プライマリ・コンテンツに移動
Oracle® Audit Vault and Database Firewallインストレーション・ガイド
リリース12.2.0
E70390-18
目次へ移動
目次
索引へ移動
索引

前
次

5 Oracle Audit VaultからOracle Audit Vault and Database Firewallへの構成の移行

Oracle Audit Vaultリリース10.3からOracle Audit Vault Database Firewall (Oracle AVDF)リリース12.2に構成を移行できます。

5.1 Oracle Audit VaultのOracle Audit Vault and Database Firewallへの移行について

Oracle Audit VaultからOracle Audit Vault and Database Firewall (Oracle AVDF)に移行するプロセス。

Oracle Audit Vaultリリース10.3からOracle Audit Vault and Database Firewallリリース12.2に移行する場合、Audit Vaultホストおよびアラート定義の移行、エージェントの設定などのタスクをOracle Audit Vault and Database Firewallのために実行する必要があります。

移行を実行するには、Oracleが提供するプラットフォーム非依存のJava移行ツールを使用します。これはOracle Audit Vault Release 10.3対応プラットフォーム(Microsoft WindowsおよびUNIX)で実行でき、Oracle Audit Vault and Database Firewallリリース12.2に対してはLinux x64プラットフォームで実行できます。

図5-1に、Oracle Audit Vaultリリース10.3からOracle Audit Vault and Database Firewall 12.2への移行パスを示します。

図5-1 Oracle Audit VaultからOracle Audit Vault and Database Firewallへの移行パス

図5-1の説明が続きます
「図5-1 Oracle Audit VaultからOracle Audit Vault and Database Firewallへの移行パス」の説明

移行する構成

移行プロセスでは、次の構成をOracle Audit Vault 10.3からOracle Audit Vault and Database Firewall 12.2に移行します。

  • Oracle Audit Vault 10.3エージェントをOracle Audit Vault and Database Firewall 12.2ホストへ

  • Oracle Audit Vault 10.3ソースをOracle Audit Vault and Database Firewall 12.2セキュア・ターゲットへ

  • Oracle Audit Vault 10.3コレクタをOracle Audit Vault and Database Firewall 12.2監査証跡へ

  • セキュア・ターゲット資格証明

  • セキュア・ターゲット・ユーザー資格証明のウォレット

  • アラート定義

  • アラート電子メール・アクション

  • アラート・ステータス

  • 通知プロファイル

  • 通知テンプレート

移行の概要

実行する一般的なステップは次のとおりです。

  1. Oracle Audit Vault 10.3を準備します。

  2. Audit Vault 10.3で移行ツールを実行して、構成をエクスポートします。

  3. エラーがあるかどうか移行ログを調べます。

  4. Oracle Audit Vault 10.3構成を受け入れるためにOracle Audit Vault and Database Firewall 12.2を準備します。

  5. Oracle Audit Vault and Database Firewall 12.2で移行スクリプトを実行して、Oracle Audit Vault 10.3構成をインポートします。

  6. Oracle Audit Vault and Database Firewall 12.2のステータスを確認して、移行プロセスを完了します。

5.2 ステップ1: 移行のためのOracle Audit Vaultリリース10.3の準備

ステップ1では、移行を実行する前に、移行ユーティリティ・ファイルをダウンロードして、AVSYSユーザーおよび移行ファイルに対する適切な権限を設定する必要があります。

  1. migration-tool.zipファイルを、Audit Vault Serverが配置されているコンピュータの一時ディレクトリにダウンロードします。

    移行ツールによって、移行に必要なOracle Audit Vault 10.3 avcliスクリプトを生成できます。これらのスクリプトにより、Oracle Audit Vault 10.3のエージェント、ソースおよびコレクタがOracle Audit Vault and Database Firewall 12.2で使用されるホスト、セキュア・ターゲットおよび監査証跡に移行されます。

  2. migration-tool.zipファイルを解凍します。

    zipファイルには次のファイルが含まれます: migration.sqlREADME.txtAddCredential.classgen-migrate (最終avcliスクリプトを生成するために起動する必要があります)、add-credentialimport_alert.sqlmigrate_alert.sqlmigrate_ad.sqlmigrate_aea.sqlmigrate_as.sqlmigrate_noti_pro.sqlmigrate_noti_temp.sql

  3. Audit Vault Serverインスタンスで、Oracle Database Vault DV_ACCTMGRロールを付与されたユーザーとしてSQL*Plusにログインします。

    Oracle Database VaultはこのリリースのOracle Audit Vaultで有効化されているため、SYSまたはSYSTEMアカウントを使用してユーザー・アカウントを作成または変更することはできません。

    次に例を示します。

    sqlplus dbv_acctmgr
    Enter password: password
    
  4. AVSYSアカウントをロック解除します。
    ALTER USER AVSYS UNLOCK;
    
  5. SYSユーザーとして接続します。
    connect sys as sysdba
    Enter password: password
    
  6. CREATE ANY DIRECTORYおよびDROP ANY DIRECTORYシステム権限をユーザーAVSYSに付与します。
    GRANT CREATE ANY DIRECTORY, DROP ANY DIRECTORY TO AVSYS;
    
