プラグイン・リファレンス

C プラグイン・リファレンス

この付録には、Oracle Audit Vault and Database Firewall (Oracle AVDF)に付属している各プラグインについての概要データが記載されています。また、ターゲットの登録手順および監査証跡の構成手順を実行するための参照情報も記載されています。これらの手順は、この付録の関連する項に直接リンクしています。

C.1 Oracle Audit Vault and Database Firewallプラグインについて

Oracle Audit Vault and Database Firewallでサポートされているプラグインについて学習します。

Oracle Audit Vault and Database Firewallでは、ターゲット・タイプごとにプラグインを提供して、様々なターゲット・タイプをサポートしています。Oracle Audit Vault and Database Firewallには、すぐに使用できるプラグインのセットが付属しています。これらのプラグインは、Audit Vault Serverとともにパッケージ化されてデプロイされます。

独自のプラグインを開発するか、新しい使用可能なプラグインを取得して、Oracle Audit Vault and Database Firewallインストールに追加することもできます。

関連項目:

プラグインのデプロイとプラグイン・ホストの登録

C.2 Oracle Audit Vault and Database Firewallに付属のプラグイン

Oracle Audit Vault and Database Firewallは、Oracle Solaris、Linux、Microsoft Windowsなど、様々なプラットフォーム用のプラグインをサポートしています。

C.2.1 プラグインについて

Oracle Audit Vault and Database Firewallは、多くのプラットフォームおよびサード・パーティ製品のプラグインをサポートしています。

Oracle Audit Vault and Database Firewallプラグインは、表C-1にリストされているターゲット・バージョンをサポートしています。各ターゲットのリンクをクリックすると、詳細情報にアクセスできます。

