8 ホスト・モニター・エージェントの使用
Database Firewallをモニタリング(ホスト・モニター)モードでデプロイすると、ホスト・モニター・エージェントは、ターゲット・データベースを実行しているホスト・マシンのネットワーク・インタフェース・カードからSQLトラフィックを取得し、Database Firewallに安全に転送します。
8.1 ホスト監視について
Database Firewallは、モニタリング(ホスト・モニター)モードでデプロイできます。
Database Firewallでは、データベースへのSQLトラフィックをモニターおよび分析します。次のデプロイメント・モードでDatabase Firewallを構成できます。
- モニタリング/ブロック(プロキシ)
- モニタリング(帯域外)
- モニタリング(ホスト監視)
これらのデプロイメント・モードの詳細は、「Database Firewallデプロイメントの概要」を参照してください。
モニタリング(ホスト・モニター)デプロイメント・モードでは、ターゲット・データベースが実行されているホスト・マシンにホスト・モニター・エージェントをデプロイする必要があります。データベースがリスニングするポートでSQLトラフィックを取得するようにホスト・モニター・エージェントを構成できます。ホスト・モニター・エージェントは、単一のホスト・マシンで実行されている複数のデータベースのSQLトラフィックを取得したり、クライアントからターゲット・データベースへの複数のネットワーク・パスがあるときにSQLトラフィックを取得できます。
エージェント・マシンにホスト・モニター・エージェントをデプロイして構成すると、次のアクションが実行されます。
- データベースがリスニングしているポートでSQLトラフィックを取得します
- SQLトラフィックをDatabase Firewallに安全に転送します
8.2 ホスト・モニター・エージェントのインストールおよび有効化
このプロセスを使用して、ホスト・モニター・エージェントをインストールして有効にします。
- データベースが実行されているすべてのデータベース・サーバーにホスト・モニター・エージェントをデプロイします。
- ターゲットを登録します。
- モニタリング(ホスト・モニター)モードでDatabase Firewallモニタリング・ポイントを作成します。
-
必要に応じて、ターゲットのDatabase Firewallポリシーを「デフォルト」から適切なポリシーに変更します。
様々なポリシー・タイプの詳細は、Database Firewallポリシーのタイプを参照してください。
- モニター対象ターゲットの
NETWORK
監査証跡を構成します。
ノート:
- ホスト・モニター・エージェントは、Linux、Solaris、AIXおよびWindowsの各プラットフォームでサポートされています。Database Firewallでサポートされているデータベースをモニターできます。サポートされているデータベースは、表C-1を参照してください。
- ホスト・モニター・エージェントでは、Oracle Solaris SPARC64およびx86-64上のSolaris IPNETリンク・タイプがサポートされています。
- ホスト・モニター・エージェントでは、すべてのサポート対象プラットフォームについてイーサネット(EN10MB)リンク・タイプがサポートされています。
- ホスト・モニター・エージェントは、Oracle DatabaseのBequeath接続からのSQLトラフィックを取得しません。
8.2.1 ホスト・モニター・エージェントの要件
ホスト・モニター・エージェントは、プラットフォームに応じてインストールの要件が異なります。
Windowsプラットフォームにホスト・モニター・エージェントをインストールするには、次の要件に従います。
- Audit Vault Agentがデータベース・サーバー・マシンで実行されていることを確認します。
-
Oracle Audit Vault and Database Firewall (Oracle AVDF)リリースのNpcapインストール要件に従います。
Windowsでのホスト・モニタリングでは、ネットワーク・トラフィックを取得するためにNpcapが必要です。
-
Oracle AVDFリリース20.6以降の場合、Npcapは、エージェントのインストールとともに自動的にインストールされます。
Npcapをインストールすると、Windowsホスト・マシンからNpcapまたはWinPcapの既存のインストールが削除されます。
-
Oracle AVDFリリース20.5の場合、Npcapは、エージェント・ソフトウェア(
agent.jar
)ファイルとともに自動的にダウンロードされます。Agent_Home\hm
ディレクトリにあるNpcapインストーラ・ファイルを使用します。 -
Oracle AVDFリリース20.4以前の場合、Npcapは、Oracle Software Delivery Cloudの