  7. SYS.UTL_FILEファイルに対するEXECUTE権限をユーザーAVSYSに付与します。
    GRANT EXECUTE ON SYS.UTL_FILE TO AVSYS;
    
  8. SQL*Plusを終了します。
  9. gen-migrateツールを実行できない場合は、権限を変更して実行できるようにします。

    次に例を示します。

    chmod 744 gen-migrate

5.3 ステップ2: Oracle Audit Vaultリリース10.3構成データの生成

ステップ2では、migration-script.zipmigration.logという2つのファイルを生成する手順を実行します。migration-script.zipファイルには、エクスポートするAudit Vault 10.3構成が含まれ、migration.logファイルには、手順で行われるアクションおよび発生する可能性のあるエラーのログが含まれます。

  1. migration-tool.zipファイルをダウンロードして解凍したAudit Vault Server端末にログインします。
  2. Oracle Audit Vault and Database FirewallサーバーでORACLE_HOME環境変数を設定します。

    Cシェル:

    setenv ORACLE_HOME fullpath 
    

    Bourne/Kornシェル:

    ORACLE_HOME=fullpath
    export ORACLE_HOME
    
  3. gen-migrateツールを実行します。
    ./gen-migrate
    Enter the path: location_for_output
    Enter AVSYS password: AVSYS_password
    

    移行スクリプトが生成されるディレクトリ・パスを指定します。パスを指定しない場合、移行スクリプトは現在のディレクトリに生成されます。パスはオプションですが、AVSYSパスワードは指定する必要があります。

  4. migration.logファイルでエラーを確認して修正します。

    よくあるエラーには、次のようなものがあります。

    • AVSYSでディレクトリを作成できない

    • ホスト"host_name"のIPを取得できない: このエラーは、with ipオプションを使用せずにホストを登録しようとすると発生する可能性があります。register_host.avスクリプトで、register host コマンドを変更してwith ipオプションを含めます。

    • ホスト"host_name"を登録できない。ホストを手動で登録します。

    エラーを解決できない場合は、Oracle Supportに連絡してください。

5.4 ステップ3: 移行のためのOracle Audit Vault and Database Firewallリリース12.2の準備

ステップ3では、Oracle Audit Vault and Database Firewall (Oracle AVDF)がOracle Audit Vaultと同じ設定を使用するように、設定を指定します。

  1. アラート電子メール通知に対してSMTPサーバーが正しく機能していることを確認します。
  2. タイムゾーン設定およびキーボード設定を指定します。
  3. ネットワーク・サービスを設定します。

    関連項目:

5.5 ステップ4: Oracle Audit Vault構成のOracle Audit Vault and Database Firewallへの移行

ステップ4では、migration-script.zipファイルをOracle Audit Vault and Database Firewall (Oracle AVDF)サーバーに解凍して、移行を完了します。

  1. migration-script.zipファイルを、Oracle Audit Vault 10.3サーバーからOracle Audit Vault and Database Firewall 12.2サーバーがインストールされているサーバーにコピーします。
  2. 必要に応じて、Audit VaultにORACLE_HOME変数を設定します。

    ORACLE_HOME変数がすでに設定されている場合は、次のコマンドを実行します。

    ssh support@avdf-ip
    su - 
    su oracle
    
  3. cdコマンドで、avcliスクリプトを格納するディレクトリに移動します。
  4. migration-scripts.zipファイルを、このディレクトリに解凍します。
    unzip path_to_zip_file/migration-scripts.zip .
    

    migration-script.zipファイルには、次のファイルが含まれます。

    • register_host.av: ホストを登録するためのすべてのavcliコマンドが含まれます

    • register_secured_target.av: セキュア・ターゲットを登録するコマンドが含まれます

    • start_trail.av: 登録されたセキュア・ターゲットの追跡を開始するコマンドが含まれます

    • AddCredentail.class: セキュア・ターゲット資格証明をOracle Audit Vault and Database Firewallサーバーに追加するJavaクラス・ファイル。

    • add-credential: javaプログラムを呼び出して、セキュア・ターゲット資格証明をOracle Audit Vault and Database Firewallサーバーに追加するためのツール。

    • avwallet (ディレクトリ): セキュア・ターゲット・ユーザー資格証明を持つウォレットが含まれます

    • src_id_to_name_map.txt: ソースIDからセキュア・ターゲット名へのマッピング

    • import_alert.sql: アラート構成をOracle Audit Vault and Database Firewallにインポートするマスター・スクリプト

    • ad.sql: アラート定義

    • aea.sql: アラート電子メール・アクション

    • as.sql: アラート・ステータス

    • np.sql: 通知プロファイル

    • nt.sql: 通知テンプレート

    • nt.sql: 通知テンプレート

  5. 前のステップでリストされたファイルが、解凍されてディレクトリ内にあることを確認します。
  6. この手順の後半で説明する最終移行に使用する前に、avcliスクリプト、register_host.avおよびregister_secured_target.avを確認します。

