17 Oracle Key Vaultの監視および監査

Oracle Key Vault管理者は、Oracle Key Vaultシステムの監視および監査、アラートの構成、レポートの使用が可能です。

• システム・モニタリングの管理
  システム・モニタリングとは、SNMP接続、電子メール通知、syslog宛先およびシステム診断の構成などのタスクを意味します。
• Oracle Key Vaultアラートの構成Oracle Key Vault
  ダッシュボードに表示するアラートのタイプを選択できます。
• システム監査の管理
  監査には、syslogファイルの監査レコードの取得やローカル・ファイルへの監査レコードのダウンロードなどのタスクが含まれます。
• Oracle Key Vaultのレポートの使用
  Oracle Key Vaultでは、Key Vault操作に影響する様々なアクティビティに関する統計情報が収集されます。

17.1 システム・モニタリングの管理

システム・モニタリングとは、SNMP接続、電子メール通知、syslog宛先およびシステム診断の構成などのタスクを意味します。

• SNMPを使用するためのリモート・モニタリングの構成
  Simple Network Management Protocol (SNMP)が有効化されている場合、システム管理者はOracle Key Vaultアプライアンスとそのサービスをリモートで監視できます。
• 電子メール通知の構成
  電子メール通知を使用して、Oracle Key Vault管理コンソールにログインせずに、Key Vaultステータスの変更を管理者に直接通知できます。
• 個々のマルチマスター・クラスタ・ノードのSyslog宛先の構成
  各ノードで、SplunkやSIEMなどのsyslogエントリをリモート・サービスに転送できます。
• システム診断の取得
  発生する可能性のある問題をトラブルシューティングするために、システム診断ファイルを生成できます。
• ノードのOracle Audit Vault統合の構成
  ノードのOracle Audit Vault (Database Firewallコンポーネントではない)の統合を構成できます。

17.1.1 SNMPを使用するためのリモート・モニタリングの構成

Simple Network Management Protocol (SNMP)が有効化されている場合、システム管理者はOracle Key Vaultアプライアンスとそのサービスをリモートでモニタリングできます。

収集されたデータは、企業のニーズに応じてさらに処理して提示できます。

• Oracle Key VaultのSNMPの使用について
  Simple Network Management Protocol (SNMP)を使用して、ネットワーク上のデバイスのリソース使用状況を監視できます。
• ユーザーへのSNMPアクセス権の付与
  Oracle Key Vault管理者以外のユーザーを含め、任意のユーザーにSNMPデータへのアクセス権を付与できます。
• SNMPユーザー名とパスワードの変更
  ノードのSNMPユーザー名およびパスワードはいつでも変更できます。
• スタンバイ・サーバーのSNMP設定の変更
  SNMP設定は、スタンバイ・サーバー上のコマンドラインから変更します。
• SNMPを使用したOracle Key Vaultのリモート・モニタリング
  SNMPを使用すると、Oracle Key Vaultに新しいソフトウェアをインストールしなくてもOracle Key Vaultの重要なコンポーネントをリモートで監視できます。
• Oracle Key VaultのSNMP管理情報ベース変数
  Oracle Key Vaultでは、追跡可能な一連のSNMP管理情報ベース(MIB)変数が提供されています。
• 例: SNMPを使用したOracle Key Vaultの簡略化されたリモート・モニタリング
  Linuxでは、Oracle Key Vault情報を検索するために手動で入力したSNMPコマンドを簡略化できますが、有益で詳細な出力も引き続き利用できます。

17.1.1.1 Oracle Key VaultでのSNMPの使用について

Simple Network Management Protocol (SNMP)を使用して、ネットワーク上のデバイスのリソース使用状況を監視できます。

Oracle Key Vaultのモニタリングは、数百、数千のOracleおよびMySQLのデータベースがそれぞれのTDEマスター暗号化キーをOracle Key Vaultマルチマスター・クラスタに格納する場合に、Oracle Key Vaultの可用性がどれほど重要であるかを示す重大な側面です。監視する必要があるリソース使用状況のタイプには、メモリー、CPU使用率およびプロセスがあります。最大16個の(地理的に分散された)インスタンスを1つのクラスタに接続できるようにすることで、Oracle Key Vaultでは継続的にキーを使用できるとしても、個々のノードの状態はクラスタ全体のパフォーマンスおよび可用性の一因となります。

簡易ネットワーク管理プロトコル(SNMP)のサード・パーティ・ツールを使用すると、Oracle Key Vaultにアクセスするリモート・システムを監視できます。SNMPを使用してOracle Key Vaultを監視する利点は次のとおりです。

• Oracle Key VaultへのSSHアクセスを許可する必要がありません。(SSHアクセスは、使用されている期間のみ有効にする必要があります。)
• SNMPモニタリング操作を実行するために追加ツールをインストールする必要はありません。

Oracle Key Vaultでは、ユーザー認証およびデータ暗号化機能にSNMPバージョン3が使用されます。読取り可能でセキュアでないプレーンテキストで通信が行われるSNMPバージョン1および2とは異なり、SNMP 3では、ユーザーが認証され、モニタリング・サーバーとターゲットの間の通信チャネル上のデータが暗号化されます。侵入者が通信チャネルを傍受したとしても、Oracle Key Vaultからの情報を読み取ることはできません。

さらに、Oracle Key VaultでSNMPを有効にすると、キー管理サーバー(KMIPデーモン)が稼働しているかどうかを確認できます。Oracle Key VaultにはSNMPクライアント・ソフトウェアが用意されていないため、この情報を追跡するには、サード・パーティのSNMPクライアントを使用してOracle Key Vaultインスタンスをポーリングする必要があります。

Oracle Key Vaultでは、SNMP資格証明の作成と変更が監査されます。

ユーザー名およびパスワードを持つSNMPアカウントを構成するには、システム管理者ロールを持つユーザーである必要があります。SNMPデータにアクセスする際には、これらのSNMP資格証明が必要になります。

マルチマスター・クラスタでは、ユーザー名とパスワードを持つSNMPアカウントは、クラスタのすべてのノードに一度に設定できます。個々のノードに対しても設定できます。

ノート:

SNMPユーザー名およびパスワードが、Oracle Key Vault管理ユーザー・アカウント(システム管理者、キー管理者または監査マネージャ・ロール)のいずれのユーザー名およびパスワードとも同じでないことを確認する必要があります。

17.1.1.2 ユーザーへのSNMPアクセス権の付与

Oracle Key Vault管理者以外のユーザーを含め、任意のユーザーにSNMPデータへのアクセス権を付与できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のバーから「Monitoring Settings」を選択します。