表C-1 Oracle Audit Vault and Database Firewallでサポートされている、すぐに使用できるプラグインおよび機能

ターゲット・バージョン	監査証跡の収集	監査ポリシーの作成、権限監査	ストアド・プロシージャ監査	監査証跡のクリーンアップ	Database Firewall	ホスト・モニター・エージェント	ネイティブ・ネットワーク暗号化トラフィックの監視/セッション情報の取得
Oracle Audit Vault and Database Firewall用Oracle Databaseプラグイン 11.2.0.4	〇	可能 (統合監査ポリシーを除く)	〇	〇	〇	〇	〇
Oracle Audit Vault and Database Firewall用Oracle Databaseプラグイン 12.1、12.2、18c、19c 21c (Oracle AVDF 20.4以降) 23ai (Oracle AVDF 20.13以降)	〇	可能(統合監査ポリシーを含む)	〇	〇	〇	〇	〇
Oracle Audit Vault and Database Firewall用のMicrosoft SQL Serverプラグイン(Windows) Enterprise Edition 2012*、2014、2016、2017 Enterprise Edition 2019 (Oracle AVDF 20.3以降) Enterprise Edition 2022 (Oracle ADVF 20.10以降) Standard Edition 2019 (Oracle AVDF 20.6以降) Standard Edition 2022 (Oracle ADVF 20.10以降)	〇	不可	可能(バージョン2000、2005、2008、2008 R2)	〇	〇	可能(Microsoft Windows 2008以降)	可能(Microsoft SQL Server 2005、2008、2008 R2) (セッション情報の取得のみ)
Oracle Audit Vault and Database Firewall用のMicrosoft SQL Serverプラグイン* (Windowsクラスタ化) 2012 R2	〇	不可	可能(バージョン2012 R2)	〇	不可	不可	不可
Oracle Audit Vault and Database Firewall用のPostgreSQLプラグインオープン・ソースのバージョン: 9.6から11.8 12、13 (Oracle AVDFリリース20.8以降) 14、15 (Oracle AVDFリリース20.10以降)	〇	不可	不可	不可	不可	不可	不可
Oracle Audit Vault and Database Firewall用のSAP Sybase ASEプラグイン* 15.7, 16	〇	不可	〇	不可	〇	〇	不可
Oracle Audit Vault and Database Firewall用のIBM DB2プラグイン(LUW) 10.5, 11.1, 11.5	〇	不可	不可	〇	〇バージョン9.1 - 10.5	〇	不可
Oracle Audit Vault and Database FirewallのQuick JSONターゲット・タイプ	〇	不可	不可	不可	不可	不可	不可
Oracle Audit Vault and Database Firewall用のMySQLプラグイン 5.6, 5.7, 8.0	〇	不可	不可	〇	〇	〇	不可
Oracle Audit Vault and Database Firewall用のOracle Solarisプラグイン 11.3、11.4 (x86-64プラットフォーム)*	〇	不可	不可	不可	不可	可能(バージョン11、11.1、11.2)	不可
Oracle Audit Vault and Database Firewall用のOracle Solarisプラグイン 11.3、11.4 (SPARC64プラットフォーム)	〇	不可	不可	不可	不可	可能(バージョン11、11.1、11.2)	不可
Oracle Linux 6.0から6.9 7.0から7.5 7.6から7.8 (Oracle AVDF 20.2以降) 7.9 (Oracle AVDF 20.4以降) 8 (Oracle AVDF 20.3以降) 8.2, 8.3 (Oracle AVDF 20.4以降) 9 (Oracle AVDF 20.9以降)	〇	不可	不可	不可	不可	〇	不可
Red Hat Enterprise Linux 6.7から6.10 7.0から7.5 7.6から7.8 (Oracle AVDF 20.2以降) 7.9 (Oracle AVDF 20.4以降) 8 (Oracle AVDF 20.3以降) 8.2, 8.3 (Oracle AVDF 20.4以降) 9 (Oracle AVDF 20.9以降)	〇	不可	不可	不可	不可	〇	不可
Oracle Audit Vault and Database Firewall用のIBM AIXプラグイン Power Systems (64ビット)の場合 7.1 (TL5) 7.2 (TL2以上) 7.3 (TL0) (Oracle AVDF 20.10以降) 7.3 (TL2) (Oracle AVDF 20.13以降)	〇	不可	不可	不可	不可	〇	不可
Oracle Audit Vault and Database Firewall用のMicrosoft Windowsプラグイン Microsoft Windows Server 2012*、2012 R2、2016のx86-64版 2019のx86-64版(Oracle AVDF 20.2以降)	〇	不可	不可	不可	不可	なし	なし
Oracle Audit Vault and Database Firewall用のMicrosoft Active Directoryプラグイン 2012から2016の64ビット版	〇	なし	なし	なし	なし	なし	なし
Oracle Audit Vault and Database Firewall用のOracle ACFSプラグイン* 12c	〇	なし	なし	なし	なし	なし	なし

Microsoft Windows 2012はOracle AVDF 20.12で非推奨となり、将来のリリースでサポートが終了します。
Microsoft SQL Server 2012はOracle AVDF 20.12で非推奨となり、将来のリリースでサポートが終了します。
Solaris - x86-64は、Oracle AVDF 20.9で非推奨となり、将来のリリースでサポートが終了します。
Oracle Automatic Storage Management Cluster File System (Oracle ACFS)またはOracle Advanced Cluster File Systemは、Oracle AVDFリリース20.8でサポートが終了しました。
Sybase SQL Anywhereは、Oracle AVDFリリース20.8でサポートが終了しました

