7 ホスト監視の有効化および使用

ここでのトピック

• ホスト監視について

• ホスト監視のインストールおよび有効化

• ホスト監視の開始、停止およびその他の操作

• ホスト監視の更新(UNIXホストのみ)

• ホスト監視における証明書ベース認証の使用

7.1 ホスト監視について

ホスト監視は、分散環境に小規模データベースが多数あり、Oracle Audit Vault and Database Firewallでこれらすべてのデータベースに対するSQLトラフィックを1つのDatabase Firewallを使用して一元的に監視する必要がある状況に対応できるように設計されています。これにより、トラフィックをモニタリングするネットワーク・ポイントを柔軟に選択できます。これは、たとえば、ブリッジを介してトラフィックをルーティングすることや、それをミラー・ポートから取得することが容易でない場合に役立ちます。

ホスト監視は、ネットワーク・カードからSQLトラフィックを取得し、ネットワーク経由でDatabase Firewallに送信します。このSQLデータは、Oracle Audit Vault and Database Firewallが生成するレポートで使用できます。ホスト・モニタリングは、SQLトラフィックのモニタリングにのみ使用され(DAMモード)、SQL文のブロックまたは置換には使用できません。

ホスト監視を使用するには、ホスト監視をデプロイするホスト・マシンにAudit Vault Agentをデプロイします。これはデータベースと同じマシンである必要があります。より大規模なデータベースの場合、ホスト監視で取得されるSQLトラフィックにより、ネットワーク・トラフィックは増加します。その場合、ホスト監視ソフトウェアをデータベース・サーバーとは異なるサーバーにインストールできます。このデータベース・サーバーをホスト監視に使用されるサーバーに接続するには、スパニング・ポートを使用することをお薦めします。

1つのホスト・モニタリング・インストールを使用した同じホスト上の複数のセキュア・ターゲット・データベースのモニターは、1つのDatabase Firewallを使用して実行できます。これを行うには、DAMモードで強制ポイントを作成し、各セキュア・ターゲットのNETWORK監査証跡を作成します。

セキュア・ターゲットに対するすべてのネットワーク・トラフィックを監視するには、Oracle Audit Vault and Database Firewall監査者が、イベントを記録するファイアウォール・ポリシー(一意のものを記録など)を選択する必要があります。

関連項目:

『Oracle Audit Vault and Database Firewall監査者ガイド』

ノート:

• ホスト監視は、Linux、Solaris、AIXおよびWindowsプラットフォームでサポートされており、Database Firewallがサポートしているデータベースを監視できます。サポートされているデータベースは、表B-1を参照してください。

• ホスト監視エージェントでは、Oracle Solaris SPARC64およびx86-64上のリンク・タイプSolaris IPNETがサポートされています。

• ホスト監視エージェントでは、すべてのサポート対象プラットフォームについてイーサネット(EN10MB)リンク・タイプがサポートされています。

7.2 ホスト監視のインストールおよび有効化

ここでのトピック

• ホスト監視要件

• ホスト監視を実行するコンピュータの登録

• Microsoft Windowsホストでのエージェントおよびホスト監視のデプロイ

• UNIXホストでのエージェントおよびホスト監視のデプロイ

• ホスト監視対象データベース用のセキュア・ターゲットの作成

• ホスト監視の強制ポイントの作成

• ネットワーク監査証跡の作成

7.2.1 ホスト監視要件

ホスト監視によりDatabase Firewallでデータベース内のSQLトラフィックを直接監視できます。

ホスト監視をインストールするための推奨要件は、次のとおりです。

1. ホスト監視をインストールするユーザーには、root権限が必要です。
2. Audit Vault Agentがホスト・マシンで実行されていることを確認します。

3. 特定のOSバージョン用にOSベンダーから提供される、次に示すパッケージの最新バージョンがホスト・マシンにインストールされていることを確認します。

   • Libcap (Linuxホストのみ)
   • LibPcap
   • OpenSSL
4. gmakeがインストールされていることを確認します。これは、ホスト監視が正常に実行されるようにするために必要です。
5. ポート2050 - 5100で、Database Firewall用の通信を検証して許可します。
6. ディレクトリ権限を確認します。ホスト監視のインストール場所のパスにあるすべてのディレクトリでは、rootディレクトリから権限ビットとして755を持っている必要があります。また、ホスト監視はrootが所有する場所にインストールする必要があります。

