12 Oracle Cloud Infrastructure上のOracle Audit Vault and Database Firewall

Oracle AVDFをOracle Cloud Infrastructure (OCI)にデプロイできます。

12.1 Oracle Cloud Infrastructure上のOracle AVDFについて

Oracle Cloud Infrastructure (OCI)上のOracle AVDFについて学習します。

Oracle Cloud Infrastructure Marketplaceは、Oracle Cloud Infrastructure (OCI)の顧客専用のソリューションを提供するオンライン・ストアです。Oracle Cloud Marketplaceイメージは、インスタンスで実行するオペレーティング・システムおよびソフトウェアを決定する仮想ハード・ドライブのテンプレートです。Oracle AVDFインスタンス(Audit Vault ServerインスタンスまたはDatabase Firewallインスタンス)は、Oracle AVDF Cloud Marketplaceイメージを使用してOracle Cloud Infrastructureの仮想マシン標準シェイプにプロビジョニングできます。

Oracle AVDF Cloud Marketplaceイメージは、Audit Vault ServerイメージとDatabase Firewallイメージから構成されます。これは、Audit Vault ServerインスタンスおよびDatabase Firewallインスタンスをそれぞれプロビジョニングするために使用されます。

関連項目:

Oracle Cloud Marketplace

12.2 Oracle Cloud InfrastructureでOracle AVDFをプロビジョニングする利点

Oracle Cloud Infrastructure (OCI)でOracle AVDFをプロビジョニングする利点について学習します。

迅速なプロビジョニング

Oracle AVDFインスタンスは、ハードウェアの調達および管理を必要とせずに数分以内にプロビジョニングできます。

容易なスケール・アップ

ワークロードのニーズの増大にあわせて、Oracle AVDFインスタンスを容易にスケール・アップできます。容易なスケール・アップにより、小さなVMシェイプで開始し、ワークロードの増加に応じてスケール・アップできます。

12.3 サポートされているOracle Cloud Infrastructure仮想マシン・シェイプ

Oracle Cloud Infrastructure (OCI)にOracle AVDFをデプロイするための、サポートされているVM標準シェイプをリストします。

Oracle AVDFインスタンスでは、次のOracle Cloud Infrastructure VM標準シェイプがサポートされています。

• VM.Standard1.2
• VM.Standard1.4
• VM.Standard1.8
• VM.Standard1.16

• VM.Standard2.2
• VM.Standard2.4
• VM.Standard2.8
• VM.Standard2.16
• VM.Standard2.24

• VM.Standard.B1.2
• VM.Standard.B1.4
• VM.Standard.B1.8
• VM.Standard.B1.16

• VM.Standard.E2.2
• VM.Standard.E2.4
• VM.Standard.E2.8

• VM.Optimized3.Flex

• VM.Standard3.Flex

• VM.Standard.E3.Flex
• VM.Standard.E4.Flex (Oracle AVDFリリース20.7以降でサポート)
• VM.Standard.E5。Flex (Oracle AVDFリリース20.12以降でサポート)
• VM.Standard.E6.Flex (Oracle AVDFリリース20.13以降でサポート)
• VM.Standard.E6.Flex (Oracle AVDFリリース20.14以降でサポート)

関連項目:

Oracle Cloud Infrastructureコンピュート・シェイプに関する項

12.4 Oracle Cloud Marketplaceイメージを使用したOracle AVDFのプロビジョニング

Oracle Cloud MarketplaceイメージによるAudit Vault ServerまたはDatabase Firewallのプロビジョニングについて学習します。

Oracle Cloud Marketplaceイメージを使用してOracle AVDFインスタンスをプロビジョニングする前に、次が必要です。

1. 最小メモリーが8GBのVM標準シェイプ。

2. 最低220GBのブロック・ストレージ。

3. テナンシの仮想クラウド・ネットワーク(VCN)。

4. インスタンスへのsshアクセス用のSSHキー・ペア。Oracle AVDFインスタンスは、次のキー・タイプを受け入れます:

   • ssh-ed25519
   • ssh-ed25519-cert-v01@openssh.com
   • ecdsa-sha2-nistp384
   • ecdsa-sha2-nistp384-cert-v01@openssh.com
   • rsa-sha2-512 key types

これらのタイプのSSHキー・ペアを生成します。たとえば、次のコマンドを実行して、ssh-ed25519タイプの公開キーを生成します。

ssh-keygen -t ed25519

12.4.1 Oracle AVDF Cloud Marketplaceイメージへのアクセス

Oracle AVDF Cloud Marketplaceイメージにアクセスする方法を学習します。

Oracle AVDF Cloud Marketplaceイメージは、Oracle Cloud MarketplaceのWebサイトで使用できます。次のステップを実行します。

1. Oracle Cloud Marketplaceに移動します。
2. 「アプリケーション」検索フィールドにOracle Audit Vault and Database Firewallと入力します。
3. 「実行」をクリックします。
4. 検索結果で、「Oracle Audit Vault and Database Firewall」をクリックして、Oracle AVDF Cloud Marketplaceページに移動します。

   ノート:

   Audit Vault Serverイメージの最新のAudit Vault Server 20.x、またはOracle Cloud Marketplace WebサイトからDatabase Firewallイメージ用のDatabase Firewall 20.xにアクセスします。その他のアーティファクト(またはインストール可能なファイル)は、Oracle Software Delivery Cloudからダウンロードできます。Oracle AVDFのインストール可能なファイルに関する項を参照してください。

12.4.2 Oracle Cloud Marketplaceイメージを使用したOracle AVDFインスタンスの作成

Oracle Cloud MarketplaceイメージでOracle AVDFインスタンスを作成する方法を学習します。

次のステップを実行します。

1. Oracle AVDF Cloud Marketplaceページで、アプリケーションの取得ボタンをクリックします。
2. OCIアカウントがすでに存在する場合は、「OCIリージョン」を選択し、「サインイン」をクリックします。それ以外の場合は、「サインアップ」をクリックして新しいアカウントを作成します。
3. バージョンの取得メニューで、Audit Vault Serverイメージに最新のAudit Vault Server 20.xを、Database FirewallイメージにDatabase Firewall 20.xを選択します。
4. 「コンパートメント」メニューで、コンパートメントを選択します。
5. 条件を確認しましたボックスを選択します。
6. 「インスタンスの起動」をクリックします。
7. コンピュート・インスタンスの作成ページが表示されます。必須の詳細を入力します。
   1. Oracle AVDFインスタンスの「NAME」を指定します。
   2. AVAILABILITY DOMAINを選択します。
   3. 「シェイプ」で、シェイプの変更をクリックします。
   4. 「インスタンス・タイプ」として「仮想マシン」を選択します。
   5. シェイプ・シリーズを選択します。
   6. 次に、シェイプの選択をクリックします。インスタンスのシェイプを選択します。
8. ネットワーキングの構成セクションで、次のフィールドを選択します。
   1. VIRTUAL CLOUD NETWORK COMPARTMENT
   2. SELECT A VIRTUAL CLOUD NETWORK
   3. SUBNET COMPARTMENT
   4. SUBNET
9. IPアドレスについて、次のいずれかのオプションを確認します。
   • ASSIGN A PUBLIC IP ADDRESS
   • DO NOT ASSIGN A PUBLIC IP ADDRESS

   ノート:

   Oracle Cloud InfrastructureのパブリックおよびプライベートIPアドレスの詳細は、VCNのIPアドレス(仮想クラウド・ネットワーク)に関する項を参照してください。
10. SSHキーの追加セクションで、公開キー・ファイルの選択または公開キーの貼付けを選択して、SSH公開キーを指定します。他のオプションを選択すると、Oracle AVDFインスタンスに接続できなくなります。
11. ブート・ボリュームを、デフォルト・サイズ220GBを超えるようにする場合は、ブート・ボリュームセクションで、カスタム・ブート・ボリューム・サイズを指定します。