avdf20-utility.zip
バンドルからインストールします。これは、Oracle AVDFのインストール可能ファイルの一部です。Npcapをインストールするときに、WinPcap-API-compatibleオプションを選択します。
-
- 最新バージョンのOpenSSL (1.1.1g以降)ライブラリをインストールします。
WindowsプラットフォームではOpenSSL 1.1.1以前がOracle AVDF 20.11で非推奨となり、将来のリリースでサポートが終了します。問題を回避するには、OpenSSL 3.0.13以降に移行する必要があります。
- Windowsターゲット・マシンに、Microsoft社から提供されるVisual Studio 2015のVisual C++再頒布可能パッケージの最新アップデート(
MSVCRT.dll (*)
以降)がインストールされていることを確認します。 -
ネットワーク・ファイアウォールが存在する場合は、ポート範囲2050 - 5200で通信を許可します。
これは、データベース・サーバーとDatabase Firewall間の通信に必要です。
Linux、Unix、AIXまたはSolarisプラットフォームにホスト・モニター・エージェントをインストールするには、次の要件に従います。
- Audit Vault Agentがデータベース・サーバー・マシンで実行されていることを確認します。
-
オペレーティング・システム・ベンダーから次のパッケージの最新バージョンが、特定のオペレーティング・システム・バージョン用にデータベース・サーバー・マシンにインストールされていることを確認します。
- Libcap (Linuxホストのみ)
- LibPcap
- OpenSSL
-
AIXデータベース・サーバーに
gmake
がインストールされていることを確認します。その他のUNIXデータベース・サーバー・タイプ(Linux、UNIXまたはSolaris)の場合、
make
がインストールされていることを確認します。これは、ホスト・モニター・エージェントが正常に実行されるようにするために必要です。 -
ネットワーク・ファイアウォールが存在する場合は、ポート範囲2050 - 5200で通信を許可します。
これは、データベース・サーバーとDatabase Firewall間の通信に必要です。
-
IBM AIX on Power Systems (64ビット)の場合は、入出力完了ポート(IOCP)設定が
デフォルトではavailable
であることを確認します。defined
に設定されています。 -
ホスト・モニター・エージェントのインストール場所のパスにあるすべてのディレクトリでは、rootディレクトリから権限ビットとして755を持っていることを確認します。
ホスト・モニター・エージェントをrootが所有する場所にインストールする必要があるため、これは必須です。
- rootユーザーによってホスト・モニター・エージェントがインストールされていることを確認します。
関連項目:
ホスト監視の手順および前提条件については、ホスト監視の有効化および使用。
8.2.2 ホスト監視エージェント・デプロイメント時の検証
ホスト監視エージェントのデプロイ時にOracle AVDFによって実行される検証について学習します。
Oracle AVDFリリース20.6以降では、ホスト監視エージェントのデプロイ時に、Linux/Unix/AIX/Solarisプラットフォームで次の検証が実行されます。これらの要件は必須であり、これに従う必要があります。これらが満たされない場合、ホスト監視エージェントのインストールを完了できません。
- ホスト監視エージェントがrootユーザーとしてインストールされている。
- Windowsプラットフォームにホスト・モニター・エージェントをインストールする場合は、管理者ユーザーがインストールする必要があります。
- ホスト・マシンでホスト・モニター・エージェント・プロセスがすでに実行されているかどうか。
- IBM AIX on Power Systems (64ビット)の場合は、入出力完了ポート(IOCP)が
available
に設定されているかどうか。 - AIXデータベース・サーバーにgmakeがインストールされているかどうか。その他のUNIXデータベース・サーバー・タイプ(Linux/UNIX/Solaris)の場合、makeがインストールされているかどうかを確認します。
libssl
、libcrypto
、libnsl
ライブラリのシンボリックリンクが存在するかどうか。Linuxでは、追加のシンボリックリンクlibaio
のチェックが実行されます。
8.2.3 ホスト・モニター・エージェントを実行するホスト・マシンの登録
Audit Vault Serverでホスト・マシン(データベース・サーバーなど)を登録する方法を学習します。
Audit Vault Serverでホストを登録するには、「Audit Vault Serverでのホストの登録」を参照してください。
