ここでのトピック
ここでのトピック
セキュア・ターゲットから監査データを収集するには、Audit Vault Serverと、対象のセキュア・ターゲットのAudit Vault Agentが常駐するホスト・マシン(通常はセキュア・ターゲットと同じコンピュータ)間の接続を構成する必要があります。
ホストの登録後に、Audit Vault Agentをそのホストにデプロイしてアクティブ化する必要があります。
この章では、Audit Vault Agentがセキュア・ターゲット・ホストにデプロイされていることを前提として、Audit Vault ServerコンソールUIを使用してホストを登録する手順を説明します。
ホストを登録してホスト上にAudit Vault Agentをデプロイしたら、監査証跡収集を開始するために、セキュア・ターゲットを登録して監査証跡を構成し、監査証跡収集を手動で開始する必要もあります。
関連項目:
Oracle Audit Vault and Database Firewallシステムを構成するワークフローの概要を確認するには、「構成ステップの概要」を参照してください。
この章の各項では、各セキュア・ターゲット・タイプに固有の、ホストの構成に関する情報を示します。ただし、Audit Vault Serverでのホスト・マシンの登録手順は同じです。
関連項目:
ホストを登録するコマンドライン構文は、「REGISTER HOST」を参照してください。
DNSサーバーを構成するには、「Oracle Audit Vault Serverサービスの構成または変更」を参照してください。
「ホスト」ページにリストされる登録されたホストの表示を制御するには、「UIでのオブジェクト・リストの使用」を参照してください。
ホスト名を変更すると、その変更は即時に行われます。ホストのAudit Vault Serverを再起動する必要はありません。
注意:
ホスト名を変更した後にシステムを手動で再起動すると、システムが整合性のない状態になる場合があるため、手動で再起動しないでください。システムが自動的に再起動するまで、最長で10分間待ちます。
前提条件
Audit Vault Serverコンソールに管理者としてログインします。詳細は、「Audit Vault ServerコンソールUIへのログイン」を参照してください。
ホスト・コンピュータにAudit Vault Agentをデプロイしてアクティブ化する方法について学習します。
セキュア・ターゲットから監査証跡を収集するために、Audit Vault Agentをホスト・コンピュータ(通常はセキュア・ターゲットが常駐するコンピュータ)にデプロイする必要があります。Audit Vault Agentには、各セキュア・ターゲット・タイプのプラグイン、およびホスト監視機能が含まれています。
監査証跡の収集を開始するには、Audit Vault Agentのデプロイに加え、各ホストを登録し、セキュア・ターゲットを登録し、監査証跡を構成し、監査証跡の収集を手動で開始する必要があります(その後、Audit Vault Agentが再起動またはAudit Vault Serverの更新によって更新されるときに、監査証跡が自動的に開始されます)。
Oracle RAC環境でAudit Vault Agentをデプロイするには、次のガイドラインに従います。
証跡タイプ | ガイドライン |
---|---|
|
|
|
「Oracle Real Application Clusters用の監査証跡収集の構成」の項の説明に従って監査証跡を構成する場合、これで十分です。 |
|
|
表5-1 エージェントのインストールに必要なOS権限
オペレーティング・システム | ユーザー |
---|---|
Linux/Unix |
すべてのユーザー。 |
Windows |
コマンド・プロンプトからのエージェントの実行についてはすべてのユーザー。 サービスとしての登録についてはadminユーザー。 |
ノート:
Linux/Unix/AIX/Solarisプラットフォーム上のホスト・モニタリングは、rootユーザーとしてインストールする必要があります。
ディレクトリ証跡を使用する場合、エージェントのインストール・ユーザーには監査ファイルに対するread権限が必要です。
Windowsプラットフォームのホスト監視は、リリース12.2.0.11.0
では動作保証されていません。
インストール環境が12.2.0.10.0
以前の場合は、adminユーザーとしてホスト監視をインストールする必要があります。
ホスト・マシンにAudit Vault Agent用にOpenSSL 1.0.1 (またはそれ以降)がインストールされていることを確認してください。
関連項目:
Oracle Audit Vault and Database Firewallシステムを構成するワークフローの概要を確認するには、「構成ステップの概要」を参照してください。
監査証跡を構成するには、「Audit Vault Serverでの監査証跡の追加」を参照してください。
ホスト・マシンでのAudit Vault Agentのデプロイおよびアクティブ化は、次のステップで構成されています。
Audit Vault Agentをデプロイするときには、OSのユーザー・アカウントを使用する必要があります。このステップでは、Audit Vault Serverからagent.jar