    ノート:

    カスタム・ブート・ボリューム・サイズは2TBを超えないようにしてください。ストレージの拡張の詳細は、「Oracle AVDFインスタンスのスケール・アップ」の項を参照してください。
12. 「拡張オプション」をクリックし、すべてのタブでデフォルト・オプションを選択します。
13. 「作成」をクリックして、インスタンスの作成を開始します。
14. Oracle Cloud Infrastructureコンソールでインスタンスの状態を「実行中」に変更した後、基礎となるサービスが起動するまで数分間待ってからインスタンスにアクセスします。
15. インスタンスの作成後のステップを実行します。

    ノート:

    本番ワークロードの場合は、サイズ設定ガイドライン(My Oracle SupportドキュメントID 2092683.1)に従って、シェイプとストレージの要件を計算します。

    関連項目:

    Oracle Cloud Infrastructureでのインスタンスの作成に関する項

12.4.3 インスタンス作成後のステップ

インスタンス作成後のステップを1回実行します。

インスタンスの作成の完了後、これらのステップを1回実行する必要があります。

Audit Vault Serverインスタンスの場合

1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

   「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。

2. 次のコマンドを実行して、rootユーザーのパスワードを変更します。OCIインスタンス・コンソール接続を使用してインスタンスをトラブルシューティングする際に、rootパスワードが必要です。

   sudo passwd root

3. 次のコマンドを実行して、1回かぎりのパスフレーズを生成します。

   sudo -u oracle /usr/local/dbfw/bin/generate_post_install_passphrase.py

4. 前述のコマンドによって返されたパスフレーズをコピーします。
5. ブラウザでURLとしてhttps://<IP address of the instance>を入力して、Audit Vault Serverコンソールにアクセスします。
6. Audit Vault Serverコンソールのインストール後の認証ページで、前のステップからコピーしたパスフレーズを入力します。
7. インストール後の構成ページで詳細を入力します。

8. 「エージェント通信用のAVS IP」セクションで、OCIの外部のターゲットから監査データを収集する場合は、Audit Vault ServerのパブリックIPを指定します。詳細は、「Audit Vault Agentのデプロイ」を参照してください。

   ノート:

   インストール後ステップの完了後、エージェント通信用のAVS IPの変更はサポートされていません。
9. 「保存」をクリックします。
   DNSは、自動的に169.254.169.254に設定されます。

   関連項目:

   仮想クラウド・ネットワークのDNSに関する項

Database Firewallインスタンスの場合

1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

   「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。

2. 次のコマンドを実行して、rootユーザーのパスワードを変更します。OCIインスタンス・コンソール接続を使用してインスタンスをトラブルシューティングする際に、rootパスワードが必要です。

   sudo passwd root

AVDF構成の確認

1. 次を実行して、アプライアンスのシステム状態を確認します:

   systemctl get-default

   前述のコマンドではavdf-runtime.targetが返されます。

2. 次を実行して、ランタイム・ターゲット・サービスがアクティブであることを確認します:

   systemctl is-active avdf-runtime.target

   前述のコマンドではactiveが返されます。

3. 次のコマンドを実行して、sshdおよびhttpdサービスが実行されていることを確認します:

   service sshd status
   service httpd status

4. cloud_init_runcmd_controller.rb DEBUG - Completed AVDF OCI first boot system setupを検索して、AVDFが正常に起動したことを示すエントリがデバッグ・ログ(/var/log/debug)にあることを確認します。これを行うには、次を実行します:

   #grep -an "Completed AVDF OCI first boot system setup" /var/log/debug*

12.5 Oracle AVDFインスタンスへの接続

Oracle Cloud Infrastructure (OCI)上のAudit Vault ServerおよびDatabase Firewallインスタンスにアクセスする方法を学習します。

SSHを介した接続

前提条件: SSHポート22でイングレス・トラフィックを許可するようにVCNのOCI仮想ファイアウォールを構成する必要があります。詳細は、OCIのアクセスおよびセキュリティに関する項を参照してください。

