1. 管理者ガイド
  2. Oracle Audit Vault and Database Firewallの開始
  3. ホスト・モニター・エージェントの使用

8 ホスト・モニター・エージェントの使用

Database Firewallをモニタリング(ホスト・モニター)モードでデプロイすると、ホスト・モニター・エージェントは、ターゲット・データベースを実行しているホスト・マシンのネットワーク・インタフェース・カードからSQLトラフィックを取得し、Database Firewallに安全に転送します。

8.1 ホスト監視について

Database Firewallは、モニタリング(ホスト・モニター)モードでデプロイできます。

Database Firewallでは、データベースへのSQLトラフィックをモニターおよび分析します。次のデプロイメント・モードでDatabase Firewallを構成できます。

  • モニタリング/ブロック(プロキシ)
  • モニタリング(帯域外)
  • モニタリング(ホスト監視)

これらのデプロイメント・モードの詳細は、「Database Firewallデプロイメントの概要」を参照してください。

モニタリング(ホスト・モニター)デプロイメント・モードでは、ターゲット・データベースが実行されているホスト・マシンにホスト・モニター・エージェントをデプロイする必要があります。データベースがリスニングするポートでSQLトラフィックを取得するようにホスト・モニター・エージェントを構成できます。ホスト・モニター・エージェントは、単一のホスト・マシンで実行されている複数のデータベースのSQLトラフィックを取得したり、クライアントからターゲット・データベースへの複数のネットワーク・パスがあるときにSQLトラフィックを取得できます。

エージェント・マシンにホスト・モニター・エージェントをデプロイして構成すると、次のアクションが実行されます。

  • データベースがリスニングしているポートでSQLトラフィックを取得します
  • SQLトラフィックをDatabase Firewallに安全に転送します

関連項目:

8.2 ホスト・モニター・エージェントのインストールおよび有効化

このプロセスを使用して、ホスト・モニター・エージェントをインストールして有効にします。

  1. データベースが実行されているすべてのデータベース・サーバーにホスト・モニター・エージェントをデプロイします。
  2. ターゲットを登録します。
  3. モニタリング(ホスト・モニター)モードでDatabase Firewallモニタリング・ポイントを作成します。

  4. 必要に応じて、ターゲットのDatabase Firewallポリシーを「デフォルト」から適切なポリシーに変更します。

    様々なポリシー・タイプの詳細は、Database Firewallポリシーのタイプを参照してください。

  5. モニター対象ターゲットのNETWORK監査証跡を構成します。

ノート:

  • ホスト・モニター・エージェントは、Linux、Solaris、AIXおよびWindowsの各プラットフォームでサポートされています。Database Firewallでサポートされているデータベースをモニターできます。サポートされているデータベースは、表C-1を参照してください。
  • ホスト・モニター・エージェントでは、Oracle Solaris SPARC64およびx86-64上のSolaris IPNETリンク・タイプがサポートされています。
  • ホスト・モニター・エージェントでは、すべてのサポート対象プラットフォームについてイーサネット(EN10MB)リンク・タイプがサポートされています。
  • ホスト・モニター・エージェントは、Oracle DatabaseのBequeath接続からのSQLトラフィックを取得しません。

関連トピック

8.2.1 ホスト・モニター・エージェントの要件

ホスト・モニター・エージェントは、プラットフォームに応じてインストールの要件が異なります。

Windowsプラットフォームにホスト・モニター・エージェントをインストールするには、次の要件に従います。

  • Audit Vault Agentがデータベース・サーバー・マシンで実行されていることを確認します。

  • Oracle Audit Vault and Database Firewall (Oracle AVDF)リリースのNpcapインストール要件に従います。

    Windowsでのホスト・モニタリングでは、ネットワーク・トラフィックを取得するためにNpcapが必要です。

    • Oracle AVDFリリース20.6以降の場合、Npcapは、エージェントのインストールとともに自動的にインストールされます。

      Npcapをインストールすると、Windowsホスト・マシンからNpcapまたはWinPcapの既存のインストールが削除されます。

    • Oracle AVDFリリース20.5の場合、Npcapは、エージェント・ソフトウェア(agent.jar)ファイルとともに自動的にダウンロードされます。

      Agent_Home\hmディレクトリにあるNpcapインストーラ・ファイルを使用します。

    • Oracle AVDFリリース20.4以前の場合、Npcapは、Oracle Software Delivery Cloudのavdf20-utility.zipバンドルからインストールします。これは、Oracle AVDFのインストール可能ファイルの一部です。Npcapをインストールするときに、WinPcap-API-compatibleオプションを選択します。