8.2.4 Audit Vault Agentおよびホスト・モニター・エージェントのデプロイ
Linux、Solaris (x86-64)、Solaris (Sparc64)、AIX、WindowsなどのプラットフォームにAudit Vault Agentおよびホスト・モニター・エージェントをデプロイする方法を学習します。
8.2.4.1 Windowsホスト・マシンでのホスト・モニター・エージェントのデプロイ
Windowsでは、ホスト・モニター・エージェントはAudit Vault Agentによってインストールされます。Audit Vault Serverコンソールでダウンロードできる、個別のホスト・モニター・エージェントのインストール可能なバンドルはありません。Windowsにホスト・モニター・エージェントをインストールするために必要な個別のアクションはありません。
ホスト・モニター・エージェントをインストールする前に、または古いOracle AVDFリリースから更新する前に、次の手順に従います。
8.2.4.1.1 OpenSSLのインストール
ホスト・モニター・エージェントでは、OpenSSLを使用してAudit Vault ServerおよびDatabase Firewallと通信します。OpenSSL 1.1.1g以降がWindowsホスト・マシンにインストールされている必要があります。
WindowsプラットフォームではOpenSSL 1.1.1以前がOracle AVDF 20.11で非推奨となり、将来のリリースでサポートが終了します。問題を回避するには、OpenSSL 3.0.13以降に移行する必要があります。
ノート:
WindowsマシンにOpenSSLをインストールする際に、追加の構成ステップとして、OpenSSL DLLをコピーする場所を選択するように求められます。この場所はデフォルトでWindowsマシンのPath
環境変数に追加されるため、「Windows System Directory」オプションを選択することをお薦めします。「OpenSSL bin directory」オプションを選択した場合は、その場所がPath
環境変数に追加されていることを確認してください。
OpenSSLのインストール後に環境変数を変更するには、次のステップを実行します。
- Windowsホスト・マシンで、「コントロール パネル」に移動します。
- 「システム」、「システムの詳細設定」の順にクリックします。
- 「詳細設定」タブで、「環境変数」ボタンをクリックします。
- 「環境変数」ダイアログが表示されます。「システム環境変数」ボックスで、「変数」列にある
Path
を選択します。 - 「編集」ボタンをクリックします。「環境変数名の編集」ダイアログが表示されます。
-
Path
変数の先頭に、OpenSSL binディレクトリの場所を追加します。 - 「OK」をクリックして変更内容を保存し、すべてのダイアログを閉じます。
8.2.4.1.2 Npcapのインストール
Windowsでのホスト・モニタリングでは、ネットワーク・トラフィックを取得するためにNpcapが必要です。
8.2.4.1.2.1 ホスト・モニター・エージェントのフレッシュ・インストールのためのNpcapのインストール
ホスト・モニター・エージェントのフレッシュ・インストールのためにNpcapをインストールするには、次のステップを実行します。
ノート:
Oracle AVDFリリース20.6以降の場合、Npcapは、エージェントのインストールとともに自動的にインストールされます。Npcapをインストールすると、Windowsホスト・マシンからNpcapまたはWinPcapの既存のインストールが削除されます。リリース20.6以降では、次のステップは必要ありません。- Oracle Software Delivery Cloudにログインします。
-
Npcapの手動インストールの詳細に注意し、それに従ってください。
-
Oracle AVDFリリース20.5以降では、Npcapがエージェント・ソフトウェア(
agent.jar
)ファイルとともに自動的にダウンロードされます。Npcapインストーラ・ファイルは、Agent_Home\hm
ディレクトリにあります。 -
Oracle AVDFリリース20.4以前の場合、Oracle Software Delivery Cloudの
avdf20-utility.zip
バンドルで使用可能なNpcapをインストールします。これは、Oracle Audit Vault and Database Firewallインストール可能ファイルに含まれています。Npcapは必ずWinPcap-API互換モードでインストールします。
-
-
Npcapをインストールします。Oracle AVDFリリース20.5以前では、Windowsホスト・マシンでNpcapのインストールを完了します。必ずWinPcap API互換モードでインストールしてください。WinPcap API互換モードでNpcapをインストールすると、WindowsマシンからWinPcapの既存インストールがすべて削除されます。
