4 Database Firewallの構成

この章では、ネットワーク上でDatabase Firewallを構成する方法と、トラフィック・ソース、ブリッジおよびプロキシを構成する方法について説明します。

ここでのトピック

• Database Firewallの構成について

• Database Firewall用のUI(コンソール)証明書の変更

• Database Firewallのネットワークおよびサービス構成の管理

• Database Firewallでの日付と時刻の設定

• Audit Vault Serverの証明書およびIPアドレスの指定

• ネットワーク上のDatabase Firewallおよびそのトラフィック・ソースの構成

• Interface Masters Niagaraサーバー・アダプタ・カードの構成

• Database Firewallのステータスおよび診断レポートの表示

4.1 Database Firewallの構成について

各Database Firewallのシステム設定およびファイアウォール設定の構成は、Oracle Audit Vault and Database Firewallのデプロイの計画全体によって異なります。

各ファイアウォールを構成するとき、そのファイアウォールを管理するAudit Vault Serverを特定します。また、Oracle Audit Vault and Database Firewallシステム構成全体の計画に応じて、ファイアウォールのトラフィック・ソースを構成し、ネットワーク・トラフィックに対してインラインにするか帯域外にするかと、プロキシとして使用するかどうかを決定します。

ノート:

• Audit Vault ServerおよびDatabase Firewallサーバーは、ソフトウェア・アプライアンスです。Oracleの公式ドキュメントまたはOracleサポートから指示があった場合を除き、これらのサーバーでは、コマンドラインからLinuxオペレーティング・システムを変更しないでください。

• Database Firewallは、1秒当たり4000トランザクションを処理し、SQL文ごとに100マイクロ秒未満の最小限の待機時間オーバーヘッドとなるように改良されました。これは内部パフォーマンス・テストに基づいています。

基本的なファイアウォール構成は、次の4つのステップで構成されます。

1. Database Firewallのネットワークおよびサービス構成の管理

2. Database Firewallでの日付と時刻の設定

3. Audit Vault Serverの証明書およびIPアドレスの指定

4. ネットワーク上のDatabase Firewallおよびそのトラフィック・ソースの構成

Database Firewallを構成したら、次のタスクを実行します。

• ファイアウォールで保護する各データベース・セキュア・ターゲットの強制ポイントを構成します。

• オプションで、高可用性環境用にDatabase Firewallの回復可能なペアを設定できます。

関連項目:

• Oracle Audit Vault and Database Firewallシステムを構成するワークフローの概要を確認するには、「構成ステップの概要」を参照してください。

• 計画ステップの概要は、「システム構成の計画」を参照してください。

• 強制ポイントを構成するには、「強制ポイントの構成」を参照してください。

• 高可用性のためにDatabase Firewallの回復可能なペアを設定するには、「高可用性の構成」を参照してください。

4.2 Database Firewall用のUI(コンソール)証明書の変更

Database Firewallの管理コンソールに最初にアクセスすると、証明書の警告またはメッセージが表示されます。今後、このタイプのメッセージが表示されないように、適切な認証局によって署名された新しいUI証明書をアップロードできます。

前提条件

管理者としてDatabase Firewallの管理コンソールにログインします。詳細は、「Database FirewallコンソールUIへのログイン」を参照してください。

Database FirewallのUI証明書を変更するには:

1. 「システム」で、「UI証明書の変更」をクリックします。
2. 「UI証明書の変更」ページで、「証明書リクエストを生成し、certificate.csrファイルをダウンロードしてください。」をクリックします。

   証明書の共通名とともに「証明書署名リクエストの生成」フォームが表示されます。証明書の警告は、Audit Vault Serverホストを識別するために使用される共通名に基づいています。

3. ホスト(共通)名ではなくIPアドレスを使用してAudit Vault Serverコンソールにアクセスする場合、証明書の警告が表示されないようにするには、「IPベースのURLアクセスに関する警告を抑制します。」チェック・ボックスを選択します。
4. フォームに入力して、「生成」をクリックします。

   リクエストが生成されたことを確認する、確認メッセージが表示されます。

5. 「ダウンロード」をクリックして「ファイルの保存」を選択し、.csrファイルを選択した場所に保存します。
6. 保存した.csrファイルを認証局に送信します。
7. 認証局から新しい証明書が発行されたら、それをアップロードするために「UI証明書」ページに戻り、「このDatabase Firewallに発行された証明書をアップロードします。」をクリックします。
8. 新しい証明書.csrファイルを参照して、「証明書のアップロード」をクリックします。

