プライマリ・コンテンツに移動
Oracle® Audit Vault and Database Firewall管理者ガイド
リリース12.2
E70392-19
目次へ移動
目次
索引へ移動
索引

前
次

3 Audit Vault Serverの構成

ここでのトピック

3.1 Oracle Audit Vault Serverの構成について

Oracle Audit Vault Serverの構成について学習します。

この章では、Oracle Audit Vault Serverの初期構成を実行する方法について説明します。

ノート:

Oracle Audit Vault ServerおよびOracle Database Firewallサーバーは、ソフトウェア・アプライアンスです。Oracleの公式ドキュメントで説明されている手順に従う場合、またはOracleサポートからガイダンスを受けて作業する場合を除き、これらのサーバーでは、コマンドラインからLinuxオペレーティング・システムを変更しないでください。

構成プロセスの主なステップは次のとおりです。

  1. Audit Vault Serverで初期構成タスクを実行します。たとえば、システム・サービスおよびネットワーク設定を確認し、日付と時刻を設定します。

  2. Audit Vaultのエージェントを構成します。

  3. (オプション) 高可用性のための回復可能なペアを定義します。

  4. (オプション) Oracle Audit Vault Serverで、各Oracle Database Firewallを追加します。

  5. (オプション) F5 BIG-IP Application Security Manager (ASM)とともに動作するように、Oracle Audit Vault and Database Firewallを構成します。

  6. (オプション) HP ArcSight Security Information Event Management (SIEM)システムとともに動作するようにOracle Audit Vault and Database Firewallを構成します。

    ノート:

    Micro Focus Security ArcSight SIEM (旧称はHP ArcSight Security Information Event Management (SIEM))は、12.2.0.8.0で非推奨となり、12.2.0.9.0でサポートされなくなります。かわりにsyslog統合機能を使用してください。

  7. システムが正常に機能していることを確認します。

関連項目:

  • 高可用性のためにOracle Audit Vault Serverの回復可能なペアを構成する方法の詳細は、「Audit Vault Serverの回復可能なペアの管理」を参照してください。両方のAudit Vault Serverに対して、この章で説明する初期構成を実行します

  • Oracle Audit Vault and Database Firewallを構成するワークフローの概要を確認するには、「構成ステップの概要」を参照してください

3.2 Oracle Audit Vault ServerのUI (コンソール)証明書の変更

Oracle Audit Vault ServerのUI証明書を変更する方法を学習します。

Oracle Audit Vault Serverコンソールに初めてアクセスすると、証明書に関する警告またはメッセージが表示されます。このタイプのメッセージが表示されないように、適切な認証局によって署名された新しいUI証明書をアップロードできます。

前提条件

Oracle Audit Vault Serverコンソールにスーパー管理者としてログインします。詳細は、「Audit Vault ServerコンソールUIへのログイン」を参照してください

Audit Vault ServerのUI証明書を変更するには:

  1. 「設定」タブをクリックします。
  2. 「セキュリティ」で、「コンソール証明書」をクリックします。
  3. 「証明書の生成リクエスト」をクリックします。

    証明書の共通名とともに、証明書のリクエスト・フォームが表示されます。

  4. 表示される共通名を変更する場合は、「変更」をクリックします。

    証明書の警告は、Oracle Audit Vault Serverを識別するために使用される共通名に基づいています。ホスト名ではなくIPアドレスを使用してOracle Audit Vault Serverコンソールにアクセスする場合、証明書の警告を抑止するには、「IPベースのURLアクセスに関する警告を抑制します。」も選択します。

  5. フォームのすべての必須フィールドに内容を入力します。
  6. 「送信およびダウンロード」をクリックします。
  7. .csrファイルを保存し、このファイルを認証局に送信します。証明書に次の詳細が含まれていることを確認します。デフォルトでは、COMMON NAMEフィールドは入力されています。
    • COMMON NAME
    • ISSUER COMMON NAME
  8. 認証局から新しい証明書が発行されたら、それをアップロードするため、「UI証明書の変更」ページに戻って「証明書のアップロード」をクリックします。

ノート:

独自の公開キー・インフラストラクチャを使用している場合は、ブラウザに認証局のパブリック証明書をインストールする必要があります。

3.3 初期システム設定およびオプションの指定(必須)

ここでのトピック

3.3.1 サーバーの日付、時刻およびキーボード設定の指定

Oracle Audit Vault Serverの日付、時刻およびキーボードの設定を指定する方法を学習します。

スーパー管理者は、Oracle Audit Vault Serverの日付、時刻およびキーボードの設定を変更できます。Oracle Audit Vault Serverに設定した日付および時刻が正しいことを確認することが重要です。これは、サーバーで実行されるイベントはサーバーの設定に応じて取得される日付および時刻でログに記録されるためです。また、アーカイブは、サーバーの時刻の設定に基づいて特定の間隔で発生します。

タイムスタンプについて

Oracle Audit Vault Serverでは、すべてのデータがUTCで保存されます。タイムスタンプは次のように表示されます。

  • ユーザーが対話形式(Oracle Audit Vault Server UIやAVCLIコマンドラインなど)でデータにアクセスしている場合、タイムスタンプはすべてユーザーのタイムゾーンで表示されます。UIでは、タイムゾーンはブラウザのタイムゾーンから導出されます。AVCLIを使用する場合、タイムゾーンは「シェル」タイムゾーン(通常はTZ環境変数によって設定されます)から導出されます。

  • rootまたはsupportとしてOracle Audit Vault Serverにログインする場合、そのセッションのTZ環境変数を変更しないかぎり、タイムスタンプはUTCで表示されます。

  • ユーザーがシステム生成されたPDF、XLSレポートまたは電子メールを参照している場合、表示されるタイムスタンプには、Audit Vault Serverの「管理」ページのタイムゾーン・オフセット設定(下の手順を参照)が反映されます。

    警告:

    Oracle Audit Vault Serverのデータベース・タイムゾーンを変更しないでください。また、構成ファイルを使用してタイムゾーンを変更しないでください。これにより、Oracle Audit Vault Serverで重大な問題が生じる可能性があります。

  • Oracle Database Firewall UIを参照している場合、タイムゾーンはすべてUTCで表示されます。

前提条件

Oracle Audit Vault Serverコンソールにスーパー管理者としてログインします。詳細は、「Audit Vault ServerコンソールUIへのログイン」を参照してください。

サーバーの日付、時刻およびキーボード設定を設定する手順

  1. 「設定」タブをクリックします。

  2. 「システム」メニューから、「管理」をクリックします。

  3. 「タイムゾーン・オフセット」ドロップダウン・リストから、協定世界時(UTC)から相対的に示したローカル時間を選択します。

    たとえば、-5:00は、UTCより5時間遅れていることを示します。同期で時刻が正確に設定されるように、適切な設定を選択する必要があります。

  4. 「キーボード」ドロップダウン・リストから、キーボード設定を選択します。

  5. 「システム時間」フィールドで、手動で設定またはNTP同期を選択します。

    NTP同期を選択すると、「サーバー1」/「サーバー2」/「サーバー3」の各フィールドで指定したタイム・サーバーからリカバリされる時刻の平均と、時刻の同期が維持されます。

  6. 「NTP同期」を選択した場合、NTPサーバーの時刻の使用を開始するために、NTP時間同期の有効化を選択します。

    このステップで時刻の同期を有効にしなくても、後続のステップでNTPサーバー情報を入力し、後でNTP同期を有効にできます。

  7. (オプション)「保存」をクリックしたときに時刻を同期する場合は、「保存後の同期時間」を選択します。

  8. 「サーバー1」「サーバー2」および「サーバー3」のセクションで、デフォルトのサーバー・アドレスを使用するか、希望のタイム・サーバーのIPアドレスまたは名前を入力します。

    名前を指定した場合は、「システム・サービス」ページで指定したDNSサーバーが名前解決に使用されます。

  9. サーバーから時刻を表示するには、「サーバーのテスト」をクリックします。

    このNTPサーバーからAudit Vault Serverの時刻を更新するには、「サーバーの適用」をクリックします。「保存」をクリックするまで、更新は有効になりません。

  10. 「保存」をクリックします。

時刻の同期を有効にするには、デフォルトのゲートウェイおよびDNSサーバーのIPアドレスも指定する必要がある場合があります。

3.3.2 Audit Vault Serverシステム設定の指定

ここでのトピック

3.3.2.1 Audit Vault Serverネットワーク構成の設定または変更

Audit Vault Serverのネットワーク構成を変更する方法を学習します。

Audit Vault and Database Firewallインストーラにより、インストール時にOracle Audit Vault Serverの初期ネットワーク設定が構成されます。このネットワーク設定は、インストール後に変更できます。

ノート:

Audit Vault Serverネットワーク構成を変更する場合は、次の手順も実行する必要があります。

  1. すべての監査証跡を再開します。

  2. 以前、Database Firewallの回復可能なペアを構成した場合は、ペアを再構成します。

  3. Audit Vault ServerのIPアドレスが変更された場合は、Database Firewallでこの情報を更新します。

前提条件

Audit Vault Serverコンソールに管理者またはスーパー管理者としてログインします。詳細は、「Audit Vault ServerコンソールUIへのログイン」を参照してください。

Audit Vault Serverのネットワーク設定を構成するには:

  1. 「設定」タブをクリックします。
  2. 「システム」メニューで、「ネットワーク」をクリックします。
  3. 必要に応じて、次のフィールドを編集し、「保存」をクリックします。
    • ホスト名: ホスト名は、Audit Vault Serverの完全修飾ドメイン名である必要があります。ホスト名は文字で始まる必要があり、最大24文字で、空白を含めることはできません。Oracle AVDFリリース12.2.0.14.0の場合、ホスト名には最大64文字を使用できます。

      ノート:

      • ホスト名を変更すると、再起動する必要があります。「保存」をクリックすると、再起動するか取り消すかの確認を求められます。確認後、システムは再起動し、Audit Vault Serverは数分間使用できなくなります。

      • 高可用性環境ではホスト名を変更できません。ホスト名を変更する必要がある場合は、Audit Vault Serverのペアリングを解除し、ホスト名を変更して、再度ペアリングします。

    • IPアドレス: Audit Vault ServerのIPアドレス。IPアドレスはAudit Vault Serverのインストール時に設定されました。別のアドレスを使用する場合は、ここで変更できます。IPアドレスは静的で、ネットワーク管理者から取得する必要があります。

      ノート:

      • IPアドレスを変更すると、再起動する必要があります。

      • 高可用性構成の場合は、IPアドレスを変更する前に、プライマリおよびセカンダリAudit Vault Serverのペアを解除する必要があります。プライマリまたはセカンダリAudit Vault ServerのIPアドレスを変更した後、それら2つのサーバーを再度ペアにします。ペアリング処理が完了したら、Audit Vault Agentを再デプロイして、それらがプライマリおよびセカンダリAudit Vault Serverの両方の新しいIPアドレスで更新されていることを確認します。

      Audit Vault ServerとDatabase Firewallの間のトラフィックを有効にするには、指定したIPアドレスをルーティング表に追加する必要がある場合があります。

    • ネットワーク・マスク: (スーパー管理者のみ) Audit Vault Serverのサブネット・マスク。

    • ゲートウェイ: (スーパー管理者のみ)デフォルト・ゲートウェイのIPアドレス(たとえば、別のサブネットから管理インタフェースへのアクセス用)。デフォルト・ゲートウェイは、Audit Vault Serverと同じサブネットに存在する必要があります。

    • リンクのプロパティ: 自動ネゴシエーションを使用しないようにネットワークが構成されている場合を除き、デフォルト設定を変更しないでください。

    関連項目:

3.3.2.2 Oracle Audit Vault Serverサービスの構成または変更

Oracle Audit Vault Serverサービスを構成および変更する方法を学習します。

前提条件

Oracle Audit Vault Serverコンソールにスーパー管理者としてログインします。詳細は、「Audit Vault ServerコンソールUIへのログイン」を参照してください。

Oracle Audit Vault Serverサービスを構成するには:

  1. 「システム」タブで、「システム」メニューから、「サービス」をクリックします。
  2. フィールドに必要な情報を入力し、「Save」をクリックします。

    注意:

    Oracle Audit Vault and Database Firewallへのアクセスを許可する際には、セキュリティを保つために適切な予防措置を講じるようにしてください。

    • DNSサーバー1、DNSサーバー2、DNSサーバー3: (オプション)「IPアドレス」を選択し、ネットワーク上にあるDNSサーバーのIPアドレスを最高3つまで入力します。Oracle Audit Vault Serverでは、これらのIPアドレスを使用してホスト名を解決します。DNSサーバーを使用しない場合は、このフィールドを無効のままにします。DNSサーバーを使用する場合、これらのフィールドを有効にするとシステム・パフォーマンスが低下することがあります。

    • Webアクセス: 選択したコンピュータのみにAudit Vault Serverコンソールへのアクセスを許可する場合は、「IPアドレス」を選択して、そのIPアドレスをスペースで区切ってボックスに入力します。デフォルトの「すべて」を使用すると、サイト内のすべてのコンピュータからアクセス可能になります。

    • SSHアクセス: リモート・コンソールからAudit Vault ServerにアクセスできるIPアドレスのリストを指定するには、「IPアドレス」を選択して、そのIPアドレスをスペースで区切ってこのフィールドに入力します。値「すべて」を使用すると、サイト内のすべてのコンピュータからアクセス可能になります。値「無効」を使用すると、コンピュータからコンソール・アクセスはできません。

    • SNMPアクセス: SNMPを使用してAudit Vault Serverのネットワーク構成にアクセスできるIPアドレスのリストを指定するには、「IPアドレス」を選択して、そのIPアドレスをスペースで区切ってこのフィールドに入力します。「すべて」を選択すると、すべてのコンピュータからアクセス可能になります。デフォルト値「無効」を選択すると、SNMPアクセスはできません。SNMPコミュニティ文字列はgT8@fq+Eです。

    関連項目:

    セキュリティを保つための推奨事項と予防措置のリストは、「データの保護」を参照してください

3.3.2.3 アクティブな登録済ホストのIPアドレスの変更

Audit Vault Agentの機能に影響を与えずに稼働中の登録済ホストのIPアドレスを変更するには、この手順を使用します。

前提条件

  1. 監査証跡を停止します。詳細は、「Audit Vault Serverでの監査証跡の停止、開始および自動起動」の項を参照してください。

  2. セキュア・ターゲット・サーバーのIPアドレスを変更する前に、Audit Vault Agentを停止します。Audit Vault Agentの停止の詳細は、「エージェントの起動、停止およびその他の操作」の項を参照してください。

稼働中の登録済ホストのIPアドレスを変更する手順

  1. セキュア・ターゲット・サーバーのIPアドレスを変更します。
  2. Audit Vault GUIまたはAVCLIを使用して、Audit Vault and Database Firewallの以前に登録されたホスト・エンティティのIPアドレスを変更します。
  3. -kオプションを指定して次を実行し、Audit Vault Agentを起動します。

    agentctl start -k

  4. アクティブ化キーを入力します。
  5. 監査証跡を開始します。

3.3.3 Oracle Audit Vault Serverのsyslog宛先の構成

Oracle Audit Vault Serverのsyslogの宛先を構成する方法を学習します。

次の手順を使用して、Oracle Audit Vault Serverから送信するsyslogメッセージのタイプを構成します。メッセージ・カテゴリは、デバッグ、情報またはシステムです。また、警告メッセージをsyslogに転送できます。

syslogを構成すると、Splunk、IBM QRadar、LogRhythm、ArcSightなどの一般的なSIEMベンダーとの統合が可能になります。

前提条件

  • Oracle Audit Vault Serverコンソールに管理者としてログインします。詳細は、「Audit Vault ServerコンソールUIへのログイン」を参照してください。

  • syslog宛先用に指定するIPアドレスがOracle Audit Vault Serverとは異なるホストのものであることを確認します。

  1. 「設定」タブをクリックします。
  2. 「システム」メニューから、「コネクタ」をクリックし、「Syslog」セクションまでスクロールします。
  3. 必要に応じて、フィールドを指定します。
    • Syslog宛先(UDP): Oracle Audit Vault Serverからのsyslogメッセージの通信にユーザー・データグラム・プロトコル(UDP)を使用している場合は、このボックスを使用します。syslogメッセージの受信を許可されている各マシンのIPアドレスを空白で区切って入力します。

    • Syslog宛先(TCP): Oracle Audit Vault Serverからのsyslogメッセージの通信にトランスミッション・コントロール・プロトコル(TCP)を使用している場合は、このボックスを使用します。syslogメッセージの受信を許可されている各サーバーのIPアドレスとポートの組合せを空白で区切って入力します。

    • Syslogカテゴリ: 次のように、生成するsyslogメッセージのタイプを選択できます。

      • アラート: Oracle Audit Vault and Database Firewall監査者が指定するアラート条件に基づくアラート。

        Oracle Audit Vault and Database Firewallのアラートをsyslogに転送する場合は、この設定に加えて、Oracle Audit Vault and Database Firewall監査者がアラートの転送を構成する必要があります。

      • Debug: エンジニアリング・デバッグ・メッセージ(Oracleサポートでのみ使用されます)。

      • 情報: Oracle Audit Vault and Database Firewallの一般的なメッセージおよびプロパティの変更。

      • システム: Oracle Audit Vault and Database Firewallまたはその他のソフトウェアによって生成される、syslog優先度レベルが少なくともINFOのシステム・メッセージ。

  4. 「保存」をクリックします。
  5. 2つのOracle Audit Vault Serverを回復可能なペアとして使用する場合は、2番目のOracle Audit Vault Serverで初期システム設定およびオプションの指定を繰り返します。

    関連項目:

3.4 電子メール通知サービスの構成

ここでのトピック

3.4.1 Oracle Audit Vault and Database Firewallの電子メール通知について

Oracle Audit Vault and Database Firewallの電子メール通知について学習します。

監査者は、アラートまたはレポートが生成されたときにユーザーに電子メール通知を送信するように、Oracle Audit Vault and Database Firewallを構成できます。これを行うには、SMTPサーバーを構成して電子メール通知を有効にする必要があります。電子メール通知は、テキスト形式でモバイル機器に送信するか、SMSゲートウェイを経由してルーティングできます。

ノート:

  • Oracle Audit Vault and Database Firewall用にSMTP (またはESMTP)サーバーを構成できます。
  • セキュアでないSMTPサーバーと認証済のセキュアなSMTPサーバーの両方と連携して機能するように、Oracle Audit Vault and Database Firewallを構成できます。

関連項目:

アラートの構成およびレポートの生成の詳細は、『Oracle Audit Vault and Database Firewall監査者ガイド』を参照してください

3.4.2 Oracle Audit Vault and Database Firewallの電子メール通知の構成

Oracle Audit Vault and Database Firewallの電子メール通知を構成する方法を学習します。

前提条件

Audit Vault Serverコンソールにスーパー管理者としてログインします。詳細は、「Audit Vault ServerコンソールUIへのログイン」を参照してください。

電子メール通知サービスを構成するには:

  1. 「設定」タブをクリックし、「システム」メニューで「コネクタ」をクリックします。
  2. 「SMTPサーバー・アドレス」フィールドに、SMTPサーバーのIPアドレスを入力します。
  3. 「SMTPポート」フィールドに、SMTPサーバー・ポートを入力します。
  4. 「送信元ユーザー名」フィールドに、電子メールの送信者として使用するユーザー名を入力します。
  5. 「送信元アドレス」フィールドに、電子メール通知に表示される送信者のアドレスを入力します。
  6. このSMTPサーバーで必要な場合は、「資格証明が必要」を選択した後、「ユーザー名」「パスワード」および「パスワードの再入力」に値を指定します。
  7. このSMTPサーバーで認証が必要な場合は、「セキュアな接続が必要」を選択した後、認証プロトコル(SSLまたはTLS)を選択します。

3.5 アーカイブの場所および保存ポリシーの構成

アーカイブの場所および保存ポリシーの構成について学習します。

ノート:

表領域をアーカイブおよびリストアする場合は、次のルールに注意してください。

  • リストア・ポリシーは、この項のガイドラインに従う必要があります。

  • アーカイブする必要がある表領域と、ポリシーの記述に従ってパージする必要がある対応する表領域を確認します。

  • 空の表領域にはデータをリストアできません。適宜確認します。

  • 表領域が削除期間に入った場合は、Oracle Audit Vault Serverから自動的に削除されます。

  • すべての表領域は、オフラインに移行する月と削除される月の名前によって一意に識別されます。表領域は、ユーザーが作成したポリシーに基づいて自動的に作成されます。

  • 保存ポリシーが変更されると、新しいポリシーが翌月の受信データに適用されます。これは、古いポリシーに準拠する既存の表領域には影響しません。

  • 表領域がオフライン期間に入ったら、その表領域をアーカイブできます。

  • 表領域のリストア後は、実際にオンラインになります。表領域を解放するとオフラインになります。表領域を解放した後に再度アーカイブする必要があります。

3.5.1 Oracle Audit Vault And Database Firewallでのデータのアーカイブおよび取得について

Oracle Audit Vault and Database Firewallでは、情報ライフ・サイクル計画の一環として、データ・ファイルをアーカイブできます。そのためには、アーカイブ(保存)ポリシーを作成し、ポリシーに従ってデータを転送するアーカイブの場所を構成する必要があります。企業ポリシーに従って、定期的にアーカイブすることをお薦めします。

アーカイブの場所へのデータの転送にはNFSを使用することをお薦めします。セキュア・コピー(SCP)またはWindows File Sharing (SMB)を使用してアーカイブの場所にデータを転送する場合、データ・ファイルは最初にAudit Vault Serverのステージング領域にコピーされます。したがって、ファイル・システムに追加の領域があることを確認する必要があります。そうしないと、データ・ファイルのコピーが失敗する可能性があります。SCPまたはSMBで大きいファイルを転送すると時間がかかることに注意してください。

保存(アーカイブ)ポリシーとは何か。

保存ポリシーにより、Audit Vault Serverでデータが保存される期間、データがいつアーカイブ可能になるか、およびアーカイブ・データをAudit Vault Serverに取得できる期間が決定されます。管理者が保存(アーカイブ)ポリシーを作成し、監査者が特定のポリシーを各セキュア・ターゲットやスケジュールされたレポートに割り当てます。保存ポリシーの設定は次のように指定します。

  • オンラインだった月数: 指定したオンラインの月数の間、監査データがAudit Vault Serverで使用可能になります。この期間中、データはレポートでの表示に使用可能です。この期間が経過すると、監査データ・ファイルはアーカイブに使用できるようになり、レポートには表示されなくなります。管理者がこれらのデータ・ファイルをアーカイブすると、データはAudit Vault Serverから物理的に削除されます。

  • アーカイブされていた月数: アーカイブされた監査データは、「アーカイブされていた月数」で指定された月数の間、Audit Vault Serverに取得できます。この期間中にデータが取得された場合、レポートで再び使用可能になります。このアーカイブ期間が経過すると、Audit Vault Serverにデータを取得できなくなります。

保存期間は、セキュア・ターゲットで監査イベントが発生した時間に基づきます。監査者がセキュア・ターゲットまたはスケジュールされたレポートに対して保存ポリシーを選択しなかった場合、デフォルトの保存ポリシーが使用されます(12か月のオンライン保存および12か月のアーカイブ)。

次のような保存ポリシーがあると仮定します。

  • オンラインだった月数: 2

  • アーカイブされていた月数: 4

この保存ポリシーにより、2か月前より新しいデータがAudit Vault Serverで使用できます。2か月より古くなったデータは、アーカイブに使用可能となり、レポートには表示されなくなります。アーカイブされたデータは、4か月間取得できます。このデータは、2か月前より古くて6か月前よりは新しく、アーカイブからAudit Vault Serverに取得できます。6か月前よりも古くなったデータは、もう使用できません。

新たに収集されたデータが保存ポリシーの制限よりも古い場合

新規に構成されたセキュア・ターゲット、または既存のセキュア・ターゲット上の新規の監査証跡から監査データを収集する場合、セキュア・ターゲットから収集されたデータは、「オンラインだった月数」の期間よりも古い可能性があり、さらに「アーカイブされていた月数」の期間よりも古い可能性さえあります。

たとえば、保存ポリシーは前述のと同じだとします。今、新規に構成されたセキュア・ターゲットから監査データの収集を開始すると仮定します。このデータの一部が6か月より古い場合、それはオンライン月数の期間とアーカイブ月数の期間の合計よりも古くなります。この場合、Oracle Audit Vault and Database Firewallでは、新しく収集された監査レコードのうち、6か月より古いものがすべて自動的に削除されます。

ただし、この監査データの一部が2か月前から6か月前までの期間のものである場合(つまり、アーカイブ月数の期間に収まる場合)、Oracle Audit Vault and Database Firewallでは次のいずれかが行われます。

  • 新規に構成されたセキュア・ターゲットの監査証跡である場合は、監査証跡が収集されるとOracle Audit Vault and Database Firewallにより自動的にそのデータがアーカイブされます。

  • 既存のセキュア・ターゲットの新規の監査証跡である場合は、監査証跡が収集されるとOracle Audit Vault and Database Firewallにより自動的にそのレコードのアーカイブが試行されます。ただし、この処理中に、必要なデータ・ファイルを使用可能にする必要がある場合があります。

ノート:

アーカイブ場所が定義されていない場合は、オンライン期間が終了してからオフライン期間完了するまでの間に、特定のターゲットの監査データがオフラインに移行します。データはAudit Vault Serverに残り、Audit Vault Serverコンソールの「レポート」セクションで取得および表示できます。これは、デフォルトおよびユーザー定義のアーカイブおよび保存ポリシーに適用されます。

関連項目:

必要なデータ・ファイルを使用可能にする方法の詳細は、「新規の監査証跡と期限切れ監査レコードの処理」を参照してください。

3.5.2 アーカイブ場所の定義

アーカイブの場所の定義について学習します。

アーカイブ・ジョブを開始するには、アーカイブ・ファイルの宛先として1つ以上の場所を定義する必要があります。アーカイブ先の定義では、アーカイブ格納場所およびその他の設定を指定します。

アーカイブの場所へのデータの転送にはNFSを使用することをお薦めします。セキュア・コピー(SCP)またはWindows File Sharing (SMB)を使用してアーカイブの場所にデータを転送する場合、データ・ファイルは、最初にOracle Audit Vault Serverのステージング領域にコピーされます。したがって、ファイル・システムに十分な領域があることを確認する必要があります。そうしないと、データ・ファイルのコピーが失敗する可能性があります。SCPまたはSMBを使用して大きいファイルを転送すると長い時間がかかることがあります。

ノート:

バックアップ機能では、アーカイブ・ファイルはバックアップされません。アーカイブの場所にあるデータ・ファイルは、リモート・ファイル・システムに配置される可能性があるため、avbackupによってバックアップされません。これらのファイルは、NFSマウント・ポイントにある場合は、以前に構成されたマウント・ポイントと同じマウント・ポイント設定を使用して新しいシステムでリストアした後にアクセスできます。

前提条件

Audit Vault Serverに管理者としてログインします。詳細は、「Audit Vault ServerコンソールUIへのログイン」を参照してください。

アーカイブ場所を作成するには:

  1. 「設定」タブをクリックし、「アーカイブ中」「アーカイブの場所の管理」をクリックします。

    既存のアーカイブ場所のリストが表示されます。

  2. 「作成」ボタンをクリックして、次のフィールドに入力します。
    • 転送方法: データをアーカイブするマシンにOracle Audit Vault Serverからデータを転送する方法。

      • セキュア・コピー(scp): Linuxマシンでデータをアーカイブする場合に選択します。

      • Windows File Sharing (SMB): Windowsマシンでデータをアーカイブする場合に選択します。

      • ネットワーク・ファイル・システム(NFS): ネットワーク・ファイル共有またはNASを使用している場合に選択します。

    • ロケーション名: アーカイブ先の名前。この名前は、アーカイブを開始するときに、アーカイブ先を選択するために使用します。

    • リモート・ファイルシステム: 転送方法にネットワーク・ファイル・システム(NFS)を使用する場合は、既存のファイルシステムを選択できます。ファイルシステムを選択しなかった場合は、アーカイブの場所の詳細に基づいてファイルシステムが自動的に作成されます。

      ノート:

      スタンドアロン・システムでは、AVCLIユーティリティを使用して、リモート・ファイルシステムを登録できます。このファイルシステムは、Audit Vault Serverコンソールで後で選択できます。高可用性環境ではこれを行うことはできません。

      高可用性環境では、Audit Vault Serverコンソールを使用して、「新規ファイルシステムの作成」オプションを選択することによって、アーカイブの場所を作成する必要があります。

    • Address: データをアーカイブするマシンの名前またはIPアドレス。Windows File Sharingが転送方法である場合は、IPアドレスを指定します。

    • エクスポート・ディレクトリ: 転送方法にネットワーク・ファイル・システム(NFS)を使用する場合は、プライマリおよびセカンダリOracle Audit Vault Serverの両方のNFSサーバーのエクスポート・ディレクトリを入力します。このディレクトリは、NFSサーバーのetc/exportsファイル内に作成する必要があります。「エクスポート・ディレクトリ」フィールドにデータ入力する前に、このディレクトリに適切な読取りおよび書込み権限があることを確認してください。

    • Path: アーカイブ格納場所へのパス。転送方法ごとに次の点に注意しながら、(ファイルではなく)ディレクトリへのパスを入力します。

      • セキュア・コピー(scp): 先頭にスラッシュ文字がないと、パスはユーザーのホーム・ディレクトリへの相対パスになります。先頭にスラッシュがあると、パスはrootディレクトリへの相対パスになります。

      • Windows File Sharing (SMB): 共有名を入力し、その後にスラッシュとフォルダ名を入力します(例: /sharename/myfolder)。

      • ネットワーク・ファイル・システム(NFS): エクスポート・ディレクトリへの相対パスを入力します。たとえば、エクスポート・ディレクトリが/export_dirで、アーカイブ場所として指定するディレクトリへのフルパスが/export_dir/dir1/dir2である場合は、「パス」フィールドに/dir1/dir2と入力します。このサブディレクトリは、NFSサーバーのetc/exportsファイルの下に置く必要はありません。これは、アーカイブ場所の定義中に「パス」フィールドに詳細を入力するために使用されます。NFSサーバーのエクスポート・ディレクトリに直接アーカイブを配置する場合は、「パス」/ (スラッシュ)を入力します。

        完了したら、「テスト」ボタンをクリックしてNFSの場所を検証できます。

    • ポート: これは、データをアーカイブするマシン上のセキュア・コピーまたはWindowsファイル共有サービスで使用されるポート番号です。通常は、デフォルトのポート番号を使用できます。

      「転送方法」でWindows File Sharingを選択した場合は、ポート445を使用します。

    • Username: アーカイブ・データが転送されるマシンでのアカウント・ユーザー名。

    • 認証方式: セキュア・コピー(scp)が転送方法である場合は、「パスワード」を選択してログイン・パスワードを入力できます。Linuxマシンを使用している場合は、キー認証を選択できます。

      キー認証を使用している場合、リモート・マシンの管理者は、RSAキー(~/.ssh/authorized_keys)を含むファイルの権限が664に設定されていることを確認する必要があります。

    • パスワードおよびパスワードの確認: Windowsファイル共有を使用するか、認証方法として「パスワード」を選択した場合、データをアーカイブするマシンにログインするためのパスワードです。

    • 公開キー: キー認証を選択した場合に表示されます。この公開キーをコピーして、データをアーカイブするマシンの公開キー・ファイルに追加します。たとえば、~/.ssh/authorized_keysにキーを追加します。

  3. 「保存」をクリックします。

高可用性環境でのNFSの場所の管理

Oracle Audit Vault and Database Firewallは、アーカイブをサポートしています。12.2.0.11.0より前のリリースでは、アーカイブはプライマリAudit Vault Serverでのみ構成し、スタンバイ・サーバーでは構成できませんでした。フェイルオーバー後、アーカイブの場所を元のスタンバイ(新規プライマリ)で手動で設定する必要がありました。12.2.0.11.0以降のリリースでは、プライマリとスタンバイの両方のAudit Vault ServerでNFSアーカイブの場所を構成できるようになり、フェイルオーバー後に手動で実行する必要がある作業の量が減りました。

新しいNFSアーカイブの場所を作成するには、次のステップに従います。

  1. Audit Vault Serverコンソールにadminユーザーとしてログインします。
  2. 「設定」をクリックします。
  3. 「アーカイブ中」で、「アーカイブの場所の管理」をクリックします。
  4. 既存のアーカイブ場所のリストが表示されます。変更する既存のアーカイブの場所の名前をクリックします。変更を行い、「保存」をクリックします。
  5. 「作成」をクリックし、NFSを使用する新しいアーカイブの場所を作成します。
  6. 「ネットワーク・ファイル・システム(NFS)」がデフォルトで選択されます。次の詳細を入力して、新しいNFSアーカイブの場所を作成します。
    • ロケーション名
    • リモート・ファイルシステム
    • プライマリ・サーバーのアドレス
    • セカンダリ・サーバーのアドレス
    • プライマリ・サーバーのエクスポート・ディレクトリ
    • セカンダリ・サーバーのエクスポート・ディレクトリ
    • プライマリ・サーバーのパス
    • セカンダリ・サーバーのパス
  7. 「保存」をクリックします。

ノート:

  • プライマリおよびセカンダリOracle Audit Vault Serverのアーカイブの場所の宛先パスとエクスポート・ディレクトリは、一意である必要があります。NFSの場所の完全な組合せ(host:export_directory:destination_path)は、一意である必要があります。
  • リリース12.2.0.10.0以前からのアップグレード後にアーカイブ機能を有効にします。リリースBP10以前からのアップグレード後のアーカイブ機能の有効化のステップに従います。これは、Audit Vault Serverが高可用性環境にデプロイされている場合にのみ必要です。
  • 12.2.0.11.0からそれ以降のリリース(12.2.0.12.0または12.2.0.13.0)へのアップグレード後にアーカイブ機能を有効にします。BP11からそれ以降のリリースへのアップグレード後のアーカイブ機能の有効化のステップに従います。

3.5.3 アーカイブ・ポリシーの作成または削除

ここでのトピック

3.5.3.1 アーカイブ(保存)ポリシーの作成

保存ポリシーを作成したら、Oracle AVDF監査者がその保存ポリシーをセキュア・ターゲットに適用できるようになります。

前提条件

Audit Vault Serverコンソールに管理者としてログインします。詳細は、「Audit Vault ServerコンソールUIへのログイン」を参照してください。

アーカイブ(保存)ポリシーを作成するには:

  1. 「設定」タブをクリックします。
  2. 「アーカイブ中」で、「ポリシーの管理」を選択した後、「作成」ボタンをクリックします。
  3. このポリシーの名前を入力します。
  4. 「オンラインだった月数」フィールドに、アーカイブ対象のマークが付くまでAudit Vault Serverで監査データを保有する月数を入力します。デフォルト値は1です。

    たとえば、「2」と入力すると、この保存ポリシーを使用するセキュア・ターゲットの監査データは、Audit Vault Serverで2か月間オンラインで使用できた後、アーカイブ・ジョブの対象となります。オンライン状態の月数を経過すると、データはレポートに表示されなくなります。

  5. 「アーカイブされていた月数」フィールドに、アーカイブ場所で監査データを保有する月数を入力します。デフォルト値は6です。

    この値により、データをAudit Vault Serverに取得できる期間が決定されますが、データがアーカイブ場所からパージされることはありません。たとえば、「4」と入力すると、アーカイブされてから4か月間はデータをアーカイブから取得できます。

    関連項目:

    保存ポリシーの割当ての詳細は、『Oracle Audit Vault and Database Firewall監査者ガイド』を参照してください。

3.5.3.2 アーカイブ・ポリシーの削除

アーカイブ・ポリシーを削除する方法を学習します。

ユーザー定義のアーカイブ・ポリシーのみを削除できます。

前提条件

Oracle Audit Vault Serverコンソールに管理者としてログインします。詳細は、「Audit Vault ServerコンソールUIへのログイン」を参照してください。

アーカイブ(保存)ポリシーを削除するには:

  1. 「設定」タブをクリックします。
  2. 「アーカイブ中」で、「ポリシーの管理」をクリックします。
  3. 削除するユーザー定義ポリシーを選択して、「削除」をクリックします。

3.5.4 アーカイブ・ジョブまたは取得ジョブの実行

3.6 高可用性環境でのアーカイブおよび取得の管理

高可用性環境でのOracle Audit Vault and Database Firewallのデータ・アーカイブおよび取得の管理について学習します。

Oracle Audit Vault and Database Firewallは、アーカイブをサポートしています。12.2.0.11.0より前のリリースでは、アーカイブはプライマリAudit Vault Serverでのみ構成し、スタンバイ・サーバーでは構成できませんでした。フェイルオーバー後、アーカイブの場所を元のスタンバイ(新規プライマリ)で手動で設定する必要がありました。12.2.0.11.0以降のリリースでは、プライマリとスタンバイの両方のAudit Vault ServerでNFSアーカイブの場所を構成できるようになり、フェイルオーバー後に手動で実行する必要がある作業の量が減りました。

Oracle Audit Vault and Database Firewallリリース12.2.0.11.0以降では、プライマリおよびセカンダリOracle Audit Vault ServerのNFSアーカイブの場所の数が同じになります。高可用性環境でアーカイブとファイル管理の効率的な操作を行うためには、場所を同じ数にすることが重要です。

ノート:

  • admin権限を持つユーザーは、アーカイブ・タスクおよび取得タスクを実行できます。
  • プライマリおよびセカンダリOracle Audit Vault ServerのNFSアーカイブの場所を、別々のNFSサーバーにすることをお薦めします。
  • プライマリおよびセカンダリNFSサーバーをOracle Audit Vault Serverと同じデータ・センター内に配置することもお薦めします。
  • NFSは、Audit Vault Serverのマウント・ポイントです。NFSサーバーを置き換える場合は、Audit Vault Serverがマウント・ポイントにアクセスしていないことを確認してください。

前提条件

高可用性環境を構成する前に、Audit Vault Serverの回復可能なペアを構成するための前提条件に記述されている要件をすべて満たしていることを確認します。

高可用性サーバーのペアリングが正常に完了すると、プライマリおよびセカンダリOracle Audit Vault Serverに関連するNFSの場所が、プライマリOracle Audit Vault Serverのコンソールの「アーカイブの場所の管理」に表示されます。これらのNFSの場所には、高可用性の構成前と構成後にプライマリおよびセカンダリOracle Audit Vault Serverに作成された場所が含まれます。これらのNFSの場所の名前は、高可用性が構成されると、プライマリの場所の名前または場所の作成時に指定した名前になります。Oracle Audit Vault Serverコンソールには、プライマリおよびセカンダリの両方のOracle Audit Vault Serverのホスト、エクスポート・ディレクトリおよび宛先パスの詳細が表示されます。

高可用性環境でのアップグレードおよびアーカイブ機能

アップグレード処理中にアーカイブ機能が無効になるのは、NFSの場所にアーカイブされるデータファイルがある場合のみです。アップグレード処理が完了したら、管理ユーザーはアーカイブ機能を有効にする必要があります。

NFSの場所の更新または削除

スーパー管理者は、プライマリおよびセカンダリOracle Audit Vault Serverの高可用性のペアリングの後に、NFSの場所を更新または削除できます。プライマリおよびセカンダリの両方のOracle Audit Vault ServerのNFSの場所を更新または削除できます。データ・ファイルがアーカイブされている場合、その場所を更新または削除することはできません。高可用性が有効な場合は、「ロケーション名」およびプライマリ・サーバーのパスまたはセカンダリ・サーバーのパスを更新できます。

関連項目:

  • リリース12.2.0.10.0以前からのアップグレード後にアーカイブ機能を有効にします。リリースBP10以前からのアップグレード後のアーカイブ機能の有効化のステップに従います。これは、Audit Vault Serverが高可用性環境にデプロイされている場合にのみ必要です。
  • 12.2.0.11.0からそれ以降のリリース(12.2.0.12.0または12.2.0.13.0)へのアップグレード後にアーカイブ機能を有効にします。BP11からそれ以降のリリースへのアップグレード後のアーカイブ機能の有効化のステップに従います。
  • ジョブの監視
  • アーカイブ場所の定義

3.7 高可用性のための回復可能なペアの定義

Audit Vault ServerまたはDatabase Firewall (あるいはその両方)の回復可能なペアを定義できます。

Audit Vault Serverの回復可能なペアを定義する場合は、サーバーへのDatabase Firewallの追加やセキュア・ターゲットの登録などのすべての構成タスクをプライマリAudit Vault Serverで実行します。

関連項目:

高可用性の構成

3.8 Audit Vault ServerでのDatabase Firewallの登録

Audit Vault ServerでDatabase Firewallを登録する方法を学習します。

Audit Vault ServerでDatabase Firewallを登録するには、この手順を使用します。

前提条件

Audit Vault ServerにDatabase Firewallを登録するには:

  1. Audit Vault Serverの回復可能なペアがある場合は、プライマリ・サーバーにログインします。
  2. 「Database Firewall」タブをクリックします。

    「ファイアウォール」ページに、現在登録されているファイアウォールとそのステータスが表示されます。

  3. 「登録」をクリックします。
  4. Database Firewallの名前を入力し、そのIP アドレスも入力します。
  5. 「保存」をクリックします。

    証明書に問題があることを示すメッセージが表示された場合は、日付と時刻の設定がDatabase FirewallとAudit Vault Serverの両方で同じであることを確認してください。

3.9 Audit Vault Serverのシステム操作のテスト

Audit Vault Serverのシステム操作のテストについて学習します。

通常の日常的な操作を始める前に、システムが完全に動作していることを確認します。

前提条件

Audit Vault Serverに管理者としてログインします。詳細は、「Audit Vault ServerコンソールUIへのログイン」を参照してください。

システムの操作をテストするには:

  1. Audit Vault Serverの日付と時刻の設定を確認します。
  2. 「設定」タブをクリックします。
  3. 「システム」メニューで、「診断」をクリックします。
  4. 「診断の実行」ボタンをクリックし、一連の診断テストを実行して結果を確認します。

    この診断には次のテストが含まれます。

    • 構成ファイルの存在とアクセス権限

    • ファイル・システムのサニティ

    • ネットワーク構成

    • データベース・サーバー・プロセス、イベント収集プロセス、Javaフレームワーク・プロセス、HTTPサーバー・プロセスなど、システムで実行されている必要がある各種プロセスのステータス。

  5. 「ホーム」タブをクリックし、「Database Firewall」「ホスト」のステータスを確認します。

3.10 Audit Vault Server用のファイバ・チャネル・ベース・ストレージの構成

Audit Vault Server用のファイバ・チャネル・ベースのストレージの構成について学習します。

Oracle Audit Vault Serverは、ファイバ・チャネル・ベースのストレージをサポートします。ユーザーは、この手順を実行して、インストール中にこのストレージを構成できます。

ノート:

  • ファイバ・チャネル・ベース・ストレージは、Oracle Audit Vault and Database Firewallリリース12.2.0.0以降でのみサポートされます。

Audit Vault Server用のファイバ・チャネル・ベースのストレージを構成するには:

  1. Audit Vault Serverをサーバーのローカル・ディスクにインストールします。インストール中に、Audit Vault Serverによって、システム内のすべてのディスクの使用が試みられます。Fast!UTILなどのファイバ・チャネル・コントローラの構成ツールを使用して、他のディスクにアクセスできないようにします。

    ノート:

    • 他のディスクにアクセスできる場合、インストール中にこれらがフォーマットされて消去されます。

    • Oracle Audit Vault Serverは、/sys/blockでsd*、xvd*、hd*、cciss*、fio*という名前のデバイスを探します。ファイバ・チャネル・ディスクがこれらのブロック・デバイスの1つとして公開されると、インストールは成功します。

    • 最初のディスクは、使用可能な領域が300 GB以上あるローカル・ディスクにする必要があります。使用可能な領域が300 GBより少ない場合、サポートされないSANファイバ・チャネル・ディスクにブート・パーティションが割り当てられます。他のディスクのサイズは最初のディスクのサイズより大きくすることをお薦めします。

  2. ファイバ・チャネル・ベース・ストレージを使用している場合は、インストールが正常に完了したら、次の残りのステップを実行して、Oracle Automatic Storage Managementがアクティブ・パスを使用していることを確認します。それ以外の場合は、システムを再起動して、構成プロセスを完了します。

    ノート:

    マルチパスを使用するファイバ・チャネル・ベース・ストレージは、Oracle Audit Vault and Database Firewallではサポートされていません。

  3. Audit Vault Serverにrootとしてログインします。
  4. 次のコマンドを実行して、Oracleデータベースを停止します。
    /etc/init.d/dbfwdb stop
    /etc/init.d/asmdb stop
  5. 次のコマンドを実行して、ASMLibドライバを停止します。
    oracleasm exit
  6. /etc/sysconfig/oracleasmファイルの値を次のように変更します。
    ORACLEASM_SCANORDER=“dm /mnt”
  7. システムを再起動します。

3.11 Audit Vault Agentへのネットワーク・アドレス変換IPアドレスの追加

ネットワーク・アドレス変換(NAT) IPアドレスをAudit Vault Agentに追加できます。

Network Address Translation (NAT)は、1つのIPアドレス領域を別のIPアドレス領域に再マッピングする方法です。これは、パケットがトラフィック・ルーティング・デバイス間で移動しているときに、そのパケットのIPヘッダー内のネットワーク・アドレス情報を変更することによって行われます。Audit Vault ServerのNAT IPアドレスをAudit Vault Agentに手動で追加するには、この手順を使用します。

一部のデプロイメントでは、Audit Vault ServerはNATネットワーク内にあります。エージェントは、NATで構成されたネットワークの外部ネットワークにデプロイされ、Audit Vault Serverの実際のIPアドレスを使用しています。このような場合は、エージェントがAudit Vault Serverに到達できません。

この場合は、NATのIPアドレスおよびポート・マッピング情報をAudit Vault Serverのdbfw.confファイルに追加できます。これにより、エージェントのbootstrap.propファイルに別の接続文字列が追加され、エージェントをNATおよび非NATネットワークの両方にデプロイできるようになります。この機能は、Oracle AVDF 12.2.0.8.0以降から使用できます。

ユース・ケース

ケース 構成タイプ 説明

ケース1

高可用性がないAudit Vault Server構成。

  • 1つのAudit Vault Serverのみがあります。このサーバーはNATの背後にあります。

  • この設定のエージェントは、NATを使用せずにAudit Vault Serverに直接接続するか、NATを使用してAudit Vault Serverに接続できます。

  • Audit Vault Serverに直接接続するエージェントは、Audit Vault ServerのIPアドレスとポートを使用します。

  • Audit Vault ServerにNAT経由で接続するエージェントは、Audit Vault ServerのIPアドレスとポートを使用します。

ケース2

高可用性があるAudit Vault Server構成。

  • プライマリとセカンダリの両方のAudit Vault Serverが同じNATの背後にあります。プライマリNAT IPアドレスおよびセカンダリNAT IPアドレスは同じです。プライマリNATポートとセカンダリNATポートは異なります。

  • この設定のエージェントは、NATを使用せずに、またはNATを使用してAudit Vault Serverに接続できます。

  • Audit Vault Serverに直接接続するエージェントは、Audit Vault ServerのIPアドレスとポートを使用します。プライマリAudit Vault Serverのフェイルオーバーの場合、エージェントは、セカンダリAudit Vault ServerのIPアドレスおよびポートを使用してセカンダリAudit Vault Serverへの接続を継続します。

  • NATを使用してAudit Vault Serverに接続しているエージェントは、プライマリAudit Vault ServerのIPアドレスおよびポートを使用します。プライマリAudit Vault Serverのフェイルオーバーの場合、エージェントは、セカンダリAudit Vault ServerのIPアドレスおよびポートを使用してセカンダリAudit Vault Serverへの接続を継続します。

ケース3

異なるNAT IPアドレスを使用するプライマリおよびセカンダリAudit Vault Server。

  • プライマリとセカンダリの両方のAudit Vault Serverが2つの異なるNAT IPアドレスの背後にあります。プライマリNAT IPアドレスおよびセカンダリNAT IPアドレスは異なります。プライマリNATポートとセカンダリNATポートは同じ場合や異なる場合があります。

  • この設定のエージェントは、NATを使用せずに、またはNATを使用してAudit Vault Serverに接続できます。

  • Audit Vault Serverに直接接続するエージェントは、Audit Vault ServerのIPアドレスとポートを使用します。プライマリAudit Vault Serverのフェイルオーバーの場合、エージェントは、セカンダリAudit Vault ServerのIPアドレスおよびポートを使用してセカンダリAudit Vault Serverへの接続を継続します。

  • NATを使用してAudit Vault Serverに接続しているエージェントは、プライマリAudit Vault ServerのIPアドレスおよびポートを使用します。プライマリAudit Vault Serverのフェイルオーバーの場合、エージェントは、セカンダリAudit Vault ServerのIPアドレスおよびポートを使用してセカンダリAudit Vault Serverへの接続を継続します。

Audit Vault ServerのNAT IPアドレスをAudit Vault Agentに追加するには、次のステップを実行します。

  1. Audit Vaultコマンドライン・インタフェース(AVCLI)にadminまたはoracleユーザーとしてログインします。
  2. 先に進む前に、構成ファイルのバックアップを取得します。
    cp /usr/local/dbfw/etc/dbfw.conf /usr/local/dbfw/etc/dbfw.conf.backup
  3. 次のようにdbfw.confファイルを編集して、Audit Vault ServerにNAT IPアドレスを含めます。
    NAT_PRIMARY_IP_ADDRESS=<xx.yyy.zzz.aaa>
    NAT_PRIMARY_AGENT_PORT_TLS=<12345>
    NAT_PRIMARY_AGENT_PORT=<12346>
  4. 変更を保存します。
  5. 次のコマンドを実行して、エージェントを再生成します。
    avca configure_bootstrap
    この後、ダウンロードされたすべてのエージェントには、NAT IPアドレスを使用した文字列のいずれかが含まれています。確認するには、次のような/var/lib/oracle/dbfw/av/conf/bootstrap.propのブートストラップ・ファイルの内容を確認します。
    SYS.CONNECT_STRING999=(DESCRIPTION=(ENABLE=BROKEN)(ADDRESS=(PROTOCOL=TCP)(HOST=10.240.114.167)(PORT=13031))(CONNECT_DATA=(SERVICE_NAME=DBFWDB.DBFWDB)))
    SYS.SSL_CONNECT_STRING999=(DESCRIPTION=(ADDRESS=(PROTOCOL=TCPS)(HOST=10.240.114.167)(PORT=13032))(CONNECT_DATA=(SERVICE_NAME=DBFWDB.DBFWDB)(SERVER=DEDICATED))(SECURITY= (SSL_SERVER_CERT_DN="DC=com,CN=avserver,OU=db,O=oracle")))
  6. 前述のケースは、前述の表に示されているケース1に適用できます。ケース2およびケース3では、Audit Vault Serverが高可用性モードになっています。これらの場合は、dbfw.confファイルを構成して、次のような一連のパラメータを追加する必要があります。
    NAT_PRIMARY_IP_ADDRESS=<xx.yyy.zzz.aaa>
    NAT_PRIMARY_AGENT_PORT_TLS=<12345>
    NAT_PRIMARY_AGENT_PORT=<12346>
    NAT_SECONDARY_IP_ADDRESS=<xx.yyy.zzz.ccc>
    NAT_SECONDARY_AGENT_PORT_TLS=<56789>
    NAT_SECONDARY_AGENT_PORT=<12678>
  7. 変更を保存します。
  8. この後、エージェントのbootstrap.propファイルは、高可用性の接続文字列を使用して構成され、IPアドレスとポートの前述のセットが含まれるようになります。これを確認するには、次のような/var/lib/oracle/dbfw/av/conf/bootstrap.propのブートストラップ・ファイルの内容を確認します。
    SYS.CONNECT_STRING999=(DESCRIPTION_LIST=(LOAD_BALANCE=off)(FAILOVER=on)(DESCRIPTION=(ENABLE=BROKEN)(ADDRESS_LIST=(LOAD_BALANCE=on)(ADDRESS=(PROTOCOL=TCP)(HOST=<NAT_PRIMARY_AGENT_PORT>)(PORT=<NAT_PRIMARY_AGENT_PORT>)))
    
    (CONNECT_DATA=(SERVICE_NAME=DBFWDB.DBFWDB)))(DESCRIPTION=(ENABLE=BROKEN)(ADDRESS_LIST=(LOAD_BALANCE=on)(ADDRESS=(PROTOCOL=TCP)(HOST=<NAT_SECONDARY_IP_ADDRESS>)(PORT=NAT_SECONDARY_AGENT_PORT>)))(CONNECT_DATA=(SERVICE_NAME=DBFWDB.DBFWDB))))
    
    SYS.SSL_CONNECT_STRING999=(DESCRIPTION_LIST=(LOAD_BALANCE=off)(FAILOVER=on)(DESCRIPTION=(ADDRESS_LIST=(LOAD_BALANCE=on)(ADDRESS=(PROTOCOL=TCPS)(HOST=<NAT_PRIMARY_IP_ADDRESS>)(PORT=<NAT_PRIMARY_AGENT_PORT_TLS>)))(CONNECT_DATA=(SERVICE_NAME=DBFWDB.DBFWDB)(SERVER=DEDICATED))(SECURITY= (SSL_SERVER_CERT_DN="DC=com,CN=avserver,OU=db,O=oracle")))(DESCRIPTION=(ADDRESS_LIST=(LOAD_BALANCE=on)(ADDRESS=(PROTOCOL=TCPS)(HOST=<NAT_SECONDARY_IP_ADDRESS>)(PORT=<NAT_SECONDARY_AGENT_PORT_TLS>)))(CONNECT_DATA=(SERVICE_NAME=DBFWDB.DBFWDB)(SERVER=DEDICATED))(SECURITY=(SSL_SERVER_CERT_DN="DC=com,CN=avserver,OU=db,O=oracle"))))