8.2.4.1.2.2 Oracle AVDF 12.2 BP13、12.2 BP14または20.1 - 20.4からOracle AVDF 20.5以降への更新
Oracle Audit Vault and Database Firewall (Oracle AVDF) 12.2 BP13、12.2 BP14または20.1 - 20.4からOracle AVDF 20.5以降に更新する前に、次のステップに従ってNpcapを再インストールします。
- Oracle Software Delivery Cloudにログインします。
-
Oracle Software Delivery Cloudの
avdf20-utility.zip
バンドルにあるNpcapを再インストールします。これは、Oracle AVDFのインストール可能ファイルの一部です。Npcapは必ずWinPcap-API互換モードで再インストールします。これにより、WindowsマシンからNpcapまたはWinPcapの既存のインストールが削除されます。
8.2.4.1.2.3 Oracle AVDF 12.2 BP9または12.2 BP10からOracle AVDF 20.1以降への更新
Oracle Audit Vault and Database Firewall (Oracle AVDF) 12.2 BP9または12.2 BP10からOracle AVDF 20.1以降に更新する前に、次のステップに従ってNpcapを再インストールします。
Windowsでのホスト監視機能にはNpcapが必要です。12.2.0.9.0または12.2.0.10.0からのWindowsでのホスト・モニター・エージェントを引き続き使用するには、Oracle Audit Vault and Database Firewallリリース20にアップグレードする前に、次のステップを実行します。
- Windowsホスト・マシンで実行されているAudit Vault Agentを停止します。
- 12.2 Audit Vault Serverコンソールに管理者としてログインします。
- 監査証跡およびAudit Vault Agentが
STOPPED
状態であることを確認します。 - My Oracle Supportにログインし、Oracle AVDFリリース20のアップグレード・ファイルで使用可能なNpcapをダウンロードします。
-
Windowsホスト・マシンへのNpcapのインストールを完了します。必ずWinPcap API互換モードでインストールしてください。
ノート:
WinPcap API互換モードでNpcapをインストールすると、WindowsマシンからWinPcapの既存インストールがすべて削除されます。 - 次の確認ステップに従って、Npcapのインストールが正常に完了していることを確認します。
- Windowsホスト・マシン上のAudit Vault Agentを再起動します。
- Audit Vault Serverコンソールを使用して、ネットワーク証跡を開始します。
- これで、実行時にNpcapによってホスト・モニター・エージェントがサポートされるようになりました。ネットワーク証跡収集を確認します。
- Audit Vault Serverのアップグレードを続行します。
ノート:
- Npcapをインストールする前に、監査証跡およびAudit Vault Agentが
STOPPED
状態であることを確認してください。そうでない場合、エラーが発生する場合があります。 - Npcapインストールによって新しく作成されたDLLファイルを削除しないでください。
8.2.4.1.2.4 Npcapインストールの検証
Npcapをインストールまたはアップグレードしたら、インストールが成功したことを確認します。
-
Npcapは、Windowsの
System
ディレクトリに加えて、WindowsのSystem
ディレクトリ内のNpcapサブディレクトリにDLLファイルをコピーします。WindowsのSystem
ディレクトリからこのDLLファイルを削除しないでください。ノート:
WinPcap API互換モードでNpcapをインストールすると、システムのPath
環境変数にすでに含まれているWindowsのSystem
ディレクトリにNpcap DLLファイルが追加されます。 -
次のステップに従って、Windowsの
System
ディレクトリ内のNpcap
サブ・ディレクトリをPath
環境変数に追加します。- 「コントロール パネル」に移動します。
- 「システム」、「システムの詳細設定」の順にクリックします。
- 「詳細設定」タブで、「環境変数」ボタンをクリックします。
- 「環境変数」ダイアログが表示されます。「システム環境変数」ボックスで、「変数」列にある
Path
を選択します。 - 「編集」ボタンをクリックします。「環境変数名の編集」ダイアログが表示されます。
Path