インスタンス作成時に指定された公開キーは、SSH認証のためにOracle AVDFインスタンスにインストールされます。インスタンスの作成が完了したら、一致する秘密キーを使用してopcユーザーとしてインスタンスに接続します。

sshユーティリティを使用して、次のコマンドを実行します。

ssh -i <path to private key file> opc@<IP address of Oracle AVDF instance>

関連項目:

• コンソールまたはSSHを使用してAudit Vault Serverに接続できない
• Oracle Cloud Infrastructureインスタンスへの接続に関する項
• Oracle Cloud Infrastructureのアクセスおよびセキュリティに関する項
• VCNのIPアドレスに関する項

ノート:

Oracle AVDFインスタンスは、次の公開キー・タイプを受け入れます:

• ssh-ed25519
• ssh-ed25519-cert-v01@openssh.com
• ecdsa-sha2-nistp384
• ecdsa-sha2-nistp384-cert-v01@openssh.com
• rsa-sha2-512

Audit Vault Serverコンソールを介した接続

前提条件: ポート443でのイングレス・トラフィックを許可するようにVCNのOCI仮想ファイアウォールを構成する必要があります。詳細は、OCIのアクセスおよびセキュリティに関する項を参照してください。

ブラウザでURLとしてhttps://<IP address of the Audit Vault Server instance>を入力して、Audit Vault Serverコンソールにアクセスします。

12.6 Oracle AVDFインスタンスのスケール・アップ

OCIでのOracle AVDFインスタンスのスケール・アップについて学習します。

Oracle AVDFインスタンスのCPU、メモリー、ネットワーク帯域幅およびリポジトリ・ストレージは、インスタンスを再作成せずにスケール・アップできます。これにより、ワークロードのニーズの増大にあわせてパフォーマンスを向上できます。

Oracle AVDFインスタンスのシェイプの変更

CPU、メモリーおよびネットワーク帯域幅をスケール・アップするには、インスタンスのシェイプを、サポートされているVM標準シェイプのいずれかに変更します。

OCIコンソールを使用して、インスタンスのシェイプを編集します。詳細は、コンソールの使用に関する項を参照してください。

ノート:

シェイプを現在のシェイプより小さいシェイプに変更することはサポートされていません。たとえば、シェイプをVM.Standard2.4からVM.Standard2.2に変更することはサポートされていません。

Audit Vault Serverのリポジトリ・ストレージの拡張

各Audit Vault Serverインスタンスには、収集された監査およびネットワーク・イベント・データを格納するリポジトリがあります。収集ワークロードが増大すると、ストレージ要件が増大します。ストレージ・ニーズを満たすには、次の方法でAudit Vault Serverリポジトリ・ストレージを拡張します。

• インスタンス作成時: Audit Vault Serverインスタンスのデフォルトより大きいブート・ボリュームを指定すると、基礎となるリポジトリ・ストレージが自動的に拡張されます。カスタム・ブート・ボリューム・サイズの指定方法は、「Oracle Cloud Marketplaceイメージを使用したOracle AVDFインスタンスの作成」の項を参照してください。

• インスタンスの作成後: 次のステップを実行します。

  1. 追加のOCIブロック・ストレージをインスタンスにアタッチします。インスタンスへのボリュームのアタッチに関する項に記載されているステップに従います。

  2. 次のコマンドを実行して、ディスクがOSレベルで表示されていることを確認します。

     lsblk

  3. リポジトリ・ストレージを拡張します。「Audit Vault ServerのASMディスク・グループへのローカル・ディスクの追加」を参照してください。

ノート:

• アタッチされたOCIブロック・ストレージが、データ損失につながる可能性があるため、他のインスタンスと共有されていないことを確認します。
• SANストレージはサポートされていません。

