プライマリ・コンテンツに移動
Oracle® Audit Vault and Database Firewall管理者ガイド
リリース12.2
E70392-19
目次へ移動
目次
索引へ移動
索引

前
次

B プラグイン・リファレンス

ここでのトピック

B.1 Oracle Audit Vault and Database Firewallプラグインについて

Oracle Audit Vault and Database Firewallでは、セキュア・ターゲット・タイプごとにプラグインを提供して、様々なセキュア・ターゲット・タイプをサポートしています。Oracle Audit Vault and Database Firewallには、すぐに使用できるプラグインのセットが付属しています。これらのプラグインは、Audit Vault Serverとともにパッケージ化されてデプロイされます。

独自のプラグインを開発するか、新しい使用可能なプラグインを取得して、Oracle Audit Vault and Database Firewallインストールに追加することもできます。

この付録には、Oracle Audit Vault and Database Firewallに付属している各プラグインについての概要データが記載されています。付録には、セキュア・ターゲットの登録手順および監査証跡の構成手順を完了するときに必要となる参照情報も記載されています。これらの手順は、この付録内の関連する項に直接リンクしています。

関連項目:

B.2 Oracle Audit Vault and Database Firewallに付属のプラグイン

この項では、Oracle Audit Vault and Database Firewallに付属している各プラグインについて説明します。

関連項目:

現在のリリースの最新のプラットフォーム・サポートの詳細は、『Oracle Audit Vault and Database Firewallインストレーション・ガイド』を参照してください。

さらに、前のリリースのプラットフォーム情報は、My Oracle Supportにある記事1536380.1で参照できます。

ここでのトピック

B.2.1 すぐに使用できるプラグインの一覧

すぐに使用できるOracle Audit Vault and Database Firewallプラグインは、表B-1にリストされているバージョンのセキュア・ターゲットをサポートしています。各セキュア・ターゲットのリンクをクリックすると、詳細情報にアクセスできます。

表B-1 Oracle Audit Vault and Database Firewallでサポートされている、すぐに使用できるプラグインおよび機能

セキュア・ターゲットのバージョン 監査証跡の収集 監査ポリシーの作成、権限監査 ストアド・プロシージャ監査 監査証跡のクリーンアップ Database Firewall ホスト監視 データベース問合せ

Oracle Database

9i

不要

不要

不要

不要

可能

不要

不要

Oracle Database

10g、11g、12c

可能

可能 (統合監査ポリシーを除く)

可能

可能

可能

可能

可能

Oracle Database

リリース12.2.0.9.0以降では18c (18.3)

可能

可能

可能

可能

可能

可能

可能

Oracle Database

リリース12.2.0.11.0以降では19c

可能

可能

可能

可能

可能

可能

可能

Microsoft SQL Server

2008、2008 R2、2012、2014、2016

可能

不要

可能(バージョン2000、2005、2008、2008 R2)

可能

可能

可能(Windows 2008以降)

可能(Microsoft SQL Server 2005、2008、2008 R2)

Sybase ASE

12.5.4~15.7

可能

不要

可能

不要

可能

可能

不要

Sybase SQL Anywhere

10.0.1

不要

不要

可能

不要

可能

可能

可能

IBM DB2

9.5 - 11.1

可能

不要

可能

不要

可能

バージョン9.1 - 10.5

可能

不要

MySQL

5.5 - 5.7

可能

不要

可能

可能

可能

可能

不要

Oracle Solaris

10および11、SPARC64およびx86-64プラットフォーム上

可能

不要

不要

不要

不要

可能 バージョン 11、11.1、11.2

不要

Oracle Solaris - その他のバージョン。後述の「ノート」を参照。

可能

不要

不要

不要

不要

不要

不要

Oracle Linux

5.8, 6.0 - 6.9, 7.0 - 7.3

可能

不要

不要

不要

不要

可能

不要

Red Hat Enterprise Linuxの場合

6.7 - 6.9

7.0 - 7.3

可能

不要

不要

不要

不要

可能

不要

SUSE Linux Enterprise Server 11-12

不要

不要

不要

不要

不要

可能

不要

IBM AIX

Power Systems (64ビット)上の6.1 - 7.2

可能

不要

不要

可能

不要

可能

不要

Microsoft Windows

Microsoft Windows Server 2008、2008 R2、2012、2012 R2および2016 x86-64上

可能

不要

不要

不要

不要

不要

不要

Microsoft Active Directory

2008、2008 R2、2012および2012 (64ビット上)

可能

不要

不要

不要

不要

不要

不要

Oracle ACFS

12cリリース1 (12.1)

可能

不要

不要

不要

不要

不要

不要

Oracle Big Data Appliance

2.3, 4.3

可能

不要

不要

不要

不要

不要

不要

ノート:

Solarisバージョン2.3以上からの監査データの収集も可能です(Oracle Supportに相談してください)。

B.2.2 Oracle Database

表B-2に、Oracle Databaseプラグインの機能を示します。

表B-2 Oracle Databaseプラグイン

プラグインの仕様 説明

プラグイン・ディレクトリ

AGENT_HOME/av/plugins/com.oracle.av.plugin.oracle

セキュア・ターゲットのバージョン

Oracle 10g

Oracle 11g

Oracle 12c リリース1 (12.1)

Oracle 12c リリース2 (12.2)

ノート:

セキュア・ターゲットとしてのOracle 12c リリース2 (12.2)は、監査データ収集についてOracle Audit Vault and Database Firewallリリース12.2.0.4.0以降でサポートされます。

リリース12.2.0.9.0以降では18c (18.3)

リリース12.2.0.11.0以降では19c

セキュア・ターゲットのプラットフォーム

Linux/x86-64

Solaris /x86-64

Solaris /SPARC64

AIX/Power64

Windows /86-64

HP-UX Itanium

サポートされているターゲット・プラットフォームおよびバージョンの詳細は、Oracle Audit Vault and Database Firewallインストレーション・ガイドのAudit Vault Agent: サポートされているターゲット・プラットフォームおよびバージョンに関する項を参照してください。

設定スクリプト

あり。手順は、Oracle Databaseの設定スクリプトを参照してください。

セキュア・ターゲットの場所(接続文字列)

jdbc:oracle:thin:@//hostname:port/service

コレクション属性

ORCLCOLL.NLS_LANGUAGE
ORCLCOLL.NLS_TERRITORY
ORCLCOLL.NLS_TERRITORY
ORCLCOLL.MAX_PROCESS_TIME
ORCLCOLL.MAX_PROCESS_RECORDS
ORCLCOLL.RAC_INSTANCE_ID
ORCLCOLL.HEARTBEAT_INTERVAL
ORCLCOLL.HEARTBEAT_INTERVAL

詳細は、表B-19を参照してください。

AVDF監査証跡タイプ

TABLE

DIRECTORY

TRANSACTION LOG

SYSLOG (Linuxのみ)

EVENT LOG (Windowsのみ)

NETWORK

監査証跡タイプの説明は、表B-17を参照してください。

監査証跡の場所

TABLE監査証跡: SYS.AUD$SYS.FGA_LOG$DVSYS.AUDIT_TRAIL$UNIFIED_AUDIT_TRAIL

DIRECTORY監査証跡: AUDファイルまたはXMLファイルを含むディレクトリへのフルパス。

SYSLOG監査証跡: DEFAULTまたはsyslogファイルを含むディレクトリへのフルパスを使用します。

TRANSACTION LOGEVENT LOGおよびNETWORK監査証跡: 証跡の場所は不要です。

ノート:

Oracle Audit Vault and Database Firewallは、オペレーティング・システムのスピルオーバー監査ファイルから統合監査レコードをフェッチする統合監査証跡に対して、レコードの問合せおよび収集を行います。データベース監査管理は、統合監査証跡のクリーンアップ、および基礎となるオペレーティング・システムのスピルオーバー監査ファイルを管理します。

監査証跡のクリーンアップのサポート

あり。手順は、Oracle Database監査証跡クリーンアップを参照してください。

エージェントを実行するOSユーザー

Oracle Databaseディレクトリ監査証跡: 監査ファイルの読取り権限を持つ任意のユーザー、つまりoracleユーザー、またはDBAグループ内のユーザー。

表証跡: 任意のデータベース・ユーザー(可能な場合、DBA以外)。

他のディレクトリ監査証跡: 監査ファイルの読取り権限を持つ任意のユーザー。

クラスタ・サポート

可能

B.2.3 Microsoft SQL Server

表B-3に、Microsoft SQL Serverプラグインの機能を示します。

表B-3 Microsoft SQL Serverプラグイン

プラグインの仕様 説明

プラグイン・ディレクトリ

AGENT_HOME\av\plugins\com.oracle.av.plugin.mssql

セキュア・ターゲットのバージョン

Enterprise Edition 2000、2005、2008、2008 R2、2012、2014。

Enterprise Edition 2016はリリース12.2.0.2.0以降でサポートされています。

Enterprise Edition 2017はリリース12.2.0.10.0以降でサポートされています。

セキュア・ターゲットのプラットフォーム

Windows/x86-64

サポートされているターゲット・プラットフォームおよびバージョンの詳細は、Oracle Audit Vault and Database Firewallインストレーション・ガイドのAudit Vault Agent: サポートされているターゲット・プラットフォームおよびバージョンに関する項を参照してください。

設定スクリプト

あり。手順は、Microsoft SQL Serverの設定スクリプトを参照してください。

セキュア・ターゲットの場所(SQLサーバー認証の接続文字列)

jdbc:av:sqlserver://hostname:port

セキュア・ターゲットの場所(Windows認証の接続文字列)

jdbc:av:sqlserver://<Host Name>:<Port>;authenticationMethod=ntlmjava

Windowsのユーザー資格証明は、ドメインとともに使用します。次に例を示します。

<domain name>\<user name >とパスワードなどです

コレクション属性

なし

AVDF監査証跡タイプ

DIRECTORY

EVENT LOG

NETWORK

監査証跡タイプの説明は、表B-17を参照してください。

監査証跡の場所

DIRECTORY監査証跡: *.sqlauditファイルまたは*.trc (トレース)ファイル。例:

directory_path\*.sqlaudit

directory_path\prefix*.sqlaudit

directory_path\prefix*.trc

prefixには、.trcまたは*.sqlauditファイル用の任意の接頭辞を使用できます。

#C2_DYNAMICおよび#TRACE_DYNAMICはSQL Server 2000、2005および2008バージョンでのみサポートされます。

EVENT LOG監査証跡:

