13 Oracle Audit Vault and Database Firewall Hybrid Cloud Deployment

Oracle Audit Vault and Database Firewall Hybrid Cloud Deploymentを使用するには、いくつかの予備タスクを実行する必要があります。

13.1 Oracle Audit Vault and Database Firewall Hybrid Cloud Deploymentおよび前提条件

Hybrid Cloudデプロイメント用にOracle Audit Vault and Database Firewallを構成できます。

Oracle AVDFハイブリッド・クラウド・デプロイメント・モデルは次のようになります。

1. Audit Vault Serverはオンプレミスでデプロイされ、ターゲットはクラウドまたはオンプレミスにデプロイされる
2. Audit Vault Serverはクラウドでデプロイされ、ターゲットはクラウドまたはオンプレミスにデプロイされる

Oracle Public Cloudデプロイメント・モデルでは、Audit Vault ServerはオンプレミスまたはOracle Cloudにデプロイされます。これはOracle Database Cloud Service、Oracle Exadata Cloud Serviceおよびオンプレミスのデータベース・インスタンスを監視します。オンプレミスまたはクラウド・ターゲットから監査データを収集できるAudit Vault Agentsを使用します。これらのエージェントは、ターゲット・データベースとAudit Vault Serverに接続します。Audit Vault Serverへの接続はJDBCを使用して、ポート1521および1522で行われます。この章では、例としてOracle Public Cloudを使用します。

Oracle以外のクラウドの場合、概念は似ていますが、エージェントとデータベース間のネットワーク接続を構成する実際の実行方法は異なります。様々なネットワーク構成、ファイアウォールおよびクラウド・プロバイダがあり、それぞれにネットワーク接続を構成する独自の方法があります。Oracle以外のクラウドで実行されているOracle DatabaseにHybrid Cloud Deploymentモデルを使用する場合、サポートはデータベースとのエージェントの相互作用に限定されます。様々なクラウド・プロバイダで使用される様々なネットワーク構成のパラダイムのため、ネットワーク接続の問題に対するサポートはクラウド・プロバイダが継続する必要があります。

オンプレミスで実行されているOracle DatabaseにHybrid Cloud Deploymentモデルを使用する場合、Audit Vault ServerはPublic Cloudで実行されます。このような場合、エージェントとAudit Vault Server間の接続を可能にするオンプレミス・ネットワークの設定は、顧客側の責任になります。Oracle AVDFのサポートはAudit Vault Agentに限定されます。接続の許可に関連する基底のネットワーク・コンポーネントは対象になりません。

TCPとTCPSは、Oracle Database Cloud Serviceの2つの接続オプションです。TCPとTCPSの接続設定はほぼ同じです。違いはポート番号です。Oracle Database Cloud Serviceクラウド・ターゲットの構成設定の主な特性を次に示します。

• TCP接続には、デフォルトで暗号化が適用されます。

• Audit Vault Agentとクラウド・ターゲットの間にTCPS接続が構成されます。

  • Audit Vault Serverで、クラウド・ターゲットに対してTCPSオプションを設定する必要があります。

  • 追加のAudit Vault Agentを使用して、オンプレミスのデータベース、ディレクトリおよびオペレーティング・システムから監査データを収集できます。

    ノート:

    • ユーザーは、複数のAudit Vault Agentを使用してDBCSインスタンスからデータを収集できます。

    • 1つのAudit Vault Serverのホスト上にインストールできるAudit Vault Agentは1つのみです。1つのAudit Vault Agentを使用して、複数の監査証跡収集を開始できます。

  • このデプロイメントには、お客様がオンプレミス環境とクラウド環境にまたがる一貫した監査ポリシーまたはセキュリティ・ポリシーに対応できる高い柔軟性があります。

Audit Vault and Database Firewall Hybrid Cloudをデプロイするための前提条件

Oracle Audit Vault and Database Firewall Hybridをデプロイする前に考慮する要因は、数多く存在します。この表では、オンプレミスのデータベースとOPCのデータベース(DBCSの場合)、およびExadata Express Cloud ServiceでAudit Vault and Database Firewall機能が使用可能であるかどうかの概要を示します。

特性	オンプレミスのDB	OPCのDB	Exadata Express Cloud Service	Data Warehouse Cloud Service
データベース表ベースの監査収集 (SYS.AUD$、SYS.FGA_LOG$など)	〇	〇	×	×
統合監査表証跡	〇	〇	〇	〇
データベース・ファイル・ベースの監査収集	〇	×	×	×
REDOログのサポート	〇	×	×	×
OSの監査収集	〇	×	×	×
権限の取得	〇	〇	〇	〇
ポリシーの取得/従来の監査証跡用のプロビジョニング	〇	〇	×	×
対話モード・レポートの表示	〇	〇	〇	〇
スケジュールされたレポートの表示	〇	〇	〇	〇
ストアド・プロシージャ監査	〇	×	×	×

Oracle Audit Vault and Database Firewall Hybrid Cloudを監査するための前提条件

DBCSターゲットの監査中に考慮する必要がある側面が複数あります。有効化された監査ポリシーの数とタイプがAudit Vault Serverに送信される監査レポートの数に直接影響するため、DBCSクラウド・ターゲットに関する監査要件と監査ポリシーが重要です。DBCSインスタンスには、様々な監査設定が適用される可能性があります。このため、ユーザーはこれらの情報をAudit Vault Serverで、または直接データベース・インスタンスで確認する必要があります。

ノート:

表ベースの監査証跡からの監査データ収集のみがサポートされています。バージョンごとの情報を次に示します。

リリース	サポートされている監査情報
Oracle Database 11g リリース11.2	ファイングレイン監査 Database Vaultの監査 sys.AUD$に格納された従来の監査データ
Oracle Database 12c以降	統合監査 Database Vaultの監査 ファイングレイン監査 sys.AUD$に格納された従来の監査データ

ノート:

SYS.AUD$とSYS.FGA_LOG$の表には、追加の列RLS$INFOがあります。統合監査証跡表にはRLS_INFO列があります。この列には、構成済の行レベルのセキュリティ・ポリシーの説明が示されます。これは、Oracle Audit Vault and Database Firewallの拡張フィールドにマップされます。この列に移入するには、ユーザーがターゲットのAUDIT_TRAILパラメータをDB EXTENDEDに設定する必要があります。

13.2 Oracle Database Cloud Service上のポートを開く

Oracle Database Cloud Service上のポートを開くことができます。

この手順は、特定のポートを開くために使用します。これは、Audit Vault and Database Firewall Hybrid Cloudをデプロイする前の前提条件の1つです。

