この章では、アップグレードおよびバンドル・パッチの更新およびOracle Audit Vault and Database Firewallの前のリリースからアップグレードする方法について説明します。
ノート:
Oracle Lifetime Supportポリシー・ガイドに指定されているとおり、Oracle AVDF 20へのアップグレードはリリース12.2のプレミア・サポートとして早ければ2021年3月に終了します。詳細は、Oracle Audit Vault and Database Firewallインストレーション・ガイドの第5章「Oracle Audit Vault and Database Firewallのアップグレード」を参照してください。Oracle Audit Vault and Database Firewall (Oracle AVDF)をアップグレードするステップを学習します。
注意:
Oracle Audit Vault and Database Firewallリリース12.2.0.11.0
では、Niagaraカードはサポートされません。システムでNiagaraカードを使用している場合は、このリリースにアップグレードしないでください。
Oracle Audit Vault and Database Firewallを前のリリースからアップグレードできます。
ノート:
アップグレードを実行する前に、まずバックアップを取る必要があります。
Oracle Audit Vault and Database Firewallの12.2.0.0.0
以上のバージョンは、まず12.2.0.9.0
にアップグレードしてから、リリース12.2
の最新バージョンにアップグレードする必要があります。
12.1.x
シリーズのOracle Audit Vault and Database Firewallの12.1.2.7.0
以上のバージョンは、まず12.2.0.8.0
にアップグレードしてから12.2.0.9.0
に、次にリリース12.2
の最新バージョンにアップグレードする必要があります。12.2.0.9.0
へのアップグレードでは、必須アップグレード前パッチの項の手順に従ってください。
Oracle Audit Vault and Database Firewallの12.1.2.7.0
より前のバージョンは、まず12.2.0.2.0
にアップグレードしてから12.2.0.9.0
にアップグレードし、その後、リリース12.2
の最新バージョンにアップグレードする必要があります。
前述のすべてのケースで、最初のアップグレードを実行する前にバックアップ操作を1回実行できます。
システムでNiagaraカードを使用している場合は、アップグレード・タスクを実行する前にOracle Supportに連絡してください。Audit Vault and Database Firewallの以前のバージョンに付属していた、UEK 3用に構築されたNiagaraドライバには、UEK 4およびAudit Vault and Database Firewall 12.2.0.4.0
との互換性がありません。これによって、システムのアップグレードとその後の起動が失敗する可能性があります。
大量のイベント・データがある場合は、十分なディスク・スペースを確保する必要があります。必要なディスク領域の容量は、イベント・ログの合計データ・サイズの約5%です。
My Oracle Supportに移動してサインインします。
「パッチと更新版」タブをクリックします。
「パッチ検索」ボックスを使用してパッチを検索します。
次のイメージは一例です。
左側の「製品またはファミリ(拡張)」リンクをクリックします。
「製品」フィールドに、Audit Vault and Database Firewall
と入力していき、製品名を選択します。
「リリース」フィールドのドロップダウン・リストから最新パッチを選択します。
「検索」をクリックします。
検索結果ページの「パッチ名」列で、最新のバンドル・パッチの番号をクリックします。
対応するパッチ・ページが表示されます。
「Readme」をクリックして、アップグレード手順を示すREADMEファイルにアクセスします。
READMEファイルの手順に従ってアップグレードを完了します。
Oracle Audit Vault and Database Firewall (Oracle AVDF)をアップグレードする前の前提条件について学習します。
12.2.0.9.0
にアップグレードする前に、必須アップグレード前パッチをインストールしてください。Windowsプラットフォームでホスト・モニタリングを使用している場合は、12.2.0.13.0にアップグレードする前にWindowsでNpcapをインストールし、OpenSSLライブラリを更新します。
次の各項のステップを完了します。
network_device_name_for_hostmonitor
収集属性を設定するため。親トピック: アップグレード前のタスク
Oracle Audit Vault and Database Firewall (Oracle AVDF)リリース12.2.0.9.0
にアップグレードする前に、必須アップグレード前パッチをインストールしてください。
Oracle AVDFリリース12.2.0.9.0
にアップグレードする前に、必須AVDF BP9アップグレード前パッチ(Doc ID 2457374.1) (bug_28581135_agentpatch.zip
)を適用してください。
ノート:
このアップグレード前パッチは、Oracle Audit Vault and Database Firewallの12.2.0.0.0