   「Monitoring」ページが表示されます。

   
   図screenshot-14.2.2.1-step-2.pngの説明
3. 「Monitoring」ページで、次の情報を入力します。
   • SNMP Access: すべてのIPアドレスのクライアントにOracle Key Vaultに対する情報のポーリングを許可するには、「All」を選択し、クライアントIPアドレスに関係なく、Oracle Key Vaultに対してクライアントが情報をポーリングできないようにするには、「Disabled」を選択し、特定のIPアドレスを持つクライアントにポーリングを制限するには、「IP Address(es)」を選択します。「IP Address(es)」を選択した場合は、アクセス権を付与するユーザーのIPアドレスを「IP Address」フィールドに入力します。複数のIPアドレスはスペースで区切ります。IPアドレスの範囲を入力することはできません。各IPアドレスを個別にリストする必要があります。
   • Username: SNMP構成に関連付けるモニタリング担当者の名前を入力します。
   • 「Password」/「Confirm Password」: 大文字、小文字、数字、特殊文字がそれぞれ1文字以上含まれる、このユーザーのためのセキュアなパスワードを入力します。使用可能な特殊文字は、ピリオド(.)、カンマ(,)、アンダースコア(_)、プラス記号(+)、コロン(:)およびスペースです。SNMPパスワードは、いずれの管理ロールでOracle Key Vault管理コンソールへのログインに使用するパスワードとも同じでない必要があります。
4. 「Save」をクリックします。

17.1.1.3 SNMPユーザー名およびパスワードの変更

ノードのSNMPユーザー名およびパスワードはいつでも変更できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、「Monitoring Settings」を選択します。
3. 「Username」、「Password」および「Reenter Password」フィールドに、ユーザー名およびパスワード情報を入力します。
4. 「Save」をクリックします。

17.1.1.4 スタンバイ・サーバー上のSNMP設定の変更

SNMP設定は、スタンバイ・サーバー上のコマンドラインから変更します。

プライマリ・スタンバイ環境でSNMPサポートを追加するには、プライマリ・サーバーとスタンバイ・サーバーをペアにする前に、両方のサーバーでSNMPを構成する必要があります。これは、すべてのリクエストがプライマリ・サーバーに転送され、Oracle Key Vault管理コンソールからスタンバイ・サーバーにアクセスできなくなるためです。ただし、プライマリ・スタンバイ環境でスタンバイ・サーバー上のSNMP設定を変更できます。

1. supportユーザーとしてスタンバイ・サーバーにログインします。
2. rootユーザーに切り替えます。

   su -
   

3. Oracle Key Vaultのbinディレクトリに移動します。

   cd /usr/local/okv/bin/

4. stdby_snmp_enableスクリプトを実行します。

   ./stdby_snmp_enable parameter "options"

   このように指定した場合:

   • parameterは次のとおりです。
     • -aは、SNMPアクセスを設定します。次のoptionsを受け入れます。
       • allは、SNMPアクセスを付与します。
       • disabledは、SNMPアクセスを無効にします。
       • IP_addressesは、SNMPアクセスが付与される1つ以上のIPアドレスを指定します。各IPアドレスはスペースで区切ります。
     • -uは、ユーザーのSNMP名を設定します。
     • -pは、ユーザーのSNMPパスワードを設定します。
   • optionsは、-aパラメータでのみ使用されます。

次の例では、スタンバイ・サーバー上のSNMP設定を変更する方法を示します。

すべてのIPアドレスに対してSNMPアクセスを付与し、ユーザー名snmpuserおよびパスワードpasswordを割り当てる方法は、次のとおりです。

./stdby_snmp_enable -a "all" -u "snmpuser" -p "password"

すべてのIPアドレスからのSNMPアクセスを無効にするには、次のようにします。

./stdby_snmp_enable -a "disabled"

特定のIPアドレスに対してSNMPアクセスを付与し、ユーザー名snmpuserおよびパスワードpasswordを割り当てる方法は、次のとおりです。

./stdby_snmp_enable -a "192.0.2.1 192.0.2.3 192.0.2.3" -u "snmpuser" -p "password"

17.1.1.5 SNMPを使用したOracle Key Vaultのリモート・モニタリング

SNMPを使用すると、Oracle Key Vaultに新しいソフトウェアをインストールしなくてもOracle Key Vaultの重要なコンポーネントをリモートで監視できます。

SNMPによってOracle Key Vaultから抽出される情報をグラフィック表示するサード・パーティ・ツールもありますが、ここに示す例は、Oracle Key VaultのSNMPアカウントにネットワーク接続されているリモート・コンピュータのコマンドラインからsnmpwalkおよびsnmpgetを使用して提示されています。

1. Oracle Key Vaultを監視するリモート・ホストにログインします。
2. Oracle Key Vaultを監視しているリモート・ホストに、UCD-SNMP-MIBがインストールされていることを確認します。
3. Oracle Key VaultでサポートされているSNMP管理情報ベース(MIB)変数のオブジェクトIDを問い合せます。
   たとえば、SNMPホストで実行中のプロセスの数を追跡するとします。サード・パーティのSNMPクライアント・ユーティリティを使用して、オブジェクトIDが1.3.6.1.4.1.2021.2のKMIP MIBのステータスを次のように問い合せることができます。

   third_party_snmp_client_command -v 3 OKV_IP_address -u SNMP_user -a SHA -A SNMP_password -x AES -X SNMP_password -l authPriv iso.3.6.1.4.1.2021.2.1.2 
   

   出力は、次のようになります。

   iso.3.6.1.4.1.2021.2.1.2.1 = STRING: "mwecsvc"              <== Event collector
   iso.3.6.1.4.1.2021.2.1.2.2 = STRING: "httpd"                <== httpd
   iso.3.6.1.4.1.2021.2.1.2.3 = STRING: "kmipd"                <== KMIP daemon
   iso.3.6.1.4.1.2021.2.1.2.4 = STRING: "ora_pmon_dbfwdb"      <== embedded DB
   iso.3.6.1.4.1.2021.2.1.2.5 = STRING: "ServiceManager"       <== Golden Gate Service Manager (Monitors other processes and reports status)
   iso.3.6.1.4.1.2021.2.1.2.6 = STRING: "adminsrvr"            <== Golden Gate Admin Server (Communicates with the DB to perform certain maintenance/admin tasks)
   iso.3.6.1.4.1.2021.2.1.2.7 = STRING: "distsrvr"             <== Golden Gate Distribution Server (Sends the OGG changes to other nodes)
   iso.3.6.1.4.1.2021.2.1.2.8 = STRING: "recvsrvr"             <== Golden Gate Receiver Server 