変数の先頭に、Npcap DLLファイルの場所を追加します。たとえば:C:\Windows\System32\Npcap
- 「OK」をクリックして変更内容を保存し、すべてのダイアログを閉じます。
Path
環境変数が変更されたことを確認します。
8.2.5 ホスト・モニター対象のデータベース用のターゲットの作成
ホスト監視対象のデータベース用のターゲットを作成する方法を学習します。
ターゲットを作成するには、「Audit Vault Serverでのターゲットの登録または削除」を参照してください。
8.2.6 ホスト・モニター・エージェント用のモニタリング・ポイントの作成
モニタリング・ポイントは、Database Firewallホストの論理エンティティで、受信したSQLトラフィックのモニター用の構成およびルールが含まれます。
8.2.7 ネットワーク監査証跡の作成
ネットワーク監査証跡を作成する方法を学習します。
監査証跡タイプのNETWORKを指定します。詳細は、「エージェントベース収集を使用する監査証跡の追加」を参照してください。
ネットワーク証跡を使用してExadataまたはRACデータベースの複数のノードを監視するには、ノードごとに個別のターゲットを作成します。
ノート:
ホスト・モニター・エージェントによってモニターされるターゲットに対し、収集属性network_device_name_for_hostmonitor
が構成されていることを確認します。ネットワーク・インタフェース・カードの名前が属性値です。ネットワーク・インタフェース・カードは、ターゲット・データベースのすべてのネットワーク・トラフィックを受信します。
AVDF 20.10以降、ネットワーク証跡は毎時モニターされます。ネットワーク証跡がSTOPPED_ERROR
状態の場合は、アラートが生成され、電子メール通知が送信されます。
8.2.8 network_device_name_for_hostmonitor
属性の値の確認
コレクション属性network_device_name_for_hostmonitor
は、ホスト・モニター・エージェントによってモニターされるターゲットに対して構成する必要があります。属性値は、ネットワーク・インタフェース・カードの名前です。ネットワーク・インタフェース・カードは、ターゲット・データベースのすべてのネットワーク・トラフィックを受信します。network_device_name_for_hostmonitor
属性の値を確認するには、次のステップを実行します。
Linux/AIX/Solarisホスト
- ターゲット・データベースで、TCPトラフィックを受け入れるように構成されているIPアドレスを確認します。このIPアドレスをノートにとります。
-
次のコマンドを実行して、ホスト・マシンに存在するネットワーク・デバイスの詳細を一覧表示します。
ifconfig -a
- 表示された出力の中から、最初のステップでメモしたIPアドレスを探します。これに対応するネットワーク・カードの名前が、コレクション属性
network_device_name_for_hostmonitor
の値です。
Windowsホスト
- ターゲット・データベースで、TCPトラフィックを受け入れるように構成されているIPアドレスを確認します。このIPアドレスをノートにとります。
- 次のコマンドを実行して、ホスト・マシンに存在するネットワーク・デバイスの詳細を一覧表示します。
ipconfig /all
ノート:
このコマンドにより、各デバイスの物理アドレス、IPv4アドレスおよびその他の詳細が表示されます。 - 表示された出力の中から、最初のステップでメモしたIPv4アドレスを持つデバイスを探します。対応する物理アドレスをノートにとります。
- このコマンドを実行します:
これにより、対応する物理アドレスに対するデバイス名が表示されます。前のステップで確認した物理アドレスのデバイス名をノートにとります。getmac
- デバイス名がわかったら、それが
\Device\Tcpip_{********-****-****-****-************}
という形式であることを確認します。 - このデバイス名の
Tcpip
をNPF
に置き換えてコピーし、属性値として使用します。たとえば、
\Device\Tcpip_{********-****-****-****-************}
という名前のネットワーク・カードの場合、属性値は\Device\NPF_{********-****-****-****-************}
です。
8.3 ホスト・モニター・エージェントの起動、停止およびその他の操作
ホスト・モニター・エージェントの起動、停止およびその他の操作について学習します。
8.3.1 ホスト・モニター・エージェントの起動
ホスト・モニター・エージェントを起動するには、モニター対象のホストでNETWORK監査証跡の収集を開始します。
ホスト・モニター・エージェントをAudit Vault Serverコンソールから起動するには、次のようにします。