関連トピック

動作の変更、非推奨となったかサポートが終了したプラットフォームと機能

C.2.2 Oracle Audit Vault and Database Firewall用のOracle Databaseプラグイン

Oracle Audit Vault and Database Firewall用のOracle Databaseプラグインについて学習します。

表C-2に、Oracle Databaseプラグインの機能を示します。

表C-2 Oracle Databaseプラグイン

プラグインの仕様	説明
プラグイン・ディレクトリ	`AGENT_HOME/av/plugins/com.oracle.av.plugin.oracle`
ターゲット・バージョン	Oracle 11.2.0.4 Oracle 12c リリース1 (12.1) Oracle 12c リリース2 (12.2) Oracle 18c Oracle 19c 21c (Oracle AVDF 20.4以降) 23ai (Oracle AVDF 20.13以降)
ターゲット・プラットフォーム	Linux/x86-64 Solaris /x86-64 Solaris /SPARC64 AIX/Power64 Windows /x86-64 HP-UX Itanium サポートされているターゲット・プラットフォームおよびバージョンの詳細は、『Oracle Audit Vault and Database Firewallインストレーション・ガイド』の「プラットフォーム・サポート・マトリックス」を参照してください。
設定スクリプト	あり。手順は、「Oracle Databaseの設定スクリプト」を参照してください。
ターゲットの場所(接続文字列)	`jdbc:oracle:thin:@//hostname:port/service`
コレクション属性	なし。 `ORCLCOLL.NLS_LANGUAGE、ORCLCOLL.NLS_TERRITORYおよびORCLCOLL.NLS_CHARSET`: これらは、将来非推奨になる予定です。 `ORCLCOLL.NLS_CHARSET`属性は、`AV.COLLECTOR.DATABASECHARSET`に置き換えられます。詳細は、表C-24を参照してください。 `AV.COLLECTOR.TIMEZONEOFFSET` ノート: この属性は、Oracle Databaseのタイムゾーン・オフセットに設定する必要があります。ターゲットにトランザクション・ログ監査証跡を構成する場合は必須です。
AVDF監査証跡タイプ	`TABLE` `DIRECTORY` `TRANSACTION LOG` `SYSLOG` (Linuxのみ) `EVENT LOG` (Windowsのみ) `NETWORK` 監査証跡タイプの説明は、表C-22を参照してください。
監査証跡の場所	`TABLE`監査証跡の場合: `SYS.AUD$`、`SYS.FGA_LOG$`、`DVSYS.AUDIT_TRAIL$`、`UNIFIED_AUDIT_TRAIL`、`CDB_UNIFIED_AUDIT_TRAIL`、`SYS.DBA_SQL_FIREWALL_VIOLATIONS` (Oracle Database 23ai以降)。 `DIRECTORY`監査証跡: `AUD`ファイルまたは`XML`ファイルを含むディレクトリへのフルパス。 `SYSLOG`監査証跡: `DEFAULT`またはsyslogファイルを含むディレクトリへのフルパスを使用します。 `EVENT LOG`および`NETWORK`監査証跡: 証跡の場所は不要です。 `TRANSACTION LOG`: Golden Gate統合Extractファイルを含むディレクトリへのフルパス。ノート: Oracle Audit Vault and Database Firewallは、オペレーティング・システムのスピルオーバー監査ファイルから統合監査レコードをフェッチする統合監査証跡に対して、レコードの問合せおよび収集を行います。データベース監査管理は、統合監査証跡のクリーンアップ、および基礎となるオペレーティング・システムのスピルオーバー監査ファイルを管理します。
監査証跡のクリーンアップのサポート	あり。手順は、Oracle Database監査証跡クリーンアップを参照してください。
エージェントを実行するOSユーザー	Oracle Databaseディレクトリ監査証跡: 監査ファイルの読取り権限を持つ任意のユーザー、つまりoracleユーザー、またはDBAグループ内のユーザー。表証跡: 任意のデータベース・ユーザー(可能な場合、DBA以外)。手順については、「Oracle Databaseの設定スクリプト」を参照してください。トランザクション・ログ証跡: Golden Gate統合Extract XMLファイルの読取り権限を持つ任意のユーザー。他のディレクトリ監査証跡: 監査ファイルの読取り権限を持つ任意のユーザー。
`DIRECTORY`および`SYSLOG`監査証跡のサポートされている文字セット	`DIRECTORY`および`SYSLOG`監査証跡では、Java文字セットを使用して、データベース文字セットに基づいた監査ファイルを開きます。これにより、監査ファイルは適切な文字セットを使用して処理され、データ消失を回避できます。データベース文字セットは、次のソースから同じ順序で読み取られます。ターゲット属性`AV.COLLECTOR.DATABASECHARSET` ターゲット属性`ORCLCOLL.NLS_CHARSET` (非推奨) ターゲットのOracleデータベースノート: 前述のプロセスの例外は、XML宣言でJava文字セットが指定されているXML監査ファイルです。サポートされていない文字セットのリストについては、既知の問題を参照してください。
クラスタ・サポート(Oracle Real Application Clusters)	〇監査収集のターゲットとしてOracle RACを構成する場合は、SCANリスナーのポート番号を入力します。
Oracle Active Data Guard	Oracle Active Data Guardからの監査収集のための追加情報

