19: Migrating old network log files Remove media and reboot now to fully apply changes. Unmounted /var/dbfw/upgrade/avdf-upgrade-12.2.0.11.0.iso on /images
アップグレードが完了したら、アプライアンスを再起動して、アップグレードを完了できます。
SSHからユーザーsupport
としてAudit Vault Serverにログインし、ユーザー(su
)をroot
に切り替えます。
アプライアンスを再起動します。次に例を示します。
reboot
再起動プロセスによって、アップグレードを完了できます。アプライアンスの再起動時に、データベース移行前およびデータベース移行後が自動的に実行されます。このプロセスでは、ステップ5: アップグレード・スクリプトの起動でアップグレード・ヘルパーを実行したときに完了できなかったシステム構成を実行します。このプロセスでは、avdf-pre-upgrade-12.2.0.11.0-1.x86_64.rpm
アップグレード前実行可能ファイルも削除されるので、このファイルを手動で削除する必要はありません。
ノート:
必要に応じて、Firewallをリセットできます。Audit Vault Serverでは、ファイアウォールの設定はローカル・リポジトリに格納されます。これは、後でリカバリのために使用できます。Database Firewallをリセットする手順は、次のとおりです。
「ファイアウォールのリセット」により、既存のモニタリング・ポイントが削除され、すでにAudit Vault Serverに格納されている構成を使用して新しいポイントが作成されます。Audit Vault Serverにリストされていないモニタリング・ポイントは削除されます。未処理の取得済データも削除されます。Firewallのネットワーク設定は変更されません。このアクションにより、Firewall IDもリセットされます。Database FirewallはFirewall IDによって一意に識別されます。このFirewall IDは管理ネットワーク・インタフェース・カード(NIC)から導出されます。ネットワーク・インタフェース・カードを交換するときは、Firewall IDをリセットする必要があります。
Oracle Database Firewallがアップグレード済の場合は、それをAudit Vault Serverに再登録します。
Audit Vault Serverに管理者としてログインします。
「Database Firewall」タブを選択し、「登録」をクリックして、ファイアウォールの名前およびIPアドレスを入力します。次に、「保存」をクリックします。
「保存」をクリックします。
関連項目:
Audit Vault Serverへのログインの詳細は、『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。
Database Firewallの登録の詳細は、『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。
ノート:
両方のAudit Vault Serverのアップグレードが完了するまで、プライマリ・ロールとスタンバイ・ロールを変更しないでください。
高可用性構成のAudit Vault Serverのペアをアップグレードするには:
スタンバイAudit Vault Serverをアップグレードします。
「Oracle Audit Vault and Database Firewallのアップグレード」のステップのステップ1から6に従って、スタンバイ(セカンダリ)をアップグレードします。
スタンバイAudit Vault Serverが再起動し、稼働していることを確認してから、プライマリAudit Vault Serverのアップグレードに進みます。
プライマリAudit Vault Serverをアップグレードします。
「Oracle Audit Vault and Database Firewallのアップグレード」のステップのステップ1から6に従って、プライマリをアップグレードします。
プライマリAudit Vault Serverが再起動して稼働したら、その他の再起動は不要です。この時点で完全に機能しています。
Audit Vault ServerまたはDatabase Firewallの高可用性構成のペアを更新する場合は、ペアのサーバーを両方ともアップグレードする必要があります。
「Oracle Audit Vault and Database Firewallのアップグレード」の手順のステップ1から6に従って、スタンバイ(セカンダリ) Database Firewallをアップグレードします。
スタンバイDatabase Firewallが再起動されたことを確認します。
このスタンバイDatabase Firewallを、今度はプライマリDatabase Firewallになるように入れ替えます。
Audit Vault Serverコンソールに管理者としてログインします。
関連項目:
Audit Vault Serverへのログインの詳細は、『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。
Audit Vault Serverコンソールで「データベース・ファイアウォール」タブを選択します。
「回復可能なペア」を選択します。
ファイアウォールのこの回復可能なペアを選択して、「スワップ」をクリックします。
これで、アップグレードしたばかりのDatabase Firewallがプライマリ・ファイアウォールになりました。
「Oracle Audit Vault and Database Firewallのアップグレード」の手順のステップ1から6に従って、プライマリをアップグレードします。