12.7 OCI上のOracle AVDFインスタンスの機能の変更

Oracle Cloud Infrastructure (OCI)にデプロイされたOracle AVDFの機能の変化について学習します。

表12-1 オンプレミスおよびOCIにデプロイされたOracle AVDFの機能上の相違点

機能	オンプレミスにデプロイされたOracle AVDFインスタンス	OCIにデプロイされたOracle AVDFインスタンス
SSH認証	パスワード・ベースの認証	キー・ベースの認証
ネットワーク設定(IPアドレスとホスト名)	ネットワーク設定は、Audit Vault Serverコンソールを使用して変更できます。	これらの設定は、Audit Vault Serverコンソールでは読取り専用です。
時間の同期	NTP設定は、Audit Vault Serverコンソールを使用して変更できます。	NTPはインスタンスの作成時に自動的に構成され、NTPサーバー設定は変更できません。
DNS	DNS設定は、Audit Vault Serverコンソールを使用して変更できます。	DNSは、インスタンスの作成中に自動的に169.254.169.254に設定されます。設定はAudit Vault Serverコンソールで変更できます。
リポジトリ・ストレージ拡張	SANストレージ	ストレージの拡張には、OCIブロック・ストレージを使用する必要があります。
アーカイブまたはバックアップの場所	NFS	OCIファイル・ストレージ(推奨)
Database Firewallデプロイメント・モード	モニタリング/ブロック(プロキシ) モニタリング(ホスト監視) モニタリング(帯域外)	モニタリング/ブロック(プロキシ) モニタリング(ホスト監視) モニタリング(帯域外)はサポートされていません。
Audit Vault Server上のセカンダリ・ネットワーク・インタフェース・カード	サポート対象	サポート対象外。(インスタンスのプライマリAudit Vault ServerのプライベートIPアドレスに関連付けられているプライマリ・ネットワーク・インタフェース・カードのみがサポートされています。)
Database Firewall上のセカンダリ・ネットワーク・インタフェース・カード	サポート対象	サポート対象外

12.8 Oracle AVDFコンポーネント間の通信用ポート

Oracle AVDFで様々なコンポーネント間の通信に使用される様々なポートについて学習します。

Oracle AVDFで使用されるポートのリストは、「Oracle Audit Vault and Database Firewallで使用されるポート」にリストされています。

関連項目:

OCIのセキュリティ・リストに関する項

12.9 Oracle AVDFインスタンスの高可用性

Oracle AVDFインスタンスの高可用性について学習します。

Oracle AVDFの高可用性により、機能(監査およびネットワーク・イベント・データ収集など)の継続性を確保することで、デプロイメントの信頼性が高まります。

Audit Vault Serverでの高可用性の構成

前提条件: ポート7443、1521および1522でイングレス・トラフィックを許可するようにVCNのOCI仮想ファイアウォールを構成する必要があります。詳細は、OCIのアクセスおよびセキュリティに関する項を参照してください。

高可用性を構成するには、2つのAudit Vault Serverインスタンスが必要です。最初のインスタンスはプライマリ・サーバー、もう1つはセカンダリ・サーバーです。高可用性を設定するステップは、オンプレミス・デプロイメントと同様です。ただし、高可用性構成中は、Audit Vault ServerインスタンスのプライベートIPアドレスを使用する必要があります。

Database Firewallでの高可用性の構成

Database Firewallインスタンスの高可用性の構成は、モニタリング/ブロック(プロキシ)モードでのみサポートされます。

前提条件: Database Firewallノードのプロキシ・ポートでイングレス・トラフィックを許可するようにVCNのOCI仮想ファイアウォールを構成する必要があります。詳細は、OCIのアクセスおよびセキュリティに関する項を参照してください。

高可用性を構成するには、2つのDatabase Firewallインスタンスが必要です。最初のインスタンスはプライマリで、もう一方はセカンダリです。高可用性を設定するステップは、オンプレミス・デプロイメントと同様です。

関連項目:

Oracle AVDFにおける高可用性

12.10 Audit Vault Agentのデプロイ

Audit Vault Agentのデプロイについて学習します。

Audit Vault Agentは、マシン(通常はターゲットと同じホスト)にデプロイしてターゲットから監査データを収集するOracle AVDFのコンポーネントです。