から12.2.0.8.0
までの任意のリリースからリリース12.2.0.9.0
にアップグレードする場合にのみ実行する必要があります。
このアップグレード前パッチは、Oracle Audit Vault and Database Firewallのリリース12.2.0.9.0
からリリース12.2.0.10.0
以上にアップグレードする場合には適用できません。
このパッチは、Audit Vault Agentを実行するすべてのホストでJava
バージョンが1.8である場合のみ、実行する必要があります。Java
バージョンが1.6のホストがある場合は、このパッチをインストールする前に、それらのホストをJava
1.8に更新してください。
Audit Vault Serverの高可用性構成の場合、このアップグレード前エージェント・パッチは、プライマリAudit Vault Serverにのみ適用する必要があります。
IBM AIX
にAudit Vault Agentをデプロイする場合は、OpenSSL 64ビット
のバージョン1.0.1 (またはそれ以降)がインストールされていることを確認してください。
ホスト監視では、ターゲット・マシン上にOpenSSL 64ビット
のバージョン1.0.1 (またはそれ以降)が必要です。
要件
ノート:
このパッチは、このバンドル・パッチの適用手順の項で解凍したzipファイル内にあります。
前述の要件を満たしていない場合、またはこれらの要件を満たしているかどうかが不明な場合は、サービス・リクエストを記録してOracleサポートに問い合せてください。
このパッチを適用するときには、すべてのエージェントが実行されていることを確認してください。
停止しているエージェントは、このパッチで更新されません。
パッチを適用するには:
親トピック: アップグレード前のタスク
Audit Vault Server上のアップグレード前パッチを削除するステップ。
アップグレード前パッチを削除するには:
親トピック: 必須アップグレード前パッチ
エージェント・パッチをダウンロードして個々のエージェントに手動で適用するステップ。
パッチをダウンロードするステップ
必須アップグレード前パッチで1つ以上のAudit Vault Agentのアップグレードに失敗した場合は、この手順を使用して各Audit Vault Agentに手動でエージェント・パッチを適用します。
https://support.oracle.com
に移動してサインインし、「パッチと更新版」タブをクリックします。
「パッチ検索」ボックスでbug 28581683
と入力します。
検索結果から、「PRE BP9 PATCH FOR MANUALLY UPDATING AGENT (Patch 28581683)」を選択します。
「README」をクリックし、ファイル内の指示に従います。
パッチを適用するステップ
親トピック: 必須アップグレード前パッチ
Oracle Audit Vault and Database Firewall (Oracle AVDF)をアップグレードする前に、Audit Vault ServerおよびAudit Vault Agentのコンポーネントをバックアップする必要があります。
バックアップが必要なコンポーネントは次のとおりです:
Audit Vault Serverデータベース
Audit Vault Serverアプライアンス
Audit Vault Agentホーム・ディレクトリ
ノート:
現在のAudit Vault Serverが仮想マシン(Oracle VMまたはVMWare上のVMなど)にインストールされている場合は、アップグレード・プロセスを開始する前にVMスナップショットを取得することをお薦めします。親トピック: アップグレード前のタスク
手動で取得した表領域の解放について学習します。
Oracle Audit Vault and Database Firewall (Oracle AVDF)アップグレード・プロセスを実行する前に、手動で取得したすべての既存の表領域を解放します。そうしないと、領域の割当てができないため、アップグレード後に索引ジョブの作成に失敗する場合があります。アップグレード後に新しい索引が作成されない場合もあります。
表領域を解放するには、次の手順を実行します。
Audit Vault Serverコンソールにスーパー管理者としてログインします。
「設定」、「アーカイブ中」の順に移動します。
「取得」をクリックします。
取得した表領域のリストが表示されます。
すべての表領域を選択して解放します。
親トピック: アップグレード前のタスク
Oracle Audit Vault and Database Firewall (Oracle AVDF)のアップグレード時に、ログ・ローテーション構成ファイルに適用されたカスタマイズを保持します。
ログ・ローテート構成ファイルに適用されたカスタマイズは、アップグレード中に失われる可能性があります。それらのルールを維持するには:
独自のカスタム構成ファイルを作成します。詳細は、Oracle Linuxのドキュメントを参照してください。
アップグレード・プロセスを実行する前に、ルールをカスタム構成ファイルに移動します。
親トピック: アップグレード前のタスク
Oracle Audit Vault and Database Firewall (Oracle AVDF)アップグレード・プロセスを開始する前に、ビジーなデバイスを確認します。
アップグレードでは、ビジー状態のボリュームがあるかどうかが確認されない場合があり、後でエラーが発生する可能性があります。
/tmp
と/usr/local/dbfw/tmp
に対してlsof