  • application

  • security (SQL Server 2008および2012のみ)

監査証跡のクリーンアップのサポート

あり。手順は、SQL Server監査証跡クリーンアップを参照してください。

クラスタ・サポート

可能

クラスタのセキュア・ターゲット・プラットフォーム

Windows 2012 R2

Oracle Audit Vault and Database Firewallリリース12.2.0.12.0以降のWindowsプラットフォーム上の監査収集のバージョン2012 R2

クラスタ・コレクション属性

属性名: av.collector.clusterEnabled

属性値: 1

ノート:

Oracle Audit Vault and Database Firewallは、Microsoft SQL Serverクラスタの監査収集およびDatabase Firewallモニタリングをサポートしていません。

B.2.4 Sybase ASE

表B-4に、Sybase ASEプラグインの機能を示します。

表B-4 Sybase ASEプラグイン

プラグインの仕様 説明

プラグイン・ディレクトリ

AGENT_HOME/av/plugins/com.oracle.av.plugin.sybase

ターゲットのバージョン

15.7

16.0はリリース12.2.0.11.0以降でサポート

セキュア・ターゲットのプラットフォーム

すべてのプラットフォーム

設定スクリプト

あり。手順は、Sybase ASEの設定スクリプトを参照してください。

セキュア・ターゲットの場所(接続文字列)

jdbc:av:sybase://hostname:port

コレクション属性

なし

AVDF監査証跡タイプ

TABLE

NETWORK

監査証跡タイプの説明は、表B-17を参照してください。

監査証跡の場所

SYSAUDITS

監査証跡のクリーンアップのサポート

不要

クラスタ・サポート

不要

Sybaseのパスワード暗号化

SAP Sybaseデータベースでパスワード暗号化を使用している場合は、次の変更内容をOracle Audit Vault and Database Firewallに適用します。

  1. SAP Sybaseデータベースの監査証跡を設定する際に、Audit Vault Serverコンソールで次の接続文字列を使用します。

    jdbc:sybase:Tds:<host>:<port>/sybsecurity?ENCRYPT_PASSWORD=TRUE&JCE_PROVIDER_CLASS=com.sun.crypto.provider.SunJCE

  2. jconn4.jarファイルを、Sybaseサーバーの/opt/sybase/jConnect-16_0/classesからAgent_Home/av/jlibにコピーします。

    ノート:

    Sybase 15.7を使用している場合は、最新のSybaseサーバー・バージョン16.0.からjconn4.jarファイルをフェッチします。

  3. Audit Vault Agentを再起動します。

  4. 収集を開始します。

B.2.5 Sybase SQL Anywhere

表B-5に、Sybase SQL Anywhereプラグインの機能を示します。

表B-5 Sybase SQL Anywhereプラグイン

プラグインの仕様 説明

プラグイン・ディレクトリ

AGENT_HOME/av/plugins/com.oracle.av.plugin.sqlanywhere

セキュア・ターゲットのバージョン

10.0.1

セキュア・ターゲットのプラットフォーム

すべてのプラットフォーム

設定スクリプト

あり。手順は、Sybase SQL Anywhereの設定スクリプトを参照してください。

セキュア・ターゲットの場所(接続文字列)

jdbc:av:sybase://hostname:port

コレクション属性

なし

AVDF監査証跡タイプ

NETWORK (ホスト監視のみで使用)

監査証跡タイプの説明は、表B-17を参照してください。

監査証跡の場所

不要

監査証跡のクリーンアップのサポート

不要

B.2.6 IBM DB2

表B-6に、IBM DB2プラグインの機能を示します。

表B-6 IBM DB2プラグイン

プラグインの仕様 説明

プラグイン・ディレクトリ

AGENT_HOME/av/plugins/com.oracle.av.plugin.db2

セキュア・ターゲットのバージョン

9.1 - 11.1

セキュア・ターゲットのプラットフォーム

Linux (x86-64): OL 5.x、6.x、7.xおよびRHEL 5.x、6.x、7.x

Microsoft Windows (x86-64): 8

Microsoft Windows Server (x86-64): 2008、2008R2、2012、2012R2、2016

IBM AIX on Power Systems (64ビット): 7.1は、リリース12.2.0.12.0以降でサポートされています

設定スクリプト

あり。手順は、IBM DB2 for LUWの設定スクリプトを参照してください。

セキュア・ターゲットの場所(接続文字列)

jdbc:av:db2://hostname:port/dbname

ノート:

  • 接続文字列は、12.2.0.11.0以降では不要です。
  • IBM DB2クラスタには接続文字列は必要ありません。

コレクション属性

av.collector.databasename (大文字小文字の区別あり) - (必須) IBM DB2 for LUWデータベース名を指定します。

AVDF監査証跡タイプ

DIRECTORY

NETWORK

監査証跡タイプの説明は、表B-17を参照してください。

監査証跡の場所

ディレクトリへのパス(例: d:\temp\trace)

監査証跡のクリーンアップのサポート

不要

クラスタ・サポート

可能

HADR (高可用性および障害時リカバリ)

クラスタのセキュア・ターゲット・プラットフォーム

OL 7.x上のHADR

B.2.7 MySQL

表B-7に、MySQLプラグインの機能を示します。

表B-7 MySQLプラグイン

プラグインの仕様 説明

プラグイン・ディレクトリ

AGENT_HOME/av/plugins/com.oracle.av.plugin.mysql

セキュア・ターゲットのバージョン

Database Firewallの場合: Enterprise Edition 5.0、5.1、5.5、5.6。

監査データ収集については、次のEnterprise Editionバージョンがサポートされています。

  • 5.5.29から5.5.59

  • 5.6.10から5.6.39

  • 5.7.0から5.7.21 (リリース12.2.0.7.0以降でサポート)

  • 8.0 (リリース12.2.0.11.0以降でサポート)

セキュア・ターゲットのプラットフォーム

Linux (x86-64): OL 5.x、6.x、7.xおよびRHEL 5.x、6.x、7.x

Microsoft Windows (x86-64): 8

Microsoft Windows Server (x86-64): 2008、2008R2、2012、2012R2、2016

設定スクリプト

あり。MySQLの設定スクリプトを参照してください。

セキュア・ターゲットの場所(接続文字列)

jdbc:av:mysql://hostname:port/mysql

ノート: 接続文字列は、リリース12.2.0.11.0以降では不要です。

コレクション属性

av.collector.securedTargetVersion - (必須) MySQLバージョンを指定します。デフォルトは8.0です。

av.collector.AtcTimeInterval - (オプション) 監査証跡クリーンアップのファイル更新の時間間隔を分単位で指定します。デフォルトは20です。

ノート: コレクション属性av.collector.securedTargetVersionは、リリース12.2.0.11.0以降では不要です。

AVDF監査証跡タイプ

DIRECTORY

NETWORK

監査証跡タイプの説明は、表B-17を参照してください。

監査証跡のクリーンアップのサポート

あり。

監査証跡の場所

変換ファイルが作成されるディレクトリへのパス。

MySQL 5.5および5.6のデフォルト監査フォーマットは古いです。MySQL 5.7のデフォルト監査フォーマットは新しいです。監査フォーマットはMySQL Serverで構成を変更することで変更できます。

監査証跡の場所は次のとおりです。

  1. 古い監査フォーマットでは、ディレクトリへのパスは、MySQL XML変換ユーティリティを実行したときに変換後のXMLファイルが作成される場所。

  2. 新しい監査フォーマットでは、ディレクトリへのパスは、MySQL Serverによってaudit.logファイルが生成される場所。

表B-8 古い監査フォーマット

監査証跡の場所

MySQL 5.7.21以前の入力パス形式

<Path of the converted XML location.>

例: \ConvertedXML

MySQL 5.7.21以降の入力パス形式

<Path of the converted XML location.>

例: \ConvertedXML

表B-9 新しい監査フォーマット

監査証跡の場所

MySQL 5.7.21以前の入力パス形式

<Path of the audit.log location.>

例: \MySQLLog

MySQL 5.7.21以降の入力パス形式

<Path of the audit log file>/<log file name>.*.log

ここで、*YYYYMMDDThhmmss形式のタイムスタンプです。

例: MySQLLog/audit*.log

ノート:

古い形式では、監査データは変換されたXMLファイルから収集されます。新しい形式では、監査データはアクティブ・ログとローテーションされたログの両方から収集されます。

ベスト・プラクティス:

audit_log_rotate_on_sizeプロパティを設定することで、サイズ・ベースの監査ログ・ファイルの自動ローテーションを有効にします。詳細は、MySQLリファレンス・マニュアル監査ログ・ファイルの領域管理と名前ローテーションを参照してください。

B.2.8 Oracle Solaris

表B-10に、Oracle Solarisプラグインの機能を示します。

表B-10 Oracle Solarisプラグイン

プラグインの仕様 説明

プラグイン・ディレクトリ

AGENT_HOME/av/plugins/com.oracle.av.plugin.solaris

セキュア・ターゲットのバージョン

バージョン10、バージョン11 (SPARC64プラットフォームおよびx86-64プラットフォーム上)

セキュア・ターゲットのプラットフォーム

Solaris/x86-64

Solaris/SPARC64

設定スクリプト

不要

セキュア・ターゲットの場所(接続文字列)

hostname (完全修飾マシン名またはIPアドレス)

コレクション属性

なし

AVDF監査証跡タイプ

DIRECTORY

監査証跡タイプの説明は、表B-17を参照してください。

監査証跡の場所

hostname:path_to_trail

hostnameは、監査ログ名内(次のような形式)のホスト名と一致します。

timestamp1.timestamp2.hostname

監査証跡のクリーンアップのサポート

不要

B.2.9 Linux

表B-11に、Oracle Linux (OL)およびRed Hat Enterprise Linux (RHEL)から監査データを収集するLinuxプラグインの機能を示します。

表B-11 Linuxプラグイン

プラグインの仕様 説明

プラグイン・ディレクトリ

AGENT_HOME/av/plugins/com.oracle.av.plugin.linux

セキュア・ターゲットのバージョン

Oracle Linux (OL)

  • OL 5.8 (auditdパッケージ1.8を含む)

  • OL 6.0 (auditdパッケージ2.0を含む)

  • OL 6.1 - 6.5 (auditdパッケージ2.2.2を含む)

  • OL 6.6 - 6.7 (auditdパッケージ2.3.7を含む)

  • OL 6.8 - 6.10 (auditdパッケージ2.4.5を含む)

  • OL 7.0 (auditdパッケージ2.3.3を含む)

  • OL 7.1 - 7.2 (auditdパッケージ2.4.1を含む)

  • OL 7.3 (auditdパッケージ2.6.5を含む)

  • OL 7.4 - 7.5 (auditdパッケージ2.7.6を含む)

Red Hat Enterprise Linux (RHEL)

  • RHEL 6.7 (auditd 2.3.7を含む)

  • RHEL 6.8 (auditd 2.4.5を含む)

  • RHEL 6.9 (auditd 2.4.5を含む)

  • RHEL 6.10 (auditd 2.4.5を含む)

  • RHEL 7.0 (auditd 2.3.3を含む)

  • RHEL 7.1 (auditd 2.4.1を含む)

  • RHEL 7.2 (auditd 2.4.1を含む)

  • RHEL 7.3 (auditd 2.6.5を含む)

  • RHEL 7.4 (auditd 2.7.6を含む)

  • RHEL 7.5 (auditd 2.7.6を含む)

監査パッケージのバージョンを確認するにはrpm -q auditを実行します。

セキュア・ターゲットのプラットフォーム

Linux/x86-64

設定スクリプト

不要。ただし、Linux監査証跡を開始するには、次のユーザー/グループのアクセス権限が必要です。

エージェント・プロセスがrootユーザーで開始される場合、アクセス権限を変更する必要はありません。

エージェント・プロセスがroot以外のユーザーで開始される場合は、次の手順を実行します。

  1. エージェント・ユーザー(エージェント・プロセスを開始するユーザー)のグループ名を、/etc/audit/auditd.confファイルのlog_groupパラメータに割り当てます。

  2. エージェント・ユーザーおよびグループには、audit.logファイルが格納されているフォルダ(デフォルト・フォルダは/var/log/audit)に対するreadおよびexecute権限が必要です。

  3. 前述の変更を加えた後、Linux監査サービスを再起動します。

セキュア・ターゲットの場所(接続文字列)

hostname (完全修飾マシン名またはIPアドレス)

コレクション属性

なし

AVDF監査証跡タイプ

DIRECTORY

監査証跡タイプの説明は、表B-17を参照してください。

監査証跡の場所

audit.logのデフォルトの場所(/var/log/audit/audit*.log)または/etc/audit/auditd.confファイルで構成したカスタムの場所

監査証跡のクリーンアップのサポート

不要

B.2.10 IBM AIX

表B-12に、IBM AIXプラグインの機能を示します。

表B-12 IBM AIXプラグイン

プラグインの仕様 説明

プラグイン・ディレクトリ

AGENT_HOME/av/plugins/com.oracle.av.plugin.aixos

セキュア・ターゲットのバージョン

AIX 6.1から7.2

セキュア・ターゲットのプラットフォーム

Power Systems (64ビット)

設定スクリプト

不要。ただし、AIX監査証跡を開始するには、次のユーザー/グループのアクセス権限が必要です。

エージェント・プロセスをrootユーザーで開始する場合は、アクセス権限を変更する必要はありません。

エージェント・プロセスをroot以外のユーザーで開始する場合は、別のユーザーを承認するため、AIXシステムでrootとして次のコマンドを実行します。

  1. 新しいロールを作成し、それにaix.security.auditの認可を付与します。

    mkrole authorizations= (aix.security.audit) (role_name)

  2. 新しく作成したロールに割り当てるエージェント・ユーザーを変更するには、次を実行します。

    chuser roles=role_name agent_user_name

  3. setkstコマンドを実行して、新しく作成したロールでカーネル表を更新します

  4. エージェント・ユーザーをAIX監査ファイルと同じグループに追加します。

  5. 監査証跡ファイルが置かれる/auditディレクトリに読取りのアクセス許可が設定されていることを確認します。

  6. エージェント・ユーザーでエージェントを開始するには、agent_user_nameでAIX端末にログインし、この手順で作成したロールに切り替えます。

    swrole role_name

セキュア・ターゲットの場所(接続文字列)

hostname (完全修飾マシン名またはIPアドレス)

コレクション属性

なし

AVDF監査証跡タイプ

DIRECTORY

監査証跡タイプの説明は、表B-17を参照してください。

監査証跡の場所

証跡のデフォルトの場所(/audit/trail)、または/etc/security/audit/configファイルで構成されている任意のカスタムの場所

監査証跡のクリーンアップのサポート

あり。AIXプラグインで、次の場所に.atcファイルが作成されます。

AGENT_HOME/av/atc/SecuredTargetName_TrailId.atc

.atcファイルには、次の情報が含まれています。

trail_location end_time_of_audit_event_collection

B.2.11 Microsoft Windows

表B-13に、Microsoft Windowsプラグインの機能を示します。

表B-13 Microsoft Windowsプラグイン

プラグインの仕様 説明

プラグイン・ディレクトリ

AGENT_HOME\av\plugins\com.oracle.av.plugin.winos

セキュア・ターゲットのバージョン

Microsoft Windows Server 2008、2008 R2、2012、2012 R2および2016

セキュア・ターゲットのプラットフォーム

Windows/x86-64

設定スクリプト

不要

セキュア・ターゲットの場所(接続文字列)

hostname (完全修飾マシン名またはIPアドレス)

コレクション属性

なし

AVDF監査証跡タイプ

EVENT LOG

監査証跡タイプの説明は、表B-17を参照してください。

監査証跡の場所

security (大文字小文字の区別あり)

監査証跡のクリーンアップのサポート

不要

B.2.12 Microsoft Active Directory

表B-14に、Microsoft Active Directoryプラグインの機能を示します。

表B-14 Microsoft Active Directoryプラグイン

プラグインの仕様 説明

プラグイン・ディレクトリ

AGENT_HOME\av\plugins\com.oracle.av.plugin.msad

セキュア・ターゲットのバージョン

2008、2008 R2、2012および2016 (64ビット上)

セキュア・ターゲットのプラットフォーム

Windows/x86-64

設定スクリプト

不要

セキュア・ターゲットの場所(接続文字列)

hostname (完全修飾マシン名またはIPアドレス)

コレクション属性

なし

AVDF監査証跡タイプ

EVENT LOG

監査証跡タイプの説明は、表B-17を参照してください。

監査証跡の場所

directory serviceまたはsecurity (大文字小文字の区別あり)

監査証跡のクリーンアップのサポート

不要

B.2.13 Oracle ACFS

表B-15に、Oracle ACFSプラグインの機能を示します。

表B-15 Oracle ACFSプラグイン

プラグインの仕様 説明

プラグイン・ディレクトリ

AGENT_HOME/av/plugins/com.oracle.av.plugin.acfs

セキュア・ターゲットのバージョン

12c リリース1 (12.1)

セキュア・ターゲットのプラットフォーム

Linux/x86-64

Solaris/x86-64

Solaris/SPARC64

Windows 2008、2008 R2 64ビット

設定スクリプト

不要

セキュア・ターゲットの場所(接続文字列)

hostname (完全修飾マシン名またはIPアドレス)

コレクション属性

av.collector.securedtargetversion - (必須) Oracle ACFSバージョンを指定します。

AVDF監査証跡タイプ

DIRECTORY

監査証跡タイプの説明は、表B-17を参照してください。

監査証跡の場所

XML監査ファイルが含まれているディレクトリへのパス。たとえば、$MOUNT_POINTにマウントされているファイル・システムの場合、監査証跡の場所は次のようになります。

$MOUNT_POINT/.Security/audit/

監査証跡のクリーンアップのサポート

不要

B.2.14 Oracle Big Data Appliance

表B-16に、Oracle Big Data Applianceプラグインの機能を示します。

表B-16 Big Data Applianceプラグイン

プラグインの仕様 説明

プラグイン・ディレクトリ

AGENT_HOME/av/plugins/com.oracle.av.plugin.bda

セキュア・ターゲットのバージョン

2.3, 4.3

セキュア・ターゲットのプラットフォーム

Linux x86-64

設定スクリプト

不要

セキュア・ターゲットの場所(接続文字列)

hostname (完全修飾マシン名またはIPアドレス)

コレクション属性

av.collector.securedtargetversion - (必須) Oracle Big Data Applianceバージョンを指定します。

AVDF監査証跡タイプ

DIRECTORY

監査証跡タイプの説明は、表B-17を参照してください。

監査証跡の場所

/var/log/hadoop-hdfs/hdfs-audit.log

監査証跡のクリーンアップのサポート

不要

B.2.15 各監査証跡タイプに対して収集されるデータの概要

セキュア・ターゲットの監査証跡を構成するときに、「監査証跡のタイプ」フィールドで監査証跡タイプを選択します。監査証跡タイプは、セキュア・ターゲット・タイプによって異なります。表B-17に、各セキュア・ターゲット・タイプに対して構成できる監査証跡タイプを示します。

セキュア・ターゲット・タイプの監査機能および機能性の詳細は、製品のドキュメントを参照してください。次のOracle製品のドキュメントを参照してください。

  • Oracle Database 12c リリース1 (12.1): 『Oracle Databaseセキュリティ・ガイド』

  • Oracle Database 11g リリース2 (11.2): 『Oracle Databaseセキュリティ・ガイド』

  • Oracle Solaris 11.1

  • Oracle Solaris 10.6

  • Oracle ACFS 12c リリース1 (12.1): 『Oracle Automatic Storage Management管理者ガイド』

表B-17 各セキュア・ターゲット・タイプでサポートされている監査証跡タイプの概要

セキュア・ターゲット・タイプ 証跡タイプ 説明

Oracle Database

TABLE

リリース10.2.x、11.xおよび12.x

次の監査証跡から収集します。

  • Oracle Database監査証跡。SYS.AUD$ディクショナリ表に標準の監査イベントが書き込まれます。

  • Oracle Databaseファイングレイン監査証跡。SYS.FGA_LOG$ディクショナリ表に監査イベントが書き込まれます。

  • Oracle Database Vault監査証跡。DVSYS.AUDIT_TRAIL$ディクショナリ表に監査イベントが書き込まれます。

  • Oracle Database 12.x統合監査証跡。UNIFIED_AUDIT_TRAILデータ・ディレクトリ・ビューに監査イベントが書き込まれます

ノート:

SYS.AUD$SYS.FGA_LOG$の表には、追加の列RLS$INFOがあります。統合監査証跡表にはRLS_INFO列があります。この列には、構成済の行レベルのセキュリティ・ポリシーの説明が示されます。これは、Audit Vault and Database Firewallの拡張フィールドにマップされます。この列に移入するには、ユーザーがセキュア・ターゲットのAUDIT_TRAILパラメータをDB EXTENDEDに設定する必要があります。

Oracle Database

DIRECTORY

リリース10.2.x、11.xおよび12.x

次の監査証跡からデータを収集します。

  • LinuxおよびUNIXプラットフォーム: オペレーティング・システム・ファイル(.audおよび.xml)に書き込まれたOracle Database監査ファイル

  • Windowsプラットフォーム: オペレーティング・システムのWindowsイベント・ログおよびオペレーティング・システムのログ(監査ログ) XML (.xml)ファイル

Oracle Database

TRANSACTION LOG

11.2(REDO接続用)

REDOログの論理変更レコード(LCR)から監査データを収集します。この監査証跡タイプを使用する場合、TRANSACTION LOG証跡タイプが監査情報を取得する元となる表に対して取得ルールを作成することで、監査対象データを定義できます。

関連項目:

詳細は、『Oracle Audit Vault and Database Firewall監査者ガイド』を参照してください。

ノート:

  • Oracle Database 12cの場合で、PDB/CDBを使用していない場合はトランザクション・ログ監査証跡のみがサポートされます。
  • トランザクション・ログ監査証跡は、Oracle Databaseバージョン18cおよび19cではサポートされていません。

Oracle Database

SYSLOG

LinuxおよびUNIXプラットフォームのみ、syslogまたはrsyslogのいずれかの監査ファイルからOracle監査レコードを収集します。

システムにsyslogrsyslogの両方がインストールされている場合は、rsyslogファイルからデータを収集するため、rsyslog監査ファイルの正確な場所を指定する必要があります。

次のrsyslog形式がサポートされています。

  • RSYSLOG_TraditionalFileFormat (低精度のタイム・スタンプ)

  • RSYSLOG_FileFormat (高精度のタイム・スタンプおよびタイムゾーン情報)

両方の形式によるイベントはレポート上で同じように見えますが、RSYSLOG_FileFormatでは、AVSYS.EVENT_LOG表にマイクロ秒の精度でEVENT_TIMEが表示されます。

関連項目:

この表の詳細およびAudit Vault Serverスキーマ・ドキュメントは、『Oracle Audit Vault and Database Firewall監査者ガイド』を参照してください。

Oracle Database

EVENT LOG

Windowsプラットフォーム上のMicrosoft Windowsイベント・ログのみからOracle監査レコードを収集します。

Oracle Database

NETWORK

ネットワーク・トラフィックを収集します(TCP接続を使用するすべてのデータベース操作)。ホスト監視に使用されます。

Microsoft SQL Server

DIRECTORY

C2監査ログ、サーバー側のトレース・ログおよびsqlauditログ・ファイルから監査データを収集します。

Microsoft SQL Server

EVENT LOG

Windowsアプリケーション・イベント・ログから監査データを収集します。Microsoft SQL Server 2008および2012の場合、セキュリティ・イベント・ログからの収集もサポートされます。

Microsoft SQL Server

NETWORK

ネットワーク・トラフィック(TCP接続を使用するすべてのデータベース操作)を収集します。ホスト監視に使用されます。

Sybase ASE

TABLE

sybsecurityデータベースのシステム監査表(sysaudits_01からsysaudits_08)から監査データを収集します。

Sybase ASE

NETWORK

ネットワーク・トラフィック(TCP接続を使用するすべてのデータベース操作)を収集します。ホスト監視に使用されます。

Sybase SQL Anywhere

NETWORK

(ホスト監視の場合のみ)ネットワーク・トラフィック(TCP接続を使用したすべてのデータベース操作)を収集します。

IBM DB2 for LUW

DIRECTORY

バイナリ監査ログ(db2audit.log)から抽出されたASCIIテキスト・ファイルから監査データを収集します。これらのファイルは、DB2データベース・インスタンスのsecurityサブディレクトリに存在します。

IBM DB2 for LUW

NETWORK

ネットワーク・トラフィック(TCP接続を使用するすべてのデータベース操作)を収集します。ホスト監視に使用されます。

MySQL

DIRECTORY

指定された場所からXMLベースの監査データを収集します。

MySQL

NETWORK

ネットワーク・トラフィック(TCP接続を使用するすべてのデータベース操作)を収集します。ホスト監視に使用されます。

Oracle Solaris

DIRECTORY

Solaris監査のaudit_binfileプラグインで生成されるSolaris監査レコード(バージョン2)を収集します。

Linux

DIRECTORY

audit.logから監査データを収集します。

Windows OS

EVENT LOG

Windowsセキュリティ・イベント・ログから監査データを収集します。

Microsoft Active Directory

EVENT LOG

Windowsディレクトリ・サービスおよびセキュリティ・イベント・ログから監査データを収集します。

Oracle ACFS

DIRECTORY

ACFS暗号化ソースおよびACFSセキュリティ・ソースから監査データを収集します。

Oracle Linux

DIRECTORY

audit.logから監査データを収集します。

Oracle Big Data Appliance

DIRECTORY

hdfs-audit.logから監査データを収集します

B.3 セキュア・ターゲットに対するOracle AVDFアカウント権限用のスクリプト

ここでのトピック

B.3.1 Oracle Audit Vault and Database Firewallアカウント権限を設定するためのスクリプトについて

監査データの監視および収集に関連する機能の実行で使用する、Oracle Audit Vault and Database Firewallの各セキュア・ターゲットに対する適切な権限を持つユーザー・アカウントを設定する必要があります。Oracle Audit Vault and Database Firewallでは、データベース・セキュア・ターゲットの設定スクリプトが提供されています。セキュア・ターゲットのタイプに応じて、スクリプトにより、Oracle Audit Vault and Database Firewallで次の機能を実行できるユーザー権限が設定されます。

  • 監査データ収集

  • 監査ポリシー管理

  • ストアド・プロシージャ監査

  • ユーザー権限監査

  • データベース問合せ

  • 監査証跡のクリーンアップ(一部のセキュア・ターゲットが対象)

ホスト・コンピュータ(通常はセキュア・ターゲットと同じコンピュータ)にAudit Vault Agentをデプロイした場合、Oracle Audit Vault and Database Firewallに対するユーザー権限を作成するための設定スクリプトは、次のディレクトリにあります(次の例はLinuxの場合)。

$AGENT_HOME/av/plugins/com.oracle.av.plugin.secured_target_type/config/

B.3.2 Oracle Databaseの設定スクリプト

Oracle Databaseセキュア・ターゲット用のOracle Audit Vault and Database Firewall設定スクリプトoracle_user_setup.sqlおよびoracle_drop_db_permissions.sqlは、次のディレクトリにあります(次の例はLinuxの場合)。

$AGENT_HOME/av/plugins/com.oracle.av.plugin.oracle/config/

これらのスクリプトは、Oracle Audit Vault and Database Firewallで次の機能を実行するための、Oracle Databaseに対するユーザー権限を設定または取り消すために使用します。

  • 監査データ収集

  • 監査ポリシー管理

  • ストアド・プロシージャ監査(SPA)

  • ユーザー権限監査

Oracle Databaseセキュア・ターゲットに対するOracle Audit Vault and Database Firewallユーザー権限を設定または取り消すには:

  1. Oracle DatabaseでOracle Audit Vault and Database Firewallのユーザー・アカウントを作成します。次に例を示します。

    SQL> CREATE USER username IDENTIFIED BY password

    Audit Vault ServerでこのOracle Databaseをセキュア・ターゲットとして登録するときに、このユーザー名およびパスワードを使用します。

  2. SYSDBA権限を持つSYSユーザーとして接続します。次に例を示します。

    SQL> CONNECT SYS / AS SYSDBA

  3. Oracle Audit Vault and Database Firewallユーザー権限を設定するには、次のように設定スクリプトを実行します。

    SQL> @oracle_user_setup.sql username mode

    • username: ステップ1で作成したユーザーの名前を入力します。

    • mode: 次のいずれかを入力します。

      • SETUP: Oracle Audit Vault and Database FirewallからOracle Database監査ポリシーを管理するための権限と、REDOログ以外の監査証跡タイプからデータを収集するための権限を設定する場合。たとえば、このモードは、Oracle Audit Vault and Database FirewallでのTABLE監査証跡に使用します。

      • REDO_COLL: REDOログから監査データを収集するための権限を設定する場合。このモードは、Oracle Audit Vault and Database FirewallでのTRANSACTION LOG監査証跡にのみ使用します。

      • SPA: このデータベースに対してストアド・プロシージャ監査を有効にする場合

      • ENTITLEMENT: このデータベースに対してユーザー権限監査を有効にする場合

    ノート:

    CDBに監査収集を設定するときは、CDBと各PDBインスタンスに個別のローカル・ユーザーを作成します。各ユーザーに対してoracle_user_setup.sqlスクリプトを実行します。各PDBインスタンスでは、まずセッションが変更され、PDBに切り替えてからスクリプトが実行されます。

  4. Oracle DatabaseでDatabase Vaultがインストールされて有効化されている場合は、DV_OWNERロールが付与されたユーザーとしてログインし、次の手順を実行します。

    1. Oracle Audit Vault and Database Firewallユーザーに、このOracle Databaseに対するDV_SECANALYSTロールを付与します。次に例を示します。

      SQL> GRANT DV_SECANALYST TO username;
      

      usernameには、ステップ1で作成したユーザーの名前を入力します。

      DV_SECANALYSTロールにより、Oracle Audit Vault and Database FirewallでOracle Database Vaultの監査証跡データを監視および収集して、Oracle Database Vaultレポートを実行できます。

    2. REDO_COLLモード(TRANSACTION LOG監査証跡)の場合にのみ、Oracle Databaseバージョンに応じて次のいずれかの手順を実行します。

      Oracle Database 12cの場合:

      SQL> GRANT DV_STREAMS_ADMIN TO username;
      

      usernameには、ステップ1で作成したユーザーの名前を入力します。

      サポートされている他のすべてのOracle Databaseリリースの場合:

      SQL> EXEC DBMS_MACADM.ADD_AUTH_TO_REALM('Oracle Data Dictionary', 'username', null, dbms_macutl.g_realm_auth_participant);
      SQL> COMMIT;
      

      usernameには、ステップ1で作成したユーザーの名前を入力します。

  5. Oracle Audit Vault and Database Firewallユーザー権限を取り消すには、このデータベースにSYSDBA権限を持つユーザーSYSとして接続し、次のスクリプトを実行します。

    SQL> @oracle_drop_db_permissions.sql username mode

    • username: ステップ1で作成したユーザーの名前を入力します。

    • mode: 次のいずれかを入力します。

      • SETUP: Oracle Audit Vault and Database FirewallからOracle Database監査ポリシーを管理するための権限と、REDOログ以外の監査証跡タイプからデータを収集するための権限を取り消す場合。

      • REDO_COLL: REDOログから監査データを収集するための権限を取り消す場合。

      • SPA: このデータベースに対してストアド・プロシージャ監査を無効にする場合

      • ENTITLEMENT: このデータベースに対してユーザー権限監査を無効にする場合

B.3.3 Sybase ASEの設定スクリプト

ここでのトピック

B.3.3.1 Sybase ASEの設定スクリプトについて

Sybase ASEセキュア・ターゲットでOracle Audit Vault and Database Firewallに必要なユーザー権限を構成するために、次のスクリプトが提供されています。

  • sybase_auditcoll_user_setup.sql
  • sybase_auditcoll_drop_db_permissions.sql
  • sybase_spa_user_setup.sql
  • sybase_spa_drop_db_permissions.sql

このスクリプトは次のディレクトリにあります(次の例はLinuxの場合)。

$AGENT_HOME/av/plugins/com.oracle.av.plugin.sybase/config/

これらのスクリプトにより、Oracle Audit Vault and Database FirewallでSybase ASEに対して次の機能を実行できます。

  • 監査データ収集

  • ストアド・プロシージャ監査(SPA)

B.3.3.2 Sybase ASEセキュア・ターゲットの監査データ収集権限の設定

Sybase ASEセキュア・ターゲットに対する監査データ収集権限を設定または取り消すには:

  1. Sybase ASEでユーザー名avdf_sybuserを使用してOracle Audit Vault and Database Firewallのユーザー・アカウントを作成します。次に例を示します。

    sp_addlogin avdf_sybuser, password

    Audit Vault ServerでこのSybase ASEデータベースをセキュア・ターゲットとして登録するときに、ユーザー名av_sybuserおよびパスワードを使用します。

  2. 次のようにしてsybase_auditcoll_user_setup.sql設定スクリプトを実行します。
    isql -S server_name -U sa -i sybase_auditcoll_user_setup.sql
    
    • server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。

    • sa: システム管理者のユーザー名を入力します。

  3. パスワードを要求されたら、システム管理者のパスワードを入力します。
  4. Oracle Audit Vault and Database Firewallユーザー権限を取り消すには、次のようにしてsybase_auditcoll_drop_db_permissions.sqlスクリプトを実行します。
    isql -S server_name -U sa -i sybase_auditcoll_drop_db_permissions.sql
    
    • server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。

    • sa: システム管理者のユーザー名を入力します。

    • パスワードを要求されたら、システム管理者のパスワードを入力します。

B.3.3.3 Sybase ASEセキュア・ターゲットのストアド・プロシージャ監査権限の設定

Sybase ASEセキュア・ターゲットに対するストアド・プロシージャ監査権限を設定または取り消すには:

  1. Sybase ASEでOracle AVDFのユーザー・アカウントをavdf_sybuserというユーザー名で作成します(まだ行っていない場合)。次に例を示します。

    sp_addlogin avdf_sybuser, password

    Audit Vault ServerでこのSybase ASEデータベースをセキュア・ターゲットとして登録するときに、ユーザー名av_sybuserおよびパスワードを使用します。

  2. 次のようにしてsybase_spa_user_setup.sqlスクリプトを実行します。
    isql -S server_name -U sa -i sybase_spa_user_setup.sql
    
    • server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。

    • sa: システム管理者のユーザー名を入力します。

  3. パスワードを要求されたら、システム管理者のパスワードを入力します。
  4. SPAユーザー権限を取り消すには、次のようにしてsybase_spa_drop_db_permissions.sqlスクリプトを実行します。
    isql -S server_name -U sa -i sybase_spa_drop_db_permissions.sql
    
    • server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。

    • sa: システム管理者のユーザー名を入力します。

    • パスワードを要求されたら、システム管理者のパスワードを入力します。

B.3.4 Sybase SQL Anywhereの設定スクリプト

Sybase SQL Anywhereセキュア・ターゲット用のOracle AVDF設定スクリプトsqlanywhere_spa_user_setup.sqlおよびsqlanywhere_spa_drop_db_permissions.sqlは、次のディレクトリにあります(次の例はLinuxの場合)。

$AGENT_HOME/av/plugins/com.oracle.av.plugin.sqlanywhere/config/

これらのスクリプトは、Oracle AVDFでストアド・プロシージャ監査(SPA)を実行するための、SQL Anywhereデータベースに対するユーザー権限を設定または取り消すために使用します。

SQL Anywhereセキュア・ターゲットに対するストアド・プロシージャ監査を設定または取り消すには:

  1. ユーザーを作成してユーザー権限を設定する権限を持つユーザーとしてデータベースにログインします。
  2. 次のようにしてsqlanywhere_spa_user_setup.sqlスクリプトを実行します。
    isql -S server_name -U sa -i sqlanywhere_spa_user_setup.sql -v username="username" password="password"
    
    • server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。

    • sa: システム管理者のユーザー名を入力します。

    • username: Oracle AVDFでSPAに使用するために作成するユーザーの名前を入力します。このユーザー名は二重引用符で囲みます。

    • password: 作成しているOracle AVDF SPAユーザーのパスワードを入力します。パスワードは二重引用符で囲みます。

    スクリプトを実行すると、SPA用の権限を持つユーザーが作成されます。

  3. パスワードを要求されたら、システム管理者のパスワードを入力します。
  4. これらの権限を取り消し、このユーザーをデータベースから削除するには、次のようにしてsqlanywhere_spa_drop_db_permissions.sqlを実行します。
    isql -S server_name -U sa -i sqlanywhere_spa_drop_db_permissions.sql -v username="username"
    
    • server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。

    • sa: システム管理者のユーザー名を入力します。

    • username: Oracle AVDFでSPAに使用するために作成するユーザーの名前を入力します。このユーザー名は二重引用符で囲みます。

    • パスワードを要求されたら、システム管理者のパスワードを入力します。

B.3.5 Microsoft SQL Serverの設定スクリプト

ここでのトピック

B.3.5.1 SQL Serverの設定スクリプトについて

Microsoft SQL Serverセキュア・ターゲット用のOracle AVDF設定スクリプトmssql_user_setup.sqlおよびmssql_drop_db_permissions.sqlは、次のディレクトリにあります。

AGENT_HOME\av\plugins\com.oracle.av.plugin.mssql\config\

このスクリプトにより、Oracle AVDFでSQL Serverに対して次の機能を実行するためのユーザー権限が設定または取り消されます。

  • 監査データ収集

  • ストアド・プロシージャ監査(SPA)

B.3.5.2 SQL Serverセキュア・ターゲットの監査データ収集権限の設定

監査データ収集用のOracle AVDFユーザー権限を設定または取り消すには:

  1. SQL ServerでOracle Audit Vault and Database Firewallのユーザー・アカウントを作成するか、Windows認証ユーザーを使用します。次に例を示します。

    SQL Server 2000の場合:

    exec sp_addlogin 'username', 'password'
    

    SQL Server 2005、2008、2012、2014、2016の場合:

    exec sp_executesql N'create login username with password = ''password'', 
    check_policy= off'
    
    exec sp_executesql N'create user username for login username'
    

    Audit Vault ServerでこのSQL Serverデータベースをセキュア・ターゲットとして登録するときに、このユーザー名およびパスワードを使用します。

  2. 次のようにしてmssql_user_setup.sqlスクリプトを実行します。

    SQL Server認証の場合:

    sqlcmd -S server_name -U sa -i mssql_user_setup.sql -v username="username" mode="AUDIT_COLL" all_databases="NA" database="NA"
    

    Windows認証の場合:

    sqlcmd -S localhost -U sa -i mssql_user_setup.sql -v username="[<domain name>\<user name>]" mode="AUDIT_COLL" all_databases="NA" database="NA"

    • server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。

    • sa: システム管理者のユーザー名を入力します。

    • username: ステップ1で作成したユーザーの名前を入力します。

  3. パスワードを要求されたら、システム管理者のパスワードを入力します。
  4. 監査データ収集権限を取り消すには、次のようにしてmssql_drop_db_permissions.sqlスクリプトを実行します。

    SQL Server認証の場合:

    sqlcmd -S server_name -U sa -i mssql_drop_db_permissions.sql -v username="username" mode="AUDIT_COLL" all_databases="NA" database="NA"
    

    Windows認証の場合:

    1. sqlcmd -S server_name -U sa -i mssql_drop_db_permissions.sql -v username="[<domain name>\<user name>]" mode="AUDIT_COLL" all_databases="NA" database="NA"

      • server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。

      • sa: システム管理者のユーザー名を入力します。

      • username: ステップ1で作成したユーザーの名前を入力します。

    2. パスワードを要求されたら、システム管理者のパスワードを入力します。

B.3.5.3 SQL Serverセキュア・ターゲットのストアド・プロシージャ監査権限の設定

ストアド・プロシージャ監査用のOracle AVDFユーザー権限を設定または取り消すには:

  1. SQL ServerでOracle AVDFのユーザー・アカウントを作成します(まだ行っていない場合)。次に例を示します。

    SQL Server 2000の場合:

    exec sp_addlogin 'username', 'password'
    

    SQL Server 2005および2008の場合:

    exec sp_executesql N'create login username with password = ''password'', 
    check_policy= off'
    
    exec sp_executesql N'create user username for login username'
    

    Audit Vault ServerでこのSQL Serverデータベースをセキュア・ターゲットとして登録するときに、このユーザー名およびパスワードを使用します。

  2. 次のようにしてmssql_user_setup.sqlスクリプトを実行します。
    sqlcmd -S server_name -U sa -i mssql_user_setup.sql -v username="username" mode="SPA" all_databases="Y/N" 
    database="NA/database_name"
    • server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。

    • sa: システム管理者のユーザー名を入力します。

    • username: ステップ1で作成したユーザーの名前を入力します。

    • Y/N: ストアド・プロシージャに対してすべてのデータベースを監査する場合は、Yを入力します。databaseパラメータに1つのデータベース名を指定する場合は、Nを入力します。

    • NA/database_name: all_databasesYを入力した場合は、NAを入力します。all_databasesNを入力した場合は、ストアド・プロシージャに対して監査するデータベース名を入力します。

  3. パスワードを要求されたら、システム管理者のパスワードを入力します。
  4. SPA権限を取り消すには、次のようにしてmssql_drop_db_permissions.sqlスクリプトを実行します。
    sqlcmd -S server_name -U sa -i mssql_drop_db_permissions.sql -v username="username" mode="SPA" all_databases="Y/N" 
    database="NA/database_name"
    
    • server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。

    • sa: システム管理者のユーザー名を入力します。

    • sa_password: システム管理者のパスワードを入力します。

    • Y/N: すべてのデータベースについてSPA権限を取り消す場合は、Yを入力します。databaseパラメータに1つのデータベース名を指定する場合は、Nを入力します。

    • NA/database_name: all_databasesYを入力した場合は、NAを入力します。all_databasesNを入力した場合は、SPA権限を取り消すデータベース名を入力します。

    • パスワードを要求されたら、ステップ1で作成したユーザーの名前を入力します。

B.3.6 IBM DB2 for LUWの設定スクリプト

ここでのトピック

B.3.6.1 IBM DB2 for LUWの設定スクリプトについて

DB2セキュア・ターゲット用のOracle Audit Vault and Database Firewall設定スクリプト、db2_auditcoll_user_setup.sqlおよびdb2_spa_user_setup.sqlは、次のディレクトリにあります(次の例はLinuxの場合):

$AGENT_HOME/av/plugins/com.oracle.av.plugin.db2/config/

ノート:

接続文字列は、12.2.0.11.0以降では不要です。

これらのスクリプトは、Oracle AVDFで次の機能を実行するための、DB2データベースに対するユーザー権限を設定または取り消すために使用します。

  • 監査データ収集

  • ストアド・プロシージャ監査(SPA)

B.3.6.2 IBM DB2 for LUWの監査データ収集権限の設定

監査データ収集用のOracle AVDFユーザー権限を設定または取り消すには:

  1. Oracle AVDFで監査データ収集に使用されるDB2で、新しいユーザー・アカウントを作成します。

    Audit Vault ServerでこのDB2データベースをセキュア・ターゲットとして登録するときに、このユーザー名およびパスワードを使用します。

  2. $AGENT_HOME/av/plugins/com.oracle.av.plugin.db2/config/ディレクトリでdb2_auditcoll_user_setup.sqlスクリプトを探し、編集のために開きます。

  3. スクリプトで、ステップ1のアカウントのユーザー名をgrant文に入れ、変更後のスクリプトを保存します。

  4. 次のようにして変更後のスクリプトを実行します。

    $> db2 -tvf db2_auditcoll_user_setup.sql

  5. 監査収集権限を取り消すには:

    1. 前述のステップ3のように、db2_auditcoll_drop_db_permissions.sqlスクリプトを変更します。

    2. スクリプトを次のように実行します。

      $> db2 -tvf db2_auditcoll_drop_db_permissions.sql

B.3.6.3 IBM DB2 for LUWセキュア・ターゲットのSPA権限の設定

ストアド・プロシージャ監査用のOracle AVDFユーザー権限を設定または取り消すには:

  1. Oracle AVDFでストアド・プロシージャ監査に使用されるDB2で、新しいユーザー・アカウントを作成します。

    Audit Vault ServerでこのDB2データベースをセキュア・ターゲットとして登録するときに、このユーザー名およびパスワードを使用します。

  2. $AGENT_HOME/av/plugins/com.oracle.av.plugin.db2/config/ディレクトリでdb2_spa_user_setup.sqlスクリプトを探し、編集のために開きます。

  3. スクリプトで、ステップ1のアカウントのユーザー名をgrant文に入れ、変更後のスクリプトを保存します。

  4. 次のようにして変更後のスクリプトを実行します。

    $> db2 -tvf db2_spa_user_setup.sql

  5. SPA権限を取り消すには:

    1. 前述のステップ3のように、db2_spa_drop_db_permissions.sqlスクリプトを変更します。

    2. スクリプトを次のように実行します。

      $> db2 -tvf db2_spa_drop_db_permissions.sql

B.3.7 MySQLの設定スクリプト

MySQLセキュア・ターゲット用のOracle AVDF設定スクリプトmysql_spa_user_setup.sqlおよびmysql_spa_drop_db_permissions.sqlは、次のディレクトリにあります(次の例はLinuxの場合)。

$AGENT_HOME/av/plugins/com.oracle.av.plugin.mysql/config/

これらのスクリプトは、Oracle AVDFでストアド・プロシージャ監査(SPA)を実行するための、MySQLデータベースに対するユーザー権限を設定または取り消すために使用します。

MySQLセキュア・ターゲットに対するストアド・プロシージャ監査を設定または取り消すには:

  1. ユーザーを作成してユーザー権限を設定できるユーザーとしてMySQLにログインします。

  2. ストアド・プロシージャ監査用のユーザーを作成します。次に例を示します。

    create user 'username'@'hostname' identified by 'password'

    Audit Vault ServerでこのMySQLデータベースをセキュア・ターゲットとして登録するときに、このユーザー名およびパスワードを使用します。

  3. $AGENT_HOME/av/plugins/com.oracle.av.plugin.mysql/config/ディレクトリでmysql_spa_user_setup.sqlスクリプトを探し、編集のために開きます。

  4. スクリプトを変更して、ステップ1で使用したのと同じ値をusernamehostnameおよびpasswordに指定します。

  5. mysql_spa_user_setup.sqlスクリプトを実行します。

  6. SPA権限を取り消すには:

    1. 前述のステップ4のように、mysql_spa_drop_db_permissions.sqlスクリプトを変更します。

    2. mysql_spa_drop_db_permissions.sqlスクリプトを実行します。

B.4 監査収集の考慮事項

他のターゲット・タイプでの監査収集に関する考慮事項です。

B.4.1 Oracle Active Data Guardからの監査収集のための追加情報

Oracle Active Data Guardから監査データを収集するために必要な追加情報について説明します。

Oracle Active Data Guardは、単一のプライマリ・データベースと複数のスタンバイ・データベースからなる高可用性ソリューションです。この項では、様々な監査証跡を構成するための追加情報を示します。

従来の監査

従来の監査を使用してOracle Active Data Guard内のデータベースから監査データを収集するには、次のステップに従います。

  1. すべてのターゲット・データベースで、AUDIT_TRAILパラメータをDB, EXTENDEDに設定します。
  2. すべてのデータベースの接続詳細を含む単一の接続文字列を使用して、Oracle AVDFでターゲットを作成します。これにより、フェイルオーバーまたはスイッチオーバーが発生した場合でも、現在のプライマリ・データベースのsys.aud$表からOracle AVDF証跡を読み取ることができます。
  3. 前述のターゲットの場合、sys.aud$からレコードを読み取るように、Oracle AVDFでOracle Database表証跡を構成します。
  4. 特定のデータベースのみの接続詳細を含む接続文字列を使用して、Oracle Active Data Guard内のデータベースごとに、Oracle AVDFで1つのターゲットを作成します。
  5. Oracle Active Data Guard内の特定のターゲット・データベースの*.audログ・ファイルからデータを収集するには、ターゲットごとに、Oracle AVDFで1つのディレクトリ証跡を構成します。

統合監査

統合監査を使用してOracle Active Data Guard内のプライマリ・データベースから監査データを収集できます。次のステップを実行します。

  1. すべてのデータベースの接続詳細を含む単一の接続文字列を使用して、Oracle AVDFでターゲットを作成します。これにより、フェイルオーバーまたはスイッチオーバーが発生した場合でも、Oracle AVDF証跡をプライマリ・データベースのunified_audit_trail表から読み取ることができます。
  2. Oracle AVDFでOracle Database表証跡を作成して、プライマリ・データベースのunified_audit_trailからレコードを読み取ります。

ノート:

Oracle AVDFでは、Oracle Active Data Guardのプライマリ・データベースとスタンバイ・データベースの両方での、従来の監査証跡からの監査収集がサポートされています。統合監査が有効になっている場合、監査収集は、プライマリ・データベースの統合監査証跡からのみサポートされ、スタンバイ・データベースからはサポートされません。

B.5 監査証跡のクリーン・アップ

一部のOracle AVDFプラグインは、監査証跡のクリーンアップをサポートしています。この項では、使用可能な監査証跡クリーンアップ(ATC)ユーティリティについて説明します。

B.5.1 Oracle Database監査証跡クリーン・アップ

ここでのトピック

B.5.1.1 Oracle Databaseセキュア・ターゲット監査証跡のパージについて

DBMS_AUDIT_MGMT PL/SQLパッケージを使用してデータベース監査証跡をパージできます。

DBMS_AUDIT_MGMTパッケージを使用すると、パージ・ジョブのスケジュール、別の表領域への監査証跡の移動、監査証跡でのアーカイブ・タイムスタンプの設定など、監査証跡のクリーンアップ・タスクを実行できます。DBMS_AUDIT_MGMTを使用するには、そのEXECUTE権限が必要です。

Oracle Database 11g リリース2 (11.2)以上には、DBMS_AUDIT_MGMTパッケージとその関連データ・ディクショナリ・ビューが同梱されており、デフォルトでインストールされます。セキュア・ターゲット・データベースにこのパッケージがインストールされていない場合は、My Oracle Supportからパッケージとデータ・ディクショナリ・ビューをダウンロードできます。

記事ID 731908.1を検索してください。

DBMS_AUDIT_MGMT PL/SQLパッケージおよびビューの使用方法は、次のOracle Database 11g リリース2 (11.2)ドキュメントを参照してください。

  • 概念および手順は、『Oracle Databaseセキュリティ・ガイド』の監査証跡レコードのパージに関する項を参照してください。

  • DBMS_AUDIT_MGMT PL/SQLパッケージに関するリファレンス情報は、『Oracle Database PL/SQLパッケージ・プロシージャおよびタイプ・リファレンス』を参照してください。

  • DBA_AUDIT_MGMT_*データ・ディクショナリ・ビューの詳細は、Oracle Databaseリファレンスを参照してください。

B.5.1.2 自動パージ・ジョブのスケジューリング

Oracle Audit Vault and Database Firewallは、Oracle Database上のDBMS_AUDIT_MGMTパッケージと統合されています。この統合により、Audit Vault Serverリポジトリに正常に挿入された後、UNIFIED_AUDIT_TRAILAUD$およびFGA_LOG$の各表と、オペレーティング・システムの.audおよび.xmlファイルからの監査レコードのパージが自動化されます。

パージの完了後、Audit Vault Agentは、収集された監査データにタイムスタンプを自動的に設定します。そのため、USE_LAST_ARCH_TIMESTAMPプロパティをTRUEに設定し、確実に適切な監査レコード・セットがパージされるようにする必要があります。パージ・ジョブの間隔を手動で設定する必要はありません。

Oracle Databaseセキュア・ターゲット用の自動パージ・ジョブをスケジュールするには:

  1. セキュア・ターゲット・データベースでSQL*Plusに、DBMS_AUDIT_MGMT PL/SQLパッケージに対するEXECUTE権限が付与されたユーザーとしてログインします。

    次に例を示します。

    sqlplus tjones
    Enter password: password
    
  2. 監査証跡をクリーン・アップ操作用に初期化します。

    次の例では、DEFAULT_CLEANUP_INTERVAL設定により、2時間ごとにジョブが実行されます。

    BEGIN
     DBMS_AUDIT_MGMT.INIT_CLEANUP(
      AUDIT_TRAIL_TYPE            => DBMS_AUDIT_MGMT.AUDIT_TRAIL_ALL,
      DEFAULT_CLEANUP_INTERVAL    => 2 );
    END;
    /
    

    ノート:

    CDBから監査データを収集している場合は、PDBインスタンスに変更があるたびにこのステップを実行します。

  3. 監査証跡がクリーンアップのために初期化されることを確認します。

    次に例を示します。

    SET SERVEROUTPUT ON
    BEGIN
     IF
       DBMS_AUDIT_MGMT.IS_CLEANUP_INITIALIZED(DBMS_AUDIT_MGMT.AUDIT_TRAIL_ALL)
     THEN
       DBMS_OUTPUT.PUT_LINE('Database and OS audit are initialized for cleanup');
     ELSE
       DBMS_OUTPUT.PUT_LINE('Database and OS audit are not initialized for cleanup.');
     END IF;
    END;
    /
    
  4. DBMS_AUDIT_MGMT.CREATE_PURGE_JOBプロシージャを使用してパージ・ジョブを作成し、スケジュールします。

    このプロシージャで、USE_LAST_ARCH_TIMESTAMPプロパティをTRUEに設定し、タイムスタンプより古いすべてのレコードを削除できるようにします。

    次のプロシージャにより、CLEANUP_OS_DB_AUDIT_RECORDSという名前のパージ・ジョブが作成されます。このジョブは、2時間ごとに実行され、監査レコードがパージされます。

    BEGIN
      DBMS_AUDIT_MGMT.CREATE_PURGE_JOB (
       AUDIT_TRAIL_TYPE            => DBMS_AUDIT_MGMT.AUDIT_TRAIL_ALL,
       AUDIT_TRAIL_PURGE_INTERVAL  => 2,
       AUDIT_TRAIL_PURGE_NAME      => 'CLEANUP_OS_DB_AUDIT_RECORDS',
       USE_LAST_ARCH_TIMESTAMP     => TRUE );
    END;
    /

B.5.2 SQL Server監査証跡クリーン・アップ

SQL Server監査証跡にトレース・ファイルまたはsqlauditファイルから収集されたデータがあり、そのファイルが非アクティブである場合、このファイルをクリーンアップできます。SQL Server監査証跡により、SQL Server監査テキスト・ファイルの名前が、拡張子.atcのプレーン・テキスト・ファイルに書き込まれます。.atcファイルは、エージェントがインストールされているコンピュータのAGENT_HOME\av\atcディレクトリにあります。

Oracle AVDFによる監査レコードの抽出が完了したファイルを手動でクリーンアップするには:

  1. Audit Vault AgentがインストールされているコンピュータのAGENT_HOME\av\plugins\com.oracle.av.plugin.mssql\binディレクトリに移動します。

    AGENT_HOME環境変数がagent.jarファイルが抽出されているディレクトリ・パスに正しく設定されていることを確認します。

  2. 次のユーティリティを実行します。
    SQLServerCleanupHandler secured_target_name
    

    次に例を示します。

    SQLServerCleanupHandler mssqldb4
    

    AGENT_HOME環境変数を設定しない場合は、次の構文を使用してコマンドラインでエージェントのホーム場所を指定できます。

    SQLServerCleanupHandler -securedtargetname secured_target_name agent_home_location
    

    次に例を示します。

    SQLServerCleanupHandler mssqldb4 c:\AV_agent_installation
    

    重要: Audit Vault Agentのインストール・ディレクトリの名前にスペースが含まれている場合は、名前を二重引用符で囲んでください(例:"C:\Agent Directory")。

SQL Serverトレース・ファイルのクリーンアップを自動化するために、Windows Schedulerを使用できます。

ノート:

SQL Serverトレース定義を再定義または再初期化する場合は、トレース・ファイルのファイル名が以前に作成したトレース・ファイルと重複しないようにする必要があります。

たとえば、トレース・ファイル名で次の形式が使用されるトレース定義を使用して、SQL Serverを起動するとします。

c:\serversidetraces.trc
c:\serversidetraces_1.trc
c:\serversidetraces_2.trc
...
c:\serversidetraces_259.trc

その後、新しいトレース定義を使用してSQL Serverを再起動します。この新しいトレース定義では、現在のトレース・ファイル(たとえば、現在のファイル名はc:\serversidetraces.trc)とは異なるファイル名を使用する必要があります。異なるファイル名を使用しないと、監査証跡をパージするときに、古いトレース・ファイルと同じ名前の新しいトレース・ファイルは削除されます。

B.5.3 MySQL監査証跡クリーン・アップ

MySQL監査証跡クリーンアップ・ユーティリティを実行するには:

  1. ホスト・マシンで、AGENT_HOME\av\plugins\com.oracle.av.plugin.mysql\binディレクトリに移動します。
  2. 次のコマンドを実行します。

    MySQLServerCleanupHandler.bat secured_target_name AGENT_HOME

    このコマンドには次の変数が含まれています。

    • secured_target_name - MySQLセキュア・ターゲットの名前

    • AGENT_HOME - Audit Vault Agentがデプロイされたディレクトリへのパス

B.6 手順に関する参照情報: 接続文字列、コレクション属性、監査証跡の場所

この項には、このマニュアル内にあるセキュア・ターゲットの登録手順および監査証跡の構成手順を完了するときに必要となる参照情報が記載されています。ステップには、この項の内容へのリンクが含まれます。

ここでのトピック

B.6.1 セキュア・ターゲットの場所(接続文字列)

Audit Vault Serverコンソールでセキュア・ターゲットを登録するときに、「セキュア・ターゲットの場所」フィールドに接続文字列を入力します。セキュア・ターゲットのタイプに応じて、表B-18の接続文字列形式を使用します。

ノート: 接続文字列は、Database Firewallのみのデプロイでは必要ありません。

表B-18 セキュア・ターゲットの接続文字列(「セキュア・ターゲットの場所」フィールド用)

セキュア・ターゲット・タイプ 接続文字列

Oracle Database

jdbc:oracle:thin:@//hostname:port/service

Sybase ASE

jdbc:av:sybase://hostname:port

Sybase SQL Anywhere

jdbc:av:sybase://hostname:port

Microsoft SQL Server (SQL Server認証)

jdbc:av:sqlserver://hostname:port

SSL暗号化がMSSQLサーバーで使用されており、サーバー証明書の検証が必要な場合。

jdbc:av:sqlserver://<MSSQL Host name>:<Port number>;encryptionMethod=SSL;validateServerCertificate=true;trustStore=<key store jks path>;trustStorePassword=<keystore password>;extendedOptions=enableCipherSuites=SSL_RSA_WITH_RC4_128_MD5,SSL_RSA_WITH_RC4_128_SHA

SSL暗号化がMSSQLサーバーで使用されており、サーバー証明書の検証が必要ない場合。

jdbc:av:sqlserver://<MSSQL Host name>:<Port number>;encryptionMethod=SSL;validateServerCertificate=false

Microsoft SQL Server (Windows認証)

jdbc:av:sqlserver://<Host Name>:<Port>;authenticationMethod=ntlmjava

(ドメインとともにWindowsユーザー資格証明を使用します。たとえば、<domain name>\<user name >とパスワードなどです。)

または

jdbc:av:sqlserver://<Host Name>:<Port>;authenticationMethod=ntlmjava;domain=<domain name>

ドメインを指定せずにWindowsユーザー資格証明を使用します。たとえば、<user name >とパスワードなどです。

IBM DB2 for LUW

jdbc:av:db2://hostname:port

ノート: 接続文字列は、リリース12.2.0.11.0以降では不要です。

MySQL

jdbc:av:mysql://hostname:port/mysql

ノート: 接続文字列は、リリース12.2.0.11.0以降では不要です。

Oracle Solaris

hostname (完全修飾マシン名またはIPアドレス)

Oracle Linux

hostname (完全修飾マシン名またはIPアドレス)

Microsoft Windows

hostname (完全修飾マシン名またはIPアドレス)