前提条件: Audit Vault Serverのポート1521および1522でイングレス・トラフィックを許可するようにVCNのOCI仮想ファイアウォールを構成する必要があります。詳細は、OCIのアクセスおよびセキュリティに関する項を参照してください。

これらのステップに従って、Audit Vault Agentをデプロイします。

1. Audit Vault ServerにAudit Vault Agentマシンを登録します。場合によっては、AGENT_PHYSICAL_ADDRESS_XX (XXは01から99までの数値)エージェント属性を指定する必要があります。詳細は、「Audit Vault Serverでのホストの登録」を参照してください。
2. Audit Vault Serverコンソールからエージェント・マシンにAudit Vault Agentソフトウェアをダウンロードします。
3. エージェント・マシンにAudit Vault Agentソフトウェアをインストールします。
4. Audit Vault Agentをアクティブ化して起動します。

関連項目:

ホストの登録とエージェントのデプロイ

Audit Vault Agentは、Audit Vault ServerのIPアドレスを含むJDBC接続文字列を使用してAudit Vault Serverと通信します。接続文字列は、インスタンス作成後のステップ後に自動的に生成されます。Audit Vault Serverコンソールのインストール後の構成ページの「エージェント通信用のAVS IP」セクションに入力して、接続文字列で使用するIPアドレスを指定します。IPアドレスが指定されていない場合、Audit Vault ServerのプライベートIPアドレスが使用されます。

Audit Vault Serverのインストール後の構成ページで指定されているIPアドレスのタイプについては、次のガイドラインに従ってください。

• OCIの外部のターゲットから監査データを収集する場合は、Audit Vault ServerのパブリックIPアドレスを指定します。
• OCIでのみターゲットから監査データを収集する場合は、Audit Vault ServerのプライベートIPアドレスを指定します。
• OCIのターゲットに対してのみDatabase Firewallをモニタリング(ホスト監視)モードでデプロイする場合は、Audit Vault ServerのプライベートIPアドレスを指定します。

表12-2 Audit Vault Agentおよびホスト監視エージェントのデプロイメント用のプラットフォーム・サポート・マトリックス

プラットフォーム	Audit Vault Agentデプロイメント	ホスト監視エージェント・デプロイメント
Oracle Linux 64ビット(OCI)	〇	〇
Oracle Linux 64ビット(OCIの外部)	〇	×
Microsoft Windows Server (x86-64) (OCI)	〇	〇
Microsoft Windows Server (x86-64) (OCIの外部)	〇	×

12.11 監査証跡収集の構成

監査証跡の構成方法を学習します。

監査証跡を構成するステップは、オンプレミスのデプロイメントと似ています。

関連項目:

• Audit Vault Agentのデプロイ
• 監査証跡収集の構成および管理

12.12 監視のためのDatabase Firewallのデプロイ

Oracle Cloud Infrastructure (OCI)へのDatabase Firewallのデプロイについて学習します。

OCIでは、次のDatabase Firewallデプロイメント・モードがサポートされています。

• モニタリング/ブロック(プロキシ)
• モニタリング(ホスト監視)

前提条件:

• モニタリング(ホスト監視)モードでデプロイされたDatabase Firewallの場合、2051から5100の範囲のポートでイングレス・トラフィックを許可するようにDatabase Firewall VCNの仮想ファイアウォールを構成する必要があります。詳細は、OCIのアクセスおよびセキュリティに関する項を参照してください。
• モニタリング/ブロック(プロキシ)モードでデプロイされたDatabase Firewallの場合、特定のプロキシ・ポートを開くようにDatabase Firewall VCNの仮想ファイアウォールを構成する必要があります。
• Audit Vault ServerがDatabase Firewallからネットワーク・イベント・データを収集するには、ポート1514でイングレス・トラフィックを許可するようにDatabase Firewall VCNの仮想ファイアウォールを構成する必要があります。