  • 最新バージョンのOpenSSL (1.1.1g以降)ライブラリをインストールします。

    WindowsプラットフォームではOpenSSL 1.1.1以前がOracle AVDF 20.11で非推奨となり、将来のリリースでサポートが終了します。問題を回避するには、OpenSSL 3.0.13以降に移行する必要があります。

  • Windowsターゲット・マシンに、Microsoft社から提供されるVisual Studio 2015のVisual C++再頒布可能パッケージの最新アップデート(MSVCRT.dll (*)以降)がインストールされていることを確認します。

  • ネットワーク・ファイアウォールが存在する場合は、ポート範囲2050 - 5200で通信を許可します。

    これは、データベース・サーバーとDatabase Firewall間の通信に必要です。

Linux、Unix、AIXまたはSolarisプラットフォームにホスト・モニター・エージェントをインストールするには、次の要件に従います。

  • Audit Vault Agentがデータベース・サーバー・マシンで実行されていることを確認します。

  • オペレーティング・システム・ベンダーから次のパッケージの最新バージョンが、特定のオペレーティング・システム・バージョン用にデータベース・サーバー・マシンにインストールされていることを確認します。

    • Libcap (Linuxホストのみ)
    • LibPcap
    • OpenSSL

  • AIXデータベース・サーバーにgmakeがインストールされていることを確認します。

    その他のUNIXデータベース・サーバー・タイプ(Linux、UNIXまたはSolaris)の場合、makeがインストールされていることを確認します。これは、ホスト・モニター・エージェントが正常に実行されるようにするために必要です。

  • ネットワーク・ファイアウォールが存在する場合は、ポート範囲2050 - 5200で通信を許可します。

    これは、データベース・サーバーとDatabase Firewall間の通信に必要です。

  • IBM AIX on Power Systems (64ビット)の場合は、入出力完了ポート(IOCP)設定がavailableであることを確認します。

    デフォルトではdefinedに設定されています。

  • ホスト・モニター・エージェントのインストール場所のパスにあるすべてのディレクトリでは、rootディレクトリから権限ビットとして755を持っていることを確認します。

    ホスト・モニター・エージェントをrootが所有する場所にインストールする必要があるため、これは必須です。

  • rootユーザーによってホスト・モニター・エージェントがインストールされていることを確認します。

関連トピック

関連項目:

ホスト監視の手順および前提条件については、ホスト監視の有効化および使用

8.2.2 ホスト監視エージェント・デプロイメント時の検証

ホスト監視エージェントのデプロイ時にOracle AVDFによって実行される検証について学習します。

Oracle AVDFリリース20.6以降では、ホスト監視エージェントのデプロイ時に、Linux/Unix/AIX/Solarisプラットフォームで次の検証が実行されます。これらの要件は必須であり、これに従う必要があります。これらが満たされない場合、ホスト監視エージェントのインストールを完了できません。

  • ホスト監視エージェントがrootユーザーとしてインストールされている。
  • Windowsプラットフォームにホスト・モニター・エージェントをインストールする場合は、管理者ユーザーがインストールする必要があります。
  • ホスト・マシンでホスト・モニター・エージェント・プロセスがすでに実行されているかどうか。
  • IBM AIX on Power Systems (64ビット)の場合は、入出力完了ポート(IOCP)がavailableに設定されているかどうか。
  • AIXデータベース・サーバーにgmakeがインストールされているかどうか。その他のUNIXデータベース・サーバー・タイプ(Linux/UNIX/Solaris)の場合、makeがインストールされているかどうかを確認します。
  • libssllibcryptolibnslライブラリのシンボリックリンクが存在するかどうか。Linuxでは、追加のシンボリックリンクlibaioのチェックが実行されます。

ノート:

問題が発生した場合、詳細は、次の各トピックを参照してください。

8.2.3 ホスト・モニター・エージェントを実行するホスト・マシンの登録

Audit Vault Serverでホスト・マシン(データベース・サーバーなど)を登録する方法を学習します。

Audit Vault Serverでホストを登録するには、「Audit Vault Serverでのホストの登録」を参照してください。

8.2.4 Audit Vault Agentおよびホスト・モニター・エージェントのデプロイ

Linux、Solaris (x86-64)、Solaris (Sparc64)、AIX、WindowsなどのプラットフォームにAudit Vault Agentおよびホスト・モニター・エージェントをデプロイする方法を学習します。