ポートを開くには、次の手順を実行します。

1. DBCSサービスにログインします。
2. 最上部のOracleロゴの横にあるナビゲーション・メニューをクリックします。
3. Oracle Cloud Infrastructure Compute for Oracle Public Cloudサービスを選択します。
4. 次の画面で、ポート設定または許可リストの上部にある「ネットワーク」タブをクリックします。
5. セキュリティ・アプリケーションタブをクリックして、使用可能なポートのリストを表示します。
6. セキュリティ・アプリケーションの作成をクリックし、有効にする必要があるポートを指定します。
7. セキュリティ・ルールタブをクリックし、セキュリティ・ルールの作成ボタンをクリックします。
8. セキュリティ・アプリケーションフィールドで、以前に選択したアプリケーションを選択します。
9. 残りのフィールドを入力します。
10. 「作成」をクリックします。

13.3 TCPを使用したHybrid Cloudターゲットの構成

TCPモードでDBCSインスタンス用にクラウド・ターゲットを構成できます。Audit Vault ServerとAudit Vault Agentはオンプレミスでインストールされています。

13.3.1 ステップ1: Audit Vault Serverでのオンプレミス・ホストの登録

この構成ステップでは、Audit Vault Serverでオンプレミス・ホストを登録します。

Oracle Database Cloud Servicesインスタンスを監視するためのエージェントにインストールされたAudit Vault Serverにすでに登録済のオンプレミス・ホストが存在する場合は、この手順を省略してください。それ以外の場合は、オンプレミスに存在するどのターゲット・データベースでもステップはほぼ同じです。

関連項目:

Audit Vault Serverでのホストの登録

13.3.2 ステップ2: 登録されたオンプレミス・ホストでのAudit Vault Agentのインストール

この構成ステップでは、登録されたオンプレミス・ホストにOracle Audit Vaultエージェントをインストールします。

ノート:

DBCSインスタンスを監視するために計画されたオンプレミス・ホストにAudit Vault Agentがすでにインストールされている場合は、このステップを無視してください。エージェントがインストールされていない場合は、DBCSインスタンスを監視するAudit Vault Agentに関して特定の要件があります。要件または機能は次のとおりです。

1. エージェントはオンプレミスで実行される必要があります。

2. 少なくとも1つのエージェントがDBCSインスタンスの監視専用である必要があります。複数のエージェントをDBCSインスタンスの監視専用にすることもできます。

3. Audit Vault Serverでエージェントを実行しないでください。

1. オンプレミス・ホストにAudit Vault Agentをインストールします。

   関連項目:

   オンプレミス・ホストをインストールするステップの詳細は、「ホスト・コンピュータでのAudit Vault Agentのデプロイ」を参照してください。

2. Audit Vault Agentを起動します。

13.3.3 ステップ3: Oracle Database Cloud Serviceターゲット・インスタンスでのユーザー・アカウントの作成

この構成ステップでは、Oracle Database Cloud Serviceターゲット・インスタンスでユーザー・アカウントを作成します。

ノート:

オンプレミス・デプロイメントの場合は、TCP接続の接続方法が異なります。

前提条件

• 後でSQL*PlusやSQL*Developerを使用できるように、DBCSインスタンスのポート1521をTCP接続用に開く必要があります。TCP接続はデフォルトで暗号化されます。ネイティブの暗号化が使用されます。詳細なステップは、「Oracle Database Cloud Service上のポートを開く」を参照してください。

インストール手順は次のとおりです。

1. SYSDBA管理権限を持つユーザーとして、TCP経由でDBCSインスタンスへの接続が確立されていることを確認します。
2. スクリプトとそれぞれのアクションは次のとおりです。

   スクリプト	アクション
   oracle_AVDF_dbcs_user_setup.sql	ターゲット・ユーザー・アカウントを設定します。
   oracle_AVDF_dbcs_drop_db_permissions.sql	ユーザーから権限を取り消します。

3. スクリプトを実行して、特定のモードでターゲット・ユーザー・アカウントを設定します。

   oracle_AVDF_dbcs_user_setup.sql <username> <mode>

   ここで、<username>はHybrid Cloudターゲット・ユーザーのユーザー名です。

   <mode>は、次のいずれかにすることができます。

   モード	用途
   AUDIT_COLLECTION	Oracle Audit Vault and Database FirewallのOracle CloudインスタンスのTABLE監査証跡からデータを収集します。
   AUDIT_SETTING_PROVISIONING	Oracle Audit Vault and Database FirewallからOracle Cloudインスタンスの監査ポリシーを管理する権限を設定します。
   STORED_PROCEDURE_AUDITING	Oracle Cloudインスタンスのストアド・プロシージャ監査を有効にします。
   ENTITLEMENT_RETRIEVAL	Oracle Cloudインスタンスのユーザー権限の取得を有効にします。
   ALL	前述のすべてのオプションを有効にします。

13.3.4 ステップ4: ターゲットのOracle Database Cloud Serviceインスタンスでの監査ポリシーの設定または確認

この構成ステップでは、ターゲットのOracle Database Cloud Serviceインスタンスで監査ポリシーを管理する方法について説明します。

有効になっている監査ポリシーを確認し、必要に応じて変更します。Oracle Database 11gリリース11.2およびOracle Database 12cインスタンスで統合監査が有効になっていない場合は、Audit Vault Serverから監査ポリシーをプロビジョニングできます。Oracle12cインスタンスで統合証跡が有効になっている場合は、必ずDBCSインスタンス上で手動で監査ポリシーを変更してください。

ノート:

監査データの収集プロセスを開始する前に、必ずDBCSインスタンスの監査設定を確認してください。現在、1つのAudit Vault Agentで最大10個のクラウド・ターゲットの監査証跡がサポートされています。監査レコードの収集速度は、ターゲットの監査証跡ごとに1日当たり最大2500万件です。推奨されるAudit Vault Agentの構成については、Oracle Audit Vault and Database Firewallインストレーション・ガイドを参照してください。

オンプレミスのAudit Vault Serverによってデータが収集された後は、監査のクリーンアップのため、DBCSインスタンスでDBMS_AUDIT_MGMTパッケージを実行します。Audit Vault Serverは、すべてのターゲットのデータ保持ポリシーをサポートし、コンプライアンス要件を満たします。これにより、オンプレミス・インスタンスとDBCSインスタンスで異なる保持ポリシーを構成できます。

Audit Vault ServerにオンプレミスまたはDBCSインスタンス・ターゲットを追加しながら十分なストレージを確保するには、Audit Vault Serverに対するストレージ要件も確認する必要があります。

13.3.5 ステップ5: Oracle Audit Vault ServerでのOracle Database Cloud Serviceインスタンス用のターゲットの作成

この構成ステップでは、Oracle Audit Vault ServerでOracle Database Cloud Serviceインスタンス用のターゲットを作成します。

DBCSインスタンスに接続するための構成は、オンプレミス・ターゲットの場合と同じです。ユーザーは、「ターゲットの構成」ページでこれらの設定を定義する必要があります。