ファイルをコピーして、ホスト・マシンにこのファイルをデプロイします。
ノート:
ホスト・マシンにAudit Vault Agent用にOpenSSL 1.0.1 (またはそれ以降)がインストールされていることを確認してください。
関連項目:
Audit Vault Agentは、Unix、Windows、HP-UX Itaniumの各プラットフォームでサポートされており、ホスト・コンピュータにJava
バージョン1.8がインストールされている必要があります。現行リリースでのエージェント・プラットフォームのサポート詳細についてと、サポートされているJava
バージョンについては、Oracle Audit Vault and Database Firewallインストレーション・ガイドを参照してください。前のリリースでサポートされるプラットフォームの詳細は、Oracle Support Webサイト: https://support.oracle.comの
記事1536380.1を参照してください。
Audit Vault Agentをホスト・マシンにコピーしてデプロイするには:
注意:
Audit Vault Agentをデプロイしたら、Oracleサポートから指示がないかぎりAgent_Home
ディレクトリを削除しないでください。既存のAudit Vault Agentを更新する場合は、既存のAgent_Home
ディレクトリを削除しないでください。
前提条件
「Audit Vault Serverでのホストの登録」の手順に従い、実行します。
Audit Vault Serverコンソールに管理者としてログインします。詳細は、「Audit Vault ServerコンソールUIへのログイン」を参照してください。
エージェントをアクティブ化して起動するには:
関連項目:
エージェントがMicrosoft Windowsホスト・コンピュータにデプロイされている場合、Windowsコントロール パネルのWindowsサービス・アプレットでエージェントWindowsサービスを開始または停止するには、Audit Vault AgentのWindowsサービスとしての登録および登録解除を参照してください。
エージェントをアクティブ化するコマンドライン構文は、「ACTIVATE HOST」を参照してください。
Oracle Audit Vault AgentをWindowsサービスとして登録および登録解除する方法について学習します。
ノート:
WindowsサービスとしてのAudit Vault Agentは、Oracle Audit Vault and Database Firewallリリース12.2.0.7.0ではサポートされていません。エージェントを停止または起動するには、コンソール・モードを使用します。
Audit Vault AgentのWindowsサービスについて学習します。
Audit Vault AgentをMicrosoft Windowsホスト・コンピュータにデプロイすると、エージェントのデプロイ時にOracleAVAgentというMicrosoft Windowsサービスが自動的に登録されます。また、agentctl
コマンドを使用してエージェント・サービスを登録または登録解除できます。
Audit Vault AgentがWindowsサービスとして登録されると、Windowsコントロール パネルのWindowsサービス・アプレットを使用してサービスを開始または停止できるようになります。
Audit Vault AgentをWindowsホストにデプロイすると、agentctl
という名前のWindowsサービスが自動的に登録されます。Windowsサービスを再度登録する場合に、この手順を使用します。
前提条件
次に示す前提条件のいずれかに準拠していることを確認してください。
msvcr110.dll
ファイルが使用できることを確認します。msvcr110.dll
が存在するディレクトリ・パスを、PATH変数に追加します。例: C:\Windows\System32
msvcr110.dll
ファイルを、<Agent Home>/bin
フォルダと<Agent Home>/bin/mswin-x86-64
フォルダにコピーします。Audit Vault AgentをWindowsサービスとして登録するには、ホスト・マシンのAgent_Home\bin
ディレクトリから次のコマンドを実行します。
agentctl registersvc
これにより、Audit Vault AgentサービスがWindowsサービス・レジストリに追加されます。
ノート:
java -jar
コマンドを使用してエージェントをデプロイするときに使用したWindows OSユーザー・アカウントの資格証明を使用するように、Audit Vault Agentサービスを設定してください。これは、サービスの「プロパティ」ダイアログで行います。jdoe
なら.\jdoe
と入力する必要があります。この手順は、Microsoft Windowsのドキュメントを参照してください。2つの方法を使用して、WindowsサービスとしてのOracle Audit Vault Agentを登録解除できます。
Oracle Audit Vault AgentのWindowsサービスとしての登録を解除するには、次のいずれかの方法を使用します。