ノート:

独自の公開キー・インフラストラクチャを使用している場合は、ブラウザに認証局のパブリック証明書をインストールする必要があります。

4.3 Database Firewallのネットワークおよびサービス構成の管理

ここでのトピック

• Database Firewallのネットワーク設定の構成

• Database Firewallのネットワーク・サービスの構成

4.3.1 Database Firewallのネットワーク設定の構成

インストーラにより、インストール時にDatabase Firewallの初期ネットワーク設定が構成されます。このネットワーク設定は、インストール後に変更できます。

前提条件

Database Firewall管理コンソールにログインします。詳細は、「Database FirewallコンソールUIへのログイン」を参照してください。

Database Firewallのネットワーク設定を変更するには:

1. 「システム」メニューで、「ネットワーク」を選択します。
2. 「Network Configuration」ページで、「Change」ボタンをクリックします。
3. 「管理インタフェース」セクションで、必要に応じて次のフィールドに入力します。

   • IP Address: 現在アクセスしているDatabase FirewallのIPアドレス。IPアドレスはインストール時に設定されています。別のアドレスを使用する場合は、ここで変更できます。IPアドレスは静的で、ネットワーク管理者から取得する必要があります。

   • ネットワーク・マスク: Database Firewallのサブネット・マスク。

   • ゲートウェイ: デフォルト・ゲートウェイのIPアドレス(たとえば、インターネット・アクセス用)。デフォルトのゲートウェイは、ホストと同じサブネット上にある必要があります。

   • 名前: このDatabase Firewallの説明的な名前を入力します。名前は英数字で、空白は指定できません。

4. 「リンクのプロパティ」セクションは、ネットワーク管理者からの指示があった場合にのみ、その設定を変更します。

   オートネゴシエーションが最も一般的な構成であり、デフォルト値です。

5. 「保存」をクリックします。

4.3.2 Database Firewallのネットワーク・サービスの構成

ネットワーク・サービスの構成により、管理者がDatabase Firewallにアクセスできる方法が決定されます。データを保護するためのガイドラインを参照して、ネットワーク・サービスを構成するときに適切なセキュリティ措置を必ず講じてください。

前提条件

Database Firewall管理コンソールにログインします。詳細は、「Database FirewallコンソールUIへのログイン」を参照してください。

Database Firewallのネットワーク・サービスを構成するには:

1. 「システム」メニューで、「サービス」をクリックします。
2. 「変更」ボタンをクリックします。
3. 「ネットワーク・サービスの構成」ページで、必要に応じて次を編集します。

   • DNSサーバー1、DNSサーバー2、DNSサーバー3: ホスト名を変換する必要がある場合、ネットワーク上にある少なくとも1つのDNSサーバーのIPアドレスを入力する必要があります。最高3つまでDNSサーバーのIPアドレスを入力できます。DNSサーバーがない場合は、このフィールドを空白のままにして、システム・パフォーマンスの低下を防止します。

     DNSを使用する場合は、そのサーバーが信頼できることを確認します。DNSサーバーが使用できない場合、Database Firewallの多くのサービスは動作しません。たとえば、ブロックされるべきトラフィックがDatabase Firewallを通過する可能性があります。

   • Webアクセス: 選択したコンピュータからDatabase Firewall管理コンソールにWebアクセスできるようにする場合は、そのIPアドレスをスペースで区切って入力します。「all」を入力すると、サイト内のすべてのコンピュータからアクセス可能になります。

   • SSHアクセス: 選択したコンピュータにDatabase Firewall管理コンソールへのセキュアなシェル・アクセスを許可する場合は、そのIPアドレスを空白で区切って入力します。すべてのSSHアクセスをブロックする場合は、「無効」と入力します。無制限アクセスを許可する場合は、「すべて」と入力します。

   • SNMPアクセス: SNMPを使用したDatabase Firewallのネットワーク構成へのアクセスを許可する場合は、そのアクセスを許可するIPアドレスのリストを空白で区切って入力します。すべてのSNMPアクセスを制限する場合は、「無効」と入力します。無制限アクセスを許可する場合は、「すべて」と入力します。

   • SNMPコミュニティ文字列: このOracle AVDFインストールに対して一意であるSNMPコミュニティ文字列(パスワード)を入力します。これは、認証に使用する他のパスワードと同じパスワードにしないでください。「SNMPコミュニティ文字列の確認」フィールドでこの文字列を確認します。