    問題がある場合は、スクリプトを変更して問題を修正します。

  7. このスクリプトを使用して移行すべきDB2ソースがある場合は、移行に使用する前にregister_secured_target.avファイルを変更します。

    Oracle Audit Vault 10.3では、DB2ポートおよびデータベース名の情報は保存されません。Oracle Audit Vault and Database Firewallのregister target設定にはこの情報が必要であるため、register_secured_target.avファイルを変更してこの情報を含める必要があります。

    たとえば、register_secured_target.avには、次のようなセキュア・ターゲット登録設定があります。

    REGISTER SECURED TARGET my_target OF SECURED TARGET TYPE "IBM DB2 LUW" AT jdbc:av:db2://db2host.oracle.com 
    authenticated by administrator/password
    

    このコマンドは、DB2ソースへの接続に必要なポート番号とデータベース名を省略します。そのため、次の方法でコマンドを変更する必要があります。ポート番号とデータベース名は太字です。

    REGISTER SECURED TARGET my_target OF SECURED TARGET TYPE "IBM DB2 LUW" AT jdbc:av:db2://db2host.example.com:50000/SAMPLE 
    authenticated by administrator/password;
    
  8. Oracle Audit Vault and Database Firewall管理ユーザーとして、avcliを使用してregister_host.avを実行します。
    avcli -f register_host.av -u AVDF_admin_user_name
    

    このコマンドは、register_host.avに含まれているすべてのホストをOracle Audit Vault Serverに登録します。

  9. agent.jarファイルを、Audit Vault Serverから前のステップで登録したホスト・コンピュータに手動でダウンロードします。
  10. 登録したこれらのホストでエージェントを起動します。

    次に例を示します。

    agentctl start -k
    Enter Activation Key: key
    

    agent.jarファイルは現在のコンピュータとは異なるホストに配置する必要があるため、これは手動で実行する必要があります。このキーは、Audit Vault Serverのホスト・タブから検索できます。

  11. エージェントを起動したら、register_secured_target.avを使用してセキュア・ターゲットを登録します。
    avcli -f register_secured_target.av -u AVDF_admin_user_name
    
  12. add-credentialツールを実行して、セキュア・ターゲット・ユーザー資格証明を追加します。
    ./add-credential
    AV admin user: AVDF_admin_user_name
    Password: password
    

    エラーは移行ログ・ファイルに書き込まれます。このログ・ファイルは、現在のディレクトリに生成されます。add-credentialツールの実行後、このログ・ファイルでエラーがあるかどうかおよびその解決方法を確認します。移行ログ・ファイルについては、ステップ2: Oracle Audit Vaultリリース10.3構成データの生成で説明しています。

  13. import_alert.sqlスクリプトを実行して、SQL*PlusからOracle Audit Vault and Database Firewall監査者またはスーパー監査者としてアラート関連定義をインポートします。
    sqlplus auditor-super_auditor
    Enter password: password
    @import_alert.sql
    
  14. alert_migration_log.htmlファイルで、変更すべきアラート定義があるかどうかを確認します。

    前のステップで生成されたalert_migration_log.htmlファイルに、移植できなかったアラート定義および通知テンプレートがリストされます。

  15. import.logファイルで、アラートのインポート中にエラーがあったかどうかを確認します。
  16. start_trail.avスクリプトを使用して、ステップ11で登録したセキュア・ターゲットの監査証跡収集を開始します。
    avcli -f start_trail.av -u AVDF_admin_user_name

5.6 ステップ5: 移行後ステップの実行

ステップ5では、移行プロセスを完了するために、エージェント、監査証跡、アラートおよびその他のコンポーネントが実行されていることを確認し、移行プロセスの前にリリース10.3 AVSYSユーザーに付与した権限を取り消す必要があります。

  1. Audit Vault Serverインスタンスで、ALTER USERシステム権限を持つユーザーとしてSQL*Plusにログインします。

    たとえば、Oracle Database Vaultが有効になっている場合は、DV_ACCTMGRロールを付与されたユーザーとしてログインします。

    sqlplus dbv_acctmgr
    Enter password: password
    
  2. AVSYSアカウントをロックします。
    ALTER USER AVSYS LOCK;
    
  3. ユーザーSYSとして接続します。
    sqlplus sys as sysdba
    Enter password: password
  4. 以前にAVSYSに付与した権限を取り消します。
    REVOKE CREATE ANY DIRECTORY, DROP ANY DIRECTORY FROM AVSYS;
  5. Audit Vault Serverのシステム操作をテストします。
  6. エージェントが機能していることを確認します。
  7. セキュア・ターゲットが正しく設定されていることを確認します。

    Audit Vault Serverコンソールで、「セキュア・ターゲット」タブをクリックしてセキュア・ターゲットを確認します。

  8. 監査証跡が起動され、アーカイブされた新規レコードで実行されていることを確認します。
  9. アラート定義、アラート電子メール・アクション、アラート・ステータス、通知プロファイル、通知テンプレートが適切に設定されていることを確認します。

    これらのアラートおよび通知のステータスは、Audit Vault Serverコンソールで確認できます。

  10. アラートが生成され、通知が正しい受信者に送信されることを確認します。

    関連項目: