| Oracle® Audit Vault and Database Firewall管理者ガイド リリース12.2 E70392-19 |
|
 前 |
 次 |
ここでのトピック
Oracle Audit Vault and Database Firewallでは、セキュア・ターゲット・タイプごとにプラグインを提供して、様々なセキュア・ターゲット・タイプをサポートしています。Oracle Audit Vault and Database Firewallには、すぐに使用できるプラグインのセットが付属しています。これらのプラグインは、Audit Vault Serverとともにパッケージ化されてデプロイされます。
独自のプラグインを開発するか、新しい使用可能なプラグインを取得して、Oracle Audit Vault and Database Firewallインストールに追加することもできます。
この付録には、Oracle Audit Vault and Database Firewallに付属している各プラグインについての概要データが記載されています。付録には、セキュア・ターゲットの登録手順および監査証跡の構成手順を完了するときに必要となる参照情報も記載されています。これらの手順は、この付録内の関連する項に直接リンクしています。
この項では、Oracle Audit Vault and Database Firewallに付属している各プラグインについて説明します。
さらに、前のリリースのプラットフォーム情報は、My Oracle Supportにある記事1536380.1で参照できます。
ここでのトピック
すぐに使用できるOracle Audit Vault and Database Firewallプラグインは、表B-1にリストされているバージョンのセキュア・ターゲットをサポートしています。各セキュア・ターゲットのリンクをクリックすると、詳細情報にアクセスできます。
表B-1 Oracle Audit Vault and Database Firewallでサポートされている、すぐに使用できるプラグインおよび機能
ノート:
Solarisバージョン2.3以上からの監査データの収集も可能です(Oracle Supportに相談してください)。
表B-2に、Oracle Databaseプラグインの機能を示します。
表B-2 Oracle Databaseプラグイン
| プラグインの仕様 | 説明 |
|---|---|
プラグイン・ディレクトリ |
|
セキュア・ターゲットのバージョン |
Oracle 10g Oracle 11g Oracle 12c リリース1 (12.1) Oracle 12c リリース2 (12.2) ノート: セキュア・ターゲットとしてのOracle 12c リリース2 (12.2)は、監査データ収集についてOracle Audit Vault and Database Firewallリリース12.2.0.4.0以降でサポートされます。 リリース12.2.0.9.0以降では18c (18.3) リリース12.2.0.11.0以降では19c |
セキュア・ターゲットのプラットフォーム |
Linux/x86-64 Solaris /x86-64 Solaris /SPARC64 AIX/Power64 Windows /86-64 HP-UX Itanium サポートされているターゲット・プラットフォームおよびバージョンの詳細は、Oracle Audit Vault and Database Firewallインストレーション・ガイドのAudit Vault Agent: サポートされているターゲット・プラットフォームおよびバージョンに関する項を参照してください。 |
設定スクリプト |
あり。手順は、「Oracle Databaseの設定スクリプト」を参照してください。 |
セキュア・ターゲットの場所(接続文字列) |
|
コレクション属性 |
ORCLCOLL.NLS_LANGUAGE 詳細は、表B-19を参照してください。 |
AVDF監査証跡タイプ |
監査証跡タイプの説明は、表B-17を参照してください。 |
ノート: Oracle Audit Vault and Database Firewallは、オペレーティング・システムのスピルオーバー監査ファイルから統合監査レコードをフェッチする統合監査証跡に対して、レコードの問合せおよび収集を行います。データベース監査管理は、統合監査証跡のクリーンアップ、および基礎となるオペレーティング・システムのスピルオーバー監査ファイルを管理します。 |
|
監査証跡のクリーンアップのサポート |
あり。手順は、Oracle Database監査証跡クリーンアップを参照してください。 |
エージェントを実行するOSユーザー |
Oracle Databaseディレクトリ監査証跡: 監査ファイルの読取り権限を持つ任意のユーザー、つまりoracleユーザー、またはDBAグループ内のユーザー。 表証跡: 任意のデータベース・ユーザー(可能な場合、DBA以外)。 他のディレクトリ監査証跡: 監査ファイルの読取り権限を持つ任意のユーザー。 |
|
クラスタ・サポート |
可能 |
表B-3に、Microsoft SQL Serverプラグインの機能を示します。
表B-3 Microsoft SQL Serverプラグイン
| プラグインの仕様 | 説明 |
|---|---|
プラグイン・ディレクトリ |
|
セキュア・ターゲットのバージョン |
Enterprise Edition 2000、2005、2008、2008 R2、2012、2014。 Enterprise Edition 2016はリリース12.2.0.2.0以降でサポートされています。 Enterprise Edition 2017はリリース12.2.0.10.0以降でサポートされています。 |
セキュア・ターゲットのプラットフォーム |
Windows/x86-64 サポートされているターゲット・プラットフォームおよびバージョンの詳細は、Oracle Audit Vault and Database Firewallインストレーション・ガイドのAudit Vault Agent: サポートされているターゲット・プラットフォームおよびバージョンに関する項を参照してください。 |
設定スクリプト |
あり。手順は、「Microsoft SQL Serverの設定スクリプト」を参照してください。 |
セキュア・ターゲットの場所(SQLサーバー認証の接続文字列) |
|
セキュア・ターゲットの場所(Windows認証の接続文字列) |
Windowsのユーザー資格証明は、ドメインとともに使用します。次に例を示します。
|
コレクション属性 |
なし |
AVDF監査証跡タイプ |
監査証跡タイプの説明は、表B-17を参照してください。 |
DIRECTORY監査証跡:
EVENT LOG監査証跡:
|
|
監査証跡のクリーンアップのサポート |
あり。手順は、「SQL Server監査証跡クリーンアップ」を参照してください。 |
|
クラスタ・サポート |
可能 |
|
クラスタのセキュア・ターゲット・プラットフォーム |
Windows 2012 R2 Oracle Audit Vault and Database Firewallリリース12.2.0.12.0以降のWindowsプラットフォーム上の監査収集のバージョン2012 R2 |
|
クラスタ・コレクション属性 |
属性名: 属性値: |
ノート:
Oracle Audit Vault and Database Firewallは、Microsoft SQL Serverクラスタの監査収集およびDatabase Firewallモニタリングをサポートしていません。表B-4に、Sybase ASEプラグインの機能を示します。
表B-4 Sybase ASEプラグイン
| プラグインの仕様 | 説明 |
|---|---|
プラグイン・ディレクトリ |
|
ターゲットのバージョン |
15.7 16.0はリリース |
セキュア・ターゲットのプラットフォーム |
すべてのプラットフォーム |
設定スクリプト |
あり。手順は、「Sybase ASEの設定スクリプト」を参照してください。 |
セキュア・ターゲットの場所(接続文字列) |
|
コレクション属性 |
なし |
AVDF監査証跡タイプ |
監査証跡タイプの説明は、表B-17を参照してください。 |
|
|
監査証跡のクリーンアップのサポート |
不要 |
|
クラスタ・サポート |
不要 |
Sybaseのパスワード暗号化
SAP Sybaseデータベースでパスワード暗号化を使用している場合は、次の変更内容をOracle Audit Vault and Database Firewallに適用します。
SAP Sybaseデータベースの監査証跡を設定する際に、Audit Vault Serverコンソールで次の接続文字列を使用します。
jdbc:sybase:Tds:<host>:<port>/sybsecurity?ENCRYPT_PASSWORD=TRUE&JCE_PROVIDER_CLASS=com.sun.crypto.provider.SunJCE
jconn4.jarファイルを、Sybaseサーバーの/opt/sybase/jConnect-16_0/classesからAgent_Home/av/jlibにコピーします。
ノート:
Sybase 15.7を使用している場合は、最新のSybaseサーバー・バージョン16.0.からjconn4.jarファイルをフェッチします。
Audit Vault Agentを再起動します。
収集を開始します。
表B-5に、Sybase SQL Anywhereプラグインの機能を示します。
表B-5 Sybase SQL Anywhereプラグイン
| プラグインの仕様 | 説明 |
|---|---|
プラグイン・ディレクトリ |
|
セキュア・ターゲットのバージョン |
10.0.1 |
セキュア・ターゲットのプラットフォーム |
すべてのプラットフォーム |
設定スクリプト |
あり。手順は、「Sybase SQL Anywhereの設定スクリプト」を参照してください。 |
セキュア・ターゲットの場所(接続文字列) |
|
コレクション属性 |
なし |
AVDF監査証跡タイプ |
監査証跡タイプの説明は、表B-17を参照してください。 |
不要 |
|
監査証跡のクリーンアップのサポート |
不要 |
表B-6に、IBM DB2プラグインの機能を示します。
表B-6 IBM DB2プラグイン
| プラグインの仕様 | 説明 |
|---|---|
プラグイン・ディレクトリ |
|
セキュア・ターゲットのバージョン |
9.1 - 11.1 |
セキュア・ターゲットのプラットフォーム |
Linux (x86-64): OL 5.x、6.x、7.xおよびRHEL 5.x、6.x、7.x Microsoft Windows (x86-64): 8 Microsoft Windows Server (x86-64): 2008、2008R2、2012、2012R2、2016 IBM AIX on Power Systems (64ビット): 7.1は、リリース12.2.0.12.0以降でサポートされています |
設定スクリプト |
あり。手順は、「IBM DB2 for LUWの設定スクリプト」を参照してください。 |
セキュア・ターゲットの場所(接続文字列) |
ノート:
|
コレクション属性 |
|
AVDF監査証跡タイプ |
監査証跡タイプの説明は、表B-17を参照してください。 |
ディレクトリへのパス(例: |
|
監査証跡のクリーンアップのサポート |
不要 |
|
クラスタ・サポート |
可能 HADR (高可用性および障害時リカバリ) |
|
クラスタのセキュア・ターゲット・プラットフォーム |
OL 7.x上のHADR |
表B-7に、MySQLプラグインの機能を示します。
表B-7 MySQLプラグイン
| プラグインの仕様 | 説明 |
|---|---|
プラグイン・ディレクトリ |
|
セキュア・ターゲットのバージョン |
Database Firewallの場合: Enterprise Edition 5.0、5.1、5.5、5.6。 監査データ収集については、次のEnterprise Editionバージョンがサポートされています。
|
セキュア・ターゲットのプラットフォーム |
Linux (x86-64): OL 5.x、6.x、7.xおよびRHEL 5.x、6.x、7.x Microsoft Windows (x86-64): 8 Microsoft Windows Server (x86-64): 2008、2008R2、2012、2012R2、2016 |
設定スクリプト |
あり。「MySQLの設定スクリプト」を参照してください。 |
セキュア・ターゲットの場所(接続文字列) |
ノート: 接続文字列は、リリース12.2.0.11.0以降では不要です。 |
コレクション属性 |
ノート: コレクション属性 |
AVDF監査証跡タイプ |
監査証跡タイプの説明は、表B-17を参照してください。 |
監査証跡のクリーンアップのサポート |
あり。 |
監査証跡の場所
MySQL 5.5および5.6のデフォルト監査フォーマットは古いです。MySQL 5.7のデフォルト監査フォーマットは新しいです。監査フォーマットはMySQL Serverで構成を変更することで変更できます。
監査証跡の場所は次のとおりです。
古い監査フォーマットでは、ディレクトリへのパスは、MySQL XML変換ユーティリティを実行したときに変換後のXMLファイルが作成される場所。
新しい監査フォーマットでは、ディレクトリへのパスは、MySQL Serverによってaudit.logファイルが生成される場所。
表B-8 古い監査フォーマット
| 監査証跡の場所 | 値 |
|---|---|
|
MySQL 5.7.21以前の入力パス形式 |
例: |
|
MySQL 5.7.21以降の入力パス形式 |
例: |
表B-9 新しい監査フォーマット
| 監査証跡の場所 | 値 |
|---|---|
|
MySQL 5.7.21以前の入力パス形式 |
例: |
|
MySQL 5.7.21以降の入力パス形式 |
ここで、 例: |
ノート:
古い形式では、監査データは変換されたXMLファイルから収集されます。新しい形式では、監査データはアクティブ・ログとローテーションされたログの両方から収集されます。
ベスト・プラクティス:
audit_log_rotate_on_sizeプロパティを設定することで、サイズ・ベースの監査ログ・ファイルの自動ローテーションを有効にします。詳細は、MySQLリファレンス・マニュアルの監査ログ・ファイルの領域管理と名前ローテーションを参照してください。
表B-10に、Oracle Solarisプラグインの機能を示します。
表B-10 Oracle Solarisプラグイン
| プラグインの仕様 | 説明 |
|---|---|
プラグイン・ディレクトリ |
|
セキュア・ターゲットのバージョン |
バージョン10、バージョン11 (SPARC64プラットフォームおよびx86-64プラットフォーム上) |
セキュア・ターゲットのプラットフォーム |
Solaris/x86-64 Solaris/SPARC64 |
設定スクリプト |
不要 |
セキュア・ターゲットの場所(接続文字列) |
|
コレクション属性 |
なし |
AVDF監査証跡タイプ |
監査証跡タイプの説明は、表B-17を参照してください。 |
|
|
監査証跡のクリーンアップのサポート |
不要 |
表B-11に、Oracle Linux (OL)およびRed Hat Enterprise Linux (RHEL)から監査データを収集するLinuxプラグインの機能を示します。
表B-11 Linuxプラグイン
| プラグインの仕様 | 説明 |
|---|---|
プラグイン・ディレクトリ |
|
セキュア・ターゲットのバージョン |
Oracle Linux (OL)
Red Hat Enterprise Linux (RHEL)
監査パッケージのバージョンを確認するには |
セキュア・ターゲットのプラットフォーム |
Linux/x86-64 |
設定スクリプト |
不要。ただし、Linux監査証跡を開始するには、次のユーザー/グループのアクセス権限が必要です。 エージェント・プロセスが エージェント・プロセスが
|
セキュア・ターゲットの場所(接続文字列) |
|
コレクション属性 |
なし |
AVDF監査証跡タイプ |
監査証跡タイプの説明は、表B-17を参照してください。 |
|
|
監査証跡のクリーンアップのサポート |
不要 |
表B-12に、IBM AIXプラグインの機能を示します。
表B-12 IBM AIXプラグイン
| プラグインの仕様 | 説明 |
|---|---|
プラグイン・ディレクトリ |
|
セキュア・ターゲットのバージョン |
AIX 6.1から7.2 |
セキュア・ターゲットのプラットフォーム |
Power Systems (64ビット) |
設定スクリプト |
不要。ただし、AIX監査証跡を開始するには、次のユーザー/グループのアクセス権限が必要です。 エージェント・プロセスを エージェント・プロセスを
|
セキュア・ターゲットの場所(接続文字列) |
|
コレクション属性 |
なし |
AVDF監査証跡タイプ |
DIRECTORY 監査証跡タイプの説明は、表B-17を参照してください。 |
証跡のデフォルトの場所( |
|
監査証跡のクリーンアップのサポート |
あり。AIXプラグインで、次の場所に
|
表B-13に、Microsoft Windowsプラグインの機能を示します。
表B-13 Microsoft Windowsプラグイン
| プラグインの仕様 | 説明 |
|---|---|
プラグイン・ディレクトリ |
|
セキュア・ターゲットのバージョン |
Microsoft Windows Server 2008、2008 R2、2012、2012 R2および2016 |
セキュア・ターゲットのプラットフォーム |
Windows/x86-64 |
設定スクリプト |
不要 |
セキュア・ターゲットの場所(接続文字列) |
|
コレクション属性 |
なし |
AVDF監査証跡タイプ |
監査証跡タイプの説明は、表B-17を参照してください。 |
|
|
監査証跡のクリーンアップのサポート |
不要 |
表B-14に、Microsoft Active Directoryプラグインの機能を示します。
表B-14 Microsoft Active Directoryプラグイン
| プラグインの仕様 | 説明 |
|---|---|
プラグイン・ディレクトリ |
|
セキュア・ターゲットのバージョン |
2008、2008 R2、2012および2016 (64ビット上) |
セキュア・ターゲットのプラットフォーム |
Windows/x86-64 |
設定スクリプト |
不要 |
セキュア・ターゲットの場所(接続文字列) |
|
コレクション属性 |
なし |
AVDF監査証跡タイプ |
監査証跡タイプの説明は、表B-17を参照してください。 |
|
|
監査証跡のクリーンアップのサポート |
不要 |
表B-15に、Oracle ACFSプラグインの機能を示します。
表B-15 Oracle ACFSプラグイン
| プラグインの仕様 | 説明 |
|---|---|
プラグイン・ディレクトリ |
|
セキュア・ターゲットのバージョン |
12c リリース1 (12.1) |
セキュア・ターゲットのプラットフォーム |
Linux/x86-64 Solaris/x86-64 Solaris/SPARC64 Windows 2008、2008 R2 64ビット |
設定スクリプト |
不要 |
セキュア・ターゲットの場所(接続文字列) |
|
コレクション属性 |
|
AVDF監査証跡タイプ |
監査証跡タイプの説明は、表B-17を参照してください。 |
XML監査ファイルが含まれているディレクトリへのパス。たとえば、
|
|
監査証跡のクリーンアップのサポート |
不要 |
表B-16に、Oracle Big Data Applianceプラグインの機能を示します。
表B-16 Big Data Applianceプラグイン
| プラグインの仕様 | 説明 |
|---|---|
プラグイン・ディレクトリ |
|
セキュア・ターゲットのバージョン |
2.3, 4.3 |
セキュア・ターゲットのプラットフォーム |
Linux x86-64 |
設定スクリプト |
不要 |
セキュア・ターゲットの場所(接続文字列) |
|
コレクション属性 |
|
AVDF監査証跡タイプ |
監査証跡タイプの説明は、表B-17を参照してください。 |
|
|
監査証跡のクリーンアップのサポート |
不要 |
セキュア・ターゲットの監査証跡を構成するときに、「監査証跡のタイプ」フィールドで監査証跡タイプを選択します。監査証跡タイプは、セキュア・ターゲット・タイプによって異なります。表B-17に、各セキュア・ターゲット・タイプに対して構成できる監査証跡タイプを示します。
セキュア・ターゲット・タイプの監査機能および機能性の詳細は、製品のドキュメントを参照してください。次のOracle製品のドキュメントを参照してください。
Oracle Database 12c リリース1 (12.1): 『Oracle Databaseセキュリティ・ガイド』
Oracle Database 11g リリース2 (11.2): 『Oracle Databaseセキュリティ・ガイド』
Oracle ACFS 12c リリース1 (12.1): 『Oracle Automatic Storage Management管理者ガイド』
表B-17 各セキュア・ターゲット・タイプでサポートされている監査証跡タイプの概要
ここでのトピック
監査データの監視および収集に関連する機能の実行で使用する、Oracle Audit Vault and Database Firewallの各セキュア・ターゲットに対する適切な権限を持つユーザー・アカウントを設定する必要があります。Oracle Audit Vault and Database Firewallでは、データベース・セキュア・ターゲットの設定スクリプトが提供されています。セキュア・ターゲットのタイプに応じて、スクリプトにより、Oracle Audit Vault and Database Firewallで次の機能を実行できるユーザー権限が設定されます。
監査データ収集
監査ポリシー管理
ストアド・プロシージャ監査
ユーザー権限監査
データベース問合せ
監査証跡のクリーンアップ(一部のセキュア・ターゲットが対象)
ホスト・コンピュータ(通常はセキュア・ターゲットと同じコンピュータ)にAudit Vault Agentをデプロイした場合、Oracle Audit Vault and Database Firewallに対するユーザー権限を作成するための設定スクリプトは、次のディレクトリにあります(次の例はLinuxの場合)。
$AGENT_HOME/av/plugins/com.oracle.av.plugin.secured_target_type/config/
Oracle Databaseセキュア・ターゲット用のOracle Audit Vault and Database Firewall設定スクリプトoracle_user_setup.sqlおよびoracle_drop_db_permissions.sqlは、次のディレクトリにあります(次の例はLinuxの場合)。
$AGENT_HOME/av/plugins/com.oracle.av.plugin.oracle/config/
これらのスクリプトは、Oracle Audit Vault and Database Firewallで次の機能を実行するための、Oracle Databaseに対するユーザー権限を設定または取り消すために使用します。
監査データ収集
監査ポリシー管理
ストアド・プロシージャ監査(SPA)
ユーザー権限監査
Oracle Databaseセキュア・ターゲットに対するOracle Audit Vault and Database Firewallユーザー権限を設定または取り消すには:
Oracle DatabaseでOracle Audit Vault and Database Firewallのユーザー・アカウントを作成します。次に例を示します。
SQL> CREATE USER username IDENTIFIED BY password
Audit Vault ServerでこのOracle Databaseをセキュア・ターゲットとして登録するときに、このユーザー名およびパスワードを使用します。
SYSDBA権限を持つSYSユーザーとして接続します。次に例を示します。
SQL> CONNECT SYS / AS SYSDBA
Oracle Audit Vault and Database Firewallユーザー権限を設定するには、次のように設定スクリプトを実行します。
SQL> @oracle_user_setup.sql username mode
username: ステップ1で作成したユーザーの名前を入力します。
mode: 次のいずれかを入力します。
SETUP: Oracle Audit Vault and Database FirewallからOracle Database監査ポリシーを管理するための権限と、REDOログ以外の監査証跡タイプからデータを収集するための権限を設定する場合。たとえば、このモードは、Oracle Audit Vault and Database FirewallでのTABLE監査証跡に使用します。
REDO_COLL: REDOログから監査データを収集するための権限を設定する場合。このモードは、Oracle Audit Vault and Database FirewallでのTRANSACTION LOG監査証跡にのみ使用します。
SPA: このデータベースに対してストアド・プロシージャ監査を有効にする場合
ENTITLEMENT: このデータベースに対してユーザー権限監査を有効にする場合
ノート:
CDBに監査収集を設定するときは、CDBと各PDBインスタンスに個別のローカル・ユーザーを作成します。各ユーザーに対してoracle_user_setup.sqlスクリプトを実行します。各PDBインスタンスでは、まずセッションが変更され、PDBに切り替えてからスクリプトが実行されます。
Oracle DatabaseでDatabase Vaultがインストールされて有効化されている場合は、DV_OWNERロールが付与されたユーザーとしてログインし、次の手順を実行します。
Oracle Audit Vault and Database Firewallユーザーに、このOracle Databaseに対するDV_SECANALYSTロールを付与します。次に例を示します。
SQL> GRANT DV_SECANALYST TO username;
usernameには、ステップ1で作成したユーザーの名前を入力します。
DV_SECANALYSTロールにより、Oracle Audit Vault and Database FirewallでOracle Database Vaultの監査証跡データを監視および収集して、Oracle Database Vaultレポートを実行できます。
REDO_COLLモード(TRANSACTION LOG監査証跡)の場合にのみ、Oracle Databaseバージョンに応じて次のいずれかの手順を実行します。
Oracle Database 12cの場合:
SQL> GRANT DV_STREAMS_ADMIN TO username;
usernameには、ステップ1で作成したユーザーの名前を入力します。
サポートされている他のすべてのOracle Databaseリリースの場合:
SQL> EXEC DBMS_MACADM.ADD_AUTH_TO_REALM('Oracle Data Dictionary', 'username', null, dbms_macutl.g_realm_auth_participant);
SQL> COMMIT;
usernameには、ステップ1で作成したユーザーの名前を入力します。
Oracle Audit Vault and Database Firewallユーザー権限を取り消すには、このデータベースにSYSDBA権限を持つユーザーSYSとして接続し、次のスクリプトを実行します。
SQL> @oracle_drop_db_permissions.sql username mode
username: ステップ1で作成したユーザーの名前を入力します。
mode: 次のいずれかを入力します。
SETUP: Oracle Audit Vault and Database FirewallからOracle Database監査ポリシーを管理するための権限と、REDOログ以外の監査証跡タイプからデータを収集するための権限を取り消す場合。
REDO_COLL: REDOログから監査データを収集するための権限を取り消す場合。
SPA: このデータベースに対してストアド・プロシージャ監査を無効にする場合
ENTITLEMENT: このデータベースに対してユーザー権限監査を無効にする場合
関連項目:
ここでのトピック
Sybase ASEセキュア・ターゲットでOracle Audit Vault and Database Firewallに必要なユーザー権限を構成するために、次のスクリプトが提供されています。
sybase_auditcoll_user_setup.sqlsybase_auditcoll_drop_db_permissions.sqlsybase_spa_user_setup.sqlsybase_spa_drop_db_permissions.sqlこのスクリプトは次のディレクトリにあります(次の例はLinuxの場合)。
$AGENT_HOME/av/plugins/com.oracle.av.plugin.sybase/config/
これらのスクリプトにより、Oracle Audit Vault and Database FirewallでSybase ASEに対して次の機能を実行できます。
監査データ収集
ストアド・プロシージャ監査(SPA)
Sybase SQL Anywhereセキュア・ターゲット用のOracle AVDF設定スクリプトsqlanywhere_spa_user_setup.sqlおよびsqlanywhere_spa_drop_db_permissions.sqlは、次のディレクトリにあります(次の例はLinuxの場合)。
$AGENT_HOME/av/plugins/com.oracle.av.plugin.sqlanywhere/config/
これらのスクリプトは、Oracle AVDFでストアド・プロシージャ監査(SPA)を実行するための、SQL Anywhereデータベースに対するユーザー権限を設定または取り消すために使用します。
SQL Anywhereセキュア・ターゲットに対するストアド・プロシージャ監査を設定または取り消すには:
ここでのトピック
Microsoft SQL Serverセキュア・ターゲット用のOracle AVDF設定スクリプトmssql_user_setup.sqlおよびmssql_drop_db_permissions.sqlは、次のディレクトリにあります。
AGENT_HOME\av\plugins\com.oracle.av.plugin.mssql\config\
このスクリプトにより、Oracle AVDFでSQL Serverに対して次の機能を実行するためのユーザー権限が設定または取り消されます。
監査データ収集
ストアド・プロシージャ監査(SPA)
ここでのトピック
DB2セキュア・ターゲット用のOracle Audit Vault and Database Firewall設定スクリプト、db2_auditcoll_user_setup.sqlおよびdb2_spa_user_setup.sqlは、次のディレクトリにあります(次の例はLinuxの場合):
$AGENT_HOME/av/plugins/com.oracle.av.plugin.db2/config/
ノート:
接続文字列は、12.2.0.11.0以降では不要です。
これらのスクリプトは、Oracle AVDFで次の機能を実行するための、DB2データベースに対するユーザー権限を設定または取り消すために使用します。
監査データ収集
ストアド・プロシージャ監査(SPA)
監査データ収集用のOracle AVDFユーザー権限を設定または取り消すには:
Oracle AVDFで監査データ収集に使用されるDB2で、新しいユーザー・アカウントを作成します。
Audit Vault ServerでこのDB2データベースをセキュア・ターゲットとして登録するときに、このユーザー名およびパスワードを使用します。
$AGENT_HOME/av/plugins/com.oracle.av.plugin.db2/config/ディレクトリでdb2_auditcoll_user_setup.sqlスクリプトを探し、編集のために開きます。
スクリプトで、ステップ1のアカウントのユーザー名をgrant文に入れ、変更後のスクリプトを保存します。
次のようにして変更後のスクリプトを実行します。
$> db2 -tvf db2_auditcoll_user_setup.sql
監査収集権限を取り消すには:
前述のステップ3のように、db2_auditcoll_drop_db_permissions.sqlスクリプトを変更します。
スクリプトを次のように実行します。
$> db2 -tvf db2_auditcoll_drop_db_permissions.sql
ストアド・プロシージャ監査用のOracle AVDFユーザー権限を設定または取り消すには:
Oracle AVDFでストアド・プロシージャ監査に使用されるDB2で、新しいユーザー・アカウントを作成します。
Audit Vault ServerでこのDB2データベースをセキュア・ターゲットとして登録するときに、このユーザー名およびパスワードを使用します。
$AGENT_HOME/av/plugins/com.oracle.av.plugin.db2/config/ディレクトリでdb2_spa_user_setup.sqlスクリプトを探し、編集のために開きます。
スクリプトで、ステップ1のアカウントのユーザー名をgrant文に入れ、変更後のスクリプトを保存します。
次のようにして変更後のスクリプトを実行します。
$> db2 -tvf db2_spa_user_setup.sql
SPA権限を取り消すには:
前述のステップ3のように、db2_spa_drop_db_permissions.sqlスクリプトを変更します。
スクリプトを次のように実行します。
$> db2 -tvf db2_spa_drop_db_permissions.sql
MySQLセキュア・ターゲット用のOracle AVDF設定スクリプトmysql_spa_user_setup.sqlおよびmysql_spa_drop_db_permissions.sqlは、次のディレクトリにあります(次の例はLinuxの場合)。
$AGENT_HOME/av/plugins/com.oracle.av.plugin.mysql/config/
これらのスクリプトは、Oracle AVDFでストアド・プロシージャ監査(SPA)を実行するための、MySQLデータベースに対するユーザー権限を設定または取り消すために使用します。
MySQLセキュア・ターゲットに対するストアド・プロシージャ監査を設定または取り消すには:
ユーザーを作成してユーザー権限を設定できるユーザーとしてMySQLにログインします。
ストアド・プロシージャ監査用のユーザーを作成します。次に例を示します。
create user 'username'@'hostname' identified by 'password'
Audit Vault ServerでこのMySQLデータベースをセキュア・ターゲットとして登録するときに、このユーザー名およびパスワードを使用します。
$AGENT_HOME/av/plugins/com.oracle.av.plugin.mysql/config/ディレクトリでmysql_spa_user_setup.sqlスクリプトを探し、編集のために開きます。
スクリプトを変更して、ステップ1で使用したのと同じ値をusername、hostnameおよびpasswordに指定します。
mysql_spa_user_setup.sqlスクリプトを実行します。
SPA権限を取り消すには:
前述のステップ4のように、mysql_spa_drop_db_permissions.sqlスクリプトを変更します。
mysql_spa_drop_db_permissions.sqlスクリプトを実行します。
他のターゲット・タイプでの監査収集に関する考慮事項です。
Oracle Active Data Guardから監査データを収集するために必要な追加情報について説明します。
Oracle Active Data Guardは、単一のプライマリ・データベースと複数のスタンバイ・データベースからなる高可用性ソリューションです。この項では、様々な監査証跡を構成するための追加情報を示します。
従来の監査
従来の監査を使用してOracle Active Data Guard内のデータベースから監査データを収集するには、次のステップに従います。
AUDIT_TRAILパラメータをDB, EXTENDEDに設定します。sys.aud$表からOracle AVDF証跡を読み取ることができます。sys.aud$からレコードを読み取るように、Oracle AVDFでOracle Database表証跡を構成します。*.audログ・ファイルからデータを収集するには、ターゲットごとに、Oracle AVDFで1つのディレクトリ証跡を構成します。統合監査
統合監査を使用してOracle Active Data Guard内のプライマリ・データベースから監査データを収集できます。次のステップを実行します。
unified_audit_trail表から読み取ることができます。unified_audit_trailからレコードを読み取ります。ノート:
Oracle AVDFでは、Oracle Active Data Guardのプライマリ・データベースとスタンバイ・データベースの両方での、従来の監査証跡からの監査収集がサポートされています。統合監査が有効になっている場合、監査収集は、プライマリ・データベースの統合監査証跡からのみサポートされ、スタンバイ・データベースからはサポートされません。一部のOracle AVDFプラグインは、監査証跡のクリーンアップをサポートしています。この項では、使用可能な監査証跡クリーンアップ(ATC)ユーティリティについて説明します。
DBMS_AUDIT_MGMT PL/SQLパッケージを使用してデータベース監査証跡をパージできます。
DBMS_AUDIT_MGMTパッケージを使用すると、パージ・ジョブのスケジュール、別の表領域への監査証跡の移動、監査証跡でのアーカイブ・タイムスタンプの設定など、監査証跡のクリーンアップ・タスクを実行できます。DBMS_AUDIT_MGMTを使用するには、そのEXECUTE権限が必要です。
Oracle Database 11g リリース2 (11.2)以上には、DBMS_AUDIT_MGMTパッケージとその関連データ・ディクショナリ・ビューが同梱されており、デフォルトでインストールされます。セキュア・ターゲット・データベースにこのパッケージがインストールされていない場合は、My Oracle Supportからパッケージとデータ・ディクショナリ・ビューをダウンロードできます。
記事ID 731908.1を検索してください。
DBMS_AUDIT_MGMT PL/SQLパッケージおよびビューの使用方法は、次のOracle Database 11g リリース2 (11.2)ドキュメントを参照してください。
概念および手順は、『Oracle Databaseセキュリティ・ガイド』の監査証跡レコードのパージに関する項を参照してください。
DBMS_AUDIT_MGMT PL/SQLパッケージに関するリファレンス情報は、『Oracle Database PL/SQLパッケージ・プロシージャおよびタイプ・リファレンス』を参照してください。
DBA_AUDIT_MGMT_*データ・ディクショナリ・ビューの詳細は、Oracle Databaseリファレンスを参照してください。
Oracle Audit Vault and Database Firewallは、Oracle Database上のDBMS_AUDIT_MGMTパッケージと統合されています。この統合により、Audit Vault Serverリポジトリに正常に挿入された後、UNIFIED_AUDIT_TRAIL、AUD$およびFGA_LOG$の各表と、オペレーティング・システムの.audおよび.xmlファイルからの監査レコードのパージが自動化されます。
パージの完了後、Audit Vault Agentは、収集された監査データにタイムスタンプを自動的に設定します。そのため、USE_LAST_ARCH_TIMESTAMPプロパティをTRUEに設定し、確実に適切な監査レコード・セットがパージされるようにする必要があります。パージ・ジョブの間隔を手動で設定する必要はありません。
Oracle Databaseセキュア・ターゲット用の自動パージ・ジョブをスケジュールするには:
SQL Server監査証跡にトレース・ファイルまたはsqlauditファイルから収集されたデータがあり、そのファイルが非アクティブである場合、このファイルをクリーンアップできます。SQL Server監査証跡により、SQL Server監査テキスト・ファイルの名前が、拡張子.atcのプレーン・テキスト・ファイルに書き込まれます。.atcファイルは、エージェントがインストールされているコンピュータのAGENT_HOME\av\atcディレクトリにあります。
Oracle AVDFによる監査レコードの抽出が完了したファイルを手動でクリーンアップするには:
SQL Serverトレース・ファイルのクリーンアップを自動化するために、Windows Schedulerを使用できます。
ノート:
SQL Serverトレース定義を再定義または再初期化する場合は、トレース・ファイルのファイル名が以前に作成したトレース・ファイルと重複しないようにする必要があります。
たとえば、トレース・ファイル名で次の形式が使用されるトレース定義を使用して、SQL Serverを起動するとします。
c:\serversidetraces.trc c:\serversidetraces_1.trc c:\serversidetraces_2.trc ... c:\serversidetraces_259.trc
その後、新しいトレース定義を使用してSQL Serverを再起動します。この新しいトレース定義では、現在のトレース・ファイル(たとえば、現在のファイル名はc:\serversidetraces.trc)とは異なるファイル名を使用する必要があります。異なるファイル名を使用しないと、監査証跡をパージするときに、古いトレース・ファイルと同じ名前の新しいトレース・ファイルは削除されます。
この項には、このマニュアル内にあるセキュア・ターゲットの登録手順および監査証跡の構成手順を完了するときに必要となる参照情報が記載されています。ステップには、この項の内容へのリンクが含まれます。
ここでのトピック
Audit Vault Serverコンソールでセキュア・ターゲットを登録するときに、「セキュア・ターゲットの場所」フィールドに接続文字列を入力します。セキュア・ターゲットのタイプに応じて、表B-18の接続文字列形式を使用します。
ノート: 接続文字列は、Database Firewallのみのデプロイでは必要ありません。
表B-18 セキュア・ターゲットの接続文字列(「セキュア・ターゲットの場所」フィールド用)
| セキュア・ターゲット・タイプ | 接続文字列 |
|---|---|
Oracle Database |
|
Sybase ASE |
|
Sybase SQL Anywhere |
|
Microsoft SQL Server (SQL Server認証) |
SSL暗号化がMSSQLサーバーで使用されており、サーバー証明書の検証が必要な場合。
SSL暗号化がMSSQLサーバーで使用されており、サーバー証明書の検証が必要ない場合。
|
Microsoft SQL Server (Windows認証) |
または
|
IBM DB2 for LUW |
ノート: 接続文字列は、リリース12.2.0.11.0以降では不要です。 |
MySQL |
ノート: 接続文字列は、リリース12.2.0.11.0以降では不要です。 |
Oracle Solaris |
|
Oracle Linux |
|
Microsoft Windows |
|
Microsoft Active Directory Server |
|
Oracle ACFS |
|