ホスト監視をWindowsプラットフォームにインストールする場合の特別な要件は、次のとおりです。

1. ホスト監視は、管理者グループに属するユーザーがインストールする必要があります。
2. ARUのavdf12.2.0.13.0-utility.zipバンドルに含まれているNpcapをインストールします。これは、Oracle Audit Vault and Database Firewallインストール可能ファイルに含まれています。Npcapは必ずWinPcap-API互換モードでインストールします。
3. 最新バージョンのOpenSSL (1.1.1g以上)ライブラリをインストールします。Oracle AVDF 12.2.0.14.0リリースの場合は、OpenSSLバージョン1.1.1iを使用します。
4. Windowsターゲット・マシンに、Visual C++ Redistributable for Visual Studio 2010 (MSVCRT.dll (*)以降)パッケージの最新の更新がインストールされていることを確認します。Windowsでホスト監視を使用する場合、これは必須です。

Linux/Unix/AIX/Solarisプラットフォームにホスト監視をインストールする場合の特定の要件は、次のとおりです。

1. ホスト監視は、rootユーザーがインストールする必要があります。
2. IBM AIX on Power Systems (64ビット)の場合は、入出力完了ポート(IOCP)がavailableに設定されていることを確認します。これは、デフォルトではdefinedに設定されています。
3. LinuxホストにLibcapがインストールされていることを確認します。

関連項目:

ホスト監視の手順および前提条件については、ホスト監視の有効化および使用。

7.2.2 ホスト監視を実行するコンピュータの登録

Audit Vault Serverでホストを登録するには、「Audit Vault Serverでのホストの登録」を参照してください。

7.2.3 Microsoft Windowsホストでのエージェントおよびホスト監視のデプロイ

Oracle Audit Vault and Database Firewall 12.2.0.13.0以降では、Windowsでのホスト監視がサポートされています。この機能は、OpenSSLおよびNpcapを追加でインストールすることでサポートされます。この項では、12.2の古いリリース(12.2.0.11.0、12.2.0.12.0以外)からアップグレードする前、または12.2.0.13.0以降のフレッシュ・インストールの際に従う必要がある詳細について説明します。

OpenSSLのインストール

OpenSSL 1.1.1g以上のバージョンがWindowsホスト・マシンにインストールされている必要があります。Oracle AVDF 12.2.0.14.0リリースの場合は、OpenSSL 1.1.1iを使用します。OpenSSLをインストールする前に、次のステップを実行してシステム関連の変更を行います。

1. Windowsマシンで、「コントロール パネル」に移動します。
2. 「システム」、「システムの詳細設定」の順にクリックします。
3. 「詳細設定」タブで、「環境変数」ボタンをクリックします。
4. 「環境変数」ダイアログが表示されます。「システム環境変数」ボックスで、「変数」列にあるPathを選択します。
5. 「編集」ボタンをクリックします。「環境変数名の編集」ダイアログが表示されます。

6. Path変数の先頭に、OpenSSL binディレクトリの場所を追加します。

   ノート:

   WindowsマシンにOpenSSLをインストールする際に、追加の構成ステップとして、OpenSSL DLLをコピーする場所を選択するように求められます。この場所はデフォルトでWindowsマシンのPath環境変数に追加されるため、「Windows System Directory」オプションを選択することをお薦めします。「OpenSSL bin directory」オプションを選択した場合は、その場所がPath環境変数に追加されていることを確認してください。
7. 「OK」をクリックして変更内容を保存し、すべてのダイアログを閉じます。

Windows用ホスト監視の新規インストール

Npcapを追加でインストールすることで、Windowsでのホスト監視機能がサポートされます。リリース12.2.0.13.0以降でホスト監視のフレッシュ・インストールのためにNpcapをインストールするには、次のステップを実行します。