方法1 (推奨)
ホスト・マシンで、 Agent_Home
\bin
ディレクトリから次のコマンドを実行します。
agentctl unregistersvc
これにより、Oracle Audit Vault AgentサービスがWindowsサービス・レジストリから削除されます。
方法2
方法1が失敗した場合は、Windowsコマンド・プロンプトから次を実行します(管理者として実行)。
cmd>
sc delete OracleAVAgent
Windowsコマンド・プロンプトから次の問合せを実行して(管理者として実行)、Audit Vault Agentが削除されたかどうかを確認できます。
cmd>
sc queryex OracleAVAgent
ここでのトピック
Oracle Audit Vault Agentの停止および起動について学習します。
ここでのトピック
重要:
インストール中に使用したOSユーザー・アカウントと同じアカウントとして、Audit Vault Agentを停止して起動します。
Microsoft Windowsホストでのエージェントの停止および起動について学習します。
Audit Vault AgentをWindowsホストにデプロイすると、Agentは自動的にWindowsサービスとして登録されます。ユーザーがログアウトした後も引き続き実行されるように、AgentをWindowsサービスとして実行することをお薦めします。
エージェントWindowsサービスを停止または起動する手順は、次のとおりです
次の方法のいずれかを使用します。
Windows GUI (「コントロール パネル」→「管理ツール」→「サービス」)で、Oracle Audit Vault Agentサービスを探し、右クリックして「開始」または「停止」を選択します。
ホスト・マシンのAgent_Home\bin
ディレクトリから次のコマンドのいずれかを実行します。
agentctl stopsvc
agentctl startsvc
Windowsサービスが停止していることを確認する手順は、次のとおりです
次のコマンドを実行します。
cmd> sc queryex OracleAVAgent
エージェントWindowsサービスがSTOPPED
状態であることを確認します。
Agentをコンソール・モードで停止または起動する手順は、次のとおりです
start /b agentctl stop
start /b
agentctl start
コンソール・モードのAgentを強制的に停止するコマンドは、次のとおりです
agentctl stop -force
ノート:
これは、Agentを停止するための推奨されるオプションではありません。これは、Agentが長時間到達不能状態になり、再起動も停止もできない場合にのみ使用します。このようなシナリオでは、このオプションを使用してエージェントを強制的に停止し、後で再起動します。
エージェントを再起動するには、agentctl start
コマンドを使用します。
設定したロギング・レベルは、ログ・ファイルに書き込まれる情報量に影響を与えます。ディスク領域の制限には、これを考慮する必要があります。
ログ・ファイルは、Agent_Home
/av/log
ディレクトリに保存されます。
次に、ログ・ファイルに書き込まれる情報量の順にロギング・レベルを示します。debugが最も多い情報量を提供します。
error: エラー・メッセージのみ書き込みます。
warning: (デフォルト) 警告メッセージとエラー・メッセージを書き込みます。
info: 情報メッセージ、警告メッセージ、エラー・メッセージを書き込みます。
Audit Vault Serverコンソールを使用したログ・レベルの変更
Audit Vault Server UIを使用してAudit Vault Agentのログ・レベルを変更する方法は、「ログ・レベルの変更および診断ログのクリア」を参照してください。
AVCLIを使用したエージェントのログ・レベルの変更
AVCLIユーティリティを使用してAudit Vault Agentのログ・レベルを変更するには:
Audit Vault ServerでAVCLI
にログインしていることを確認します。
ALTER HOST
コマンドを実行します。
構文は、次のとおりです。
ALTER HOST
host_name
SET LOGLEVEL=av.agent:
log_level
詳細は、次のとおりです。
host_name
: Audit Vault Agentがデプロイされたホストの名前。
log_level
: 値info
、warn
、debug
またはerror
を入力します。
アクティブ化キー、プラットフォーム、バージョン、場所、その他の詳細など、Audit Vault Agentのステータスおよび詳細を表示できます。
前提条件
Audit Vault Serverコンソールに管理者としてログインします。詳細は、「Audit Vault ServerコンソールUIへのログイン」を参照してください。
Audit Vault Agentのステータスおよび詳細を表示するには:
Audit Vault Agentを非アクティブ化して削除するには、この手順を使用します。
関連項目:
Audit Vault AgentをWindowsサービスとして登録している場合は、「Audit Vault AgentのWindowsサービスとしての登録および登録解除」でサービス登録解除の方法を確認してください。
Audit Vault Agentを非アクティブ化して削除するには:
Audit Vault Agentによって収集されている監査証跡をすべて停止します。
Audit Vault Serverコンソールで、「ホスト」タブをクリックした後、「監査証跡」をクリックします。
このAudit Vault Agentによって収集されている監査証跡を選択し、「停止」をクリックします。
ホスト・コンピュータで次のコマンドを実行して、Audit Vault Agentを停止します。
agentctl stop
ホスト・コンピュータでAudit Vault Agentを非アクティブ化します。
Audit Vault Serverコンソールで、「ホスト」タブをクリックします。
ホスト名を選択し、「非アクティブ化」をクリックします。
オプションで、ホストを選択した後、「削除」をクリックしてホストを削除します。
ホスト・コンピュータのAudit Vault Agentホーム・ディレクトリを削除します。
ノート:
ホスト上にデプロイされるAudit Vault Agentは、ダウンロードされた特定のAudit Vault Serverに関連付けられています。このAudit Vault Agentは、構成されたセキュア・ターゲットから監査データを収集します。このデータは特定のAudit Vault Serverに送信されます。既存のセキュア・ターゲットから別のAudit Vault Serverに監査証跡収集を構成するには、既存のAgentを非アクティブ化して削除し、新しいAudit Vault ServerからAudit Vault Agentインストール・ファイルをダウンロードし、それをターゲット・ホストにインストールします。このシナリオは、既存のAudit Vault Agentの更新とは異なります。
Oracle Audit Vault Agentの更新について学習します。
Oracle Audit Vault and Database Firewall 12.1.1 BP2では、Audit Vault Serverを今後のリリースに更新すると、Audit Vault Agentが自動的に更新されます。
現在使用中のリリースが12.1.1 BP2より前の場合のAudit Vault Agentの更新方法の手順は、アップグレード・ソフトウェアまたはパッチ更新に含まれているREADMEを参照してください。
Oracle Audit Vault and Database Firewall 12.2.0では、Audit Vault Serverを新しいバージョンにアップグレードするか、またはAudit Vault Agentを再起動すれば、監査証跡を手動で再起動する必要がなくなります。Audit Vault Agentに関連付けられている監査証跡は、それを明示的に停止していなければ、自動的に再起動されます。Audit Vault Serverを以前のリリースから12.2.0にアップグレードすると、証跡の持つプラグインが1つであれば、更新されたエージェントに関連付けられている監査証跡が自動的に再起動されます。
関連項目:
アップグレード・ソフトウェアのダウンロードの詳細は、Oracle Audit Vault and Database Firewallインストレーション・ガイドを参照してください。
ここでのトピック
セキュア・ターゲットの各タイプに対応するソフトウェア・プラグインはAudit Vault Serverにあり、これによってAudit Vault Agentで監査データを収集できるようになります。さらに多くのセキュア・ターゲット・タイプから監査データを収集するために、Oracle Audit Vault and Database Firewallに付属のプラグインに加えて、さらにプラグインをデプロイできます。新しいプラグインは、Oracle Technology Networkまたはサード・パーティから入手できます。
1つのプラグインでサポートするセキュア・ターゲット・タイプは1つのみです。ただし、開発者からそれぞれ異なるプラグインを取得したり、各プラグインが同じセキュア・ターゲット・タイプについて固有の監査証跡タイプをサポートする場合などは、同じセキュア・ターゲット・タイプに対して複数のプラグインをデプロイできます。監査証跡収集の構成時に、使用する特定のプラグインを選択できます。
プラグインに関連付けられたセキュア・ターゲット・タイプからの監査データの収集を開始するには、このセキュア・ターゲットをAudit Vault Serverに追加した後、監査証跡収集を構成して手動で開始する必要もあります。
プラグインのデプロイは、次の3つのステップで構成されています。
セキュア・ターゲットで監査が有効になっていることを確認します。詳細は、セキュア・ターゲットの製品ドキュメントを参照してください。
関連項目:
Oracle Databaseのプラグインの詳細は、「セキュア・ターゲットで監査が有効であることの確認」を参照してください。
Audit Vault Serverでホストを登録するには、「Audit Vault Serverでのホストの登録」を参照してください。