Database Firewallをデプロイする際には、次の点を考慮します。

• Database FirewallのパブリックまたはプライベートIPアドレスを使用して、Audit Vault Serverに登録できます。
• Database Firewallモニタリング・ポイントを構成する場合は、ネットワーク・インタフェース・カードとしてプライマリVNICを使用します。
• Oracle Databaseのネイティブ・ネットワーク暗号化トラフィックの監視を有効にする場合は、ターゲットのプライベートIPアドレスを使用します。
• Oracle Real Application Clusters (Oracle RAC)のDatabase Firewallモニタリング・ポイントを構成する場合は、SCANリスナーのFQDNをホスト名として入力します。

関連項目:

• ネイティブ・ネットワーク暗号化を使用するデータベース用のDatabase Firewallの構成
• Database Firewallの構成

ノート:

• Database Firewallの監視と保護は、OCIの外部のターゲットではサポートされていません。
• ホスト・モニター・エージェントのデプロイについては、「Audit Vault Agentのデプロイ」で説明されているものと同じガイドラインに従います。

12.13 Oracle Autonomous Databaseサービスの監視

Oracle Cloud Infrastructure (OCI)上のOracle Audit VaultとDatabase Firewallを使用して、Oracle Autonomous Databaseサービスを監視する方法を説明します。

クライアントは、パブリックまたはプライベート・エンドポイントを使用して、Autonomous Databaseサービスに接続します。Audit Vault ServerでAutonomous Databaseサービスをターゲットとして構成する場合は、パブリック・エンドポイントを使用します。

監査証跡の設定

収集用に監査証跡を構成するには、「監査証跡収集の構成」を参照し、次のように変更します。

• ターゲットの登録時に、Autonomous Databaseのパブリック・エンドポイント、資格証明ウォレット、ユーザー資格証明を指定します。「ステップ2: Oracle Cloudインスタンスでのユーザー・アカウントの作成」を参照してください。
• Audit Vault Agentをリモートでデプロイし、パブリック・エンドポイントへのアクセスを確認します。

監査プロビジョニングおよび権限取得の構成

監査プロビジョニングおよび権限取得の場合、Audit Vault Serverは、ターゲット登録時に指定した監査接続詳細を使用して、Autonomous Databaseに接続します。Audit Vault ServerがAutonomous Databaseのパブリック・エンドポイントにアクセスできることを確認します。

Database Firewallの構成

Database FirewallをAutonomous Databaseに接続するように構成するには、「Oracle Autonomous Databaseへの接続に向けたDatabase Firewallの構成」を参照してください。

12.14 OCI上のDBシステムの監視

OCIでOracle AVDFを使用してDBシステムを監視する方法を学習します。

OCI DBシステムを使用すると、データベースをホストするマシンへのSSHキー・ベースのアクセスを構成できます。Audit Vault AgentはDBシステムにインストールできます。

また、すべてのSQL接続では、デフォルトでネイティブ・ネットワーク暗号化が使用されます。

監査証跡収集の構成

次の項を参照してください。

• Audit Vault Agentのデプロイ
• 監査証跡収集の構成

監査プロビジョニングおよび権限取得の構成

監査プロビジョニングおよび権限取得の場合、Audit Vault Serverは、ターゲット登録中に指定した監査接続詳細を使用してOCI上のDBシステムに接続します。そのため、Audit Vault ServerにデータベースへのJDBCアクセス権があることを確認する必要があります。

Database Firewall監視の構成

「監視のためのDatabase Firewallのデプロイ」を参照してください。

12.15 OCIでのOracle AVDFインスタンスのバックアップおよびリストア

OCIでのOracle AVDFインスタンスのバックアップおよびリストア機能について学習します。

バックアップとリストアの目的は、データ損失から保護し、以前に作成したバックアップからインスタンスをリストアすることです。

Audit Vault Serverのバックアップとリストア

Audit Vault Serverのバックアップとリストアを実行するステップは、次の変更を含むオンプレミス・デプロイメントと同様です。

• バックアップ場所の構成時にOCIファイル・ストレージを使用します。
• リストアを構成する場合、USE_NEW_IPパラメータをYに設定する必要があります。

関連項目:

Audit Vault Serverのバックアップとリストア

Database Firewallのバックアップおよびリストア

Database Firewallをバックアップする必要はありません。Audit Vault Serverバックアップの一部として、既存の構成がすべてバックアップされます。Audit Vault Serverをリストアすると、Database Firewallの既存の構成がリストアされます。「Database Firewallのバックアップおよびリストア」の項のステップに従って、リストア・プロセスを完了します。

12.16 監査データのアーカイブおよび取得

OCIでのOracle AVDFの監査データのアーカイブおよび取得について学習します。

監査データのアーカイブおよび取得は、オンプレミス・デプロイメントと同様です。アーカイブの場所を指定する場合は、OCIファイル・ストレージを使用します。

企業のガイドラインに従うために、すべての企業に監査およびネットワーク・イベント・データ用のデータ保持ポリシーがあります。保持ポリシーは、収集したデータをオンラインに維持する期間(レポートに表示できるように)、およびアーカイブに保存する期間を定義します。Oracle AVDFを使用すると、各ターゲットのデータ保持ポリシーを設定できます。データは、オンライン期間中のレポートに表示されます。アーカイブの場合、Oracle AVDFでは手動モードと自動モードの両方がサポートされます。手動アーカイブ・モードを有効にすると、オンライン期間が期限切れになると、データはオフラインになりますが、Audit Vault Server上に残ります。これをリモートの場所に手動で移動する必要があります。モードが自動アーカイブに設定されている場合、データは、オンライン期間が期限切れになると、NFS構成の場所に自動的に移動します。Oracle AVDFでは、手動と自動アーカイブ・モードを切り替えることができます。OCIにデプロイされたAudit Vault Serverの場合は、NFSの場所を構成するためのOCIファイル・ストレージを使用します。

関連項目:

監査データのアーカイブおよび取得

12.17 Oracle AVDFインスタンスの起動または停止

Oracle AVDFインスタンスの起動または停止方法を学習します。

Audit Vault ServerコンソールまたはOCIコンソールを使用して、インスタンスの起動または停止を行うことができます。停止されたインスタンスは、OCIコンソールでのみ起動できます。

OCIコンソールを使用したインスタンスの停止および起動に関する項を参照してください。

Audit Vault Serverコンソールから、Oracle AVDFインスタンスを停止または再起動できます。

Audit Vault Serverインスタンスの電源をオフまたは再起動するには

1. Audit Vault Serverコンソールにスーパー管理者としてログインします。
2. 「設定」タブをクリックします。
3. 左側のナビゲーション・メニューの「システム」タブをクリックします。
4. 右上隅にあるメイン・ページで、「電源オフ」をクリックしてインスタンスを停止します。「再起動」をクリックして、インスタンスを再起動します。

Database Firewallインスタンスを電源オフまたは再起動するには

Database Firewallインスタンスは、Audit Vault Serverコンソールに登録されている必要があります。

1. Audit Vault Serverコンソールにスーパー管理者としてログインします。
2. 「データベース・ファイアウォール」タブをクリックします。
3. 特定のDatabase Firewallインスタンスに対してチェック・ボックスを選択します。
4. 「電源オフ」をクリックしてインスタンスを停止します。「再起動」をクリックして、インスタンスを再起動します。

12.18 Oracle AVDFインスタンスの終了

Oracle AVDFインスタンスの終了について学習します。

インスタンスの終了に関する項のステップに従って、OCIコンソールを使用してOracle AVDFインスタンスを終了できます。

ノート:

インスタンスが終了すると、リストア可能なバックアップを作成していないかぎり、すべての監査およびネットワーク・イベント・データは永久に失われます。終了したインスタンスは、ステータス「終了」でインスタンスのリストに一時的に表示されます。