1. ARUにログインします。
2. Oracle Software Delivery Cloud内のutility.zipバンドルにあるNpcapをインストールします。これは、Oracle Audit Vault and Database Firewallインストール可能ファイルに含まれています。

3. Windowsホスト・マシンへのNpcapのインストールを完了します。必ずWinPcap API互換モードでインストールしてください。

   ノート:

   WinPcap API互換モードでNpcapをインストールすると、WindowsマシンからWinPcapの既存インストールがすべて削除されます。

4. Npcapは、WindowsのSystemディレクトリに加えて、WindowsのSystemディレクトリ内のNpcapサブディレクトリにDLLファイルをコピーします。WindowsのSystemディレクトリからこのDLLファイルを削除しないでください。

   ノート:

   WinPcap API互換モードでNpcapをインストールすると、システムのPath環境変数にすでに含まれているWindowsのSystemディレクトリにNpcap DLLファイルが追加されます。

5. オプションで、次のステップに従って、WindowsのSystemディレクトリ内のNpcapサブ・ディレクトリをPath環境変数に追加します。

   1. 「コントロール パネル」に移動します。
   2. 「システム」、「システムの詳細設定」の順にクリックします。
   3. 「詳細設定」タブで、「環境変数」ボタンをクリックします。
   4. 「環境変数」ダイアログが表示されます。「システム環境変数」ボックスで、「変数」列にあるPathを選択します。
   5. 「編集」ボタンをクリックします。「環境変数名の編集」ダイアログが表示されます。
   6. Path変数の先頭に、Npcap DLLファイルの場所を追加します。例: C:\Windows\System32\Npcap
   7. 「OK」をクリックして変更内容を保存し、すべてのダイアログを閉じます。
6. Path環境変数が変更されたことを確認します。

Windowsでのホスト監視のアップグレード

Npcapを追加でインストールすることで、Windowsでのホスト監視機能がサポートされます。12.2.0.9.0、12.2.0.10.0または12.2.0.13.0リリースでWindows上のホスト監視を引き続き使用するには、Oracle AVDFリリース12.2.0.14.0にアップグレードする前に、次のステップを実行します。

1. Windowsホスト・マシンで実行されているAudit Vault Agentを停止します。
2. Audit Vault Serverコンソールにログインします。
3. 監査証跡およびAudit Vault AgentがSTOPPED状態であることを確認します。
4. ARUにログインし、特定のリリースのOracle AVDFのutility.zipバンドルで入手できる、Npcapソフトウェアをダウンロードします。

5. Windowsホスト・マシンへのNpcapのインストールを完了します。必ずWinPcap API互換モードでインストールしてください。

   ノート:

   WinPcap API互換モードでNpcapをインストールすると、WindowsマシンからWinPcap/Npcapの既存インストールがすべて削除されます。

6. Npcapは、WindowsのSystemディレクトリに加えて、WindowsのSystemディレクトリ内のNpcapサブディレクトリにDLLファイルをコピーします。WindowsのSystemディレクトリからこのDLLファイルを削除しないでください。

   ノート:

   WinPcap API互換モードでNpcapをインストールすると、システムのPath環境変数にすでに含まれているWindowsのSystemディレクトリにNpcap DLLファイルが追加されます。

7. オプションで、次のステップに従って、WindowsのSystemディレクトリ内のNpcapサブディレクトリをPath環境変数に追加します。

   1. 「コントロール パネル」に移動します。
   2. 「システム」、「システムの詳細設定」の順にクリックします。
   3. 「詳細設定」タブで、「環境変数」ボタンをクリックします。
   4. 「環境変数」ダイアログが表示されます。「システム環境変数」ボックスで、「変数」列にあるPathを選択します。
   5. 「編集」ボタンをクリックします。「環境変数名の編集」ダイアログが表示されます。
   6. Path変数の先頭に、Npcap DLLファイルの場所を追加します。例: C:\Windows\System32\Npcap
   7. 「OK」をクリックして変更内容を保存し、すべてのダイアログを閉じます。
8. Path環境変数が変更されたことを確認します。
9. Windowsホスト・マシン上のAudit Vault Agentを再起動します。
10. これで、実行時にNpcapによってホスト監視がサポートされるようになりました。ネットワーク証跡収集を確認します。
11. アプライアンスのアップグレードに進みます。