ここでのトピック
Oracle DatabaseではDIRECTORY監査証跡のコレクション属性を指定できます。表B-19に、Oracle Audit Vault and Database FirewallでOracle Databaseセキュア・ターゲットを登録するときに、監査証跡タイプとしてDIRECTORYを選択した場合に使用できるコレクション属性を示します。
表B-19 Oracle DatabaseのDIRECTORY監査証跡用のコレクション属性
| 属性名および説明 | 必須 | デフォルト | 備考 |
|---|---|---|---|
データ・ソースのNLS言語。 |
必須: 開始された監査証跡がOracleセキュア・ターゲットへの接続を確立できない場合(例: セキュア・ターゲットが実行されていない) 不要: 開始された監査証跡がOracleセキュア・ターゲットに接続でき、これらのパラメータ値をセキュア・ターゲットから取得できる場合(例: 証跡の開始時にセキュア・ターゲットが実行されている) |
該当なし |
値の大/小文字は区別されません。 |
データ・ソースのNLS地域。 |
必須: 開始された監査証跡がOracleセキュア・ターゲットへの接続を確立できない場合(例: セキュア・ターゲットが実行されていない) 不要: 開始された監査証跡がOracleセキュア・ターゲットに接続でき、これらのパラメータ値をセキュア・ターゲットから取得できる場合(例: 証跡の開始時にセキュア・ターゲットが実行されている) |
該当なし |
値の大/小文字は区別されません。 |
データ・ソースのNLS文字セット。 |
必須: 開始された監査証跡がOracleセキュア・ターゲットへの接続を確立できない場合(例: セキュア・ターゲットが実行されていない) 不要: 開始された監査証跡がOracleセキュア・ターゲットに接続でき、これらのパラメータ値をセキュア・ターゲットから取得できる場合(例: 証跡の開始時にセキュア・ターゲットが実行されている) |
該当なし |
値の大/小文字は区別されません。 |
各コールによる監査証跡の処理に要する最大処理時間(センチ秒) |
不要 |
600 |
有効な値は10から10000の整数値です。実行時に再構成することはできません。 Audit Vault Serverにレコードのバッチを送信するまでに、レコードを収集処理する最大時間を示します。値が小さすぎる場合、パフォーマンスに影響する可能性があります。値が大きすぎると、監査証跡を停止するまでの時間が長くなります。 |
各コールによる監査証跡の処理中に処理されるレコードの最大数 |
不要 |
1000 |
有効な値は10から10000の整数値です。 実行時に再構成することはできません。 Audit Vault Serverにレコードのバッチを送信するまでに、処理されるレコードの最大数を示します。値が小さすぎる場合、パフォーマンスに影響する可能性があります。値が大きすぎると、監査証跡を停止するまでの時間が長くなります。 |
Oracle RAC環境のインスタンスID。 |
不要 |
1 |
なし。 |
メトリック情報を保存する間隔(秒) |
不要 |
60 |
実行時に再構成することはできません。 この間隔はメトリック情報の更新頻度を示します。値が小さすぎると、メトリックをAudit Vault Serverに送信するときのオーバーヘッドが生じます。値が大きすぎると、平均メトリック情報の正確性に影響を及ぼします。 |
Microsoft WindowsシステムでのOracle SID名 |
不要 |
デフォルトなし |
値の大/小文字は区別されません。値を指定しない場合、監査証跡にはセキュア・ターゲットからの値が必要です。 |
表B-20に、Oracle AVDFでIBM DB2 for LUWセキュア・ターゲットを登録するときに必要なコレクション属性を示します。
表B-20 IBM DB2 for LUWデータベースのコレクション属性
| 属性名および説明 | 必須 | デフォルト | 備考 |
|---|---|---|---|
IBM DB2 for LUWデータベース名 |
必須 |
該当なし |
このパラメータは、大/小文字を区別します。 ノート: コレクション属性は、12.2.0.11.0以降のリリースでは不要です。 |
表B-21に、Oracle Audit Vault and Database FirewallでMySQLセキュア・ターゲットを登録するときに必要なコレクション属性とオプションのコレクション属性を示します。
表B-21 MySQLデータベースのコレクション属性
| 属性名および説明 | 必須 | デフォルト | 備考 |
|---|---|---|---|
MySQLデータベースのバージョン |
必須 |
該当なし |
該当なし |
監査証跡クリーンアップ時間を更新する時間間隔(分単位)を指定します。 |
不要 |
20 |
例: この値が20である場合、監査証跡クリーンアップ時間は20分ごとに更新されます。タイムスタンプが監査証跡クリーンアップ時間よりも前である監査ログ・ファイルは、監査証跡クリーンアップ・ユーティリティを実行したときにソース・フォルダからクリーンアップされます。 |
関連項目:
表B-22に、Oracle Audit Vault and Database FirewallでOracle ACFSセキュア・ターゲットを登録するときに必要なコレクション属性を示します。
表B-22 Oracle ACFSのコレクション属性
| 属性名および説明 | 必須 | デフォルト | 備考 |
|---|---|---|---|
Oracle ACFSのバージョン番号 |
必須 |
該当なし |
ドット区切りの5つの整数値(例: |
Audit Vault Serverでセキュア・ターゲットの監査証跡を構成するときに、証跡の場所を指定する必要があります。証跡の場所は、セキュア・ターゲットのタイプによって異なります。セキュア・ターゲットのタイプに応じて次の形式を使用します。
重要: 証跡の場所は大文字と小文字が区別されます。データ収集の重複を防ぐため、監査証跡の場所を指定するときには大文字のみまたは小文字のみで統一することをお薦めします。
ノート: 「監査証跡のタイプ」で「DIRECTORY」を選択した場合、証跡の場所はディレクトリ・マスクにする必要があります。
表B-23に、「証跡の場所」でサポートされている形式を示します。
表B-23 セキュア・ターゲットでサポートされている証跡の場所