Microsoft Active Directory Server

hostname (完全修飾マシン名またはIPアドレス)

Oracle ACFS

hostname (完全修飾マシン名またはIPアドレス)

B.6.2 コレクション属性

ここでのトピック

B.6.2.1 コレクション属性について

一部のセキュア・ターゲットのタイプには、オプションまたは必須の監査証跡コレクション属性があります。セキュア・ターゲットの登録または変更時には、コレクション属性の各フィールドでコレクション属性を指定できます。

次のセキュア・ターゲット・タイプではコレクション属性は必要ありません。

  • Microsoft SQL Server

  • Sybase ASE

  • Oracle Solaris

  • Windows

  • Linux

  • Microsoft Active Directory Server

B.6.2.2 Oracle Databaseのコレクション属性

Oracle DatabaseではDIRECTORY監査証跡のコレクション属性を指定できます。表B-19に、Oracle Audit Vault and Database FirewallでOracle Databaseセキュア・ターゲットを登録するときに、監査証跡タイプとしてDIRECTORYを選択した場合に使用できるコレクション属性を示します。

表B-19 Oracle DatabaseのDIRECTORY監査証跡用のコレクション属性

属性名および説明 必須 デフォルト 備考

ORCLCOLL.NLS_LANGUAGE

データ・ソースのNLS言語。

必須: 開始された監査証跡がOracleセキュア・ターゲットへの接続を確立できない場合(例: セキュア・ターゲットが実行されていない)

不要: 開始された監査証跡がOracleセキュア・ターゲットに接続でき、これらのパラメータ値をセキュア・ターゲットから取得できる場合(例: 証跡の開始時にセキュア・ターゲットが実行されている)

該当なし

値の大/小文字は区別されません。

ORCLCOLL.NLS_TERRITORY

データ・ソースのNLS地域。

必須: 開始された監査証跡がOracleセキュア・ターゲットへの接続を確立できない場合(例: セキュア・ターゲットが実行されていない)

不要: 開始された監査証跡がOracleセキュア・ターゲットに接続でき、これらのパラメータ値をセキュア・ターゲットから取得できる場合(例: 証跡の開始時にセキュア・ターゲットが実行されている)

該当なし

値の大/小文字は区別されません。

ORCLCOLL.NLS_CHARSET

データ・ソースのNLS文字セット。

必須: 開始された監査証跡がOracleセキュア・ターゲットへの接続を確立できない場合(例: セキュア・ターゲットが実行されていない)

不要: 開始された監査証跡がOracleセキュア・ターゲットに接続でき、これらのパラメータ値をセキュア・ターゲットから取得できる場合(例: 証跡の開始時にセキュア・ターゲットが実行されている)

該当なし

値の大/小文字は区別されません。

ORCLCOLL.MAX_PROCESS_TIME

各コールによる監査証跡の処理に要する最大処理時間(センチ秒)

不要

600

有効な値は10から10000の整数値です。実行時に再構成することはできません。

Audit Vault Serverにレコードのバッチを送信するまでに、レコードを収集処理する最大時間を示します。値が小さすぎる場合、パフォーマンスに影響する可能性があります。値が大きすぎると、監査証跡を停止するまでの時間が長くなります。

ORCLCOLL.MAX_PROCESS_RECORDS

各コールによる監査証跡の処理中に処理されるレコードの最大数

不要

1000

有効な値は10から10000の整数値です。

実行時に再構成することはできません。

Audit Vault Serverにレコードのバッチを送信するまでに、処理されるレコードの最大数を示します。値が小さすぎる場合、パフォーマンスに影響する可能性があります。値が大きすぎると、監査証跡を停止するまでの時間が長くなります。

ORCLCOLL.RAC_INSTANCE_ID

Oracle RAC環境のインスタンスID。

不要

1

なし。

ORCLCOLL.HEARTBEAT_INTERVAL

メトリック情報を保存する間隔(秒)

不要

60

実行時に再構成することはできません。

この間隔はメトリック情報の更新頻度を示します。値が小さすぎると、メトリックをAudit Vault Serverに送信するときのオーバーヘッドが生じます。値が大きすぎると、平均メトリック情報の正確性に影響を及ぼします。

ORCLCOLL.NT_ORACLE_SID

Microsoft WindowsシステムでのOracle SID名

不要

デフォルトなし

値の大/小文字は区別されません。値を指定しない場合、監査証跡にはセキュア・ターゲットからの値が必要です。

B.6.2.3 IBM DB2 for LUWのコレクション属性

表B-20に、Oracle AVDFでIBM DB2 for LUWセキュア・ターゲットを登録するときに必要なコレクション属性を示します。

表B-20 IBM DB2 for LUWデータベースのコレクション属性

属性名および説明 必須 デフォルト 備考

av.collector.databasename

IBM DB2 for LUWデータベース名

必須

該当なし

このパラメータは、大/小文字を区別します。

ノート: コレクション属性は、12.2.0.11.0以降のリリースでは不要です。

B.6.2.4 MySQLのコレクション属性

表B-21に、Oracle Audit Vault and Database FirewallでMySQLセキュア・ターゲットを登録するときに必要なコレクション属性とオプションのコレクション属性を示します。

表B-21 MySQLデータベースのコレクション属性

属性名および説明 必須 デフォルト 備考

av.collector.securedTargetVersion

MySQLデータベースのバージョン

必須

該当なし

該当なし

av.collector.AtcTimeInterval

監査証跡クリーンアップ時間を更新する時間間隔(分単位)を指定します。

不要

20

例: この値が20である場合、監査証跡クリーンアップ時間は20分ごとに更新されます。タイムスタンプが監査証跡クリーンアップ時間よりも前である監査ログ・ファイルは、監査証跡クリーンアップ・ユーティリティを実行したときにソース・フォルダからクリーンアップされます。

B.6.2.5 Oracle ACFSのコレクション属性

表B-22に、Oracle Audit Vault and Database FirewallでOracle ACFSセキュア・ターゲットを登録するときに必要なコレクション属性を示します。

表B-22 Oracle ACFSのコレクション属性

属性名および説明 必須 デフォルト 備考

av.collector.securedtargetversion

Oracle ACFSのバージョン番号

必須

該当なし

ドット区切りの5つの整数値(例: 12.1.0.0.0)

B.6.3 監査証跡の場所

Audit Vault Serverでセキュア・ターゲットの監査証跡を構成するときに、証跡の場所を指定する必要があります。証跡の場所は、セキュア・ターゲットのタイプによって異なります。セキュア・ターゲットのタイプに応じて次の形式を使用します。

重要: 証跡の場所は大文字と小文字が区別されます。データ収集の重複を防ぐため、監査証跡の場所を指定するときには大文字のみまたは小文字のみで統一することをお薦めします。

ノート: 「監査証跡のタイプ」で「DIRECTORY」を選択した場合、証跡の場所はディレクトリ・マスクにする必要があります。

表B-23に、「証跡の場所」でサポートされている形式を示します。

表B-23 セキュア・ターゲットでサポートされている証跡の場所

セキュア・ターゲット・タイプ 証跡タイプ サポートされる証跡の場所

Oracle Database

Table

SYS.AUD$SYS.FGA_LOG$ DVSYS.AUDIT_TRAIL$UNIFIED_AUDIT_TRAIL

Oracle Database

Directory

AUDまたはXMLファイルを含むディレクトリへのフルパス。

Oracle Database

syslog

syslogまたはrsyslogファイルを含むディレクトリへのフルパス。このパスには、syslogまたはrsyslogファイルの接頭辞を含めます。たとえば、ファイル名がmessages.0messages.1などの場合、パスの例は次のようになります。

/scratch/user1/rsyslogbug/dbrecord/messages

Defaultと入力することもでき、この場合は、システムがsyslogまたはrsyslogのいずれかの場所を検索します。両方が存在する場合、Defaultを入力すると、監査証跡ではsyslogファイルからデータが収集されます。

Oracle Database

Transaction log、Event logおよびNetwork

証跡の場所は不要です。

Microsoft SQL Server

Directory

*.sqlauditファイルまたは*.trc (トレース)ファイル

例:

directory_path\*.sqlaudit

directory_path\prefix*.sqlaudit

directory_path\prefix*.trc

prefixには、.trcまたは*.sqlauditファイル用の任意の接頭辞を使用できます。

#C2_DYNAMICおよび#TRACE_DYNAMICはSQL Server 2000、2005、2008、2012、2014、2016でのみサポートされます。

Microsoft SQL Server

Event log

applicationまたはsecurity (SQL Server 2008、2012、2014および2016)

Sybase ASE

Table

SYSAUDITS

IBM DB2 for LUW

Directory

ディレクトリへのパス(例: d:\temp\trace)

MySQL

Directory

MySQL XML変換ユーティリティを実行したときに変換後のXMLファイルが生成されるディレクトリへのパス。

Oracle Solaris

Directory

hostname:path_to_trail

hostnameは、監査ログ名内(次のような形式)のホスト名と一致します。

timestamp1.timestamp2.hostname

Microsoft Windows

Event log

security (大文字小文字の区別なし)

securityには大文字小文字の任意の組合せを使用できます。ただし、大文字小文字の特定の組合せを使用して証跡の収集を開始した後は、後続の収集で同じ組合せを使用する必要があります。そうしないと、新しい監査証跡によりセキュリティ・イベント・ログの最初からレコードの収集が開始されます。

Microsoft Active Directory Server

Event log

directory serviceまたはsecurity (大文字小文字の区別なし)

directory serviceまたはsecurityには大文字小文字の任意の組合せを使用できます。ただし、大文字小文字の特定の組合せを使用して証跡の収集を開始した後は、後続の収集で同じ組合せを使用する必要があります。そうしないと、新しい監査証跡によりセキュリティ・イベント・ログの最初からレコードの収集が開始されます。

Oracle ACFS

Directory

XML監査ファイルが含まれているディレクトリへのパス。たとえば、$MOUNT_POINTにマウントされているファイル・システムの場合、監査証跡の場所は次のようになります。

$MOUNT_POINT/.Security/audit/

Linux

Directory

audit.logのデフォルトの場所(/var/log/audit/audit*.log)または/etc/audit/auditd.confファイルで構成したカスタムの場所

AIX

Directory

/audit/trail