ノート:

• Npcapをインストールする前に、監査証跡およびAudit Vault AgentがSTOPPED状態であることを確認してください。そうでない場合、エラーが発生する場合があります。
• Npcapインストールによって新しく作成されたDLLファイルを削除しないでください。

関連項目:

• ホスト・コンピュータでのAudit Vault Agentのデプロイ

• Audit Vault AgentのWindowsサービスとしての登録および登録解除

7.2.4 UNIXホストでのエージェントおよびホスト監視のデプロイ

前提条件

Audit Vault Agentをデプロイします。「ホスト・コンピュータでのAudit Vault Agentのデプロイ」を参照してください。

ホスト監視をインストールするには:

1. rootとしてログインし、ローカル・ハード・ディスク上で、ホスト監視のインストール先となるroot所有ディレクトリ(/usr/localなど)を特定します。

   ノート: ディレクトリ階層全体をrootが所有している必要があります。この階層内のすべてのディレクトリには、他のユーザーまたはグループに対するread権限およびexecute権限が必要ですが、write権限は必要ありません。

2. Audit Vault Serverコンソールに管理者としてログインします。
3. 「ホスト」タブをクリックして、「エージェント」をクリックします。
4. UNIXのバージョンに対応する「ダウンロード」ボタンをクリックし、ステップ1で特定した(ローカル・ハード・ディスク上の)root所有ディレクトリ(/usr/localなど)に.zipファイルを保存します。
5. rootユーザーとして、ホスト監視ファイルを解凍します。

   これにより、hmという名前のディレクトリが作成されます。これがHM_Homeディレクトリで、この例では/usr/local/hmです。

6. hostmonsetupファイル(hmディレクトリ内)に実行権限があることを確認します。
7. 次のコマンドを実行します。

   HM_Home/hostmonsetup install [agentuser=Agent_Username] [agentgroup=Agent_Group]
   

   • HM_Home - ステップ5で作成したディレクトリです。

   • Agent_Username - (オプション)Audit Vault Agentをインストールしたユーザー(java -jar agent.jarコマンドを実行したユーザー)のユーザー名を入力します。

   • Agent_Group - (オプション)Agent_Usernameが所属するグループを入力します。

   関連項目:

   Audit Vault ServerコンソールUIへのログイン

7.2.5 ホスト監視対象データベース用のセキュア・ターゲットの作成

セキュア・ターゲットを作成するには、「Audit Vault Serverでのセキュア・ターゲットの登録または削除」を参照してください。

7.2.6 ホスト監視の強制ポイントの作成

ホスト監視のみのデプロイメントの場合は、データベース・アクティビティ・モニタリング(DAM)モードで強制ポイントを作成し、ホスト監視から送信されたデータを受信して処理します。

ホスト監視のみのデプロイメントでDatabase Firewallの強制ポイントを作成する際には、ネットワーク・インタフェース・カード(NIC)を構成する必要があります。これは、Audit Vault Serverとの通信に使用する管理インタフェースとは異なる必要があります。

関連項目:

強制ポイントの構成

7.2.7 ネットワーク監査証跡の作成

ネットワーク監査証跡を作成する方法を学習します。

ホスト監視で監視するターゲットごとに監査証跡を作成します。「監査証跡のタイプ」にはNETWORKを指定します。

ノート:

ホスト監視によって監視されるターゲットに対し、コレクション属性network_device_name_for_hostmonitorが強制的に構成されていることを確認してください。ネットワーク・インタフェース・カードの名前が属性値です。ネットワーク・インタフェース・カードは、ターゲット・データベースのすべてのネットワーク・トラフィックを受信します。

Linux/AIX/Solarisホスト

network_device_name_for_hostmonitorコレクション属性の値を確認するには、次のステップを実行します。

1. ターゲット・データベースで、TCPトラフィックを受け入れるように構成されているIPアドレスを確認します。このIPアドレスをノートにとります。

2. 次のコマンドを実行して、ホスト・マシンに存在するネットワーク・デバイスの詳細を一覧表示します。

   ifconfig -a

3. 表示された出力の中から、最初のステップでメモしたIPアドレスを探します。これに対応するネットワーク・カードの名前が、コレクション属性network_device_name_for_hostmonitorの値です。