関連項目:
このマニュアルの最新バージョンおよびOracle Audit Vault and Database Firewallドキュメントの完全セットをダウンロードするには、http://www.oracle.com/pls/topic/lookup?ctx=avdf122
を参照してください。
他のOracle製品のドキュメントは、http://docs.oracle.com
を参照してください。
ノート:
サポートされているセキュア・ターゲットの最新情報は、『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。
現在のリリースおよび他のリリースのプラットフォームのサポート情報を確認するには、『Oracle Audit Vault and Database Firewallインストレーション・ガイド』を参照してください。
この情報は、My Oracle Supportの記事1536380.1でも確認できます。
この項では、現時点におけるシステムの既知の問題と対処方法(ある場合)を示します。必ず最新のバンドル・バッチを適用してください。新規インストールには最新のバンドル・バッチが含まれています。
一般に、Audit Vault ServerコンソールUIを使用して問題が発生した場合は、AVCLI
コマンド・ライン・ユーティリティを使用して同じコマンドを実行してみてください。
問題:アーカイブ済ファイルが、高可用性環境のプライマリとセカンダリの両方のAudit Vault Serverに存在します。ペアリングの前にアーカイブ場所を構成すると、次のパスが設定されます。
プライマリAudit Vault Server: /dir1
セカンダリAudit Vault Server: /dir2
セカンダリAudit Vault Serverに関連するアーカイブ・ファイルが、/dir2
ではなくパス/dir1
にコピーされる問題があります。このようなパス(/dir1
)がセカンダリAudit Vault Serverに存在しない場合、高可用性の構成でペアリングを行う際に作成されます。
回避策: なし。アーカイブ済ファイルは、セカンダリAudit Vault Serverのパス/dir1
に存在しています。
問題: アーカイブの場所にアクセスできません。この問題は、リリース12.2.0.11.0
のアップグレード後またはインストール後のアーカイブ中または取得中に発生する可能性があります。
回避策:これは、NFSアーカイブの場所のエクスポート・ディレクトリ名に"-"(ダッシュまたはハイフン)が存在することが原因である可能性があります。エクスポート・ディレクトリ名に"-" (ダッシュまたはハイフン)がないかどうかチェックし、そのファイルシステムをAudit Vault Serverから削除してください。
問題: Oracle Audit Vault And Database Firewall 12.2.0.11.0
へのアップグレード後、SSHが接続できなくなります。
回避策: SSHクライアントを、SHA-256をサポートするバージョンにアップグレードしてください。
原因: 複数のAVSインスタンス間で同じiSCSIターゲットが共有される場合は、プロキシ・エラーが発生する可能性があります。
回避策: 各iSCSIターゲットが1つのAVSインスタンス専用になるようにしてください。
原因: RPMプロセスで、アップグレード前RPMを削除した後にオープン・ファイル・ディスクリプタを保持でき、再インストールしようとするとエラーが発生します。
回避策: この問題を回避するには、アプライアンスを再起動し、アップグレード前RPMを再インストールします。
原因: パッチ検証中にアップグレード前RPMプロセスが失敗しました。
ノート:
この問題は、Oracle Audit Vault and Database Firewallリリース12.2.0.9.0
へのアップグレード中にのみ発生します。
対処方法:
/var/log/messages
ファイル内のエラーを確認します。
タグcom.oracle.preBP9UpgradeAgentPatch.isPatchApplied
が付いたエラーがある場合は、Oracle Audit Vault and Database Firewallリリース12.2.0.9.0
が正常に適用されていることを確認します。
Audit Vault Serverコンソールにログインします。バージョンが12.2.0.9.0
と示されていることを確認します。示されていれば、Oracle Audit Vault and Database Firewallリリース12.2.0.9.0
が正常に適用されていることになります。
それでもこのエラーが発生する場合は、Oracleサポートに連絡してください。
原因: パッチ検証中にアップグレード・プロセスが失敗しました。
ノート:
この問題は、Oracle Audit Vault and Database Firewallリリース12.2.0.9.0
へのアップグレード中にのみ発生します。
回避策: /var/log/messages
ファイル内のエラーを確認します。タグcom.oracle.preBP9UpgradeAgentPatch.isPatchApplied
が付いたエラーがある場合は、Oracleサポートに連絡してください。
原因: アップグレード前RPMのインストール後に、アプライアンスが再起動される場合は、アップグレード・メディア・パーティションを手動でマウントする必要があります。
回避策: mount /var/dbfw/upgrade
を実行してパーティションを再マウントします。
原因: アップグレード・プロセス開始前のビジー状態のデバイスの確認。アップグレードで、ビジー状態のボリュームがあるかどうかが確認されない場合があり、それによってエラーが発生する場合があります。
回避策: /tmp
と/usr/local/dbfw/tmp
に対してlsof
を実行して、開いている一時ファイルを検出します。アップグレード・プロセス開始時に開いているログがないことを確認します。
原因: プライマリ・サーバーとスタンバイ・サーバーの時間設定が3分以内に同期されないと、ORA-29005: 証明書が無効です
というエラーが発生してアップグレードに失敗します。
回避策: アップグレードを開始する前に、プライマリ・サーバーとスタンバイ・サーバーの時間を同期させる必要があります。
原因: Audit Vault Serverの完全バックアップ後の増分バックアップ操作前に権限スナップショット・ラベルを作成した場合、コールド増分バックアップからAudit Vault Serverをリストアすると、データ不足でリストア操作が失敗します。不足しているのは、権限スナップショット用に作成されたラベルに関連付けられているAudit Vault Server権限レポートからのデータです。
回避策: 完全バックアップ後の増分バックアップ操作前に権限スナップショット・ラベルを作成しないでください。それを行う場合は、完全バックアップ操作を実行して、増分バックアップ操作でこのデータが不足しないようにしてください。
問題: 次のメッセージを示すブルー・スクリーンが表示されます。
システムで問題が発生したため、ログインしてリカバリできるように最小限のサービスが開始されます。
インストールまたはアップグレードの現在のステータスが示され、システム・ログで詳細を確認しOracleサポートに連絡するよう求められます。
回避策: このブルー・スクリーンが表示されたら、次のことを実行します。
rootユーザーとしてログインします。
診断ツールをインストールします。
次の診断パッケージを実行してアーカイブ・ファイルの名前を出力することで、診断アーカイブを取得します。
/usr/local/dbfw/bin/priv/dbfw-diagnostics-package.rb
ノート:
このコマンドでファイルdiagnostics-not-enabled.readme
が作成された場合は、そのファイル内の指示に従って診断を有効にし、アーカイブを生成します。
サービス・リクエスト(SR)を申請し、アーカイブをSRに添付します。
ノート:
Oracle Audit Vault and Database Firewallでは、インストールまたはアップグレードでエラーが検出されると、それ以上サービスが開始されなくなりますが、開始済サービスは、デバッグできるように保持されます。
症状: インストールの再起動前の部分は通常どおり行われます。しかしながら、再起動後、ハードディスク・エラー
というテキストのみを示すブラック・スクリーンが表示されます。
原因: これらのサーバーには、Oracle System Assistant用の小さい内部USBドライブが含まれています。このデバイスにはLinuxインストールが含まれており、それが、Oracle Audit Vault and Database Firewall 12.2.0.0.0以降のバージョンでのブートローダーと競合します。
解決策: Oracle Audit Vault and Database Firewall 12.2.0.0.0以降のバージョンをインストールするには、まずBIOSメニューからOracle System Assistantを無効にする必要があります。OSAを無効にするためのオプションがグレー表示されている場合は、BIOSをリセットしてそれを有効にします。
関連項目:
詳細は、https://docs.oracle.com/cd/E36975_01/html/E38042/z40000091408680.html
を参照してください。
vg_root
)のインスタンスが1つのみ存在することを確認する原因: 前のインストールからのストレージの再使用。(VG)内にvg_root
のインスタンスが2つあると、システムの再起動時にカーネル・パニックまたはアップグレード障害が発生する可能性があります。この場合には、iSCSIが含まれているか、ハード・ドライブが再使用されている可能性があります。
また、vg_root
VGの追加ストレージがiSCSIベースのストレージである場合は、システムがカーネル・パニック・モードになる可能性があります。
解決策: VG (vg_root
)のインスタンスは1つのみ存在できます。複数のインスタンスがある場合は、それらを削除する必要があります。従わないと、カーネル・パニックまたはアップグレード障害が発生する可能性があります。
Oracleサポートに連絡してください。
原因: Database FirewallとAudit Vault Serverとのペアリング中に、OAV-46599: 内部エラー「このファイアウォールとAVSとの以前のペアリングからデータを削除できません」
というエラーが発生する(新しくインストールしたDatabase Firewallの登録に影響を及ぼす)。
回避策: ファイアウォールを再起動し、ファイアウォールを再度Audit Vault Serverに登録します。
原因: Audit Vault Serverに到達する複数のネットワーク・インタフェース・カードを使用するホスト・コンピュータでのエージェントのインストール中に問題が発生する場合があります。
対処方法:
管理者は、1つのネットワーク・インタフェース・カードから1つのAudit Vault Serverに到達するような関連ルートが、ホスト・マシンに存在することを確認する必要があります。
管理者は、ネットワークを構成しルーティング表を計画して、複数のネットワーク・インタフェース・カードに対応する必要があります。ネットワーク・ルーティング表によって、パケットのルーティング方法、パス、および優先ネットワーク・アダプタが決定されます。これが効果的に設計されていない場合、エージェントのインストールが失敗する可能性があります。
原因: アップグレード後にAudit Vault Server内に暗号化されていないアーカイブ・ファイルがあり、リストア操作とリリース操作が続く場合、データ・ファイルが不足する可能性があります。
対処方法:
暗号化スクリプトを実行します。アップグレードしたインスタンスでのデータ暗号化の項を参照してください。
アーカイブ・ファイルがリモート・ファイルである場合は、Audit VaultのGUIで「表領域を使用可能に設定」をクリックしてリモート・データ・ファイルを暗号化します。
これで、データ・ファイルが「アーカイブ」ページに表示されるようになります。
原因: アプライアンス上に開いているSSH接続がある場合は、アップグレード前RPMを削除できないことがあります。
回避策: 開いているSSH接続をすべて閉じ、アップグレード前RPMの削除を試みます。
原因: MOSノート(Doc ID 2359424.1)で示されているように、Oracle Linux正誤表を含むパッチを適用済の既存のOracle Audit Vault and Database Firewallをアップグレードしようとすると、RPM関連の問題が発生することがあります。
回避策: パッチ適用済のOracle Audit Vault and Database Firewallリリースを最新リリースにアップグレードする前に、次に示す回避策をrootユーザーとして実行します。
既存のリリース | アップグレード前RPMのインストール前に実行する回避策用コマンド |
---|---|
12.2.0.0.0 |
|
12.2.0.1.0 |
|
12.2.0.2.0 |
|
12.2.0.3.0 |
|
ノート:
前述の問題は、Oracle Audit Vault and Database Firewallリリース12.2.0.4.0
以降では発生しない場合があります。
agent.jar
をIEブラウザでダウンロードした場合、"無効または破損したjarfile"エラーによりエージェントのインストールに失敗します。
対処方法:
別のブラウザ(Firefoxなど)を使用してagent.jar
ファイルをダウンロードし、java -jar agent.jar
を再実行します。
12.1.0エージェントがプラグインをデプロイしていた場合、エージェントのアップグレードに失敗します。
対処方法:
プラグインを再デプロイしてから、エージェントをダウンロードして再インストールします。
複数の優先デバイスが存在する場合、ホスト・モニターが正しくないネットワーク・デバイスを選択する可能性があります。
これは、ホスト・モニターで使用されるデフォルトのネットワーク・アダプタ(タイプはIntel(R) PRO/1000 MTネットワーク・アダプタ)が正しくないネットワーク用である場合に発生する可能性があります。
対処方法:
セキュア・ターゲット用の正しいネットワークからトラフィックが取得されるよう、ホスト・モニターで使用されるネットワーク・アダプタを変更します。次のステップを実行します。
ホスト・モニターのログ・ファイルをチェックし、次のようなセクションを探します。
The selected network device for capturing is: \Device\NPF_{22E6D6FF-43E2-4212-9970-05C446A33A35}. To change the device update the network_device_name_for_hostmonitor attribute at Collection Attributes to any one value from the list: \Device\NPF_{17C832B3-B8FC-44F4-9C99-6ECFF1706DD1}, \Device\NPF_{22E6D6FF-43E2-4212-9970-05C446A33A35}, \Device\NPF_{60611262-3FCC-4374-9333-BD69BF51DEEA} and restart the trail
これは、使用中のデバイスおよび使用可能なデバイスを示します。使用可能なデバイスの詳細について、debug
モードでホスト・モニターを実行できます。
Audit Vault Serverコンソールの「セキュア・ターゲット」タブで、目的のセキュア・ターゲットをクリックします。
「コレクション属性の変更」セクションの「属性名」フィールドに、network_device_name_for_hostmonitor
と入力します。
「属性値」フィールドに、次のようなデバイス名を入力します。\Device\NPF_{17C832B3-B8FC-44F4-9C99-6ECFF1706DD1}
「追加」、続いて「保存」をクリックします。
このセキュア・ターゲットの監査証跡を再開します。
Windowsエージェントを実行するには、Visual C++ 2010パッケージをインストールする必要があります。
対処方法:
Microsoft Visual C++ 2010再配布可能パッケージをインストールし、Windowsホスト上でAudit Vault Agentを実行します。
アップグレードする前に、無効なDB Firewallネットワーク構成を解決する必要があります。
これは、Database Firewallおよび特にホスト・モニターがデプロイされているユーザーに関連します。12.1.2にアップグレードする前に、Database Firewall構成が有効であることを確認する必要があります。
対処方法:
Database Firewallで有効化されているトラフィック・ソースにおいて、そのトラフィック・ソースに2つのポートがあることを確認します。