を実行して、開いている一時ファイルを検出します。アップグレード・プロセスの開始時に開いているログがないことを確認します。
親トピック: アップグレード前のタスク
Oracle Audit Vault and Database Firewallをアップグレードするタスク。
Audit Vault AgentとDatabase Firewallをアップグレードする前に、Audit Vault Serverをアップグレードする必要があります。
高可用性環境を設定してある場合は、プライマリとスタンバイの両方のAudit Vault Serverをアップグレードします。
親トピック: アップグレード・タスク
これは、高可用性対応に構成されたAudit Vault Serverのペア(回復可能なペア)の一部ではないAudit Vault Serverを更新するための手順です。
Audit Vault Serverをアップグレードするには:
すべての監査証跡が停止していることを確認します。
Audit Vault Serverコンソールで「セキュア・ターゲット」タブをクリックします。
「監視」メニューで「監査証跡」をクリックします。
すべての監査証跡を選択し、「中止」をクリックします。
Oracle Audit Vault And Database Firewallアプライアンスのアップグレード・ステップのステップに従って、Audit Vault Serverをアップグレードします。
アップグレードのノート
既存のセキュア・ターゲットで、Oracle Audit Vault and Database Firewall設定スクリプトを実行してユーザー権限(ストアド・プロシージャ監査など)を設定した場合は、それらの権限を更新するための追加の操作は必要ありません。
バージョン12.1.2.x以降では、パスワード・ハッシュが、よりセキュアな標準にアップグレードされています。この変更は、オペレーティング・システムのパスワード(supportおよびroot)に影響します。アップグレード後にパスワードを変更して、よりセキュアになったハッシュを活用してください。
高可用性構成のAudit Vault Serverのペアをアップグレードする方法を学習します。
ノート:
両方のAudit Vault Serverのアップグレードが完了するまで、プライマリ・ロールとスタンバイ・ロールを変更しないでください。
まずスタンバイAudit Vault Serverをアップグレードします。
Oracle Audit Vault And Database Firewallアプライアンスのアップグレード・ステップのステップに従って、スタンバイ(セカンダリ)をアップグレードします。
スタンバイAudit Vault Serverが再起動し、稼働していることを確認してから、プライマリAudit Vault Serverのアップグレードに進みます。
プライマリAudit Vault Serverをアップグレードする前に、監査証跡を停止します。
Audit Vault Serverコンソールで「セキュア・ターゲット」タブをクリックします。
「監視」メニューで「監査証跡」をクリックします。
すべての監査証跡を選択し、「中止」をクリックします。
Oracle Audit Vault And Database Firewallアプライアンスのアップグレード・ステップのステップに従って、プライマリをアップグレードします。
ノート:
プライマリAudit Vault Serverが再起動して稼働したら、その他の再起動は不要です。この時点で完全に機能しています。
エージェントおよびホスト監視は、Audit Vault Serverをアップグレードすると動的にアップグレードされます。
ノート:
いずれかのエージェントがJava 1.6
を使用している場合、Java
バージョンを1.8
にアップグレードします。このアクションでは、次のことが行われます。
Audit Vault Serverとエージェントとの通信を確立します。
エージェントをリリース12.2.0.9.0
に自動アップグレードします。
Audit Vault Agentの自動更新プロセスの間は、そのステータスはしばらくの間UNREACHABLE
になります。RUNNING
状態に戻るまでに45分かかることがあります。
Windowsホストでは、Audit Vault Agentが自動更新されるのは、それをWindowsサービスとして登録してあり、このサービスを、そのエージェントを最初にインストールしたOSユーザーの資格証明を使用するように設定した場合のみです。
コマンドラインからエージェントを起動した場合、Audit Vault Agentは自動更新されません。このような場合は、エージェントを手動で更新します。次に例を示します。
<agent_home>\bin\agentctl.bat stop
Audit Vault Serverコンソールから新しいagent.jar
をダウンロードし、既存のエージェントのagent_home
からjava -jar agent.jar
を使用して解凍します。その後、次のコマンドを実行します。
<agent_home>\bin\agentctl.bat start
既存のagent_home
ディレクトリを削除しないでください。
親トピック: アップグレード・タスク
次の手順に従ってすべてのDatabase Firewallをアップグレードする前に、まずAudit Vault Server(または高可用性のサーバー・ペア)をアップグレードする必要があります。
高可用性対応に構成されたDatabase Firewall(回復可能なペア)を更新する場合は、プライマリとセカンダリの両方のDatabase Firewallをアップグレードします。