Windowsホスト

network_device_name_for_hostmonitorコレクション属性の値を確認するには、次のステップを実行します。

1. ターゲット・データベースで、TCPトラフィックを受け入れるように構成されているIPアドレスを確認します。このIPアドレスをノートにとります。
2. 次のコマンドを実行して、ホスト・マシンに存在するネットワーク・デバイスの詳細を一覧表示します。

   ipconfig /all

   ノート:

   このコマンドにより、各デバイスの物理アドレス、IPv4アドレスおよびその他の詳細が表示されます。
3. 表示された出力の中から、最初のステップでメモしたIPv4アドレスを持つデバイスを探します。対応する物理アドレスをノートにとります。
4. getmacコマンドを実行します。これにより、対応する物理アドレスに対するデバイス名が表示されます。前のステップで確認した物理アドレスのデバイス名をノートにとります。
5. デバイス名がわかったら、次の形式になっていることを確認します。
   \Device\Tcpip_{********-****-****-****-************}
6. このデバイス名のTcpipをNPFに置き換えてコピーし、属性値として使用します。つまり、\Device\Tcpip_{********-****-****-****-************}という名前のネットワーク・カードの場合、属性値は\Device\NPF_{********-****-****-****-************}です。

   ノート:

   ここでは、システム・レベルでのネットワーク・デバイス名の変更は行われません。

   関連項目:

   監査証跡の追加の詳細は、「Audit Vault Serverでの監査証跡の追加」を参照してください。

7.3 ホスト監視の開始、停止およびその他の操作

ここでのトピック

• ホスト監視の開始

• ホスト監視の停止

• ホスト監視のロギング・レベルの変更

• ホスト監視のステータスおよび詳細の表示

• ホスト監視監査証跡のステータスの確認

• ホスト監視のアンインストール(UNIXホストのみ)

7.3.1 ホスト監視の開始

ホスト監視の開始方法を学習します。

ホスト監視を開始するには、監視対象のホストでNETWORK監査証跡の収集を開始します。

Audit Vault Serverコンソールからホスト監視を開始するには:

1. Audit Vault Serverコンソールに管理者としてログインします。
2. ネットワーク監査証跡の作成でホスト監視用に作成した監査証跡を開始します。

   関連項目:

   • Audit Vault Serverでの監査証跡の停止、開始および自動起動

   • Audit Vault ServerコンソールUIへのログイン

7.3.2 ホスト監視の停止

ホスト監視を停止するには、監視中のセキュア・ターゲット用に作成した監査証跡を停止します。詳細は、「Audit Vault Serverでの監査証跡の停止、開始および自動起動」を参照してください。

7.3.3 ホスト監視のロギング・レベルの変更

「Audit Vault Agentのロギング・レベルの変更」を参照してください。

7.3.4 ホスト監視のステータスおよび詳細の表示

ホスト監視がインストールされているかどうか、およびその場所、バージョン、更新時刻、その他の詳細などの情報を表示できます。

ホスト監視のステータスおよび詳細を表示するには:

1. Audit Vault Serverコンソールに監査者としてログインします。
2. 「ホスト」タブをクリックします。
3. 関心のあるホストの「ホスト・モニター・ステータス」および「ホスト・モニタリング詳細」の列を確認します。

   関連項目:

   Audit Vault ServerコンソールUIへのログイン

7.3.5 ホスト監視監査証跡のステータスの確認

ホスト監視のステータスを確認するには:

1. Audit Vault Serverコンソールに監査者としてログインします。
2. 「セキュア・ターゲット」タブをクリックした後、「監視」メニューから「監査証跡」をクリックします。

   ホスト監視監査証跡の収集ステータスが「監査証跡」ページにリストされます。ホスト監視監査証跡の「監査証跡のタイプ」列にNETWORKがあります。

   関連項目:

   Audit Vault ServerコンソールUIへのログイン

7.3.6 ホスト監視のアンインストール(UNIXホストのみ)

この手順は、UNIXホストのみに適用されます。Windowsホストでは、インストールおよびアンインストールは不要です。

ホスト監視をアンインストールするには:

1. rootとしてホスト・コンピュータにログインします。
2. (ステップ7でホスト監視をインストールした)HM_Homeディレクトリから、次のコマンドを実行します。

   hostmonsetup uninstall

7.4 ホスト監視の更新(UNIXホストのみ)

Unixシステムでホスト監視を更新する方法を学習します。

Audit Vault Serverを後続のリリースに更新すると、ホスト監視が自動的に更新されます。

現在使用中のリリースが12.1.2より前の場合のホスト監視の更新方法の手順は、アップグレード・ソフトウェアまたはパッチ更新に含まれているREADMEを参照してください。

関連項目:

アップグレード・ソフトウェアのダウンロードの詳細は、『Oracle Audit Vault and Database Firewallインストレーション・ガイド』を参照してください。

7.5 ホスト監視における証明書ベース認証の使用

デフォルトでは、Database Firewallは、ホストの(送信元)IPアドレスの検証結果に基づいてホスト監視の接続を許可します。

ホスト監視で証明書ベースの認証を使用してセキュリティを強化するには、ホスト監視のインストール後に次の手順を実行します。

• ファイアウォールへのホスト監視接続に署名済証明書を要求

• Audit Vault Serverからの署名済証明書の取得

7.5.1 ファイアウォールへのホスト監視接続に署名済証明書を要求

ホスト監視接続に署名済証明書を要求するには:

1. ホスト監視を停止します(実行している場合)。
2. Database Firewallで、rootとしてログインし、次のコマンドを実行します。

   cp /usr/local/dbfw/etc/controller.crt /usr/local/dbfw/etc/fw_ca.crt
   chown dbfw:dbfw /usr/local/dbfw/etc/fw_ca.crt
   chmod 400 /usr/local/dbfw/etc/fw_ca.crt

3. 次のコマンドを実行して監視プロセスを再起動します。

   /etc/init.d/monitor restart

   関連項目:

   ホスト監視の停止

7.5.2 Audit Vault Serverからの署名済証明書の取得

ホスト監視を実行する各ホストで、次の手順を実行します。ホスト監視はすでにインストールされている必要があります。

Audit Vault Serverから署名済証明書を取得するには:

1. Audit Vault Serverにrootとしてログインします。
2. ディレクトリ/usr/local/dbfw/etcに移動します。
3. 次の2つのコマンドを実行します。

   openssl genrsa -out hmprivkey.perm 2048
   openssl req -new -key hmprivkey.perm -out hmcsr.csr -subj "/CN=Hostmonior_Cert_hostname/"

   hostnameは、Audit Vault Agentがインストールされているホスト・マシンの名前です。

4. 署名済証明書を1つ生成するには、次のコマンドを実行します。

   /usr/local/dbfw/bin/generate_casigned_hmcert.sh

   署名済証明書ファイルhmcert.crtがディレクトリ/usr/local/dbfw/etcに生成されます。

5. Audit Vault Serverから次のファイルを、Audit Vault Agentがインストールされているホスト・マシンのAgent_Home/hmディレクトリにコピーします。

   /usr/local/dbfw/etc/hmcert.crt
   /usr/local/dbfw/etc/hmprivkey.perm
   

6. (UNIXホストのみ) rootとして、次のコマンドを実行します。

   chown root:root Agent_Home/hm/hmcert.crt Agent_Home/hm/hmprivkey.perm
   chmod 400 Agent_Home/hm/hmcert.crt Agent_Home/hm/hmprivkey.perm

7. (Windowsホストのみ)望ましくないユーザー・アクセスを回避するために、ファイルhmcert.crtおよびhmprivkey.permにエージェント・ユーザーの所有権および適切な権限が割り当てられていることを確認します。
8. ホスト監視を開始して、ネットワーク・トラフィックを捕捉します。
9. ホスト監視を実行する各ホストで、この手順を繰り返します。

   関連項目:

   ホスト監視の開始