8.2.4.1 Windowsホスト・マシンでのホスト・モニター・エージェントのデプロイ

Windowsでは、ホスト・モニター・エージェントはAudit Vault Agentによってインストールされます。Audit Vault Serverコンソールでダウンロードできる、個別のホスト・モニター・エージェントのインストール可能なバンドルはありません。Windowsにホスト・モニター・エージェントをインストールするために必要な個別のアクションはありません。

ホスト・モニター・エージェントをインストールする前に、または古いOracle AVDFリリースから更新する前に、次の手順に従います。

前提条件

8.2.4.1.1 OpenSSLのインストール

ホスト・モニター・エージェントでは、OpenSSLを使用してAudit Vault ServerおよびDatabase Firewallと通信します。OpenSSL 1.1.1g以降がWindowsホスト・マシンにインストールされている必要があります。

WindowsプラットフォームではOpenSSL 1.1.1以前がOracle AVDF 20.11で非推奨となり、将来のリリースでサポートが終了します。問題を回避するには、OpenSSL 3.0.13以降に移行する必要があります。

ノート:

WindowsマシンにOpenSSLをインストールする際に、追加の構成ステップとして、OpenSSL DLLをコピーする場所を選択するように求められます。この場所はデフォルトでWindowsマシンのPath環境変数に追加されるため、「Windows System Directory」オプションを選択することをお薦めします。「OpenSSL bin directory」オプションを選択した場合は、その場所がPath環境変数に追加されていることを確認してください。

OpenSSLのインストール後に環境変数を変更するには、次のステップを実行します。

  1. Windowsホスト・マシンで、「コントロール パネル」に移動します。
  2. 「システム」「システムの詳細設定」の順にクリックします。
  3. 「詳細設定」タブで、「環境変数」ボタンをクリックします。
  4. 「環境変数」ダイアログが表示されます。「システム環境変数」ボックスで、「変数」列にあるPathを選択します。
  5. 「編集」ボタンをクリックします。「環境変数名の編集」ダイアログが表示されます。

  6. Path変数の先頭に、OpenSSL binディレクトリの場所を追加します。

  7. 「OK」をクリックして変更内容を保存し、すべてのダイアログを閉じます。
8.2.4.1.2 Npcapのインストール

Windowsでのホスト・モニタリングでは、ネットワーク・トラフィックを取得するためにNpcapが必要です。

8.2.4.1.2.1 ホスト・モニター・エージェントのフレッシュ・インストールのためのNpcapのインストール

ホスト・モニター・エージェントのフレッシュ・インストールのためにNpcapをインストールするには、次のステップを実行します。

ノート:

Oracle AVDFリリース20.6以降の場合、Npcapは、エージェントのインストールとともに自動的にインストールされます。Npcapをインストールすると、Windowsホスト・マシンからNpcapまたはWinPcapの既存のインストールが削除されます。リリース20.6以降では、次のステップは必要ありません。
  1. Oracle Software Delivery Cloudにログインします。

  2. Npcapの手動インストールの詳細に注意し、それに従ってください。

    • Oracle AVDFリリース20.5以降では、Npcapがエージェント・ソフトウェア(agent.jar)ファイルとともに自動的にダウンロードされます。Npcapインストーラ・ファイルは、Agent_Home\hmディレクトリにあります。

    • Oracle AVDFリリース20.4以前の場合、Oracle Software Delivery Cloudのavdf20-utility.zipバンドルで使用可能なNpcapをインストールします。これは、Oracle Audit Vault and Database Firewallインストール可能ファイルに含まれています。Npcapは必ずWinPcap-API互換モードでインストールします。

  3. Npcapをインストールします。Oracle AVDFリリース20.5以前では、Windowsホスト・マシンでNpcapのインストールを完了します。必ずWinPcap API互換モードでインストールしてください。WinPcap API互換モードでNpcapをインストールすると、WindowsマシンからWinPcapの既存インストールがすべて削除されます。

8.2.4.1.2.2 Oracle AVDF 12.2 BP13、12.2 BP14または20.1 - 20.4からOracle AVDF 20.5以降への更新

Oracle Audit Vault and Database Firewall (Oracle AVDF) 12.2 BP13、12.2 BP14または20.1 - 20.4からOracle AVDF 20.5以降に更新する前に、次のステップに従ってNpcapを再インストールします。

  1. Oracle Software Delivery Cloudにログインします。

  2. Oracle Software Delivery Cloudのavdf20-utility.zipバンドルにあるNpcapを再インストールします。これは、Oracle AVDFのインストール可能ファイルの一部です。

    Npcapは必ずWinPcap-API互換モードで再インストールします。これにより、WindowsマシンからNpcapまたはWinPcapの既存のインストールが削除されます。

8.2.4.1.2.3 Oracle AVDF 12.2 BP9または12.2 BP10からOracle AVDF 20.1以降への更新

Oracle Audit Vault and Database Firewall (Oracle AVDF) 12.2 BP9または12.2 BP10からOracle AVDF 20.1以降に更新する前に、次のステップに従ってNpcapを再インストールします。

Windowsでのホスト監視機能にはNpcapが必要です。12.2.0.9.0または12.2.0.10.0からのWindowsでのホスト・モニター・エージェントを引き続き使用するには、Oracle Audit Vault and Database Firewallリリース20にアップグレードする前に、次のステップを実行します。

  1. Windowsホスト・マシンで実行されているAudit Vault Agentを停止します。
  2. 12.2 Audit Vault Serverコンソールに管理者としてログインします。
  3. 監査証跡およびAudit Vault AgentがSTOPPED状態であることを確認します。
  4. My Oracle Supportにログインし、Oracle AVDFリリース20のアップグレード・ファイルで使用可能なNpcapをダウンロードします。

  5. Windowsホスト・マシンへのNpcapのインストールを完了します。必ずWinPcap API互換モードでインストールしてください。

    ノート:

    WinPcap API互換モードでNpcapをインストールすると、WindowsマシンからWinPcapの既存インストールがすべて削除されます。
  6. 次の確認ステップに従って、Npcapのインストールが正常に完了していることを確認します。
  7. Windowsホスト・マシン上のAudit Vault Agentを再起動します。
  8. Audit Vault Serverコンソールを使用して、ネットワーク証跡を開始します。
  9. これで、実行時にNpcapによってホスト・モニター・エージェントがサポートされるようになりました。ネットワーク証跡収集を確認します。
  10. Audit Vault Serverのアップグレードを続行します。

ノート:

  • Npcapをインストールする前に、監査証跡およびAudit Vault AgentがSTOPPED状態であることを確認してください。そうでない場合、エラーが発生する場合があります。
  • Npcapインストールによって新しく作成されたDLLファイルを削除しないでください。
8.2.4.1.2.4 Npcapインストールの検証

Npcapをインストールまたはアップグレードしたら、インストールが成功したことを確認します。

  1. Npcapは、WindowsのSystemディレクトリに加えて、WindowsのSystemディレクトリ内のNpcapサブディレクトリにDLLファイルをコピーします。WindowsのSystemディレクトリからこのDLLファイルを削除しないでください。

    ノート:

    WinPcap API互換モードでNpcapをインストールすると、システムのPath環境変数にすでに含まれているWindowsのSystemディレクトリにNpcap DLLファイルが追加されます。

  2. 次のステップに従って、WindowsのSystemディレクトリ内のNpcapサブ・ディレクトリをPath環境変数に追加します。

    1. 「コントロール パネル」に移動します。
    2. 「システム」「システムの詳細設定」の順にクリックします。
    3. 「詳細設定」タブで、「環境変数」ボタンをクリックします。
    4. 「環境変数」ダイアログが表示されます。「システム環境変数」ボックスで、「変数」列にあるPathを選択します。
    5. 「編集」ボタンをクリックします。「環境変数名の編集」ダイアログが表示されます。
    6. Path変数の先頭に、Npcap DLLファイルの場所を追加します。たとえば: C:\Windows\System32\Npcap
    7. 「OK」をクリックして変更内容を保存し、すべてのダイアログを閉じます。
  3. Path環境変数が変更されたことを確認します。
8.2.4.2 UNIXホスト・マシンでのホスト・モニター・エージェントのデプロイ