親トピック: アップグレード・タスク
これは、高可用性対応に構成されたDatabase Firewallのペア(回復可能なペア)の一部ではないDatabase Firewallを更新するための手順です。
Database Firewallをアップグレードするには:
すべての強制ポイントを停止します。
Audit Vault Serverコンソールで「セキュア・ターゲット」タブをクリックします。
「モニタリング」メニューで、「強制ポイント」をクリックします。
すべての強制ポイントを選択し、「中止」をクリックします。
Oracle Audit Vault And Database Firewallアプライアンスのアップグレード手順の手順に従って、Database Firewallをアップグレードします。
高可用性対応に構成されたDatabase Firewallのペアをアップグレードする方法を学習します。
Oracle Audit Vault And Database Firewallアプライアンスのアップグレード・ステップのステップに従って、まずスタンバイ(セカンダリ) Database Firewallをアップグレードします。
スタンバイDatabase Firewallが再起動されたことを確認します。
スタンバイDatabase Firewallが再起動されて完全に起動されたら、このDatabase FirewallがプライマリDatabase Firewallになるように入れ替えます。これを行うには:
Audit Vault Serverコンソールで「ファイアウォール」タブをクリックします。
「回復可能なペア」をクリックします。
ファイアウォールのこの回復可能なペアを選択して、「スワップ」をクリックします。
これで、アップグレードしたばかりのDatabase Firewallがプライマリ・ファイアウォールになりました。
Oracle Audit Vault And Database Firewallアプライアンスのアップグレード・ステップのステップに従って、元のプライマリDatabase Firewallをアップグレードします。
元のプライマリDatabase Firewallが再起動されて完全に起動されたら、このDatabase FirewallがプライマリDatabase Firewallになるように入れ替えます。これはオプションのステップです。
Audit Vault ServerアプライアンスまたはDatabase Firewallアプライアンスをアップグレードするステップは似ています。
次のステップでは、アプライアンスという用語は、Audit Vault ServerまたはDatabase Firewall (アップグレードしている方)のことを指します。上の項の説明に従って、すべてのアプライアンスをアップグレードしてください。
親トピック: アップグレード・タスク
Oracle Audit Vault and Database Firewall (Oracle AVDF)アップグレード前RPMをインストールするステップ。
アップグレード前RPMをインストールする必要があります。これは、ファイル・システム上に適切な領域があることを確認した後、システムを、安全にアップグレードできる状態にします。アップグレード前RPMのインストール時には、アップグレード・ファイルをアプライアンスにコピーするための十分な領域を用意するためにアプライアンス上の空き領域が再編成され、インストールが開始されます。アップグレード後、アップグレード・ファイル用の領域はファイル・システムに返されます。
avdf-pre-upgrade-12.2.0.10.0-1.x86_64.rpm
実行可能ファイルは、アップグレード前提条件を含んでおり、インストール前にプラットフォーム条件を満たしていることも確認します。
アップグレード前RPMは、メイン・アップグレードISOファイルを保持するための十分な領域を確保して/var/dbfw/upgrade
ディレクトリを作成することで、システムのアップグレード準備を整えます。
前提条件
高可用性環境の場合は、アップグレード前RPMを実行する前に、プライマリAudit Vault Serverのフェイルオーバー・ステータスを確認します。フェイルオーバー・ステータスは、STALLED
ではなりません。フェイルオーバー・ステータスがSTALLED
の場合は、しばらく待ってからステータスを再確認します。ステータスが変更されない場合は、Oracle Supportに連絡してください。
プライマリAudit Vault Serverでフェイルオーバー・ステータスを確認するには、次のステップを実行します。
プライマリAudit Vault Serverコンソールにoracleユーザーとしてログインします。
次のコマンドを実行します。
/usr/local/dbfw/bin/setup_ha.rb --status
出力のフェイルオーバー・ステータスを確認します。
アップグレード前RPMの実行
SSHからユーザーsupport
としてアプライアンスにログインし、ユーザー(su
)をroot
に切り替えます。
リリース12.2.0.5.0以降からアップグレードする場合は、ユーザーroot
としてscreen
コマンドを実行します。
ノート:
screen
コマンドを使用すると、ネットワーク切断によってアップグレードが中断されることがなくなります。セッションが終了した場合は、次のように再開します。
support
として接続します。
ユーザーroot
に切り替えます。
コマンドscreen -r
を実行します。
次のコマンドを実行して、avdf-pre-upgrade-12.2.0.10.0-1.x86_64.rpm