1. Audit Vaultコンソールに管理者としてログインします。
2. 「ターゲット」タブをクリックします。
3. 右側の「登録」ボタンをクリックします。
4. ターゲットの「名前」を入力し、「タイプ」メニューから選択します。
5. 必要に応じて、「説明」フィールドに入力します。
6. 「監査接続の詳細」サブタブで、「詳細」オプションを選択します。
7. 「プロトコル」メニューで、「TCP」を選択します。
8. 「ターゲットの場所」フィールドに、次の設定を入力します。

   jdbc:oracle:thin:@//host_ip:port_number/service_name

   あるいは、「基本」オプションを使用して、これを行うこともできます。「ホスト名/IPアドレス」、「ポート」、「サービス名」の各フィールドに詳細を入力します。

9. 「ユーザー名」と「パスワード」を入力します。
10. 「保存」をクリックし、構成変更を保存します。

13.3.6 ステップ6: Audit Vault ServerでのOracle Database Cloud Serviceインスタンス用の監査証跡の開始

この構成ステップでは、Oracle Audit Vault ServerでOracle Database Cloud Serviceインスタンス用の監査証跡を開始します。

Audit Vault ServerでDBCSインスタンス用の監査証跡を開始するには、この手順を使用します。

1. Audit Vaultコンソールに管理者としてログインします。

2. 「ターゲット」タブで、新規に登録したターゲットを選択します。

3. 「監査データ収集」セクションで、「追加」をクリックします。「監査証跡の追加」ダイアログが表示されます。

4. 監査証跡のタイプとしてTABLEを選択します。

   ノート:

   その他の証跡のタイプは、DBCSターゲット・インスタンスではサポートされません。

5. 「証跡の場所」にドロップダウン・メニューから適切な値を選択します。

   Oracle DBCSターゲットのサポートされる表証跡は、次のとおりです。

   1. UNIFIED_AUDIT_TRAIL

   2. SYS.AUD$

   3. SYS.FGA_LOG$

   4. DVSYS.AUDIT_TRAIL$

6. 「エージェント・ホスト」を選択します。

7. 「保存」をクリックし、監査証跡を追加します。

13.4 DBCSインスタンス用のTCPS接続の構成

DBCSインスタンス用のTCPS接続を構成する方法を学習します。

13.4.1 ステップ1: サーバー・ウォレットおよび証明書の作成

この構成ステップでは、サーバー・ウォレットおよび証明書の作成方法を示します。

1. TCPS接続のDBCSインスタンスでポート1522が開いていることを確認します。
   詳細は、「Oracle Database Cloud Service上のポートを開く」を参照してください。後でSQL*PlusやSQL*Developerなどの標準ツールを使用できます
2. orapkiユーティリティを実行して、新しい自動ログイン・ウォレットを作成します。

   mkdir -p <wallet path>

   orapki wallet create –wallet <wallet path> -auto_login

   ノート:

   このコマンドを使用すると、ウォレット・パスワードの入力と再入力を求めるプロンプトが表示されます。

   例:

   orapki wallet create –wallet /u01/app/example/demowallet -auto_login

3. 次のコマンドを実行して、自己署名証明書を作成し、それをウォレットにロードします。

   orapki wallet add –wallet <wallet path> -dn

   ノート:

   このコマンドを使用すると、ウォレット・パスワードの入力と再入力を求めるプロンプトが表示されます。

   CN=hostname –keysize 1024 -self_signed –validity 365

   例:

   orapki wallet add –wallet /u01/app/example/demowallet -dn

   CN=CloudAB2.abcdXY.example.somedomain –keysize 1024 -self_signed –validity 365

4. 次のコマンドを実行して、ウォレットの内容を確認します。

   orapki wallet display -wallet <wallet path>

   結果:

   ユーザー証明書であり信頼性のある証明書でもある自己署名証明書を表示します。

   Requested Certificates:
   User Certificates:
   Subject:          CN=<hostname>
   Trusted Certificates:
   Subject:          CN=<hostname>
   

   例:

   orapki wallet display –wallet /u01/app/example/demowallet

   結果:

   Oracle PKI Tool : Version 12.1.0.2
   Copyright (c) 2004, 2014, Oracle and/or its affiliates. All rights reserved.
   
   Requested Certificates:
   User Certificates:
   Subject:         CN=CloudAB2.abcdXY.example.somedomain
   Trusted Certificates:
   Subject:         CN=CloudAB2.abcdXY.example.somedomain
   

5. 次のコマンドを実行して、証明書を将来の使用のためにクライアント・ウォレットにエクスポートします。

   orapki wallet export –wallet <wallet path> -dn CN=hostname

   ノート:

   このコマンドを使用すると、ウォレット・パスワードの入力と再入力を求めるプロンプトが表示されます。

   -cert <certificate file name>.crt

   例:

   orapki wallet export –wallet /u01/app/example/demowallet –dn

   CN=CloudAB2.abcdXY.example.somedomain -cert CloudAB2-certificate.crt

6. 次のコマンドを実行して、証明書が想定どおりにエクスポートされたことを確認します。

   cat <certificate file name>.crt

   例:

   cat CloudAB2-certificate.crt

   結果:

   -----BEGIN CERTIFICATE-----
   MIIB0TCCAToCAQAwDQYJKoZIhvcNAQEEBQAwMTEvMC0GA1UEAxMmQ2xvdWRTVDIuZGViZGV2MTku
   b3JhY2xlY2xvdWQuaW50ZXJuYWwwHhcNMTYwNTExMTEyMDI2WhcNMjYwNTA5MTEyMDI2WjAxMS8w
   LQYDVQQDEyZDbG91ZFNUMi5kZWJkZXYxOS5vcmFjbGVjbG91ZC5pbnRlcm5hbDCBnzANBgkqhkiG
   9w0BAQEFAAOBjQAwgYkCgYEAr6fhuQly2t3i8gugLVzgP2kFGVXVOzqbggEIC+Qazb15JuKs0ntk
   En9ERGvA0fxHkAkCtIPjCzQD5WYRU9C8AQQOWe7UFHae7PsQX8jsmEtecpr5Wkq3818+26qU3Jyi
   XxxK/rRydwBO526G5Tn5XPsovaw/PYJxF/fIKMG7fzMCAwEAATANBgkqhkiG9w0BAQQFAAOBgQCu
   fBYJj4wQYriZIfjij4eac/jnO85EifF3L3DU8qCHJxOxRgK97GJzD73TiY20xpzQjWKougX73YKV
   Tp9yusAx/T/qXbpAD9JKyHlKj16wPeeMcS06pmDDXtJ2CYqOUwMIk53cK7mLaAHCbYGGM6btqP4V
   KYIjP48GrsQ5MOqd0w==
   -----END CERTIFICATE-----
   

13.4.2 ステップ2: クライアント(エージェント)ウォレットおよび証明書の作成

この構成ステップでは、クライアント・ウォレットおよび証明書の作成方法について説明します。

1. 次のコマンドを実行して、新しい自動ログイン・ウォレットを作成します。

   c:\>mkdir -p <client wallet dir>

   c:\>orapki wallet create –wallet "<wallet path>" -auto_login

   ノート:

   このコマンドを使用すると、ウォレット・パスワードの入力と再入力を求めるプロンプトが表示されます。

   例:

   C:\Work\CloudWallet>orapki wallet create –wallet C:\Work\CloudWallet -auto_login

   結果:

   Oracle PKI Tool : Version 12.1.0.1
   Copyright (c) 2004, 2012, Oracle and/or its affiliates. All rights reserved.
   