17.1.1.6 Oracle Key VaultのSNMP管理情報ベース変数

Oracle Key Vaultには、追跡可能な一連のSNMP管理情報ベース(MIB)変数が用意されています。

次の表に、サポートされているMIB変数の一覧を示します。

表17-1 SNMPでOracle Key Vaultの追跡に使用されるMIB

MIB変数	オブジェクトID	説明
hrSystemUptime	1.3.6.1.2.1.25.1.1	Oracle Key Vaultインスタンスの実行時間を追跡します。
ifAdminStatus.x	1.3.6.1.2.1.2.2.1.7	Oracle Key Vaultネットワーク・インタフェース(x)の状態(実行中、停止中またはテスト中)を追跡します。値は次のとおりです。 1: インスタンスは実行中 2: インスタンスは停止中 3: インスタンスはテスト中
memAvailReal	1.3.6.1.4.1.2021.4.6	使用可能なRAMを追跡します。
memTotalReal	1.3.6.1.4.1.2021.4.5	RAMの合計使用量を追跡します。
ssCpuRawIdle	1.3.6.1.4.1.2021.11.53	CPUをモニタリングする場合に、アイドル状態で費やされたティック数(通常1/100秒単位)を追跡します。
ssCpuRawInterrupt	1.3.6.1.4.1.2021.11.56	CPUをモニタリングする場合に、ハードウェアの中断の処理に費やされたティック数(通常1/100秒単位)を追跡します。
ssCpuRawKernel	1.3.6.1.4.1.2021.11.55	CPUをモニタリングする場合に、カーネルレベルのコードの処理に費やされたティック数(通常1/100秒単位)を追跡します。
ssCpuRawNice	1.3.6.1.4.1.2021.11.51	CPUをモニタリングする場合に、優先順位の低いコードの処理に費やされたティック数(通常1/100秒単位)を追跡します。
ssCpuRawSystem	1.3.6.1.4.1.2021.11.52	CPUをモニタリングする場合に、システムレベルのコードの処理に費やされたティック数(通常1/100秒単位)を追跡します。
ssCpuRawUser	1.3.6.1.4.1.2021.11.50	CPUをモニタリングする場合に、ユーザーレベルのコードの処理に費やされたティック数(通常1/100秒単位)を追跡します。
ssCpuRawWait	1.3.6.1.4.1.2021.11.54	CPUをモニタリングする場合に、入出力(IO)待ち状態で費やされたティック数(通常1/100秒単位)を追跡します。
UCD-SNMP-MIB.prTable	1.3.6.1.4.1.2021.2	特定の名前で実行されているプロセスの数を追跡します。モニタリング対象の名前は、httpd (httpサーバー)、kmipd (kmipデーモン)およびora_pmon_dbfwdb (DBが停止しているかどうかを示すインジケータ)です。

関連項目:

詳細は、http://www.net-snmp.orgでNet-SNMPのドキュメントを参照してください。

17.1.1.7 例: SNMPを使用したOracle Key Vaultの簡略化されたリモート・モニタリング

Linuxでは、Oracle Key Vault情報を検索するために手動で入力したSNMPコマンドを簡略化できますが、有益で詳細な出力も引き続き利用できます。

この項の構成では、信頼できるユーザーにSNMPアクセス権を付与していることを前提としています。また、Oracle Key Vaultを監視するリモート・ホストにSNMP管理情報ベース(MIB)の変数がインストールされていることも前提としています。

たとえば、snmp_adminというSNMPユーザーに関する長いバージョンのsnmpwalkコマンドは次のとおりです。

snmpwalk -v3 OKV_IP_address -n "" -l authPriv -u snmp_admin -a SHA -A snmp_user_password -x AES -X snmp_user_password 

このコマンドでは、Oracle Key Vaultで実行されている重要なサービスをリストします。ただし、このコマンド(および他のSNMPコマンド)を変更して短くするだけでなく、サービスが実行中か停止中かなどの追加情報を表示することも可能です。

このタイプのコマンドを簡略化するために、入力するSNMPコマンドに、デフォルトのユーザーやデフォルトのセキュリティ・レベルなど、よく使用される設定が自動的に含まれるように/etc/snmp/snmp.conf構成ファイルを編集できます。このトピックの例では、ユーザーが対話形式でパスワードをコマンドラインに入力できるように、パスワード・パラメータが省略されています。

1. Oracle Key Vaultを監視するリモート・ホストにログインします。
2. 次のように表示される/etc/snmp/snmp.confを編集します。

   # As the snmp packages come without MIB files due to license reasons, 
   # loading MIBs is disabled by default. If you added the MIBs you 
   # can reenable loading them by commenting out the following line. 
     mibs : 

3. # mibs :行をコメント・アウトしてから、次のように、次の行を追加します。

   # loading MIBs is disabled by default. If you added the MIBs you 
   # can reenable loading them by commenting out the following line. 
   # mibs : 
   defSecurityName snmp_admin 
   defSecurityLevel authPriv 
   defAuthType SHA 
   defPrivType AES 

   この例では次のとおりです。

   • defSecurityName: SNMPアクセス権を付与したユーザーの名前を入力します。この例では、snmp_adminを使用します。
   • defSecurityLevel: 使用するデフォルトのセキュリティ・レベルを入力します。この例では、authPrivを使用し、これにより、認証およびプライバシによる通信が可能になります。
   • defAuthType: デフォルトの認可タイプを入力します。この例では、SHAを使用します。
   • defPrivType: デフォルトの権限タイプを入力します。この例では、AESを使用します。
4. snmpdを再起動して構成ファイルをロードします。

   たとえば、Linux 7の場合:

   systemctl restart snmpd

   Linux 6の場合:

   service snmpd restart

5. 前に示したsnmpwalkコマンドの簡略化したバージョンを実行するには、次のコマンドを入力します。

   snmpwalk okv_ip_address prNames -A snmp_user_pwd -X snmp_user_pwd

   このコマンドでは、prNamesは"プロセス名"を表し、プロセスの数ではなく名前を表示します。次に例を示します。

   $ snmpwalk 192.0.2.254 prNames -A snmp_user_pwd -X snmp_user_pwd
   UCD-SNMP-MIB::prNames.1 = STRING: mwecsvc
   UCD-SNMP-MIB::prNames.2 = STRING: httpd
   UCD-SNMP-MIB::prNames.3 = STRING: kmipd
   UCD-SNMP-MIB::prNames.4 = STRING: ora_pmon_dbfwdb
   UCD-SNMP-MIB::prNames.5 = STRING: ServiceManager
   UCD-SNMP-MIB::prNames.6 = STRING: adminsrvr
   UCD-SNMP-MIB::prNames.7 = STRING: distsrvr
   UCD-SNMP-MIB::prNames.8 = STRING: recvsrvr

snmptableコマンドの実行例は、次のようになります。

snmptable okv_ip_address prTable -A snmp_user_pwd -X snmp_user_pwd 

出力は、次のようになります。

SNMP table: UCD-SNMP-MIB::prTable 
prIndex         prNames prMin prMax prCount prErrorFlag prErrMessage prErrFix prErrFixCmd
      1         mwecsvc     1     1       1     noError      noError            
      2           httpd     1    20       9     noError      noError                
      3           kmipd     1     2       2     noError      noError                
      4 ora_pmon_dbfwdb     1     1       1     noError      noError                
      5  ServiceManager     1     1       1     noError      noError                
      6       adminsrvr     1     1       1     noError      noError               
      7        distsrvr     1     1       1     noError      noError                 
      8        recvsrvr     1     1       1     noError      noError

次の例は、snmpdfコマンドを実行する方法を示しています。

snmpdf okv_ip_address -A snmp_user_pwd -X snmp_user_pwd

出力は、次のようになります。

Description                Size (kB)      Used   Available   Used% 
/                          20027260    7247856    12779404     36%  
/usr/local/dbfw/tmp         6932408      15764     6916644      0%  
/var/log                    5932616      19932     5912684      0% 
/tmp                        1999184       3072     1996112      0% 
/var/lib/oracle           143592160   35023900   108568260     24% 

17.1.2 電子メール通知の構成

電子メール通知を使用して、Oracle Key Vault管理コンソールにログインせずに、Key Vaultステータスの変更を管理者に直接通知できます。

• 電子メール通知について
  電子メール通知は、ステータス変更についてユーザーに警告し、エンドポイント・エンロールおよびユーザー・パスワード・リセット操作のプロセスを完了するために使用されます。
• 電子メール設定の構成
  Simple Mail Transfer Protocol (SMTP)サーバー・プロパティを構成して、Oracle Key Vaultから電子メール通知を受信できます。
• 電子メール構成のテスト
  Oracle Key Vault管理コンソールでは、テスト電子メールを送信して電子メール構成をテストできます。
• ユーザーに対する電子メール通知の無効化
  Oracle Key Vault管理コンソールを使用して、電子メール通知を有効化または無効化できます。

17.1.2.1 電子メール通知について

電子メール通知は、ステータス変更についてユーザーに警告し、エンドポイント・エンロールおよびユーザー・パスワード・リセット操作のプロセスを完了するために使用されます。

電子メール通知を有効にするには、Oracle Key Vaultで電子メール設定を設定する必要があります。更新が必要なイベントを選択できます。イベントには、Oracle Key Vaultシステム・ステータス(ディスク使用率、バックアップおよびプライマリ・スタンバイなど)、ユーザーおよびエンドポイントのステータス(ユーザー・パスワード、エンドポイント証明書およびキーの有効期限など)、またはクラスタ・ステータス(ハートビート・ラグ、ネーミング競合、クラスタ全体のHSMステータスなど)が含まれます。

Oracle Key Vaultは、SMTPサーバーに対する匿名かつセキュアでない接続をサポートしています。Oracle Key Vaultでは、デフォルトで、Oracle Key VaultのJavaライブラリとともにパッケージ化されているデフォルトのJavaトラストストアを使用して、サーバー証明書が検証されます。オプションで、SMTP設定を構成すると同時にカスタム・トラストストアをアップロードして、特定の証明書または証明書チェーンが使用されるようにすることもできます。

SMTPサーバー構成はいつでも変更できます。最初はカスタムのSMTP証明書が使用され、後でデフォルトを使用することを決定した場合は、トラストストア設定をカスタムからデフォルトに変更できます。

次に例を示します。

• エンドポイント・エンロール中に生成されたエンロール・トークンをOracle Key Vaultからエンドポイント管理者に直接メールで送信できます。

• Oracle Key Vaultシステム管理者は、ユーザー・パスワードのリセット時に、ランダムな一時パスワードをユーザーに直接送信できます。

電子メール通知を正常に有効化するには、Oracle Key VaultとSMTPサーバーとの間に接続が存在する必要があります。

電子メール通知はいつでも無効化できます。

17.1.2.2 電子メール設定の構成

Simple Mail Transfer Protocol (SMTP)サーバー・プロパティを構成して、Oracle Key Vaultから電子メール通知を受信できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブをクリックしてから、「Email Settings」をクリックします。

   「Email Settings」ページが表示されます。

   
   
   図configure_email_settings.pngの説明
   

3. 「Email Settings」ページで、次の値を入力します。

   • SMTP Server Address: ユーザー・アカウント用の有効なSMTPサーバー・アドレスまたはホスト名を入力します。この設定は、ユーザーの電子メール・アカウントのSMTPサーバー設定と一致する必要があります。Oracle Key VaultからSMTPサーバーまたはホスト名に到達可能であることを確認します。SMTPホスト名を入力した場合は、「System Settings」メニューからDNSを構成して、ホスト名が解決されるようにする必要があります。

   • SMTP Port: 送信SMTPサーバーのSMTPポート番号(通常は465)を入力します。組織内で明示的な構成を使用している場合は、このポート番号を別の番号にすることができます。

   • Name: 電子メールの差出人フィールドに表示されるSMTPユーザーの別名を入力します。

   • From Address: 送信者として指定する電子メール・アドレスを入力します。

   • SMTPサーバーがセキュアな接続を必要とする場合は、「Require Secure Connection」を選択します。Microsoft Exchange Serverで匿名リレー、あるいはGmailまたはOffice365など、外部のSMTPサーバーを使用している場合は、「Require Secure Connection」を選択しないでください。外部のSMTPサーバーへのSMTPリクエストの転送がファイアウォール・ルールで許可されていることを確認してください。

     「Require Secure Connection」が選択されている場合は、「SSL」および「TLS」の2つのオプションを備えた「Authentication Protocol」フィールドが表示されます。電子メール・サーバーの認証プロトコル(「SSL」または「TLS」)を選択します。デフォルト値は「TLS」です。

   • SMTPユーザー・アカウントがある場合は、「Require Credentials」ボックスを選択します。選択すると、「Username」、「Password」および「Reenter Password」の入力フィールドが表示されます。

     • SMTPユーザー・アカウントのユーザー名を入力します。

     • SMTPユーザー・アカウントのパスワードを入力します。

     • SMTPユーザー・アカウントのパスワードを再入力します。

     注意:

     SMTPサーバーへのセキュアな接続を使用することをお薦めします。これにより、管理ユーザーやOracle Key Vaultシステム・アラートの作成などの操作で、自動生成されたトークンが電子メールを介して送信されます。

     セキュアでない接続の場合は、「Require Credentials」を選択しないでください。

   • 「Custom SMTP Server Certificate」を選択すると、「Upload Certificate File」フィールドが表示され、その右側に「Choose File」ボタンが示されます。カスタムSMTPサーバーの証明書をアップロードして、SMTPとOracle Key Vault間でTLSセッションを確立する場合は、このオプションを選択します。デフォルトのJavaトラストストアに必要な証明書が含まれていない場合は、この方法を使用してカスタム・トラストストアを追加できます。「Upload Certificate File」の後にある「Browse」をクリックして、カスタム証明書ファイルをアップロードします。

4. 「Configure」をクリックします。

   構成が成功した場合は、「SMTP successfully configured」メッセージが表示されます。

   構成が失敗した場合は、ユーザーの電子メール・アカウントのSMTPサーバー設定が正しいことを確認します。エラー・メッセージの表示に伴い、問題の特定に役立つように、エラーがあるフィールドが強調表示されます。

17.1.2.3 電子メール構成のテスト

Oracle Key Vault管理コンソールでは、テスト電子メールを送信して電子メール構成をテストできます。

構成を保存した後に、SMTPユーザー・アカウントの電子メール構成をいつでもテストできます。既存のSMTP構成を変更する場合は、構成をテストする前にその構成を保存する必要があります。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、「Email Settings」を選択します。

   「Email Settings」ページが表示されます。

3. ユーザーのSMTP設定を構成します。
4. 構成を保存します。
   構成をテストする前に、構成を保存する必要があります。
5. 「Send Test Email」セクションで、「Email Address」フィールドにユーザーの電子メール・アドレスを入力します。その後、「Test」をクリックします。

   「Oracle Key Vault: Test Message」という件名行の電子メールがユーザーに送信されます。

   Oracle Key Vaultサーバーのタイムスタンプによっては、最新の電子メールとして電子メール通知が表示されません。

   電子メール通知が受信ボックスに表示されないこともあります。この場合は、スパム・フォルダを確認してください。

   電子メール通知が受信されない場合は、「Reports」タブをクリックして、左側のサイドバーから「System Reports」を選択します。「System Reports」ページで、「Notification Report」をクリックします。リストをチェックして、電子メール通知の送信中に発生した問題を特定してください。

17.1.2.4 ユーザーに対する電子メール通知の無効化

Oracle Key Vault管理コンソールを使用して、電子メール通知を有効化または無効化できます。

Oracle Key Vaultユーザーは、電子メール・アラートを受け取らないようにすることもできます。システム管理者ロールを持つユーザーまたは自分でアカウントを管理しているユーザーのみが、電子メール通知を無効化できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Users」タブを選択します。

   「Manage Users」ページが表示されます。

3. ユーザーの「User Name」をクリックします。

   「User Details」ページが表示されます。

4. 「Do not receive email alerts」というテキストの左側にあるチェック・ボックスを選択します。
5. 「Save」をクリックします。

17.1.3 個々のマルチマスター・クラスタ・ノードのSyslog宛先の構成

各ノードで、syslogエントリをSplunkやSIEMなどのリモート・サービスに転送できます。

• ノードのSyslog宛先設定の設定
  Transmission Control Protocol (TCP)またはUser Datagram Protocol (UDP)のいずれかを使用するように、syslog宛先を設定できます。
• ノードのSyslog宛先設定のクリア
  ノードのsyslog宛先設定をクリアしてから、ノードをクラスタ設定にリセットできます。

17.1.3.1 ノードのSyslog宛先設定の設定

syslog宛先を設定して、Transmission Control Protocol (TCP)またはUser Datagram Protocol (UDP)にいずれかを使用できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「System Settings」を選択します。
3. 「Syslog」セクションで、次のいずれかのオプションを選択します。
   • TCP: TCPプロトコルを使用してsyslogを有効にします。
   • UDP: UDPプロトコルを使用してsyslogを有効にします。
4. 「Syslog Destinationsフィールドに、syslog宛先IPアドレスとポート番号をIP_address:portの形式で入力します。
   複数の宛先をスペースで区切って入力できます。
5. 「Syslog」セクションで「Save」をクリックします。

17.1.3.2 ノードのSyslog宛先設定のクリア

ノードのsyslog宛先設定をクリアして、ノードをクラスタ設定にリセットできます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「System Settings」を選択します。
3. 「Syslog」セクションで「Use Cluster Settings」ボタンをクリックします。
   「Use Cluster Settings」をクリックすると、この設定がすぐに有効になります。後で「Save」をクリックする必要はありません。

17.1.4 システム診断の取得

発生する可能性のある問題をトラブルシューティングするために、システム診断ファイルを生成できます。

• システム診断の取得について
  Oracle Key Vault診断ファイルには、Oracle Key Vaultの使用中に発生する可能性のある問題の詳細なデバッグおよびトラブルシューティング情報が提供されます。
• 診断生成ユーティリティのインストール
  Oracle Key Vault管理コンソールを使用して、診断生成ユーティリティのインストールおよび使用の手順をダウンロードできます。
• システム診断ファイルの生成
  ダウンロードするシステム診断ファイルは.zipファイル内にあります。
• 診断生成ユーティリティの一時ファイルの削除
  診断生成ユーティリティの一時ファイルを削除すると、サーバー上の領域が解放されます。
• 診断生成ユーティリティの削除
  システム診断レポートを生成する必要がなくなったら、診断生成ユーティリティを削除できます。

17.1.4.1 システム診断の取得について

Oracle Key Vault診断ファイルには、Oracle Key Vaultの使用中に発生する可能性のある問題の詳細なデバッグおよびトラブルシューティング情報が含まれています。

このファイルをダウンロードし、それをOracle Supportに提供して詳細な分析やデバッグを依頼できます。診断ファイルには空き領域に関する情報が含まれ、報告されるディスク使用量は合計ディスク・サイズに基づくのではなく、Oracle Key Vaultで使用可能な領域です。

診断レポートはデフォルトで有効ではありません。診断レポートを生成するには、この機能を有効にする必要があります。診断を有効にした後、診断レポートで取得する必要がある情報を構成できます。診断レポートを柔軟にカスタマイズしてパッケージ化できます。診断ユーティリティの初回実行時、またはOracle Key Vaultシステムの内部データベースの再起動後は、システム内のすべての診断情報を収集する必要があるため、その後の実行よりも長い時間がかかる場合があることに注意してください。

Oracle Key Vaultをアップグレードする場合は、アップグレードする前に診断生成ユーティリティを削除する必要があります。

17.1.4.2 診断生成ユーティリティのインストール

Oracle Key Vault管理コンソールを使用して、診断生成ユーティリティのインストールおよび使用の手順をダウンロードできます。

手順では、様々なカテゴリに対応するためにレポートの出力をカスタマイズする方法についても説明しています。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」を選択します。

   「Status」ページが表示されます。

   
   図diagnostics.pngの説明

3. 「Download Diagnostics」をクリックします。
   診断生成ユーティリティがインストールされていない場合は、diagnostics-not-enabled.readmeファイルをダウンロードするように求められます。
4. diagnostics-not-enabled.readmeファイルをローカル・ディレクトリに保存します。
5. このReadmeファイルの指示に従って、診断生成ユーティリティをインストールして実行し、レポート出力をカスタマイズします。
   readmeファイルには次の指示が含まれていますが、これらの指示が変更されていないかreadmeファイルをもう一度確認してください。
   1. SSHを使用してユーザーsupportとして接続し、次にrootにユーザーを切り替えます(su)。
   2. 診断生成ユーティリティをインストールします。

      /usr/local/dbfw/bin/priv/dbfw-diagnostics-package.rb --install

   3. 診断の収集を有効にします。

      /usr/local/dbfw/bin/priv/dbfw-diagnostics-package.rb --enable ALL

17.1.4.3 システム診断ファイルの生成

ダウンロードするシステム診断ファイルは、.zipファイル内にあります。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」を選択します。
   「Status」ページが表示されます。
3. 「Download Diagnostics」をクリックします。
   診断レポートを含む.zipファイルをダウンロードをするように求められます。diagnostics-not-enabled.readmeファイルのダウンロードを求められた場合は、診断生成ユーティリティがインストールされていないため、これをインストールする必要があります。
4. 診断レポートを含む.zipファイルをセキュアな場所にダウンロードします。

17.1.4.4 診断生成ユーティリティの一時ファイルの削除

診断生成ユーティリティの一時ファイルを削除すると、サーバー上の領域が解放されます。

診断レポートの実行後は、一時ファイルが蓄積されます。これらのファイルは定期的に削除してください。任意のディレクトリからこれらのファイルを削除するコマンドを実行できます。

1. 診断生成ユーティリティをダウンロードおよびインストールしたサーバーにログインします。
2. SSHを使用してユーザーsupportとして接続し、次にrootにユーザーを切り替えます(su)。
3. 次のコマンドを実行します。

   /usr/local/dbfw/bin/priv/dbfw-diagnostics-package.rb --clean

   このコマンドでは、/usr/local/dbfw/tmpディレクトリにある.zipファイルがすべて削除されます。

17.1.4.5 診断生成ユーティリティの削除

システム診断レポートを生成する必要がなくなったら、診断生成ユーティリティを削除できます。

Oracle Key Vaultをアップグレードする場合は、アップグレードする前に診断生成ユーティリティを削除する必要があります。このユーティリティを削除しても、一時ファイルは削除されません。

1. 診断生成ユーティリティをダウンロードおよびインストールしたサーバーにログインします。
2. SSHを使用してユーザーsupportとして接続し、次にrootにユーザーを切り替えます(su)。
3. 次のコマンドを実行します。

   /usr/local/dbfw/bin/priv/dbfw-diagnostics-package.rb --remove

17.1.5 ノードのOracle Audit Vault統合の構成

ノードのOracle Audit Vault (Database Firewallコンポーネントではない)の統合を構成できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「System Settings」を選択します。
3. ノードのOracle Audit Vault統合に対して「Enable」チェック・ボックスを選択します。
4. 「Enable」をクリックすると表示される「Password」および「Reenter password」フィールドに、Audit Vault and Database Firewallが監査レコードの抽出に使用するデータベースのユーザーのパスワードを入力します。
5. 「Save」をクリックします。

17.2 Oracle Key Vaultアラートの構成

Oracle Key Vaultダッシュボードに表示するアラートのタイプを選択できます。

• アラートの構成について
  システム管理者がOracle Key Vaultダッシュボードからアラートを構成できますが、すべてのユーザーがセキュリティ・オブジェクトのアラートを参照できます。
• アラートの構成
  Oracle Key Vault管理コンソールの「Reports」ページでアラートを構成できます。
• オープン・アラートの表示
  ユーザーは、自分の権限に応じてアラートを表示できます。

17.2.1 アラートの構成について

システム管理者がOracle Key Vaultダッシュボードからアラートを構成できますが、すべてのユーザーがセキュリティ・オブジェクトのアラートを参照できます。

Oracle Key Vaultダッシュボードは、管理コンソールにログインしたときに最初に表示されるページです。このページにナビゲートするには、「Home」タブをクリックします。セキュリティ・オブジェクトに関するアラートはそのオブジェクトへのアクセス権を持つすべてのユーザーに表示されますが、アラートを構成できるのはシステム管理者ロールを持っているユーザーのみです。

HSM対応のOracle Key Vaultサーバーに関するアラートを含め、Oracle Key Vaultには17個のアラートがあり、要件に応じて適切なしきい値で構成できます。

構成できるアラートは、次のとおりです。

表17-2 使用可能なアラート

アラート・タイプ	適用	目的
Cluster FIPS Not Consistent	クラスタ全体	クラスタ内の少なくとも1つ(すべてではない)のACTIVEノードがFIPSモードになると発生します
Cluster Heartbeat Lag	ノード固有	クラスタ内の別のACTIVEノードから、しきい値(デフォルトは5分間)を超えてハートビートを受信しなかった場合に発生します
Cluster HSM Not Consistent	クラスタ全体	クラスタ内の少なくとも1つ(すべてではない)のACTIVEノードがHSM対応になると発生します
Cluster Naming Conflict	クラスタ全体	ネーミング競合が解決されたときに発生します
Cluster Redo Shipping Status	ノード固有	読取り/書込みノードがREDOを読取り/書込みピアに送信できない場合に発生し、その結果、読取り専用制限モードになります
ディスク使用率	ノード固有	/var/lib/oracleパーティションの空きディスク領域の割合がしきい値(デフォルトは25%)より小さい場合に発生します
エンドポイントの証明書の有効期限	クラスタ全体	エンドポイントの証明書がしきい値(デフォルトは30日間)内で期限切れになる場合に発生します
Failed System Backup	ノード固有	最後のバックアップが正常に完了しなかった場合に発生します
Primary-Standby Data Guard Broker Status	プライマリ/スタンバイのみ	Oracle Data Guard BrokerステータスがENABLEDでない場合に発生します
Primary-Standby Data Guard Fast-Start Failover Status	プライマリ/スタンバイのみ	ファスト・スタート・フェイルオーバー・ステータスがSYNCHRONIZEDでない場合に発生します
Primary-Standby Destination Failure	プライマリ/スタンバイのみ	スイッチオーバー・ステータスがFAILED DESTINATIONの場合に発生します
Primary-Standby Restricted Mode	プライマリ/スタンバイのみ	プライマリ・スタンバイ環境で、プライマリが読取り専用制限モードで実行された場合に発生します
Primary-Standby Role Change	プライマリ/スタンバイのみ	ロール変更がある場合に発生します
Key Rotations	クラスタ全体	キーの非アクティブ化の日付がしきい値(デフォルトは7日間)内である場合に発生します
OKV Server Certificate Expiration	ノード固有	Oracle Key Vaultサーバーの証明書がしきい値(デフォルトは30日間)内で期限切れになる場合に発生します
SSH Tunnel Failure	ノード固有	SSHトンネルを使用できない場合に発生します
System Backup	ノード固有	最後の正常なバックアップがしきい値(デフォルトは14日間)を超える場合に発生します
User Password Expiration	クラスタ全体	ユーザーのパスワードがしきい値(デフォルトは14日間)内で期限切れになる場合に発生します
OKV Server Certificate Expiration	ノード固有	Oracle Key Vaultサーバーの証明書がしきい値(デフォルトは30日間)内で期限切れになる場合に発生します
Invalid HSM Configuration	ノード固有	HSM構成にエラーがある場合に発生します(デフォルトでは5分ごとにチェックされます)
Cluster Replication Lag	ノード固有	着信レプリケーション・ラグがしきい値(デフォルトは60秒)を超えた場合に発生します

17.2.2 アラートの構成

アラートは、Oracle Key Vault管理コンソールの「Reports」ページで構成できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Reports」タブを選択します。
3. 左側のサイドバーで「Configure Alerts」を選択します。

   「Configure Alerts」ページが表示され、様々なアラート・タイプと、有効期限までの日数などの情報(例: ユーザー・パスワードの有効期限)がリストされます。マルチマスター・クラスタを使用している場合、「Configure Alerts」ページには、クラスタ固有のアラート(クラスタ・ハートビート・ラグ、REDO送信ステータス、ネーミング競合解決が有効かどうかなど)が表示されます。次の図では、マルチマスター以外のクラスタ環境での「Configure Alerts」ページを示します。

   
   
   図configure_alerts_18-2.pngの説明
   

4. アラート・タイプの右側にある「Enabled」列のチェック・ボックスを選択して、アラートを有効化します。
   その後、「Limit」の下のボックスでしきい値を設定します。この値により、アラートの送信タイミングを決定します。ダッシュボードに表示する必要がないアラートについては、対応するチェック・ボックスの選択を解除します。
5. 「Save」をクリックします。

17.2.3 オープン・アラートの表示

ユーザーは、自分の権限に応じてアラートを表示できます。

システム管理者ロールを持つユーザーは、すべてのアラートを表示できます。システム管理者権限のないユーザーは、自分がアクセス権を持つオブジェクトに関するアラートのみを表示できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Reports」タブをクリックします。
   「Audit Trail」が表示されます。
3. 左側のサイドバーで「Alerts」をクリックします。

   「Alerts」ページが表示され、未解決のすべてのアラートが一覧表示されます。アラート・メッセージで言及されている問題を解決すると、アラートが自動的に削除されます。明示的に削除することはできません。

   
   図screenshot-14.7.3-step-3.pngの説明

   Oracle Key Vaultでは、システム・アラートはすべてsyslogに送信されます。次に、syslogのシステム・アラートの例を示します。

   Mar 29 18:36:29 okv080027361e7e logger[13171]: No successful backup done for 4 day(s)

   次の表に、アラートをトリガーする条件と、関連するシステム・アラート・メッセージを示します。

   条件	システム・アラート・メッセージ
   ディスク使用率	Free disk space is below threshold value (currently current value)
   エンドポイントの証明書の有効期限	Endpoint endpoint_name certificate expiration date
   失敗したシステム・バックアップ	Most recent backup failed!
   キー・ローテーション	Key unique_ID expiration: <date>
   プライマリ/スタンバイの宛先に関する障害	One or more standy servers are in an error state. HA destination failure.
   プライマリ・スタンバイOracle Data Guard Brokerステータス	Data Guard Broker is disabled
   プライマリ・スタンバイOracle Data Guardファスト・スタート・フェイルオーバー・ステータス	HA FSFO is not synchronized. FSFO status is HA_status
   プライマリ/スタンバイ制限モード	HA running in read-only restricted mode
   プライマリ/スタンバイ・ロールの変更	HA role changed. Primary IP Address: IP_address
   SSHトンネルの障害	SSH tunnel (IP IP_address) is not available
   システム・バックアップ	No successful backup for number day(s)
   ユーザー・パスワード有効期限	User user_name password expiration: date
   無効なHSM構成	HSM configuration error. Please refer to the HSM Alert section in the Oracle Key Vault HSM Integration Guide
   クラスタ・レプリケーション・ラグ	Replication lag from node node_name to node node_name is greater than number seconds.

17.3 システム監査の管理

監査には、syslogファイルの監査レコードの取得やローカル・ファイルへの監査レコードのダウンロードなどのタスクが含まれます。

• Oracle Key Vaultでの監査について
  Oracle Key Vaultでは、すべてのエンドポイントおよびユーザー・アクティビティが記録され、タイムスタンプが付けられます。
• 監査レコードを格納するためのSyslogの構成
  システム管理者がこの機能を有効にしている場合は、監査レコードを格納するようにOracle Key Vaultのsyslogを構成できます。
• マルチマスター・クラスタの監査設定の構成
  マルチマスター・クラスタの監査を有効または無効にできます。
• 監査レコードの表示
  監査レコードを表示するには、Oracle Key Vault管理コンソールの「Audit Trail」ページにアクセスします。
• 監査レコードのエクスポートおよび削除
  Oracle Key Vault監査レコードは、.csvファイルに格納されています。
• Audit VaultとDatabase Firewallとの監査統合
  監査統合のために、Oracle Key Vault監査データをAudit VaultとDatabase Firewall (AVDF)に転送できます。

17.3.1 Oracle Key Vaultの監査について

Oracle Key Vaultでは、すべてのエンドポイントおよびユーザー・アクティビティが記録され、タイムスタンプが付けられます。

監査レコードには、エンドポイント・グループおよびユーザー・グループが、エンドポイントのエンロールおよびユーザー・パスワードのリセットから、キーやウォレットの管理、およびシステム設定やSNMP資格証明の変更に至るまで、含まれています。監査証跡では、誰がどのアクションを開始したかに関する詳細を、キーとトークン、およびアクションの結果とともに取得します。また、各アクションが成功したか失敗したかも記録されます。

監査マネージャ・ロールを持っているユーザーのみが、Oracle Key Vaultアクティビティの監査証跡を管理できます。各ユーザーは、ユーザーがアクセスできるオブジェクトの監査レコードを表示できます。

監査はバックグラウンドで行われ、Oracle Key Vaultでは常に有効化されています。これを無効にすることはできません。

監査マネージャ・ロールを持っているユーザーは、すべての監査レコードを参照および管理できます。その他のユーザーは、自分が作成したか、アクセス権が付与されているセキュリティ・オブジェクトに関連する監査レコードのみを参照できます。

監査マネージャは、監査レコードをエクスポートして、システム・アクティビティをオフラインで確認できます。レコードをエクスポートした後、監査マネージャは、リソースを解放するためにシステムからレコードを削除できます。

17.3.2 監査レコードを格納するようにSyslogを構成

監査レコードを格納するようにOracle Key Vaultのsyslogを構成できます(システム管理者がこの機能を有効にしている場合)。

1. 監査マネージャ・ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Reports」タブをクリックします。

   「Audit Trail」ページが表示されます。

3. 「Audit Settings」ボタンをクリックします。

   「Audit Settings」ページが表示されます。

   
   
   図config_syslog.pngの説明
   

4. 次の設定を入力します。
   • Scope: 「Node」を選択して、監査レコードを現在のノードで生成されたものに限定するか、または「Cluster」を選択して、マルチマスター・クラスタ環境全体の監査レコードを取得します。
   • Send Audit Records To Syslog: 「Yes」をクリックします。
5. 「Save」をクリックします。
   syslogが構成されていない場合は、「Syslog forwarding to remote machines not enabled」というエラー・メッセージが表示されます。このエラーが表示された場合は、エラー・ダイアログを閉じて次のステップに進みます。
6. syslogが構成されている場合は、次を実行します。
   1. 「System」タブを選択し、「System Settings」を選択します。
   2. 「Settings」ページで、「Syslog」ペインに移動します。
   3. syslogファイルの転送に使用するプロトコルを選択します: TCPまたはUDP。
   4. syslogファイルが格納されるリモート・システムのIPアドレスを入力します。
7. 「Save」をクリックします。

17.3.3 マルチマスター・クラスタの監査設定の構成

マルチマスター・クラスタの監査を有効または無効にできます。

また、クラスタ内の他のノードへの監査レコードのレプリケート、およびその構成済宛先へのsyslogの保存も有効または無効にできます。

1. 監査マネージャ・ロールを持っているユーザーとして任意のOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Audit Settings」を選択します。
3. 「Scope」で「Cluster」を選択します。
4. 「Cluster Audit Settings」セクションで、各アクションに対して「Yes」または「No」オプションを選択します。
   • Enable Auditing: クラスタ内のすべてのノードの監査を有効または無効にします。
   • Replicate Audit Records: クラスタ内のすべてのノードへの監査レコードのレプリケーションを有効または無効にします。
   • Send Audit Records to Syslog: システム管理者ロールを持つユーザーが構成した構成済syslogの場所への監査レコードの送信を有効または無効にします。
5. 「Save」をクリックします。
   ノード・スコープの設定を保存すると、このノードのクラスタ設定がオーバーライドされます。

17.3.4 監査レコードの表示

監査レコードを表示するには、Oracle Key Vault管理コンソールの「Audit Trail」ページにアクセスします。

「reports」ページには、デフォルトで「Audit Trail」ページが表示されます。「Audit Trail」ページには、すべてのシステム・アクティビティがリストされ、操作を行ったユーザー、操作の実行時期、操作の実行に使用されたオブジェクト、および結果に関する詳細が表示されます。

1. 監査マネージャ・ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Reports」タブをクリックします。

   「Audit Trail」ページが表示されます。オプションで、レコードをフィルタするには、表の列の見出しを選択し、ドロップダウン・リストから任意のソート順のタイプを選択します。

17.3.5 監査レコードのエクスポートおよび削除

Oracle Key Vault監査レコードは、.csvファイルに格納されています。

監査マネージャのユーザーは、.csvファイルに監査証跡をエクスポートして、このファイルをユーザーのローカル・システムにダウンロードできます。.csvファイルの内容は、「Reports」ページの監査証跡に表示される詳細と同じです。.csvファイルのタイムスタンプには、レコードがエクスポートされた特定のOracle Key Vaultサーバーのタイムゾーンが反映されます。エクスポートしたレコードは、領域を解放するために、Oracle Key Vaultサーバーから削除できます。

1. 監査マネージャ・ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Reports」タブをクリックします。

   「Audit Trail」が表示されます。

3. 右上にある「Export/Delete Audit Records」をクリックします。

   「Export/Delete Audit Records」ページが表示されます。

   
   図screenshot-export-delete-audit.pngの説明

4. カレンダ・アイコンをクリックして日付を選択します。

   選択した日付に基づいて、「Number of records to be exported/deleted」ラベルの後にレコード数が表示されます。

5. 「Export」をクリックして、監査レコードを.csvファイル形式でローカル・フォルダにダウンロードします。

   エクスポートしたレコードは、リソースを解放するために、Oracle Key Vaultから削除できます。

6. 「Delete」をクリックして、監査レコードを削除します。
7. 削除するには「OK」をクリックし、中止するには「Cancel」をクリックします。

17.3.6 Audit Vault and Database Firewallとの監査統合

監査統合のために、Audit Vault and Database Firewall (AVDF)にOracle Key Vault監査データを転送できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、「System Settings」をクリックします。

   「Settings」ページが表示されます。

3. 「Oracle Audit Vault Integration」ペインで、「Enable」の右側にあるボックスをクリックします。
   「Enter Password」および「Reenter Password」の2つのパスワード・フィールドが表示されます。
4. パスワードと確認用パスワードを入力します。

   このパスワードを安全な場所に格納します。これは、Audit Vault and Database FirewallAVDF側でセキュア・ターゲットを作成する場合に必要です。

17.4 Oracle Key Vaultのレポートの使用

Oracle Key Vaultでは、Key Vault操作に影響する様々なアクティビティに関する統計情報が収集されます。

• Oracle Key Vaultレポートについて
  レポートには、システム・アクティビティ、証明書の有効期限、キー、パスワード、権限ステータスおよびメタデータが含まれています。
• エンドポイント・レポートの表示
  エンドポイント・レポートの4つのカテゴリを表示するには、監査マネージャ・ロールを持っている必要があります。
• ユーザー・レポートの表示
  ユーザー・レポートの4つのカテゴリを表示するには、監査マネージャ・ロールを持っている必要があります。
• キーおよびウォレットのレポートの表示
  キーおよびウォレットのレポートの2つのカテゴリを表示するには、監査管理ロールを持っている必要があります。
• システム・レポートの表示
  システム・レポートの3つのカテゴリを表示するには、監査マネージャ・ロールを持っている必要があります。

17.4.1 Oracle Key Vaultのレポートについて

レポートには、システム・アクティビティ、証明書の有効期限、キー、パスワード、権限ステータスおよびメタデータが含まれています。

Oracle Key Vaultには、エンドポイント、ユーザー、キーおよびウォレット、システムに関する4つのタイプのレポートが用意されています。マルチマスター・クラスタでは、一部のレポートに、ノードID、ノード名、IPアドレスなどの追加情報が含まれます。

4つのレポート・タイプは次のとおりです。

• エンドポイント・レポートには、すべてのエンドポイント・アクティビティとエンドポイント・グループ・アクティビティ、証明書とパスワードの有効期限、およびアクセス権限の詳細が含まれています。

• ユーザー・レポートには、すべてのユーザー・アクティビティとユーザー・グループ・アクティビティ、証明書とパスワードの有効期限、およびアクセス権限の詳細が含まれています。

• キーおよびウォレットのレポートには、すべてのキーおよびウォレットに付与されているアクセス権限と、Oracle Key Vaultで管理されているTDEマスター暗号化キーの詳細がリストされます。

• システム・レポートには、実行されたシステム・バックアップとスケジュールされているシステム・バックアップの履歴、リモート・リストア・ポイントの詳細、およびRESTful APIの使用状況が含まれています。

監査マネージャ・ロールを持つユーザーは、Oracle Key Vault管理コンソールの「Audit Trail」ページからアクセスできるレポートを含むすべてのレポートを表示できます。キー管理者ロールを持つユーザーは、ユーザー・レポートとキーおよびウォレットのレポートを表示できます。システム管理者ロールを持つユーザーは、エンドポイント・レポート、ユーザー・レポートおよびシステム・レポートを表示できます。

17.4.2 エンドポイント・レポートの表示

エンドポイント・レポートの4つのカテゴリを表示するには、監査マネージャ・ロールを持っている必要があります。

Oracle Key Vaultには、「Endpoint Activity」、「Endpoint Certificate Expiry」、「Endpoint Entitlement」および「Endpoint Metadata」の4つのエンドポイント・レポートが用意されています。

1. 監査マネージャ・ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Reports」タブをクリックして、「Reports」ページを表示します。
3. 左側のサイドバーの「Reports」の下で「Endpoint Reports」をクリックします。

   「Endpoint Reports」ページが表示され、4つのタイプのエンドポイント・レポートが示されます。

   
   図endpoint_reports.pngの説明

4. 「Name」の下のリンクをクリックして、目的のレポートを表示します。

   たとえば、「Endpoint Certificate Expiry report」は次のように表示されます。

   
   図rpt_ep_cert_exp.pngの説明

17.4.3 ユーザー・レポートの表示

ユーザー・レポートの4つのカテゴリを表示するには、監査マネージャ・ロールを持っている必要があります。

Oracle Key Vaultには、「User Activity」、「User Entitlement」、「User Expiry」および「User Failed Login」の4つのユーザー・レポートが用意されています。

1. 監査マネージャ・ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Reports」タブをクリックします。
3. 「User Reports」をクリックして、ユーザー固有のレポートを表示します。

   「User Reports」ページが表示され、4つのタイプのユーザー・レポートが示されます。

   
   図user_reports.pngの説明

4. レポート名をクリックして、対応するユーザー・レポートを表示します。

17.4.4 キーおよびウォレットのレポートの表示

キーおよびウォレットのレポートの2つのカテゴリを表示するには、監査管理ロールを持っている必要があります。

Oracle Key Vaultには、「Entitlement」および「TDE Key Metadata」の2つのキー/ウォレット・レポートが用意されています。

1. 監査マネージャ・ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Reports」タブをクリックします。
3. 「REPORTS」という見出しの下で「Keys and Wallets Reports」をクリックします。

   「Keys and Wallets Reports」ページが表示され、レポートが示されます。

   
   図keys_wlts_repts.pngの説明

4. レポート名をクリックして、対応するレポートを表示します。

17.4.5 システム・レポートの表示

システム・レポートの3つのカテゴリを表示するには、監査マネージャ・ロールを持っている必要があります。

Oracle Key Vaultには、「Backup History」、「Backup Restoration Catalog」および「RESTful API Usage」の3つのシステム・レポートが用意されています。

1. 監査マネージャ・ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Reports」タブをクリックします。
3. 「REPORTS」という見出しの下で「System Reports」をクリックします。

   「System Reports」ページが表示され、使用可能なシステム・レポートが示されます。

   
   図system_rpts.pngの説明

4. レポート・タイプをクリックして、対応するシステム・レポートを表示します。