実行可能ファイルをダウンロード場所からこのアプライアンスにコピーします。
scp remote_host:/path/to/avdf-pre-upgrade-12.2.0.10.0-1.x86_64.rpm /root
次のコマンドを実行して、avdf-pre-upgrade-12.2.0.10.0-1.x86_64.rpm
実行可能ファイルをインストールします。
rpm -i /root/avdf-pre-upgrade-12.2.0.10.0-1.x86_64.rpm
次のメッセージが表示されることを確認します。
SUCCESS: The upgrade media can now be copied to '/var/dbfw/upgrade'. The upgrade can then be started by running: /usr/bin/avdf-upgrade
ノート:
アップグレード前RPMのインストールに失敗した場合は、表示されるエラー・メッセージで示される是正措置を実行してください。アプライアンスのインストール準備ができていないか、アップグレード前RPMで問題が検出されている可能性があります。必要な措置を実行したら、アップグレード前RPMを削除し、インストールを再試行します。
RPMを削除するには、rootユーザーとして次のコマンドを実行します。
rpm -e avdf-pre-upgrade
アップグレード前RPMのアンインストールで問題が発生した場合は、次のコマンドを実行します。
rpm -e avdf-pre-upgrade --noscripts
ISOファイルをアプライアンスに転送するステップ。
avdf-upgrade-12.2.0.10.0.iso
ファイルは、My Oracle Supportからダウンロードした3つのISOファイルを組み合せて生成した、メイン・アップグレードISOです。
ユーザーsupport
としてアプライアンスにログインします。
次のようにavdf-upgrade-12.2.0.10.0.iso
ファイルをコピーします。
scp remote_host:/path/to/avdf-upgrade-12.2.0.10.0.iso /var/dbfw/upgrade
アップグレード・スクリプトは、ISOをマウントし、正しい作業ディレクトリに変更し、アップグレード・プロセスを実行し、アップグレード・プロセスの完了後にISOをマウント解除します。
SSHからユーザーsupport
としてアプライアンスにログインし、ユーザー(su
)をroot
に切り替えます。
ノート:
リリース12.2.0.5.0
以降からアップグレードする場合は、ユーザーrootとしてscreen
コマンドを実行します。screen
コマンドを使用すると、ネットワーク切断によってアップグレードが中断されることがなくなります。セッションが終了したら、ユーザーrootに切り替えて再開し、コマンドscreen -r
を実行します。次のコマンドを実行して、アップグレードの前に適切なチェックを実行します。
/usr/bin/avdf-upgrade
システム・プロンプト、警告、および指示に従ってアップグレードを続行します。
ノート:
12.2より前のOracle Audit Vault and Database Firewallリリースからアップグレードする場合は、データ暗号化キーストアのパスワードを求める次のようなプロンプトが表示されます。このパスワード・プロンプトは、プライマリ・システムおよびスタンドアロン・システムでは表示されますが、スタンバイ・システムでは表示されません。
Oracle Audit Vault and Database Firewallリリース12.2では、リポジトリはOracle Database Transparent Database Encryption (TDE)を使用して暗号化されます。このパスワードにより、TDEのマスター暗号化キー・ウォレットが保護されます。アップグレード後に、Oracle Audit Vault and Database FirewallをOracle Key Vaultと統合して暗号化キーをさらに保護することも選択できます。
パスワードは8文字以上30バイト以下にしてください。先頭と末尾にはスペースを使用できません。制御文字、削除文字、スペースバー以外の空白文字、二重引用符(")は使用できません。ASCIIのみのパスワードには、少なくとも1つの大文字の英字、1つの小文字の英字、1つの数字(0-9)および1つの特殊文字(.、+、:、_、!)を含める必要があります。
次のような出力が表示されます。
Enter Keystore Password: ******** Re-Enter Keystore Password:
WARNING: power loss during upgrade may cause data loss. Do not power off during upgrade.
Verifying upgrade preconditions
1/7: Mounting filesystems (1)
2/7: Cleaning yum configuration
3/7: Cleaning old packages and files
4/7: Upgrading kernel
5/7: Upgrading system
6/7: Installing database bundle patch resources
7/7: Setting final system status
Remove media and reboot now to fully apply changes.