2. 次のコマンドを実行して自己署名証明書を作成し、ウォレットにロードします。

   c:\>orapki wallet add –wallet <client wallet path> -dn

   ノート:

   このコマンドを使用すると、ウォレット・パスワードの入力と再入力を求めるプロンプトが表示されます。

   CN=%client computer name% –keysize 1024 -self_signed –validity 365

   例:

   C:\Work\CloudWallet>orapki wallet add –wallet C:\Work\CloudWallet -dn

   CN=machine1.somedomain.com –keysize 1024 -self_signed –validity 365

   結果:

   Oracle PKI Tool : Version 12.1.0.1
   Copyright (c) 2004, 2012, Oracle and/or its affiliates. All rights reserved.

3. 次のコマンドを実行して、ウォレットの内容を確認します。

   orapki wallet display –wallet <client wallet path>

   ノート:

   このコマンドを使用すると、ウォレット・パスワードの入力と再入力を求めるプロンプトが表示されます。

   例:

   C:\Work\CloudWallet>orapki wallet display –wallet C:\Work\CloudWallet

   結果:

   Oracle PKI Tool : Version 12.1.0.1
   Copyright (c) 2004, 2012, Oracle and/or its affiliates. All rights reserved.
   
   Requested Certificates:
   User Certificates:
   Subject:       CN=machine1.foobar.example.com
   Trusted Certificates:
   Subject:       OU=Class 3 Public Primary Certification Authority,O=VeriSign\, Inc.,C=US
   Subject:       CN=GTE CyberTrust Global Root,OU=GTE CyberTrust Solutions\, Inc.,O=GTE Corporation,C=US
   Subject:       OU=Class 2 Public Primary Certification Authority,O=VeriSign\, Inc.,C=US
   Subject:       OU=Class 1 Public Primary Certification Authority,O=VeriSign\, Inc.,C=US
   Subject:       CN=machine1.foobar.example.com
   

4. 次のコマンドを実行して証明書をエクスポートし、サーバーにロードします。

   orapki wallet export –wallet <client wallet path> -dn

   ノート:

   このコマンドを使用すると、ウォレット・パスワードの入力と再入力を求めるプロンプトが表示されます。

   CN=<client computer name> -cert <clent computer name>-certificate.crt

   例:

   C:\Work\CloudWallet>orapki wallet export –wallet C:\Work\CloudWallet -dn

   CN=machine1.foobar.example.com -cert machine1-certificate.crt

   結果:

   Oracle PKI Tool : Version 12.1.0.1
   Copyright (c) 2004, 2012, Oracle and/or its affiliates. All rights reserved.

5. 次のコマンドを実行して、証明書を確認します。

   more c:\%computername%-certificate.crt

   例:

   C:\Work\CloudWallet>more machine1-certificate.crt

   結果:

   -----BEGIN CERTIFICATE-----
   MIIBsTCCARoCAQAwDQYJKoZIhvcNAQEEBQAwITEfMB0GA1UEAxMWZ2JyMzAxMzkudWsub3JhY2xl
   LmNvbTAeFw0xNjA1MTExMTQzMzFaFw0yNjA1MDkxMTQzMzFaMCExHzAdBgNVBAMTFmdicjMwMTM5
   LnVrLm9yYWNsZS5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAKH8G8sFS6l0llu+RMfl
   7Yt+Ppw8J0PfDEDbTGP5wtsrs/22dUCipU9l+vif1VgSPLE2UPJbGM8tQzTC6UYbBtWHe4CshmvD
   EVlcIMsEFvD7a5Q+P45jqNSEtV9VdbGyxaD6i5Y/Smd+B87FcQQCX54LaI9BJ8SZwmPXgDweADLf
   AgMBAAEwDQYJKoZIhvcNAQEEBQADgYEAai742jfNYYTKMq2xxRygGJGn1LhpFenHvuHLBvnTup1N
   nZOBwBi4VxW3CImvwONYcCEFp3E1SRswS5evlfIfruCZ1xQBoUNei3EJ6O3OdKeRRp2E+muXEtfe
   U+jwUE+SzpnzfpI23Okl2vo8Q7VHrSalxE2KEhAzC1UYX7ZYp1U=
   -----END CERTIFICATE-----
   

13.4.3 ステップ3: クライアント(エージェント)証明書とサーバー証明書の交換

この構成ステップでは、クライアント(エージェント)証明書とサーバー証明書の交換方法について説明します。

1. クライアント(エージェント)証明書とサーバー証明書を交換します。接続の両側がそれぞれもう一方を信頼する必要があります。したがって、証明書を必ず信頼性のある証明書としてサーバーからクライアント・ウォレットに(およびその逆に)ロードしてください。次のコマンドを実行して、サーバー証明書をクライアント・ウォレットにロードします。

   orapki wallet add –wallet <client wallet path> -trusted_cert -cert <server certificate path>

   ノート:

   このコマンドを使用すると、ウォレット・パスワードの入力と再入力を求めるプロンプトが表示されます。

   例:

   C:\Work\CloudWallet>orapki wallet add –wallet C:\Work\CloudWallet -trusted_cert -cert C:\Work\CloudWallet\CloudAB2-certificate.crt

   結果:

   Oracle PKI Tool: バージョン12.1.0.1

   Copyright (c) 2004, 2012, Oracle and/or its affiliates. All rights reserved.

2. 次のコマンドを実行して、クライアント・ウォレットの内容を確認します。

   orapki wallet display –wallet <client wallet path>

   ノート:

   このコマンドを使用すると、ウォレット・パスワードの入力と再入力を求めるプロンプトが表示されます。

   例:

   C:\Work\CloudWallet>orapki wallet display –wallet C:\Work\CloudWallet

   この自己署名証明書は信頼性のあるユーザー証明書であることに注意してください。

   結果:

   Oracle PKI Tool : Version 12.1.0.1
   Copyright (c) 2004, 2012, Oracle and/or its affiliates. All rights reserved.
   
   Requested Certificates:
   User Certificates:
   Subject:       CN=machine1.foobar.example.com
   Trusted Certificates:
   Subject:        OU=Class 1 Public Primary Certification Authority,O=VeriSign\, Inc.,C=US
   Subject:        CN=machine1.foobar.example.com
   Subject:        CN=GTE CyberTrust Global Root,OU=MNO CyberTrust Solutions\, Inc.,O=MNO Corporation,C=US
   Subject:        CN=CloudAB2.abcxy10.example.somedomain
   Subject:        OU=Class 3 Public Primary Certification Authority,O=VeriSign\, Inc.,C=US
   Subject:        OU=Class 2 Public Primary Certification Authority,O=VeriSign\, Inc.,C=US
   

3. 次のコマンドを実行して、クライアント証明書をサーバーにロードします。

   orapki wallet add –wallet <server wallet path> -trusted_cert -cert <client certificate file>

   ノート:

   このコマンドを使用すると、ウォレット・パスワードの入力と再入力を求めるプロンプトが表示されます。

   例:

   orapki wallet add –wallet /u01/app/example/demowallet -trusted_cert -cert machine1-certificate.crt

   結果:

   Oracle PKI Tool : Version 12.1.0.2
   Copyright (c) 2004, 2014, Oracle and/or its affiliates. All rights reserved.

4. 次のコマンドを実行して、クライアント・ウォレットの内容を確認します。

   orapki wallet display –wallet <client wallet path>

   ノート:

   このコマンドを使用すると、ウォレット・パスワードの入力と再入力を求めるプロンプトが表示されます。

   例:

   C:\Work\CloudWallet>orapki wallet display –wallet C:\Work\CloudWallet

   これで、サーバー証明書が信頼性のある証明書のリストに追加されました。

   結果:

   Oracle PKI Tool : Version 12.1.0.1
   Copyright (c) 2004, 2012, Oracle and/or its affiliates. All rights reserved.
   
   
   Requested Certificates:
   User Certificates:
   Subject:        CN=machine1.foobar.example.com
   Trusted Certificates:
   Subject:        OU=Class 1 Public Primary Certification Authority,O=VeriSign\, Inc.,C=US
   Subject:        CN=machine1.foobar.example.com
   Subject:        CN=GTE CyberTrust Global Root,OU=MNO CyberTrust Solutions\, Inc.,O=MNO Corporation,C=US
   Subject:        CN=CloudAB2.abcdXY.example.somedomain
   Subject:        OU=Class 3 Public Primary Certification Authority,O=VeriSign\, Inc.,C=US
   Subject:        OU=Class 2 Public Primary Certification Authority,O=VeriSign\, Inc.,C=US
   

5. 次のコマンドを実行して、クライアント証明書をサーバーにロードします。

   orapki wallet add –wallet <server wallet path> -trusted_cert -cert <client certificate file>

   ノート:

   このコマンドを使用すると、ウォレット・パスワードの入力と再入力を求めるプロンプトが表示されます。

   例:

   orapki wallet add –wallet /u01/app/example/demowallet -trusted_cert -cert machine1-certificate.crt

   結果:

   Oracle PKI Tool : Version 12.1.0.2
   Copyright (c) 2004, 2014, Oracle and/or its affiliates. All rights reserved.
   

6. 次のコマンドを実行して、サーバー・ウォレットの内容を確認します。

   orapki wallet display –wallet <wallet path>

   ノート:

   このコマンドを使用すると、ウォレット・パスワードの入力と再入力を求めるプロンプトが表示されます。

   例:

   orapki wallet display –wallet /u01/app/example/demowallet

   結果:

   Oracle PKI Tool : Version 12.1.0.2
   Copyright (c) 2004, 2014, Oracle and/or its affiliates. All rights reserved.
   
   Requested Certificates:
   User Certificates:
   Subject:        CN=CloudAB2.abcdXY.example.somedomain
   Trusted Certificates:
   Subject:        CN=CloudAB2.abcdXY.example.somedomain
   Subject:        CN=machine1.foobar.example.com
   

13.4.4 ステップ4: サーバー・ネットワークの構成

このステップでは、サーバー・ネットワークを構成する方法について説明します。

デフォルトでは、Audit Vault ServerとOracle Databaseターゲット間のデータ・セキュリティは、TCP接続を介したネットワーク暗号化によって達成されます。データ・セキュリティは、TCPS/SSL接続を使用することでも達成できます。

1. サーバー・ネットワークを構成します。次のエントリをサーバーの$ORACLE_HOME/network/admin/sqlnet.oraファイルに追加します。

   orapki wallet add –wallet <client wallet path> -trusted_cert -cert <server certificate path>

   ノート:

   このコマンドを使用すると、ウォレット・パスワードの入力と再入力を求めるプロンプトが表示されます。

   WALLET_LOCATION =
      (SOURCE =
        (METHOD = FILE)
        (METHOD_DATA =
          (DIRECTORY = /u01/app/oracle/demowallet)
        )
      )
    
   SQLNET.AUTHENTICATION_SERVICES = (TCPS,TCP,NTS,BEQ)
   SSL_CLIENT_AUTHENTICATION = TRUE
    
   SQLNET.ENCRYPTION_SERVER = ACCEPTED/REQUESTED/REJECTED
   SQLNET.CRYPTO_CHECKSUM_SERVER = ACCEPTED/REQUESTED/REJECTED

   ノート:

   1. DBCSインスタンスおよびオンプレミスでは、サーバーの暗号化は、デフォルトでREQUIREDに設定されています。サーバーの暗号化をACCEPTED、REQUESTEDまたはREJECTEDに設定してください。

   2. REJECTEDは推奨されるオプションではありません。次の表では、これらのオプションについて詳しく説明します。

   オプション	説明
   ACCEPTED	サーバーは、暗号化された接続も暗号化されていない接続も許可しません。これは、パラメータが設定されていない場合のデフォルト値です。
   REJECTED	サーバーは、暗号化されたトラフィックを許可しません。
   REQUESTED	サーバーは、可能な場合は暗号化されたトラフィックをリクエストしますが、暗号化が使用できない場合は暗号化されていないトラフィックを受け入れます。
   REQUIRED	サーバーは、暗号化されたトラフィックのみを受け入れます。

2. SSLまたはTLS暗号化接続を受け入れるようにリスナーを構成します。$ORACLE_HOME/network/admin/listener.oraファイルを編集します。ウォレットの情報とTCPSのエントリを追加します。ご使用の環境で指定したディレクトリの場所を使用して、次のように値を設定します。

   SSL_CLIENT_AUTHENTICATION = TRUE
   
   WALLET_LOCATION =
     (SOURCE =
       (METHOD = FILE)
       (METHOD_DATA =
         (DIRECTORY = /u01/app/oracle/demowallet)
       )
     )
   
   LISTENER =
     (DESCRIPTION_LIST =
       (DESCRIPTION =
         (ADDRESS = (PROTOCOL = TCP)(HOST = <host name>.localdomain)(PORT = 1521))
         (ADDRESS = (PROTOCOL = IPC)(KEY = EXTPROC1521))
         (ADDRESS = (PROTOCOL = TCPS)(HOST = <host name>.localdomain)(PORT = 1522))
       )
     )
   
   

3. 次のコマンドを実行して、リスナーを再起動します。

   $ lsnrctl stop

   例:

   $ lsnrctl start

13.4.5 ステップ5: TCPSモードでのDBCSインスタンスへの接続

TCPSでOracle Database Cloud Serviceインスタンスに接続するには、次のステップを実行します。

1. クラウド・サービスのポート1522を有効にします。
2. ポート1522が開いたら、DBCSインスタンス用のTCPS接続を構成します。
3. サーバーのウォレットと証明書を作成します。
4. クライアント(エージェント)のウォレットと証明書を作成します。
5. クライアント(エージェント)証明書とサーバー証明書を交換します。
6. サーバー・ネットワークを構成します。
7. Audit Vault AgentまたはSQL*PlusやSQL*Developerのようなツールを使用して、TCPSを介してDBCSインスタンスに接続します。

   関連項目:

   • DBCSインスタンス用のTCPS接続の構成ステップの詳細は、「DBCSインスタンス用のTCPSの構成」を参照してください。

   • Oracle Database Cloud Service上のポートを開く

13.5 TCPSを使用したHybrid Cloudターゲットの構成

TCPSモードでDBCSインスタンス用にクラウド・ターゲットを構成する方法を学習します。Audit Vault ServerとAudit Vault Agentはオンプレミスでインストールされています。

13.5.1 ステップ1: Oracle Audit Vault Serverでのオンプレミス・ホストの登録

Oracle Audit Vault Serverにオンプレミス・ホストを登録するには、この構成手順に従います。

このステップでは、Audit Vault Serverでオンプレミス・ホストを登録します。

ノート:

DBCSインスタンスを監視するためのエージェントにインストールされたAudit Vault Serverにすでに登録済のオンプレミス・ホストが存在する場合は、この手順をスキップしてください。それ以外の場合は、オンプレミスに存在するどのターゲット・データベースでもステップはほぼ同じです。ステップの詳細は、「Audit Vault Serverでのホストの登録」を参照してください。

13.5.2 ステップ2: 登録されたオンプレミス・ホストでのOracle Audit Vault AgentのインストールおよびTCPSの構成

この構成手順では、登録されたオンプレミス・ホストにOracle Audit Vaultエージェントをインストールし、TCPSを構成します。

ノート:

DBCSインスタンスを監視するために計画されたオンプレミス・ホストにAudit Vault Agentがすでにインストールされている場合は、このステップを無視してください。エージェントがインストールされていない場合は、DBCSインスタンスを監視するAudit Vault Agentに関して特定の要件があります。要件または機能は次のとおりです。

1. エージェントはオンプレミスで実行される必要があります。

2. 少なくとも1つのエージェントがDBCSインスタンスの監視専用である必要があります。複数のエージェントをDBCSインスタンスの監視専用にすることもできます。

3. Audit Vault Serverでエージェントを実行しないでください。

1. オンプレミス・ホストにAudit Vault Agentをインストールします。オンプレミス・ホストをインストールするステップの詳細は、「ホスト・コンピュータでのAudit Vault Agentのデプロイ」を参照してください。
2. Audit Vault Agentを起動します。

13.5.3 ステップ3: Oracle Database Cloud Serviceターゲット・インスタンスでのユーザー・アカウントの作成

このステップでは、Oracle Database Cloud Serviceインスタンスでユーザー・アカウントを作成します。

ノート:

オンプレミス・デプロイメントの場合は、利用する接続方法とスクリプトが異なります。

前提条件

• 後でSQL*PlusやSQL*Developerを使用できるように、DBCSインスタンスのポート1522をTCP接続用に開く必要があります。TCP接続はデフォルトで暗号化されます。ネイティブの暗号化が使用されます。詳細なステップは、「Oracle Database Cloud Service上のポートを開く」を参照してください。

手順:

1. SYSDBA管理権限を持つユーザーとして、TCPS経由でDBCSインスタンスへの接続が確立されていることを確認します。
2. サーバーのウォレットと証明書を作成します。
3. クライアントのウォレットと証明書を作成します。
4. クライアント証明書とサーバー証明書を交換します。
5. サーバー・ネットワークを構成します。

   ノート:

   サーバー・ウォレット、クライアント・ウォレット、証明書の作成および証明書の交換の詳細は、「DBCSインスタンス用のTCPS接続の構成」を参照してください。

6. 前述のステップを完了すると、ユーザーはAudit Vault AgentやSQL*PlusやSQL*Developerのようなツールを使用してTCPSでDBCSインスタンスに接続できるようになります。
7. 次のコマンドを実行して、監査取得ユーザー・アカウント作成スクリプトを作成します。

   1. oracle_AVDF_dbcs_user_setup.sql

   2. oracle_AVDF_dbcs_drop_db_permissions.sql

   ノート:

   これらのスクリプトは、オンプレミスのデータベース・インスタンスのスクリプトとは異なります。

13.5.4 ステップ4: ターゲットのOracle Database Cloud Serviceインスタンスでの監査ポリシーの設定または確認

この手順を使用して、ターゲットのOracle Database Cloud Serviceインスタンスの監査ポリシーを設定および確認します。

有効になっている監査ポリシーを確認し、必要に応じて変更します。Oracle Database 11g、Oracle Database 11.2およびOracle Database 12cリリース・インスタンスで統合監査が有効になっていない場合は、Audit Vault Serverから監査ポリシーをプロビジョニングできます。Oracle Database 12cインスタンスで統合証跡が有効になっている場合は、DBCSインスタンス上で手動で監査ポリシーを変更してください。

ノート:

• 監査データの収集プロセスを開始する前に、DBCSインスタンスの監査設定を確認してください。現在、1つのAudit Vault Agentで最大10個のクラウド・ターゲットの監査証跡がサポートされています。監査レコードの収集速度は、ターゲットの監査証跡ごとに1日当たり最大2500万件です。推奨されるAudit Vault Agentの構成については、『Oracle Audit Vault and Database Firewallインストレーション・ガイド』を参照してください。

• オンプレミスのAudit Vault Serverによってデータが収集された後は、監査のクリーンアップのため、DBCSインスタンスでDBMS_AUDIT_MGMTパッケージを実行します。Audit Vault Serverは、すべてのターゲットのデータ保持ポリシーをサポートし、コンプライアンス要件を満たします。これにより、オンプレミス・インスタンスとDBCSインスタンスで異なる保持ポリシーを構成できます。

13.5.5 ステップ5: Audit Vault ServerでのOracle Database Cloud Serviceインスタンス用のターゲットの作成

この構成ステップでは、Oracle Audit Vault ServerでOracle Database Cloud Serviceインスタンス用のターゲットを作成します。

ユーザーは、「ターゲットの構成」ページでこれらの設定を定義する必要があります。次の手順を実行します。

1. Audit Vaultコンソールに管理者としてログインします。
2. 「ターゲット」タブをクリックします。
3. 右側の「登録」ボタンをクリックします。
4. ターゲットの「名前」を入力し、「タイプ」メニューから選択します。
5. 必要に応じて、「説明」フィールドに入力します。
6. 「監査接続の詳細」サブタブで、「詳細」オプションを選択します。
7. 「プロトコル」メニューで、「TCPS」を選択します。
8. 「ウォレット」フィールドで、以前にウォレットを作成した場所に移動して、クライアント・ウォレットを選択します。
9. 「ターゲットの場所」フィールドに、次のTCPS接続文字列を入力します。

   jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS=(PROTOCOL=TCPS)(HOST=<Host IP>)(PORT=<Port Number>))(CONNECT_DATA=(SERVICE_NAME=<service name>)(SERVER=DEDICATED))(SECURITY= (SSL_SERVER_CERT_DN="DN")))

   この設定は、「基本」オプションでも可能です。「ホスト名/IPアドレス」、「サーバーDN」および「ウォレット」フィールドに詳細を入力します。

10. 「ユーザー名」と「パスワード」を入力します。
11. 「保存」をクリックし、構成変更を保存します。

    関連項目:

    ウォレットの作成の詳細は、「DBCSインスタンス用のTCPS接続の構成」を参照してください。

13.5.6 ステップ6: Audit Vault ServerでのOracle Database Cloud Serviceインスタンス用の監査証跡の開始

この構成ステップでは、Oracle Audit Vault ServerでOracle Database Cloud Serviceインスタンス用の監査証跡を開始します。

Audit Vault ServerでDBCSインスタンス用の監査証跡を開始するには、この手順を使用します。

1. Audit Vaultコンソールに管理者としてログインします。
2. 「ターゲット」タブで、新規に登録したターゲットを選択します。
3. 「監査データ収集」セクションで、「追加」をクリックします。「監査証跡の追加」ダイアログが表示されます。
4. 監査証跡のタイプとしてTABLEを選択します。

   ノート:

   その他の証跡のタイプは、DBCSターゲット・インスタンスではサポートされません。

5. 「証跡の場所」にドロップダウン・メニューから適切な値を選択します。Oracle DBCSターゲットのサポートされる表証跡は、次のとおりです。

   1. UNIFIED_AUDIT_TRAIL

   2. SYS.AUD$

   3. SYS.FGA_LOG$

   4. DVSYS.AUDIT_TRAIL$

6. 「エージェント・ホスト」を選択します。
7. 「保存」をクリックし、監査証跡を追加します。

13.6 TCPSを使用したOracle Database Exadata Express Cloud Serviceターゲットの構成

TCPSモードでOracle Database Exadata Express Cloud Serviceターゲットを構成する方法を学習します。

13.6.1 ステップ1: 登録されたオンプレミス・ホストでのAudit Vault AgentのインストールおよびTCPSの構成

このステップでは、登録されたオンプレミス・ホストにOracle Audit Vault Agentをインストールし、TCPSを構成します。

ステップ2: 登録されたオンプレミス・ホストでのOracle Audit Vault AgentのインストールおよびTCPSの構成を参照してください。

前提条件

• 正しいバージョンのJDKがインストールされていることを確認します。サポートされているJDKのバージョンは次のとおりです。

  • JDK7u80以上

  • JDK8u71

  • JDK7およびJDK8の両方のJCE Unlimited Strength Jurisdiction Policy Files。JDK 8の.jarファイルは、http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.htmlからダウンロードできます

13.6.2 ステップ2: Oracle Exadata Express Cloud Serviceインスタンスでのユーザー・アカウントの作成

この構成ステップでは、Oracle Exadata Express Cloud Serviceインスタンスにユーザー・アカウントを作成します。

手順:

1. SYSDBA管理権限を持つユーザーとして、TCPS経由でOracle Database Cloud Serviceインスタンスへの接続が確立されていることを確認します。
2. サーバーのウォレットと証明書を作成します。
3. クライアントのウォレットと証明書を作成します。
4. クライアント証明書とサーバー証明書を交換します。
5. サーバー・ネットワークを構成します。
6. 前述のステップを完了したら、Audit Vault AgentやSQL*PlusやSQL*Developerのようなツールを使用してTCPSでDBCSインスタンスに接続できるようになります。
7. 次のコマンドを実行して、監査取得ユーザー・アカウント・スクリプトを作成します。

   oracle_AVDF_E1_user_setup.sql

   oracle_AVDF_E1_drop_db_permissions.sql

   関連項目:

   サーバー・ウォレット、クライアント・ウォレット、証明書の作成および証明書の交換の詳細は、「DBCSインスタンス用のTCPS接続の構成」を参照してください。

13.6.3 ステップ3: Oracle Audit Vault ServerでのOracle Exadata Express Cloud Serviceインスタンス用のターゲットの作成

この構成ステップでは、Oracle Audit Vault ServerでOracle Exadata Express Cloud Serviceインスタンス用のターゲットを作成します。

1. Oracle Audit Vault ServerでDBCSインスタンス用のターゲットを作成します。「ステップ5: Audit Vault ServerでのOracle Database Cloud Serviceインスタンス用のターゲットの作成」を参照してください。
2. 次のコマンドを実行して、SSLバージョンのターゲットの必須属性を設定します。

   av.collector.stconn.oracle.net.ssl_version = 1.2

13.7 TCPを使用したOracle Database Exadata Express Cloud Serviceターゲットの構成

TCPモードでExadata Express Cloudターゲットを構成する方法を学習します。Audit Vault ServerとAudit Vault Agentはオンプレミスでインストールされています。

13.7.1 ステップ1: Oracle Audit Vault Serverでのオンプレミス・ホストの登録

この構成ステップでは、Oracle Audit Vault Serverでのオンプレミス・ホストの登録方法を説明します。

ステップ1: Audit Vault Serverでのオンプレミス・ホストの登録を参照してください。

13.7.2 ステップ2: 登録されたオンプレミス・ホストでのAudit Vault Agentのインストール

この構成ステップでは、登録されたオンプレミス・ホストにエージェントをインストールします。

ステップ2: 登録されたオンプレミス・ホストでのAudit Vault Agentのインストールを参照してください。

13.7.3 ステップ3: Oracle Exadata Express Cloudターゲット・インスタンスでのユーザー・アカウントの作成

この構成ステップでは、Oracle Exadata Express Cloudターゲット・インスタンスでユーザー・アカウントを作成します。

1. SYSDBA管理権限でログインし、TCPを介したDBCSインスタンスへの接続を確立します。
2. 次のコマンドを実行して、監査取得ユーザー・アカウント・スクリプトを作成します。

   oracle_AVDF_E1_user_setup.sql

   oracle_AVDF_E1_drop_db_permissions.sql

13.7.4 ステップ4: ターゲットのOracle Exadata Express Cloudインスタンスでの監査ポリシーの設定または確認

この構成ステップを使用すると、ターゲットのOracle Exadata Express Cloudインスタンス上で監査ポリシーを設定および確認できます。

ノート:

これはOracle Exadata Express Cloud Serviceインスタンスではサポートされていません。

13.7.5 ステップ5: Oracle Audit Vault ServerでのOracle Exadata Express Cloudインスタンス用のターゲットの作成

この構成ステップでは、Oracle Audit Vault ServerでOracle Exadata Express Cloudインスタンス用のターゲットを作成します。

「ステップ5: Oracle Audit Vault ServerでのOracle Database Cloud Serviceインスタンス用のターゲットの作成」を参照してください。

13.7.6 ステップ6: Oracle Audit Vault ServerでのOracle Exadata Express Cloudインスタンス用の監査証跡の開始

この構成ステップでは、Oracle Audit Vault ServerでOracle Exadata Express Cloudインスタンス用の監査証跡を開始します。

次の手順を使用して、Oracle Audit Vault ServerでOracle Exadata Express Cloudインスタンス用の監査証跡を開始します。

1. Audit Vaultコンソールに管理者としてログインします。
2. 「ターゲット」タブで、新規に登録したターゲットを選択します。
3. 「監査データ収集」セクションで、「追加」をクリックします。「監査証跡の追加」ダイアログが表示されます。
4. 監査証跡のタイプとしてTABLEを選択します。

   ノート:

   その他の証跡のタイプは、Exadata Express Cloudターゲット・インスタンスではサポートされません。

5. 「証跡の場所」にドロップダウン・メニューから適切な値を選択します。Oracle Exadata Express Cloudターゲットのサポートされる表証跡は、次のとおりです。

   1. UNIFIED_AUDIT_TRAIL

6. 「保存」をクリックし、監査証跡を追加します。

13.8 Autonomous Data WarehouseおよびAutonomous Transaction Processingの構成

TCPSモードでAutonomous Data WarehouseおよびAutonomous Transaction Processing用にOracle Database Cloud Serviceタイプをターゲットとして構成する方法を学習します。

13.8.1 ステップ1: 登録されたホストでのAudit Vault Agentのインストール

この構成ステップでは、登録されたホストにAudit Vault Agentをインストールします。

前提条件

正しいバージョンのJDKがインストールされていることを確認します。サポートされているJDKのバージョンは次のとおりです。

• JDK7u80以上
• JDK8u71
• JDK7およびJDK8の両方のJCE Unlimited Strength Jurisdiction Policy Files。JDK 8の.jarファイルは、http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.htmlからダウンロードできます

次のステップを実行します。

1. ホスト・マシンにAudit Vault Agentをインストールします。詳細なステップは、「ホスト・コンピュータでのAudit Vault Agentのデプロイ」を参照してください。
2. Audit Vault Agentを開始します。

13.8.2 ステップ2: Oracle Cloudインスタンスでのユーザー・アカウントの作成

この構成ステップでは、Oracle Cloudインスタンスにユーザー・アカウントを作成します。

この手順を完了し、Autonomous Data WarehouseまたはAutonomous Transaction Processing Cloudインスタンスのユーザー・アカウントを作成します。

1. SYSDBA管理権限を持つユーザーとして、TCPS経由でAutonomous Data Warehouse Cloudインスタンスへの接続が確立されていることを確認します。
2. データベースから監査データを収集するために使用するユーザーを作成します。
3. スクリプトoracle_AVDF_dbcs_user_setup.sqlを実行して、ユーザーに関連する権限を指定します。

   関連項目:

   DBCSインスタンス用のTCPS接続の構成

13.8.3 ステップ3: Audit Vault ServerでのCloudインスタンス用のターゲットの作成

この構成ステップでは、Audit Vault ServerでAutonomous Data WarehouseインスタンスおよびAutonomous Transaction Processing Cloudインスタンス用のターゲットを作成します。

前提条件

1. ユーザーは、Oracle Cloud Infrastructureコンソールを使用して、クライアント・ウォレットをダウンロードする必要があります。詳細は、クライアント資格証明(ウォレット)のダウンロードを参照してください。

2. クライアント・ウォレットを解凍します。ウォレットには、シングル・サインオン・ウォレット・ファイル(cwallet.sso)が含まれます。
3. ユーザーはOracle Cloud Infrastructure Consoleの使用で接続文字列を取得できます。

ユーザーは、「ターゲットの構成」ページでこれらの詳細および特定の設定を入力する必要があります。次のステップに従います:

1. Audit Vault Serverコンソールに管理者としてログインします。
2. 「ターゲット」タブをクリックします。
3. 右側の「登録」ボタンをクリックします。
4. ターゲットの「名前」を入力し、Oracle Databaseとして「タイプ」を選択します。
5. 必要に応じて、「説明」フィールドに入力します。
6. 「監査接続の詳細」サブタブで、「詳細」オプションを選択します。
7. 「プロトコル」メニューで、「TCPS」を選択します。
8. 「ウォレット」フィールドで、シングル・サインオン・ウォレット・ファイル(cwallet.sso)をアップロードします。
9. 「ターゲットの場所」フィールドに、TCPS接続文字列jdbc:oracle:thin:@<Connection string from OCI Console>を入力します。
10. 「ユーザー名」と「パスワード」を入力します。
11. 「保存」をクリックし、構成変更を保存します。

13.8.4 ステップ4: Audit Vault ServerでのAutonomous Data WarehouseインスタンスおよびAutonomous Transaction Processing Cloudインスタンス用の監査証跡の開始

この構成ステップでは、Audit Vault ServerでAutonomous Data WarehouseインスタンスおよびAutonomous Transaction Processing Cloudインスタンス用の監査証跡を開始します。

Audit Vault Serverコンソールを使用して、Autonomous Data WarehouseインスタンスおよびAutonomous Transaction Processing Cloudインスタンス用の監査証跡を作成します。詳細は、ステップ6: Audit Vault ServerでのOracle Database Cloud Serviceインスタンス用の監査証跡の開始を参照してください。

13.8.5 ステップ5: (オプション)ユーザーのAudit Vault権限およびDatabase Firewall権限の取消し

この構成ステップを使用して、Oracle Cloudインスタンスのユーザー権限を取り消します。

ユーザーがデータベースの監査データにアクセスする必要がなくなった場合は、SYSDBA権限を持つSYSユーザーとしてスクリプトoracle_AVDF_dbcs_drop_db_permissions.sqlを実行し、権限を取り消します。