UNIXホストでのホスト・モニター・エージェントのデプロイについて学習します。

前提条件

ホスト・モニター・エージェントの要件

  1. ホスト・モニター・エージェントをインストールする前に、Audit Vault Agentがデプロイ済であることを確認します。
    Audit Vault Agentのデプロイを参照してください。
  2. rootとしてログインし、ローカル・ハード・ディスク上で、ホスト・モニター・エージェントのインストール先となるroot所有ディレクトリ(/usr/localなど)を特定します。

    ノート: ディレクトリ階層全体をrootが所有している必要があります。この階層内のすべてのディレクトリには、他のユーザーまたはグループに対するread権限およびexecute権限が必要ですが、write権限は必要ありません。

  3. Audit Vault Serverコンソールに管理者としてログインします。
  4. 「エージェント」タブをクリックします。
  5. 左側のナビゲーション・メニューで、次の操作を実行します。
  6. エージェント・ソフトウェアがリストされているページで、ご使用のUnixのバージョンに対応する「ダウンロード」ボタンをクリックし、ステップ2で特定した(ローカル・ハード・ディスク上の)root所有ディレクトリ(/usr/localなど)に.zipファイルを保存します。
  7. rootユーザーとして、ホスト・モニター・エージェント・ファイルagent-<platform>-hmon-one.zip (agent-linux-x86-64-hmon-one.zipなど)を解凍します。

    これにより、hmという名前のディレクトリが作成されます。これがHM_Homeディレクトリで、この例では/usr/local/hmです。

  8. hostmonsetupファイル(hmディレクトリ内)に、所有者に対する実行権限があることを確認します。
  9. HM_Homeディレクトリから次のコマンドを実行します。
    HM_Home/hostmonsetup install [agentuser=Agent_Username] [agentgroup=Agent_Group]

    • HM_Home - ステップ7で作成したディレクトリです。

    • Agent_Username - (オプション) Audit Vault Agentをインストールしたユーザー(java -jar agent.jarコマンドを実行したユーザー)のユーザー名を入力します。

    • Agent_Group - (オプション)Agent_Usernameが所属するグループを入力します。

    関連項目:

    Audit Vault Serverコンソールの使用

8.2.5 ホスト・モニター対象のデータベース用のターゲットの作成

ホスト監視対象のデータベース用のターゲットを作成する方法を学習します。

ターゲットを作成するには、「Audit Vault Serverでのターゲットの登録または削除」を参照してください。

8.2.6 ホスト・モニター・エージェント用のモニタリング・ポイントの作成

モニタリング・ポイントは、Database Firewallホストの論理エンティティで、受信したSQLトラフィックのモニター用の構成およびルールが含まれます。

  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. ターゲット」タブをクリックします。

    左側のナビゲーション・メニューの「ターゲット」タブがデフォルトで選択されています。

  3. リストから特定のターゲットを選択してクリックします。
  4. メイン・ページの「データベース・ファイアウォール・モニタリング」セクションで、「追加」をクリックします。「データベース・ファイアウォール・モニター」ダイアログが表示されます。
  5. 「基本」タブ(20.3以降の場合、タブの名前は「コア」)で、Database Firewallインスタンスの名前を入力するか、リストから選択します。
  6. リストから、デプロイメント・タイプとして「モニタリング(ホスト監視)」を選択します。このモードでは、Database FirewallはSQLトラフィックのみを監視できます。
  7. リストからDatabase Firewallホストのネットワーク・インタフェース・カードを選択します。

    ノート:

    • Oracle AVDF 20.2以前では、管理インタフェースとして使用されていないネットワーク・インタフェース・カードを選択することをお薦めします。これにより、ホスト・モニター・エージェントからDatabase Firewallへのトラフィック、およびDatabase FirewallからAudit Vault Serverへのトラフィックが分離されます。
    • Oracle AVDFリリース20.3以降では、IPアドレスが構成されているネットワーク・インタフェース・カードを選択する必要があります。IPアドレスが構成されているすべてのネットワーク・インタフェース・カードが「ネットワーク・インタフェース・カード」リストに表示されます。管理インタフェースとして使用されていないネットワーク・インタフェース・カードを選択することをお薦めします。これにより、ホスト・モニター・エージェントからDatabase Firewallへのトラフィック、およびDatabase FirewallからAudit Vault Serverへのトラフィックが分離されます。
  8. 「接続の詳細」セクションで、トラフィックを監視する必要があるターゲットを1つ以上選択します。リストからターゲットを追加できます。

    ノート:

    ExadataまたはOracle RACの場合は、ノードの物理IPと仮想IPの両方を入力しますが、「ターゲット接続」フィールドにSCAN IPは入力しません。

    ノート:

    Oracle RACの場合、「ターゲット接続」フィールドに個々のRACノードのIPアドレスを入力します。

    データベースの使用可能な各接続について次の情報を入力します。ターゲットをさらに追加するには「追加」ボタンをクリックし、次のフィールドに入力します。

    • ホスト名/IPアドレス
    • ポート
    • サービス名(オプション、Oracle Databaseの場合のみ)このフィールドではSIDを使用できます。複数のサービス名またはSID (あるいはその両方)を入力するには、サービス名またはSIDごとに改行を入力し、「追加」をクリックします。複数のエントリを監視のみモードにできます。
      • Oracle AVDF 20.1-20.9: OSNごとにプロキシ・ターゲットの構成が必要になります。これは、単一のプロキシ・ポートでは同じターゲット・データベースの複数のOSNにサービスを提供できないためです。必要に応じてトラフィック・プロキシ・ポートを追加します。
      • Oracle AVDF 20.10以降: 処理対象のターゲット・データベースの複数のOSNを1つのプロキシ・ポートを使用して指定できます。複数のOSNは、「|」文字で区切られたリストで指定します。例: target1|target2|target 3。

    ノート:

    Oracle AVDFリリース20.7以降では、複数のネットワーク・デバイスを含むLinuxホストの場合、データベース・トラフィックの到着が予期されるすべてのネットワーク・デバイスについて行を追加します。
  9. 「詳細」タブをクリックし、「データベース・ファイアウォール・モニター・スレッド」の数を入力します(最小値は1)。これは、Database Firewallモニタリング・ポイントにおけるトラフィック処理スレッドの数を制御します。デフォルト値は1です。この値は、高いトランザクションが報告され(1秒当たりのトラフィック)、パケット・ドロップ・メッセージが/var/log/messagesファイルにレポートされると増やすことができます。この番号を変更する際は、Oracleサポートに問い合せてください。
  10. Oracle Databaseターゲットに対してのみ「ネットワーク・ネイティブ暗号化キーによる復号化」フィールドのチェック・ボックスを選択します。これは、データベースでOracleネイティブ暗号化を使用している場合に、トラフィックの復号化を有効にするためのものです。「ネットワーク・ネイティブ暗号化キーによる復号化」オプションでは、Oracle Databaseのセッション情報の取得もサポートされています。必要に応じて、残りのフィールドに入力します。

    Oracleスタンドアロン・データベース・ターゲットの場合、「IPアドレス」フィールドにデータベース・リスナーのIPアドレスを入力します。

    Sybase SQL Anywhere (Oracle AVDF 20.1-20.6のみ)およびMicrosoft SQLデータベースの場合、フィールドは「ターゲットDBからのセッション情報の取得」です。Oracle以外の他のデータベース・タイプでは、セッション情報の取得はできません。

    このフィールドを選択して、ターゲット・データベースからOSユーザー名、DBユーザー名、クライアント・アプリケーション名、IPアドレスなどのセッション情報を取得します。

    ノート:

    Database Firewallで前述のデータベースとのネットワーク接続が許可されるようにします。
  11. ダイアログの下部にある「保存」をクリックして、モニタリング・ポイントの構成を保存します。

    新しいモニタリング・ポイントがリストに表示され、自動的に開始します。

    ノート:

    デフォルトのDatabase FirewallポリシーがこのDatabase Firewallモニタリング・ポイントに適用されます。このメッセージがダイアログの下部に表示されます。
  12. メイン・ページで「保存」をクリックします。
  13. モニタリング・ポイントを停止または再開するには、「データベース・ファイアウォール・モニタリング」セクションから選択し、「中止」または「開始」をクリックします。

8.2.7 ネットワーク監査証跡の作成

ネットワーク監査証跡を作成する方法を学習します。

監査証跡タイプのNETWORKを指定します。詳細は、「エージェントベース収集を使用する監査証跡の追加」を参照してください。

ネットワーク証跡を使用してExadataまたはRACデータベースの複数のノードを監視するには、ノードごとに個別のターゲットを作成します。

ノート:

ホスト・モニター・エージェントによってモニターされるターゲットに対し、収集属性network_device_name_for_hostmonitorが構成されていることを確認します。ネットワーク・インタフェース・カードの名前が属性値です。ネットワーク・インタフェース・カードは、ターゲット・データベースのすべてのネットワーク・トラフィックを受信します。