4. 「保存」をクリックします。

   関連項目:

   データの保護

4.4 Database Firewallでの日付と時刻の設定

Database Firewallの日時を設定するには、この手順を使用します。

前提条件

Database Firewall管理コンソールにログインします。詳細は、「Database FirewallコンソールUIへのログイン」を参照してください。

Database Firewallの日時を設定するには:

1. 「システム」メニューで、「日付と時間」を選択します。
2. 「日付と時間」ページで、「変更」を選択します。
3. 「システム時間」の後に、正しい日付と時刻を協定世界時(UTC)で入力します。
4. (オプション)「NTP同期」で、「NTP同期の有効化」チェック・ボックスを選択して、表示されるフィールドに1から3のNTPサーバー・アドレスを追加します。

   「NTP同期の有効化」を選択すると、「サーバー1」、「サーバー2」、「サーバー3」の各フィールド(IPアドレスまたは名前を指定可能)で指定したタイム・サーバーからリカバリされる時刻の平均と、時刻の同期が維持されます。名前を指定した場合は、「システム設定」ページで指定したDNSサーバーが名前解決に使用されます。

   時刻の同期を有効にするには、デフォルトのゲートウェイおよびDNSサーバーのIPアドレスも指定する必要があります。

   「保存後の同期時間」を選択すると、「保存」をクリックしたときに、タイム・サーバーと時刻が同期されます。

   警告:

   DPE (ブロッキング)モードでは、時刻を変更すると、すべての強制ポイントの再起動が発生し、保護対象データベースへの既存の接続が削除されます。これにより、「保存後の同期時間」を選択するかまたは直接時間を入力した場合には、その時間に応じてトラフィックの一時的な中断が発生します。

5. 「保存」をクリックします。

   関連項目:

   デフォルトのゲートウェイおよびDNSサーバーのIPアドレスを指定するには、「Database Firewallのネットワークおよびサービス構成の管理」を参照してください。

4.5 Audit Vault Serverの証明書およびIPアドレスの指定

サーバーの証明書およびIPアドレスを指定して各Database FirewallとAudit Vault Serverを関連付け、Audit Vault Serverでファイアウォールを管理できるようにする必要があります。高可用性のためにAudit Vault Serverの回復可能なペアを使用している場合は、ファイアウォールを両方のサーバーに関連付ける必要があります。

ノート: ファイアウォールをAudit Vault Serverに登録する前に、次の手順に従ってAudit Vault Serverの証明書およびIPアドレスをDatabase Firewallに指定する必要があります。

Audit Vault Serverの証明書およびIPアドレスを指定するには:

1. Database FirewallおよびAudit Vault Serverとして使用する各サーバーのシステム・クロックが同期されていることを確認します。
2. Audit Vault Serverの管理コンソールにログインします。
3. 「設定」を選択します。
4. 「セキュリティ」メニューで、「サーバー証明書」をクリックします。

   サーバーの証明書が表示されます。

5. サーバーの証明書をコピーします。
6. Database Firewall管理コンソールにログインします。
7. 「システム」メニューで、「Audit Vaultサーバー」をクリックします。
8. 「Audit Vault Server 1のIPアドレス」フィールドに、Audit Vault ServerのIPアドレスを入力します。
9. 「Audit Vault Server 1の証明書」フィールドに、Audit Vault Serverの証明書を貼り付けます。
10. Audit Vault Serverの回復可能なペアを使用する場合は、「Audit Vault Server 2」の領域で、セカンダリAudit Vault ServerのIPアドレスおよび証明書を追加します。

    ヒント:

    2つ目のAudit Vault ServerにはコンソールUIがありません。しかし、セカンダリ・サーバーの証明書はプライマリ・サーバーから取得できます。Audit Vault Serverのコンソールで、「設定」タブをクリックして、「システム」メニューから「高可用性」を選択します。セカンダリ・サーバーの証明書は、「セカンダリ・サーバー証明書」フィールドに表示されます。

11. 「適用」をクリックします。
12. Audit Vault Serverコンソールで各ファイアウォールを登録して、Database FirewallのAudit Vault Serverへの関連付けを完了します。

関連項目:

• Audit Vault ServerでのDatabase Firewallの登録

• Audit Vault ServerコンソールUIへのログイン

• Database FirewallコンソールUIへのログイン

4.6 Database Firewallサーバーの単一インスタンスのIPアドレスの変更

Database FirewallサーバーのIPアドレスを変更するには、この手順を使用します。

始める前に

ログの収集の中断を回避する安全な期間にDatabase FirewallサーバーのIPアドレスを変更します。

Database FirewallサーバーのIPアドレスを変更するには:

1. FWADMINユーザーとしてDatabase Firewall Webユーザー・インタフェース・コンソールにログインします。
2. SYSTEMをクリックしてから、左側のナビゲーション・バーのユーザー・インタフェース内の「ネットワーク」をクリックします。
3. Database FirewallサーバーのIPアドレスはタブ「管理インタフェース」の下に表示されます。
4. 「ネットワーク構成」ページの下部までスクロールします。Database FirewallサーバーのIPアドレスを変更するために、「変更」をクリックします。
5. 既存のIPアドレスを削除し、ネットワーク管理者から提供された新しいパスワードを入力します。
6. 「保存」をクリックします。
   結果:

   画面に「設定が保存されました」というメッセージが表示されます。新規IPアドレスが、変更を確認するために「管理インタフェース」タブに表示されます。

   この変更は、Database Firewallですぐに有効になります。ただし、Database Firewallでネットワークが更新され、システムが落ち着くまでに数秒かかる場合があります。

7. rootユーザーとして、/etc/hostsのIPアドレスを新しいものに変更します。
8. UIコンソールを使用してDatabase FirewallサーバーのIPアドレスを変更したら、Audit Vault Serverでこの情報を更新します。「Database Firewall」メニューの下の「Database Firewall」をクリックします。
9. UIコンソールにリストされたIPアドレスを確認します。
10. IPアドレスが変更されたDatabase Firewallインスタンスは、オフラインとして登録されます。「名前」フィールドの下のリンクをクリックします。これは、Database Firewallの名前で、Database Firewallシステム・アプライアンスに割り当てられているものと似ています。
11. 「Database Firewallの変更」画面が表示されます。新しいIPアドレスを入力し、「保存」をクリックします。
12. 変更が保存されると、証明書検証に失敗する可能性があります。Database Firewallの名前をクリックしてから「証明書の更新」をクリックします。
13. 証明書が更新されると、「Database Firewall」タブが表示されます。Database Firewallサーバーはオンラインです。

ノート:

Database Firewallサーバーがオンラインに戻ると、オフライン中にダウンロードされていない強制ポイントのログ・データのダウンロードが開始されます。

関連項目:

アクティブな登録済ホストのIPアドレスの変更

4.7 ネットワーク上のDatabase Firewallおよびそのトラフィック・ソースの構成

ここでのトピック

• ネットワーク上のDatabase Firewallおよびトラフィック・ソースの構成について

• トラフィック・ソースの構成

• Database Firewallでのブリッジの構成

• トラフィック・プロキシとしてのOracle Database Firewallの構成

4.7.1 ネットワーク上のDatabase Firewallおよびトラフィック・ソースの構成について

ネットワーク構成の計画時に、Database Firewallをセキュア・ターゲット・データベースへのトラフィックに対してインラインに配置するか、帯域外に配置する(たとえば、スパニング、つまりミラー・ポートの使用)かを決定する必要があります。また、ファイアウォールをトラフィック・プロキシとして使用することを決定する場合があります。Database Firewallの動作モードがDAM (監視のみ)であるかDPE (ブロック)であるかによって、ネットワークの構成は変わります。

Database Firewall管理コンソールを使用して、各ファイアウォールのトラフィック・ソースを構成し、ソースをネットワーク・トラフィックに対してインラインにするかどうかと、ファイアウォールがプロキシとして機能できるかどうかを指定します。

ファイアウォールのトラフィック・ソースとプロキシ・ソースを使用して、そのファイアウォールで監視するセキュア・ターゲット・データベースごとに強制ポイントを構成します。

関連項目:

• 強制ポイントの構成

• Database Firewallモードの詳細は、Database Firewallデプロイメントの概要を参照してください。

4.7.2 トラフィック・ソースの構成

トラフィック・ソースは、Database Firewallを通過するトラフィックのIPアドレスとネットワーク・インタフェースの詳細を指定します。トラフィック・ソースは、インストール・プロセス中に自動的に構成され、その構成の詳細は後で変更できます。