8.3.3 ホスト・モニター・エージェントのロギング・レベルの変更
ホスト・モニター・エージェントのロギング・レベルの変更について学習します。
「Audit Vault Agentのロギング・レベルの変更」を参照してください。
8.3.4 ホスト・モニター・エージェントのステータスおよび詳細の表示
ホスト・モニター・エージェントがインストールされているかどうか、およびその場所、バージョン、更新時刻、その他の詳細などの情報を表示できます。
8.3.5 ホスト・モニター・エージェント監査証跡のステータスの確認
ホスト・モニター・エージェント監査証跡のステータスを確認する方法を学習します。
- Audit Vault Serverコンソールに監査者としてログインします。
- 「ターゲット」タブをクリックし、左側のナビゲーション・メニューから「監査証跡」を選択します。
- 表示されるステータス・ページの「監査証跡のタイプ」列で、NETWORKタイプの監査証跡を検索し、ホスト・モニター・エージェントの監査証跡を確認します。
8.5 Database Firewallとホスト・モニター・エージェント間の通信への相互認証の使用
デフォルトでは、Database Firewallは、一方向認証に基づいてホスト・モニター・エージェントの接続を許可します。相互認証を指定するには、ホスト・モニター・エージェントのインストール後に次のステップを実行します。
- 相互認証を有効にする必要がある、ファイアウォールに関連付けられたネットワーク証跡を停止します。
- Database Firewallで、
root
としてログインし、次のコマンドを実行します。-
Oracle AVDFリリース20.7以降:
cp /usr/local/dbfw/etc/controller.crt /usr/local/dbfw/etc/fw_ca.crt
chown arbiter:arbiter /usr/local/dbfw/etc/fw_ca.crt
chmod 400 /usr/local/dbfw/etc/fw_ca.crt
/usr/local/dbfw/bin/dbfwctl restart
-
Oracle AVDFリリース20.6以前:
cp /usr/local/dbfw/etc/controller.crt /usr/local/dbfw/etc/fw_ca.crt
chown dbfw:dbfw /usr/local/dbfw/etc/fw_ca.crt
chmod 400 /usr/local/dbfw/etc/fw_ca.crt
/usr/local/dbfw/bin/dbfwctl restart
-
-
Audit Vault Serverで、
root
としてログインし、次のステップを実行します。/usr/local/dbfw/etc
ディレクトリに変更します。-
次のコマンドを実行します:
openssl genrsa -out hmprivkey.perm 2048
openssl req -new -key hmprivkey.perm -out hmcsr.csr -subj "/CN=Hostmonitor_Cert_hostname/"
hostname
は、Host Monitor Agentがインストールされているデータベース・サーバーの名前です。 -
次のコマンドを実行して、署名済証明書を生成します。
/usr/local/dbfw/bin/generate_casigned_hmcert.sh
署名済証明書ファイル
hmcert.crt
が/usr/local/dbfw/etc
ディレクトリに生成されます。
-
Audit Vault Serverから次のファイルを、ホスト・モニター・エージェントがインストールされているデータベース・サーバーのHOSTMON_HOMEディレクトリにコピーします。
/usr/local/dbfw/etc/hmcert.crt
/usr/local/dbfw/etc/hmprivkey.perm
-
(UNIXホストのみ)
root
として、次のコマンドを実行します。chown root:root Agent_Home/hm/hmcert.crt Agent_Home/hm/hmprivkey.perm
chmod 400 Agent_Home/hm/hmcert.crt Agent_Home/hm/hmprivkey.perm
- (Windowsホストのみ)望ましくないユーザー・アクセスを防ぐために、
hmcert.crt
およびhmprivkey.perm
にagent
ユーザーの所有権および適切な権限が割り当てられていることを確認します。 - ステップ2のDatabase Firewallを使用しているホスト・モニター・エージェントごとに、ステップ3から6を繰り返します。
- すべてのネットワーク証跡を開始してネットワーク・トラフィックを取得します。
- 複数のDatabase Firewallを使用する場合は、それぞれについて、前述のすべてのステップを繰り返します。