AVDF 20.10以降、ネットワーク証跡は毎時モニターされます。ネットワーク証跡がSTOPPED_ERROR状態の場合は、アラートが生成され、電子メール通知が送信されます。

関連トピック

8.2.8 network_device_name_for_hostmonitor属性の値の確認

コレクション属性network_device_name_for_hostmonitorは、ホスト・モニター・エージェントによってモニターされるターゲットに対して構成する必要があります。属性値は、ネットワーク・インタフェース・カードの名前です。ネットワーク・インタフェース・カードは、ターゲット・データベースのすべてのネットワーク・トラフィックを受信します。network_device_name_for_hostmonitor属性の値を確認するには、次のステップを実行します。

Linux/AIX/Solarisホスト

  1. ターゲット・データベースで、TCPトラフィックを受け入れるように構成されているIPアドレスを確認します。このIPアドレスをノートにとります。

  2. 次のコマンドを実行して、ホスト・マシンに存在するネットワーク・デバイスの詳細を一覧表示します。

    ifconfig -a
  3. 表示された出力の中から、最初のステップでメモしたIPアドレスを探します。これに対応するネットワーク・カードの名前が、コレクション属性network_device_name_for_hostmonitorの値です。

Windowsホスト

  1. ターゲット・データベースで、TCPトラフィックを受け入れるように構成されているIPアドレスを確認します。このIPアドレスをノートにとります。
  2. 次のコマンドを実行して、ホスト・マシンに存在するネットワーク・デバイスの詳細を一覧表示します。
    ipconfig /all

    ノート:

    このコマンドにより、各デバイスの物理アドレス、IPv4アドレスおよびその他の詳細が表示されます。
  3. 表示された出力の中から、最初のステップでメモしたIPv4アドレスを持つデバイスを探します。対応する物理アドレスをノートにとります。
  4. このコマンドを実行します: 
    getmac
    これにより、対応する物理アドレスに対するデバイス名が表示されます。前のステップで確認した物理アドレスのデバイス名をノートにとります。
  5. デバイス名がわかったら、それが\Device\Tcpip_{********-****-****-****-************}という形式であることを確認します。
  6. このデバイス名のTcpipNPFに置き換えてコピーし、属性値として使用します。

    たとえば、\Device\Tcpip_{********-****-****-****-************}という名前のネットワーク・カードの場合、属性値は\Device\NPF_{********-****-****-****-************}です。

8.3 ホスト・モニター・エージェントの起動、停止およびその他の操作

ホスト・モニター・エージェントの起動、停止およびその他の操作について学習します。

8.3.1 ホスト・モニター・エージェントの起動

ホスト・モニター・エージェントを起動するには、モニター対象のホストでNETWORK監査証跡の収集を開始します。

ホスト・モニター・エージェントをAudit Vault Serverコンソールから起動するには、次のようにします。

  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. ネットワーク監査証跡の作成でホスト監視用に作成した監査証跡を開始します。

8.3.2 ホスト・モニター・エージェントの停止

ホスト・モニター・エージェントを停止するには、モニター中のターゲット用に作成した監査証跡を停止します。

「Oracle Audit Vault Serverでの監査証跡の停止、開始および自動起動」を参照してください。

8.3.3 ホスト・モニター・エージェントのロギング・レベルの変更

ホスト・モニター・エージェントのロギング・レベルの変更について学習します。

「Audit Vault Agentのロギング・レベルの変更」を参照してください。

8.3.4 ホスト・モニター・エージェントのステータスおよび詳細の表示

ホスト・モニター・エージェントがインストールされているかどうか、およびその場所、バージョン、更新時刻、その他の詳細などの情報を表示できます。

  1. Audit Vault Serverコンソールに監査者としてログインします。
  2. 「エージェント」タブをクリックします。
  3. 左側のナビゲーション・メニューの「エージェント・ホスト」を選択します。
  4. 表示されるページで、対象のホストの「ホスト・モニター・ステータス」列および「ホスト・モニタリング詳細」列を確認します。

8.3.5 ホスト・モニター・エージェント監査証跡のステータスの確認

ホスト・モニター・エージェント監査証跡のステータスを確認する方法を学習します。

  1. Audit Vault Serverコンソールに監査者としてログインします。
  2. 「ターゲット」タブをクリックし、左側のナビゲーション・メニューから「監査証跡」を選択します。
  3. 表示されるステータス・ページの「監査証跡のタイプ」列で、NETWORKタイプの監査証跡を検索し、ホスト・モニター・エージェントの監査証跡を確認します。