前提条件

Database Firewall管理コンソールにログインします。詳細は、「Database FirewallコンソールUIへのログイン」を参照してください。

トラフィック・ソースの構成を変更するには:

1. 「System」メニューで、「Network」をクリックします。

   「ネットワーク構成」ページに、現在のネットワーク設定が表示されます。これには、Database Firewallのネットワーク設定、プロキシ・ポート、トラフィック・ソース、ネットワーク・インタフェースおよび有効なブリッジなどの詳細情報が含まれます。

2. 「変更」ボタンをクリックします。
3. 「トラフィック・ソース」セクションまでスクロールし、必要に応じて次の設定を変更します。

   • トラフィック・ソースを削除するには、トラフィック・ソース名の横にある「削除」ボタンをクリックします。

   • 必要に応じて、「IPアドレス」フィールドまたは「ネットワーク・マスク」フィールドを編集します。

   • ブリッジを有効または無効にするには、「ブリッジが有効」チェック・ボックスを選択または選択解除します。ブリッジを有効にできるのは、トラフィック・ソースの「デバイス」領域に2つのネットワーク・インタフェースが存在する場合のみです。

   • トラフィック・ソースからネットワーク・インタフェース(ネットワーク・カード)を削除するには、「デバイス」領域で、削除するデバイスの「削除」ボタンをクリックします。

   • ネットワーク・インタフェースをトラフィック・ソースに追加するには、未割当てのネットワーク・デバイス・セクションまでスクロールし、「トラフィック・ソース」ドロップダウン・リストから、そのデバイスを追加するトラフィック・ソースの名前を選択します。

4. 「保存」をクリックします。

   関連項目:

   ブリッジを有効または無効にするには、「Database Firewallでのブリッジの構成」を参照してください。

4.7.3 Database Firewallでのブリッジの構成

Database Firewallでブリッジを構成する前に、次のものが適切に配置されていることを確認します。

• 可能性のあるSQL攻撃をブロックするためにブロック・モード(DPE)で使用する場合は、Database Firewallがネットワーク・トラフィックに対してインラインになっている(またはプロキシとして構成されている)ことを確認します。

• Database Firewallがプロキシ・モードでない場合は、データベース・ネットワークに対して一意である追加のIPアドレスを割り当てて、ブリッジを有効にします。

• Oracle Audit Vault and Database Firewallでは、ブリッジのIPアドレスを使用してDatabase Firewall内でトラフィックをリダイレクトします。Database Firewallをプロキシとして使用する場合、このような追加のIPアドレスを割り当てる必要はありません。

• トラフィック・ソースをブリッジとして有効にするには、そのトラフィック・ソースに2つのネットワーク・インタフェースがあることを確認します。これらのネットワーク・インタフェース・ポートによって、データベースとクライアントの間でDatabase Firewallをインラインで接続する必要があります(データベース・ポリシー強制モードまたはデータベース・アクティビティ監視モードを使用)。

ノート:

• ブリッジを使用するDatabase FirewallがDPEモードの場合は、そのブリッジのIPアドレスは、すべてのセキュア・ターゲット・データベースと同じサブネットにある必要があります。Database FirewallがDAMモードでデプロイされている場合には、この制限は適用されません。

• Database Firewallの管理インタフェース(コンソールの「ネットワーク」ページで指定)およびブリッジが同一のサブネット上にある物理的に独立したネットワークに接続されている場合、Database Firewallは不正なインタフェースからレスポンスをルーティングする可能性があります。物理的に独立したネットワークが必要な場合は、別々のサブネットを使用してください。

• インライン・ブリッジ・モードは12.2.0.8.0で非推奨となり、19.1.0.0.0でサポートされなくなります。かわりにプロキシ・モードを使用することをお薦めします。

Database FirewallのブリッジIPアドレスを構成するには:

1. Database Firewall管理コンソールにログインします。

2. 「System」メニューで、「Network」をクリックします。

3. 「管理インタフェース」ページで、「変更」ボタンをクリックします。

4. 「トラフィック・ソース」セクションで、ブリッジとして構成するトラフィック・ソースを探します。

   このトラフィック・ソースには2つのネットワーク・インタフェースが必要で、それは「デバイス」表にリストされています。必要に応じて、ページの「未割当てのネットワーク・インタフェース」セクションからインタフェースを追加できます。