Unmounted /var/dbfw/upgrade/avdf-upgrade-12.2.0.10.0.iso on /images
上の出力は、ベース・インストール・レベル、アプライアンス・タイプおよび構成によって異なります。
アプライアンスのアップグレード
コマンドの完了には時間がかかる場合があります。アップグレードは中断しないでください。中断すると、システムが一貫性のない状態のままになることがあります。
そのため、ダイレクト・コンソール・ログイン(またはiLOM相当)など、信頼性があって中断しないシェルを使用することが重要です。
アプライアンスのアップグレードにネットワーク(ssh)接続を使用する場合は、接続の信頼性を確認してください。接続をkeepalive
に設定する必要がある場合もあります。Oracle Linuxのコマンド・ラインからsshを使用している場合は、ServerAliveInterval
オプションを使用できます。次に例を示します。
# ssh -o ServerAliveInterval=20 [other ssh options]
ノート:
リリース12.2.0.5.0
以降からアップグレードする場合は、ユーザーrootとしてscreen
コマンドを実行します。screenコマンドを使用すると、ネットワーク切断によってアップグレードが中断されることがなくなります。セッションが終了した場合は、次のように再開します。
screen -r
を実行します。アプライアンスをリブートし、アップグレード処理を続行するステップ。
アプライアンスを再起動するには、次のステップを実行します。
SSHからユーザーsupport
としてアプライアンスにログインし、ユーザー(su
)をroot
に切り替えます。
アプライアンスを再起動します。次に例を示します。
reboot
再起動プロセスによってアップグレードが完了します。アプライアンスの再起動時に、データベース移行前およびデータベース移行後が自動的に実行されます。このプロセスでは、avdf-pre-upgrade-12.2.0.10.0-1.x86_64.rpm
アップグレード前実行可能ファイルも削除されるので、このファイルを手動で削除する必要はありません。
ノート:
再起動後、移行プロセスの完了までに数時間かかることがあります。しばらくお待ちください。この進行中はシステムを再起動しないでください。Database Firewallをアップグレードした場合は、アプライアンスの証明書が再生成されている場合があります。このような場合には、Database Firewallを再登録する必要があります。これを確認するには:
Audit Vault Serverに管理者
としてログインします。
「Database Firewall」タブをクリックします。
アップグレードしたDatabase Firewallで証明書エラーが示される場合は、その名前をクリックしてから、ファイアウォールの再登録をクリックします。
ノート:
次の各項の説明に従って、すべての構成要素をアップグレードしてください。
アップグレードが完了したら、アップグレード後の変更を実行します。
Oracle Audit Vault and Database Firewall (Oracle AVDF)のアップグレード後タスク。
ノート:
AVSインストールまたはアップグレード後に、非推奨の暗号パッチ(Deprecated-Cipher-Removal.zip
)を適用して古い暗号を削除します。このパッチは、12.2.0.13.0 (以降)のインストールまたはアップグレード後にAudit Vault Serverに適用してください。パッチを適用する前に、すべてのAudit Vault Agentおよびホスト・モニター・エージェントが12.2.0.13.0にアップグレードされていることを確認します。
次のトピックでは、アップグレード後の重要な変更について説明します。
アップグレードが成功したかどうかを表す兆候を次に示します。
アップグレード成功時の兆候:
Audit Vault Serverコンソールを問題なく起動できる
Audit Vault Serverコンソール上のホーム・ページの右上隅に実際のバージョンが表示される
Audit Vault ServerへのSSH接続がエラーなしで成功した
アップグレード失敗時の兆候
Audit Vault Serverコンソールを起動できない
Audit Vault ServerへのSSH接続で、アップグレードが失敗したことを示すエラーが表示される
親トピック: アップグレード後タスク
アップグレード後、新しく作成された表領域は自動的に暗号化されます。
ただし、システムを12.2にアップグレードする前に作成された表領域は、クリア・テキストのままになります。
関連項目:
既存の表領域を暗号化するステップの詳細は、Oracle Audit Vault and Database Firewall管理者ガイドのアップグレードしたインスタンスでのデータ暗号化を参照してください。親トピック: アップグレード後タスク
アップグレード後は、アーカイブ場所に新しい動作が適用されます。
新しいアーカイブ場所は、それらを作成した、管理者ロールを持つユーザーによって所有されます。
スーパー管理者ロールを持つユーザーは、すべてのアーカイブ場所を表示できます。
既存のアーカイブ場所には、スーパー管理者ロールを持つユーザーのみがアクセスできます。管理者ロールを持つ通常のユーザーがこれらの場所にアクセスできるようにするには、アーカイブ場所ごとに次のタスクを実行する必要があります。
root
OSユーザーとしてAudit Vault Serverにログインし、次のコマンドを実行します。
su - dvaccountmgr sqlplus / alter user avsys identified by <password> account unlock; exit; exit; su - oracle sqlplus avsys/<password> update avsys.archive_host set created_by=<adminuser> where name=<archive location name>; commit; exit; exit; su - dvaccountmgr sqlplus / alter user avsys account lock; exit; exit;