8.3.6 ホスト・モニター・エージェントのアンインストール(UNIXホストのみ)

この手順は、UNIXホストのみに適用されます。Windowsホストでは、ホスト・モニター・エージェントはAudit Vault Agentの一部としてインストールされるため、ホスト・モニター・エージェントをアンインストールする必要はありません。ただし、WindowsホストからAudit Vault Agentをアンインストールした後は、Npcapもアンインストールする必要があります。

  1. rootとしてホスト・コンピュータにログインします。
  2. (ステップ7でホスト・モニター・エージェントをインストールした)HM_Homeディレクトリから、次のコマンドを実行します。

    hostmonsetup uninstall

8.4 ホスト・モニター・エージェントの更新(UNIXホストのみ)

Audit Vault Serverを新しいリリースに更新すると、ホスト・モニター・エージェントが自動的に更新されます。

関連項目:

Oracle Audit Vault and Database Firewallインストレーション・ガイド

8.5 Database Firewallとホスト・モニター・エージェント間の通信への相互認証の使用

デフォルトでは、Database Firewallは、一方向認証に基づいてホスト・モニター・エージェントの接続を許可します。相互認証を指定するには、ホスト・モニター・エージェントのインストール後に次のステップを実行します。

  1. 相互認証を有効にする必要がある、ファイアウォールに関連付けられたネットワーク証跡を停止します。
  2. Database Firewallで、rootとしてログインし、次のコマンドを実行します。

    • Oracle AVDFリリース20.7以降:

      cp /usr/local/dbfw/etc/controller.crt /usr/local/dbfw/etc/fw_ca.crt
      chown arbiter:arbiter /usr/local/dbfw/etc/fw_ca.crt
      chmod 400 /usr/local/dbfw/etc/fw_ca.crt
      /usr/local/dbfw/bin/dbfwctl restart

    • Oracle AVDFリリース20.6以前:

      cp /usr/local/dbfw/etc/controller.crt /usr/local/dbfw/etc/fw_ca.crt
      chown dbfw:dbfw /usr/local/dbfw/etc/fw_ca.crt
      chmod 400 /usr/local/dbfw/etc/fw_ca.crt
      /usr/local/dbfw/bin/dbfwctl restart

  3. Audit Vault Serverで、rootとしてログインし、次のステップを実行します。

    1. /usr/local/dbfw/etcディレクトリに変更します。

    2. 次のコマンドを実行します:

      openssl genrsa -out hmprivkey.perm 2048
      openssl req -new -key hmprivkey.perm -out hmcsr.csr -subj "/CN=Hostmonitor_Cert_hostname/"

      hostnameは、Host Monitor Agentがインストールされているデータベース・サーバーの名前です。

    3. 次のコマンドを実行して、署名済証明書を生成します。

       /usr/local/dbfw/bin/generate_casigned_hmcert.sh

      署名済証明書ファイルhmcert.crt/usr/local/dbfw/etcディレクトリに生成されます。

  4. Audit Vault Serverから次のファイルを、ホスト・モニター・エージェントがインストールされているデータベース・サーバーのHOSTMON_HOMEディレクトリにコピーします。

    • /usr/local/dbfw/etc/hmcert.crt
    • /usr/local/dbfw/etc/hmprivkey.perm

  5. (UNIXホストのみ) rootとして、次のコマンドを実行します。 

    chown root:root Agent_Home/hm/hmcert.crt Agent_Home/hm/hmprivkey.perm
    chmod 400 Agent_Home/hm/hmcert.crt Agent_Home/hm/hmprivkey.perm
  6. (Windowsホストのみ)望ましくないユーザー・アクセスを防ぐために、hmcert.crtおよびhmprivkey.permagentユーザーの所有権および適切な権限が割り当てられていることを確認します。
  7. ステップ2のDatabase Firewallを使用しているホスト・モニター・エージェントごとに、ステップ3から6を繰り返します。
  8. すべてのネットワーク証跡を開始してネットワーク・トラフィックを取得します。
  9. 複数のDatabase Firewallを使用する場合は、それぞれについて、前述のすべてのステップを繰り返します。

関連トピック