5. このトラフィック・ソースの「ブリッジが有効」を選択します。

6. 必要に応じて、「IPアドレス」または「ネットワーク・マスク」の設定を編集します。

   ブリッジIPアドレスは、Database Firewall内でのトラフィックのリダイレクトに使用されます。

7. 「保存」をクリックします。

関連項目:

• トラフィック・プロキシとしてのOracle Database Firewallの構成

• トラフィック・ソースの構成

• Database FirewallコンソールUIへのログイン

• Audit Vault ServerおよびDatabase Firewallのネットワーク・インタフェースへの静的ルーティング・ルールの適用

4.7.4 トラフィック・プロキシとしてのOracle Database Firewallの構成

トラフィック・プロキシとしてのファイアウォールの構成について学習します。

ネットワーク構成によっては、ネットワーク・トラフィックに対するブリッジ(インライン)ではなくDatabase Firewallでトラフィック・プロキシを構成するほうが望ましい場合があります。この場合、強制ポイントにプロキシを関連付けることができます。異なる強制ポイントに使用するために、プロキシに複数のポートを指定することも可能です。

Database Firewallをトラフィック・プロキシとして設定すると、データベース・クライアントは、Database FirewallのプロキシIPおよびポートを使用してデータベースに接続します。

トラフィック・プロキシを構成するには:

1. プロキシとして機能するDatabase Firewallの管理コンソールにログインします。
2. 「System」メニューで、「Network」をクリックします。
3. 「Network Configuration」ページで、「Change」ボタンをクリックします。
4. ページの「未割当てのネットワーク・インタフェース」セクションで、使用可能なネットワーク・インタフェースを探し、「トラフィック・ソース」ドロップダウン・リストで「トラフィック・プロキシ」を選択します。

   追加のネットワーク・インタフェースを解放するには、解放するネットワーク・インタフェースの「削除」ボタンをクリックして、既存のトラフィック・ソースまたはトラフィック・プロキシから削除できます。

5. 「追加」をクリックします。

   新しいトラフィック・プロキシが、ページの「Traffic Proxies」領域に表示されます。

6. 新しいプロキシで、「有効」を選択します。
7. 新しいプロキシの「プロキシ・ポート」セクションで、ポート番号を入力して「追加」をクリックします。

   複数のプロキシ・ポートを指定することもでき、その場合は別のポート番号を入力して「追加」をクリックします。

8. ポート番号の横にある「有効」を選択します。
9. 「保存」をクリックします。これで、トラフィック・プロキシを強制ポイントで使用できるようになりました。

   ノート:

   • 強制ポイントの構成

   • Database FirewallコンソールUIへのログイン

   • Audit Vault ServerおよびDatabase Firewallのネットワーク・インタフェースへの静的ルーティング・ルールの適用

4.8 Interface Masters Niagaraサーバー・アダプタ・カードの構成

Interface Masters Niagaraサーバー・アダプタ・カードを構成する方法を学習します。

注意:

Oracle Audit Vault and Database Firewallリリース12.2.0.11.0では、Niagaraカードはサポートされません。Niagaraカードを使用する場合は、このリリースにアップグレードしないでください。

Interface Masters Niagaraサーバー・アダプタ・カードを構成するには、この手順を使用します。ドライバは、Oracle Audit Vault and Database Firewallのインストール時に入手できます。

1. Database Firewallコマンド・シェルにrootとしてログインします。

2. /etc/init.d/dbfw.niagaraファイルを次のように編集します。

   1. INSTALLED_NIAGARA_CARDS=0という行を見つけます。

   2. このDatabase Firewallに取り付けられているNiagaraカードの数に合せて0を変更します。

3. Database Firewallを再起動します。

関連項目:

• サポートされるネットワーク・インタフェース・カードの完全なリストは、Oracle Audit Vault and Database Firewallインストレーション・ガイドを参照してください。

• Oracle Database Firewallの再起動または電源オフ

4.9 Database Firewallのステータスおよび診断レポートの表示

Database Firewallのステータスまたは診断レポート(あるいはその両方)を表示するには:

1. Database Firewall管理コンソールにログインします。
2. 「システム」メニューで、「ステータス」をクリックします。

   「ステータス」ページがデフォルトで表示されます。「ステータス」ページに、このDatabase Firewallの稼働時間、ソフトウェア・バージョン、コンポーネント・バージョン、グラマー・パック・バージョン、空き領域および診断ステータスが表示されます。