親トピック: アップグレード後タスク
Oracle AVDF 12.2.0.11.0からそれより新しいリリース(12.2.0.12.0または12.2.0.13.0)へのアップグレード後に無効になっているアーカイブ機能を修正する方法を学習します。
問題
アーカイブ機能は、Oracle AVDF 12.2.0.11.0または12.2.0.12.0から12.2.0.12.0または12.2.0.13.0へのアップグレード後に無効になっている場合があります。
高可用性環境のアーカイブ機能は、Oracle AVDFリリース12.2.0.11.0以降でサポートされています。この問題は、プライマリAudit Vault Serverでのみアーカイブ機能がサポートされている古いリリースからアップグレードする場合に発生します。このステップは、Oracle AVDF 12.2.0.11.0からそれより新しいリリースにアップグレードする場合にのみ実行します。
ノート:
Oracle AVDF 12.2.0.11.0より前のリリースからアップグレードする場合は、アップグレード後のアーカイブ機能の有効化に記載されているステップに従います。解決策
12.2.0.13.0にアップグレードする前にアーカイブ場所が存在していた場合は、次のステップを実行してアーカイブ機能を有効にします。これらのステップは、アップグレード・プロセス後に実行する必要があります。
Audit Vault Serverコンソールを使用して、新しいアーカイブ場所を作成します。この新しいアーカイブ場所の作成時に、プライマリとスタンバイの両方の場所の詳細を入力します。これにより、新しいアーカイブ場所がプライマリまたはスタンバイのAudit Vault Serverにマウントされ、fstab
が両方のアーカイブ場所で更新されます。
プライマリAudit Vault ServerにsupportユーザーとしてSSH接続し、次のコマンドを実行してavsysユーザーのロックを解除します。
su root
su dvaccountmgr
sqlplus /
alter user avsys identified by <new password for avsys user> account unlock;
exit;
exit;
avsysユーザーとして次のコマンドを実行します。
su oracle
sqlplus avsys
要求されたら、avsysパスワードを入力します。次のSQLコマンドを実行します。
delete from avsys.system_configuration where property = '_ILM_ARCHIVING_DISABLED';
COMMIT;
insert into avsys.system_configuration values ('_ILM_HA_UPGRADE_COMPLETED', 'Y');
COMMIT;
exit;
exit;
次のコマンドを実行してavsysユーザーをロックします。
su dvaccountmgr
sqlplus /
alter user avsys account lock;
最初のステップで作成した新しいアーカイブ場所を削除します。「設定」タブに移動し、左側のナビゲーション・メニューで「アーカイブの場所の管理」をクリックします。アーカイブ場所を明示的に削除します。
親トピック: アップグレード後タスク
リリース12.2.0.10.0以前からのアップグレード後にアーカイブ機能を有効にします。これは、Audit Vault Serverが高可用性環境にデプロイされている場合にのみ必要となります。
高可用性環境のアーカイブ機能は、Oracle AVDFリリース12.2.0.11.0以降でサポートされています。この問題は、プライマリAudit Vault Serverでのみアーカイブ機能がサポートされている古いリリースからアップグレードする場合に発生します。Oracle AVDF 12.2.0.10.0以前のリリースから、プライマリとスタンバイの両方のAudit Vault Serverでアーカイブ機能がサポートされている新しいリリースにアップグレードする場合にのみ、このステップを実行します。
NFSの場所とアーカイブ済データ・ファイルがある場合、すべてのデータ・ファイルがそれぞれのNFSの場所で使用できることを確認してください。アップグレード・プロセスが完了すると、アーカイブは無効化されます。アーカイブを有効にするには、ユーザーが次のステップに従う必要があります。
親トピック: アップグレード後タスク
すべてのアプライアンスおよびエージェントをアップグレードした後は、TLSレベルをLevel-4に設定することをお薦めします。
次のコマンドを実行して、TLSレベルをLevel-4に設定します。
/usr/local/dbfw/bin/priv/configure-networking --wui-tls-cipher-level 4 --internal-tls-cipher-level 4 --agent-tls-cipher-level 4
ノート:
エージェントの単一インスタンスがIBM AIXで実行されている場合は、前述のコマンドで--agent-tls-cipher-level 4
のかわりに--agent-tls-cipher-level 3
を使用します。
いずれかのエージェントがJava 1.6
を使用している場合、Java
バージョンを1.8
にアップグレードします。
その後、次の手順を実行して、すべてのエージェントに暗号レベルの変更を伝播します。
Audit Vault Serverコンソールにrootユーザーとしてログインします。
次のコマンドを使用してディレクトリを変更します。
cd /usr/local/dbfw/bin/priv