また、DPEモードの強制ポイントで有効化されたトラフィック・ソースが使用されていることを確認します。
oracle_user_setup.sql
スクリプトを更新し、Database VaultにOracleデータ・ディクショナリ・レルムを使用しないようにします。
この問題は、Database Vaultが有効化されているOracle Database 12cのセキュア・ターゲットに影響します。Oracle Audit Vault and Database Firewallユーザー設定スクリプトであるoracle_user_setup.sqlを使用し、REDO_COLL
モードでこのスクリプトを実行している場合、このスクリプトにより次のメッセージが出力されますが、Oracle Database 12cには適用されません。
Connect to the secured target database as DV Owner and execute: exec dbms_macadm.add_auth_to_realm('Oracle Data Dictionary', 'C##USER1', null,dbms_macutl.g_realm_auth_participant);
対処方法:
Oracle Database 12cに対するスクリプトの実行中に前述のメッセージが表示された場合は無視してください。かわりに、DV Owner
としてデータベースで次を実行します。
SQL> GRANT DV_STREAMS_ADMIN TO username;
username
には、このOracle Databaseセキュア・ターゲットでOracle Audit Vault and Database Firewallに対して作成したアカウントの名前を使用します。
関連項目:
この設定スクリプトの詳細は、『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。
UIからHA構成を削除するオプションを提供します。
対処方法:
この対処方法は、AVDF 12.1.1.4 (12.1.1 BP4)から利用可能です。
2つのAudit Vault Serverのペアを解除するには:
スタンバイ(セカンダリ) Audit Vault Serverを停止します。
プライマリAudit Vault Serverにroot
でログインします。
次のコマンドを実行します。
sudo -u oracle /usr/local/dbfw/bin/setup_ha.rb --unconfigure
高可用性構成では、Audit Vault Serverはフェイルオーバー後にsyslog
メッセージもArcsightメッセージを転送しません
対処方法:
Audit Vault Serverコンソールにスーパー管理者としてログインします。
「設定」タブをクリックし、「コネクタ」をクリックします。
「Syslog」セクションで、「保存」をクリックします。
「HP ArcSight SIEM」セクションにスクロール・ダウンして、「保存」をクリックします。
Oracle Audit Vault and Database Firewallのインストール時のディスク・フォーマットのステップの後で、インストール画面がフリーズする場合があります。この問題は、Oracle Audit Vault and Database Firewallのシステム要件を厳密に満たしていないハードウェアにOracle Audit Vault and Database Firewallをインストールしようとすると発生する可能性があります。
対処方法: ハードウェアがOracle Audit Vault and Database Firewallのインストール要件を満たすようにします。
関連項目:
『Oracle Audit Vault and Database Firewallインストレーション・ガイド』
Linuxコレクタには、SU SUDO監査レポートに影響を与える制限があります。監査レコードにはユーザーIDが含まれており、コレクタ・プラグインはローカル・ユーザーのユーザーIDに対応するこのユーザー名のマッピングを/etc/passwd
ファイルから取得します。LDAP/NISユーザーに対してコマンドgetent passwd | grep
user id
を実行します。ユーザーがシステムから削除されていたり、コレクタがそのユーザーIDのマッピングにアクセスできない場合は、ユーザーID (番号)の値がLinux SU SUDO遷移レポートの「USER_NAME」フィールドに移入されます。レポートにはOSユーザー名が番号(ユーザーID)として表示されます。
対処方法: ありません
Windows上でパッケージ化されたavpack
プラグインはLinux上では機能しません。つまり、Windows上でavpack
プラグインをパッケージ化した後で、それをLinux上で実行することはできません。このエラーを再現するには:
WindowsにOracle AVSDKをダウンロードします。
Windows上でプラグインをパッケージ化します。
プラグインをOracle AVDFにデプロイします。
Oracle AVDFエージェントをLinuxにインストールします。
このLinuxホストの監査証跡を開始します。監査証跡は開始できません。
対処方法: Linux上でエージェントおよび監査証跡の収集を実行する場合は、WindowsではなくLinux上でプラグインをパッケージ化してください。Linux上でプラグインをパッケージ化すると、Linux上でもWindows上でもエージェントおよび監査証跡の収集を実行できます。
エージェントをインストールした後で、またはOracle Audit Vault Serverをアップグレードした後でエージェントが再起動されると、エージェントは起動しません。(アップグレード・プロセスによりエージェントは自動的に再起動されます。)次のようなエラーがエージェント側のログに表示されます。
[2015-12-02T09:50:39.292+00:00] [agent] [ERROR] [] [] [tid: 10] [ecid: 1498028073:5013:1449049839300:0,0] Unexpected error occurred in thread main[[java.lang.NumberFormatException: For input string: "Error occurred in createFileFromBlob" at java.lang.NumberFormatException.forInputString(NumberFormatException.java:48) ...
agentctl start
コマンドを実行してエージェントを手動で起動しようとすると、次のエラーが表示されます。
Agent integrity check failed. Please upgrade the agent manually.
次のようなエラーがエージェント・ログ・ファイルに表示されます。
[2015-12-02T10:38:06.482+00:00] [agent] [ERROR] [] [] [tid: 10] [ecid:1498028073:93254:1449052686488:0,0] Internal Error status: -1, message :Agent validation failed. agentversion=[12.2.0.0.0], serverversion=[12.2.0.0.0],hostversion=[12.1.2.5.0]
エージェントのフレッシュ・インストール時における失敗の対処方法:
Oracleユーザーとして(support
、su root
、su oracle
の順に)ログインしてから、Audit Vault Oracle Databaseサーバーを停止します。
/usr/local/dbfw/bin/dbfwdb stop
/var/lib/oracle/dbfw/network/admin
ディレクトリで、sqlnet.recv_timeout = 1
設定を使用するようにsqlnet.oraファイルを更新します。
Oracleユーザーとして、Audit Vault Oracle Databaseサーバーを起動します。
/usr/local/dbfw/bin/dbfwdb start
エージェントをインストールします。
エージェントのインストールが完了したら、収集の開始を試みます。
次のエラーが表示される場合があります。
java.sql.SQLException: ORA-00604: error occurred at recursive SQL level 1 ORA-01882: timezone region not found
このようなエラーが表示された場合は、次の手順を実行します。
エージェントを停止します。
./bin
ディレクトリにあるagentctl
ファイルのJAVA_OPTS
を次のように変更します。
add property -Doracle.jdbc.timezoneAsRegion=false
エージェントを再起動します。
エージェントのアップグレード時における失敗の対処方法:
Audit Vaultコンソールで、管理者としてホストを非アクティブ化します。
管理者としてログインし、「ホスト」タブを選択して、ホストの非アクティブ化をクリックします。
アップグレードされたAudit Vault Database Firewallサーバーから新しいagent.jar
ファイルをダウンロードします。
Audit Vaultコンソールからホストをアクティブ化します。
Oracleユーザーとして(support
、su root
、su oracle
の順に)ログインしてから、Audit Vault Oracle Databaseサーバーを停止します。
/usr/local/dbfw/bin/dbfwdb stop
/var/lib/oracle/dbfw/network/admin
ディレクトリで、sqlnet.recv_timeout = 1
設定を使用するようにsqlnet.oraファイルを更新します。
Oracleユーザーとして、Audit Vault Oracle Databaseサーバーを起動します。
/usr/local/dbfw/bin/dbfwdb start
新しい場所にエージェントをインストールするか、古いエージェントの場所にあるファイルを消去します。
アップグレードが完了したら、収集の開始を試みます。
次のエラーが表示される場合があります。
java.sql.SQLException: ORA-00604: error occurred at recursive SQL level 1 ORA-01882: timezone region not found
このようなエラーが表示された場合は、次の手順を実行します。
エージェントを停止します。
./bin
ディレクトリにあるagentctl
ファイルのJAVA_OPTS
を次のように変更します。
add property -Doracle.jdbc.timezoneAsRegion=false
エージェントを再起動します。
スイッチオーバー操作後、Audit Vault Serverの以前のプライマリ・データベースの再起動に失敗します。次のエラー・メッセージが/var/log/messages
ファイルに表示されます。
ORA-01102: Cannot mount database in EXCLUSIVE mode
対処方法: 以前のプライマリAudit Vault Serverを再起動します。
エージェントのインストールがjava -jar agent.jar -d $ORACLE_BASE/av_agent
エラーで失敗します。
対処方法:
管理者は、1つのネットワーク・インタフェース・カードから1つのAudit Vault Serverに到達するような関連ルートが、ホスト・マシンに存在することを確認する必要があります。
ホストを追加しIPアドレスを割り当てるには、管理インタフェースに対する十分な権限を持っている必要があります。
管理者は、ネットワークを構成しルーティング表を計画して、複数のネットワーク・インタフェース・カードに対応する必要があります。ネットワーク・ルーティング表によって、パケットのルーティング方法、パス、および優先ネットワーク・アダプタが決定されます。これが効果的に設計されていない場合、エージェントのインストールが失敗する可能性があります。
アップグレード後の最初のアーカイブまたは取得ジョブの発行時に、ステータスがStarting
として表示されます。
対処方法:
ジョブを再度発行します。これは既知の問題であり、以降のジョブの発行は正常に実行されます。
Oracle Audit Vault Serverの高可用性ペアリングが失敗した場合の対処方法を学習します。
問題
Oracle Audit Vault Serverの高可用性ペアリングの実行中にエラーが発生する場合があります。エラーには、ストアド・スクリプトのメモリーのエラー、バックアップ・セットの一部のファイルの検証の失敗、一部のデータ・ファイルの検証の失敗、ファイルの読取りまたは作成の失敗があげられます。
解決方法
Oracle Audit Vault Serverの高可用性ペアリングを実行する前に、ILMアーカイブが実行されたかどうかを確認します。これは、プライマリ・サーバーにアーカイブ・ファイルが存在することが原因です。
これを回避するには、プライマリOracle Audit Vault Serverからアーカイブ・ファイルを削除し、後で高可用性ペアリングを実行します。
avadminユーザーが作成したセキュア・ターゲット・グループは、avauditorユーザーには表示されません。avauditorが同じ名前のグループを作成しようとすると、「グループがすでに存在します」
というメッセージで失敗します。
対処方法:
avadminユーザーが作成したセキュア・ターゲット・グループは、avauditorユーザーが表示や再作成をすることはできません。別の名前を使用してセキュア・ターゲット・グループを作成してください。
表1-1に、このリリースで修正された不具合を示します。
表1-1 リリース12.2.0.0.0で修正された不具合
Oracle Bug# | 説明 |
---|---|
21178040 |
JAVAフレームワークを再起動するたびにアラート電子メール通知が再送される |
21110266 |
AVDFエージェントでのWINDOWS 2003のサポート解除 |
21043775 |
EZTABLEコレクタ・プラグインがローカル・タイムゾーンのタイムスタンプで機能しない |
20865266 |
DVレポート: TARGET_OBJECTがDVのTARGET_OBJECT:ACTION_TARGET_OBJECTにマップされる |
20669301 |
エージェントが停止状態で開始される |
20560732 |
ORCLコレクタ: イベントログ証跡がWINDOWSプラットフォームで開始されない |
20551923 |
統合監査証跡が一部のDATABASE VAULTイベントを収集しない |
20529504 |
イベントログ証跡タイプ以外の証跡が停止する |
20519073 |
NLS: WINDOWS: ホストを非アクティブ化/アクティブ化した後、エージェントの起動に失敗する |
20476030 |
AVDF: コレクタがORA 12899エラーで停止する |
20304150 |
DATABASE VAULTアクティビティが、DVSYS.AUDIT_TRAIL$から収集されたデータを表示できない |
19685004 |
データ変更前後の値レポートがタイムアウトする |
19592979 |
実行状態のホストの変更が許可される。 |
19585084 |
EVENT_LOG表にTERMINAL列が追加される。 |
19521326 |
接続文字列にSSLパラメータを指定してSQL SERVER STを登録できない |
19184532 |
コレクタによって収集されたログインの削除イベントが適切にマッピングされていない |
18535118 |
JAVAバージョンのAGENTCTLバッチ・ファイル・チェックが適切でなく、更新する必要がある |
Oracleのアクセシビリティについての詳細情報は、Oracle Accessibility ProgramのWebサイトhttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=docaccを参照してください。
Oracle Supportへのアクセス
サポートを購入したオラクル社のお客様は、My Oracle Supportを介して電子的なサポートにアクセスできます。詳細情報はhttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=infoか、聴覚に障害のあるお客様はhttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=trsを参照してください。
Oracle Audit Vault and Database Firewallリリース・ノート, リリース12.2.0
E70389-14
Copyright © 2012, 2021, Oracle and/or its affiliates.
このソフトウェアおよび関連ドキュメントの使用と開示は、ライセンス契約の制約条件に従うものとし、知的財産に関する法律により保護されています。ライセンス契約で明示的に許諾されている場合もしくは法律によって認められている場合を除き、形式、手段に関係なく、いかなる部分も使用、複写、複製、翻訳、放送、修正、ライセンス供与、送信、配布、発表、実行、公開または表示することはできません。このソフトウェアのリバース・エンジニアリング、逆アセンブル、逆コンパイルは互換性のために法律によって規定されている場合を除き、禁止されています。
ここに記載された情報は予告なしに変更される場合があります。また、誤りが無いことの保証はいたしかねます。誤りを見つけた場合は、オラクル社までご連絡ください。
このソフトウェアまたは関連ドキュメントを、米国政府機関もしくは米国政府機関に代わってこのソフトウェアまたは関連ドキュメントをライセンスされた者に提供する場合は、次の通知が適用されます。
U.S. GOVERNMENT END USERS: Oracle programs (including any operating system, integrated software, any programs embedded, installed or activated on delivered hardware, and modifications of such programs) and Oracle computer documentation or other Oracle data delivered to or accessed by U.S. Government end users are "commercial computer software" or "commercial computer software documentation" pursuant to the applicable Federal Acquisition Regulation and agency-specific supplemental regulations.As such, the use, reproduction, duplication, release, display, disclosure, modification, preparation of derivative works, and/or adaptation of i) Oracle programs (including any operating system, integrated software, any programs embedded, installed or activated on delivered hardware, and modifications of such programs), ii) Oracle computer documentation and/or iii) other Oracle data, is subject to the rights and limitations specified in the license contained in the applicable contract.The terms governing the U.S. Government’s use of Oracle cloud services are defined by the applicable contract for such services.No other rights are granted to the U.S. Government.
このソフトウェアもしくはハードウェアは様々な情報管理アプリケーションでの一般的な使用のために開発されたものです。このソフトウェアもしくはハードウェアは、危険が伴うアプリケーション(人的傷害を発生させる可能性があるアプリケーションを含む)への用途を目的として開発されていません。このソフトウェアもしくはハードウェアを危険が伴うアプリケーションで使用する際、安全に使用するために、適切な安全装置、バックアップ、冗長性(redundancy)、その他の対策を講じることは使用者の責任となります。このソフトウェアもしくはハードウェアを危険が伴うアプリケーションで使用したことに起因して損害が発生しても、オラクル社およびその関連会社は一切の責任を負いかねます。
OracleおよびJavaはOracle Corporationおよびその関連企業の登録商標です。その他の名称は、それぞれの所有者の商標または登録商標です。
Intel、Intel Insideは、Intel Corporationの商標または登録商標です。すべてのSPARCの商標はライセンスをもとに使用し、SPARC International, Inc.の商標または登録商標です。AMD、Epyc、AMDロゴは、Advanced Micro Devices, Inc.の商標または登録商標です。UNIXは、The Open Groupの登録商標です。
このソフトウェアまたはハードウェア、そしてドキュメントは、第三者のコンテンツ、製品、サービスへのアクセス、あるいはそれらに関する情報を提供することがあります。お客様との間に適切な契約が定められている場合を除いて、オラクル社およびその関連会社は、第三者のコンテンツ、製品、サービスに関して一切の責任を負わず、いかなる保証もいたしません。お客様との間に適切な契約が定められている場合を除いて、オラクル社およびその関連会社は、第三者のコンテンツ、製品、サービスへのアクセスまたは使用によって損失、費用、あるいは損害が発生しても一切の責任を負いかねます。