   「診断ステータス」の横にあるテキストは、OKまたはErrorsを示します。

3. 「診断ステータス」フィールドの横で、次のいずれかを選択します。

   • 「レポートの表示」では、診断ステータスの概要が表示されます。

   • 「診断のダウンロード」では、すべての診断ファイルがダウンロードされます。

   関連項目:

   Database FirewallコンソールUIへのログイン

4.10 診断レポート・ファイルの構成およびダウンロード

診断レポート・ファイルの構成およびダウンロードについて学習します。

この項では、CLIを使用して診断レポートを生成する方法を有効化、構成および変更するための情報について説明します。

ノート:

これらのタスクを実行するには、rootユーザー権限が必要となります。

リリース12.2.0.6.0以降、診断レポートはデフォルトで有効ではなくなりました。ユーザーは、診断レポートを取得する機能を有効にする必要があります。有効にしたら、診断レポートで取得する情報を構成する必要があります。診断レポートは、柔軟にカスタマイズおよびパッケージ化できます。

次のファイルには、診断ユーティリティをインストール、有効化および実行する手順が記載されています。

diagnostics-not-enabled.readme

関連項目:

このファイルは、ユーザーが診断レポートをダウンロードする手順に従った場合にのみ生成されます。詳細は、「Database Firewallのステータスおよび診断レポートの表示」を参照してください。

次のコマンドを使用して、診断に関する特定のタスクを実行します。

コマンド	アクション
/usr/local/dbfw/bin/priv/dbfw-diagnostics-package.rb	アプライアンスの有効な診断情報を取得します。保存されたZipファイルの場所がコマンド実行の最後に表示されます。 ノート: このコマンドは、診断情報を収集する際に/usr/local/dbfw/tmpから実行する必要があります。
/usr/local/dbfw/bin/priv/dbfw-diagnostics-package.rb --install	システムが診断レポートを取得できるようにします。
/usr/local/dbfw/bin/priv/dbfw-diagnostics-package.rb --enable ALL	完全な診断レポートを取得できるようにします。
/usr/local/dbfw/bin/priv/dbfw-diagnostics-package.rb –enable <Element>	診断レポートの個々の要素を取得できるようにします。

診断レポートをカスタマイズする際には、次の要素を含めることができます。

SYSTEM
LOG
DATABASE
AVS_ARCHIVE
DBFW_ARCHIVE
PLATFORM_COMMANDS
AVS_HA_COMMANDS
AVS_COMMANDS
DBFW_COMMANDS

診断レポートの内容は、ファイル/usr/local/dbfw/etc/dbfw-diagnostics-package.ymlによって制御されます。ユーザーは、このファイルを変更して、複数のカテゴリのファイルの組合せを含めたり、除外したりできます。このファイルの各セクションには、値をtrueまたはfalseに設定することによって、特定のカテゴリを有効および無効にするオプションがあります。

たとえば、ログ・ファイル・コレクションの1つに項目を追加するには、単に:files:要素の下のリストにファイル・パスまたはglobを追加します。

:log_files:

  :comment: Log files generated by the system runtime, install and upgrade.

  :enabled: false

  :platform:

  - AVS

  - DBFW

  :files:

  - /root/apply.out

  - /root/install.log

  - /root/install.log.syslog

  - /root/install_database_api.log

  - /root/migration-stats-*.yml

  - /root/once.log

  - /root/pre_firstboot_logs/partition-include

  - /root/pre_firstboot_logs/partitions_error

  - /root/pre_firstboot_logs/syslog

  - /var/lib/avdf/system_history.yaml

  - /var/log

  - /path/to/new/file

  - /path/to/new/*glob

ログに新しいコマンド出力を追加するには、適切なグループにコマンドを追加します。

    :all_commands:

      :comment: Command output to include in the diagnostics package.

      :enabled: false

      :platform:

      - AVS

      - DBFW

      :commands:

        :cpuinfo:

          :enabled: true

          :command:

          - :cat

          - /proc/cpuinfo

          :logfile: /proc-cpuinfo.log

        :diskuse:

          :enabled: true

          :command:

          - :df

          - -kP

          :logfile: /disk-usage.log

        :new_command

          :enabled: true

          :command:

          - :new_command

          - -arg1

          - -arg2

          :logfile: /new-command.log

ノート:

使用されていない診断パッケージを削除するには、次のコマンドを実行します。

/usr/local/dbfw/bin/priv/dbfw-diagnostics-package.rb --remove