次のコマンドを使用してスクリプトを実行します。
./send_agent_update_signal.sh
ノート:
このコマンドは、1時間以内に複数回実行できません。
厳密なTLS設定がサポートされていない場合は、これによって、外部システムとの通信が切断されます。適切なレベルについては、Oracle Audit Vault and Database Firewall管理者ガイドのTLSレベルの設定についてを参照してください。
親トピック: アップグレード後タスク
使用していないカーネルをOracle Audit Vault and Database Firewall (Oracle AVDF)からクリアする手順の詳細は、MOSノート(Doc ID 2458154.1)を参照してください。
親トピック: アップグレード後タスク
システムが正しく効果的に機能するためには、Audit Vault Serverの一部のジョブをスケジュールする必要があります。
これらのジョブは、夜間など、Audit Vault Serverの使用率が低い期間に実行する必要があります。
次の手順で、これらのジョブをユーザーのタイムゾーンに応じてスケジュールできます。
親トピック: アップグレード後タスク
Oracle Audit Vault and Database Firewall (Oracle AVDF)のアップグレード後、ログ・ローテーション・ファイルの欠落を解決する必要があります。
このシナリオは、Oracle Audit Vault and Database Firewallリリース12.2.0.4.0
以前からリリース12.2.0.5.0
以上にアップグレードする際に発生します。アップグレード後に/etc/logrotate.d/dbfw-db
ファイルが見つからない場合があります。
この問題を修正するには、rootユーザーとして次のコマンドを実行します。
install -o root -g root -m 0400 \ /usr/local/dbfw/templates/template-logrotate.d_dbfw-db \ /etc/logrotate.d/dbfw-db
次のエラーを修正するには、Oracle Audit Vault and Database Firewallリリース12.2.0.10.0
以上にアップグレードします。
error: /etc/logrotate.d/dbfw-db:10 duplicate log entry for /var/lib/oracle/dbfw/av/log/apex_perf_patch.log
親トピック: アップグレード後タスク
Oracle Audit Vault and Database Firewall 12.2より前のリリースでは、期限切れの監査レコード(データ保存/アーカイブ・ポリシーで指定されたオンライン期間より古いレコード)は自動的にはアーカイブされませんでした。
期限切れの監査レコードは、Audit Vault ServerのAVSPACE
スキーマで格納されていました。
Oracle Audit Vault and Database Firewall 12.2にアップグレードすると、移行ジョブが自動的に開始されて期限切れの監査データが移行され、セキュア・ターゲットに設定された保存ポリシーに応じてアーカイブまたは削除されます。この移行ジョブのステータスは、「ジョブ」ページ(「設定」タブ、「システム」メニュー、「ジョブ」)で確認できます。エラーが発生した場合(移行のための十分な空き領域がない場合など)、ジョブ・ステータスにエラーが表示されます。期限切れ監査レコードの移行ジョブは、エラーが修正されて移行が完了するまで、6時間ごとに実行されます。
ノート:
リリース12.2.0.3.0から12.2.0.4.0に正常にアップグレードできたら、アーカイブ・ジョブを実行する前に暗号化スクリプトを実行する必要があります。関連項目:
アーカイブの詳細は、『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。予期できない理由でアップグレードに失敗した場合に備えて、アップグレードの前には必ずOracle Audit Vault and Database Firewallのバックアップを作成してください。
Audit Vault Serverのフラッシュ・リカバリ領域に十分な空き領域がある場合は、Oracle Supportの指導のもとで、アップグレードに失敗した後にデータベースをリカバリできます。
大まかに言うと、データベースのリカバリを可能にするには、フラッシュ・リカバリ領域に次の空き領域が必要です。
20GBまたはAudit Vault Serverデータベースに格納されているデータ量の150%のいずれか大きい方。
関連項目:
フラッシュ・リカバリ領域の監視の詳細は、『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。
Audit Vault Server and the Database Firewallアプライアンスと、ターゲット・ホスト・マシンにデプロイされているAudit Vault Agentをアンインストールします。
セキュア・ターゲット・ホスト・マシンからAudit Vault Agentを削除するには:
Audit Vault ServerまたはDatabase Firewallをアンインストールするには、それらがインストールされているコンピュータの電源を切り、ハードウェアを安全に撤去する手順に従います。
Oracle Database Firewallの再イメージ化とAudit Vault Serverからのリストアについて説明します。
この手順を使用して、Oracle Database Firewallアプライアンスを再イメージ化し、Audit Vault Serverコンソールから構成をリストアします。
「証明書検証に失敗しました」
というメッセージがリストに表示されます。Primary
で、強制ポイントのステータスがUp
であることを確認します。