C.2.3 Oracle Audit Vault and Database Firewall用のMySQLプラグイン

Oracle Audit Vault and Database Firewall用のMySQLプラグインの使用方法を学習します。

表C-3に、MySQLプラグインの機能を示します。

表C-3 MySQLプラグイン

プラグインの仕様	説明
プラグイン・ディレクトリ	`AGENT_HOME/av/plugins/com.oracle.av.plugin.mysql`
ターゲット・バージョン	Enterprise Edition 5.6、5.7、8.0
ターゲット・プラットフォーム	Linux (x86-64): OL 5.x、6.x、7.xおよびRHEL 6.x、7.x Microsoft Windows (x86-64): 8 Microsoft Windows Server (x86-64): 2012、2012R2、2016
ターゲットの場所(接続文字列)	`jdbc:av:mysql://hostname:port/mysql`
コレクション属性	`av.collector.securedTargetVersion` - (必須) MySQLバージョンを指定します。デフォルトは8.0です。 `av.collector.AtcTimeInterval` - (オプション) 監査証跡クリーンアップのファイル更新の時間間隔を分単位で指定します。デフォルトは20です。
AVDF監査証跡タイプ	`DIRECTORY` `NETWORK` 監査証跡タイプの説明は、表C-22を参照してください。
監査証跡のクリーンアップのサポート	あり。

監査証跡の場所

変換ファイルが作成されるディレクトリへのパス。

MySQL 5.5および5.6のデフォルト監査フォーマットは古いです。MySQL 5.7のデフォルト監査フォーマットは新しいです。監査フォーマットはMySQL Serverで構成を変更することで変更できます。

監査証跡の場所は次のとおりです。

古い監査フォーマットでは、ディレクトリへのパスは、MySQL XML変換ユーティリティを実行したときに変換後のXMLファイルが作成される場所。
新しい監査フォーマットでは、ディレクトリへのパスは、MySQL Serverによってaudit.logファイルが生成される場所。

表C-4 古い監査フォーマット

監査証跡の場所値

監査証跡の場所	値
MySQL 5.7.21以前の入力パス形式	`<Path of the converted XML location.>` たとえば: `\ConvertedXML`
MySQL 5.7.21以降の入力パス形式	`<Path of the converted XML location.>` たとえば: `\ConvertedXML`

MySQL 5.7.21以前の入力パス形式

<Path of the converted XML location.>

たとえば: \ConvertedXML

MySQL 5.7.21以降の入力パス形式

<Path of the converted XML location.>

たとえば: \ConvertedXML

表C-5 新しい監査フォーマット

監査証跡の場所値

監査証跡の場所	値
MySQL 5.7.21以前の入力パス形式	`<Path of the audit.log location.>` たとえば: `\MySQLLog`
MySQL 5.7.21以降の入力パス形式	`<Path of the audit log file>/<log file name>..log` ここで、``は`YYYYMMDDThhmmss`形式のタイムスタンプです。たとえば: `MySQLLog/audit*.log`

MySQL 5.7.21以前の入力パス形式

<Path of the audit.log location.>

たとえば: \MySQLLog

MySQL 5.7.21以降の入力パス形式

<Path of the audit log file>/<log file name>.*.log

ここで、*はYYYYMMDDThhmmss形式のタイムスタンプです。

たとえば: MySQLLog/audit*.log

ノート:

古い形式では、監査データは変換されたXMLファイルから収集されます。新しい形式では、監査データはアクティブ・ログとローテーションされたログの両方から収集されます。
MySQL Community Editionからの監査収集は、Oracle AVDFのこのプラグインでサポートされていません。

ベスト・プラクティス:

audit_log_rotate_on_sizeプロパティを設定することで、サイズ・ベースの監査ログ・ファイルの自動ローテーションを有効にします。詳細は、MySQLリファレンス・マニュアルの監査ログ・ファイルの領域管理と名前ローテーションを参照してください。

関連項目:

C.2.4 Oracle Audit Vault and Database Firewall用のMicrosoft SQL Serverプラグイン

次の表に、Oracle Audit Vault and Database Firewall (Oracle AVDF)用のMicrosoft SQL Serverプラグインの機能を示します。

Microsoft SQL Server 2012はOracle AVDF 20.12で非推奨となり、将来のリリースでサポートが終了します。

表C-6 Microsoft SQL Serverプラグイン

プラグインの仕様	説明
プラグイン・ディレクトリ	`AGENT_HOME\av\plugins\com.oracle.av.plugin.mssql`
ターゲット・バージョン	Enterprise Edition 2012、2014、2016、2017、2019 (Oracle AVDF 20.3以降)、2022 (Oracle ADVF 20.10以降) Standard Edition 2019 (Oracle AVDF 20.6以降)、2022 (Oracle ADVF 20.10以降) Oracle AVDF 20.10以降、エージェントレス収集とリモート収集は次のようにサポートされます: `.sqlaudt`監査イベントは、すべてのサポート対象のMicrosoft SQL Serverバージョンでサポートされています。 `.xel`監査イベントは、Microsoft SQL Server 2017以降でサポートされています。
ターゲット・プラットフォーム	Windows/x86-64 サポートされているターゲット・プラットフォームおよびバージョンの詳細は、『Oracle Audit Vault and Database Firewallインストレーション・ガイド』のプラットフォーム・サポート・マトリックスを参照してください。
設定スクリプト	あり。手順は、「Microsoft SQL Serverの設定スクリプト」を参照してください。ノート: Oracle AVDF 20.3以降にアップグレードした後、監査収集を続行するには、すべてのターゲットに対してサーバー設定スクリプトを再実行します。
ターゲットの場所(SQLサーバー認証の接続文字列)	`jdbc:av:sqlserver://hostname:port`
ターゲットの場所(Windows認証の接続文字列)	`jdbc:av:sqlserver://hostname:port;authenticationMethod=ntlmjava` Windowsのユーザー資格証明は、ドメインとともに使用します。たとえば: `domain\username and password`
コレクション属性	なし
AVDF監査証跡タイプ	`DIRECTORY` `TRANSACTION LOG` (Oracle AVDF 20.9以降) `EVENT LOG` `NETWORK` 監査証跡タイプの説明は、表C-22を参照してください。
`DIRECTORY`監査証跡の場合の監査証跡の場所	`.sqlaudit` `.trc` (trace) `.xel` (extended events) `#C2_DYNAMIC` `#TRACE_DYNAMIC` 例: `directory_path\.sqlaudit` `directory_path\prefix.sqlaudit` `directory_path\prefix.trc` `directory_path\.xel` `directory_path\prefix.xel` `#C2_DYNAMIC` `#TRACE_DYNAMIC` ノート: `prefix`には、`.trc`、`.xel`または`.sqlaudit`ファイル用の任意の接頭辞を使用できます。 extended events (`*.xel`ファイル)のサポートは、Oracle AVDF 20.3以降の`DIRECTORY`監査証跡の場合に含まれています。
`EVENT LOG`監査証跡の場合の監査証跡の場所	`application` `security`
`TRANSACTION LOG`監査証跡の場合の監査証跡の場所(Oracle AVDF 20.9以降)	Oracle GoldenGate CDC Extractファイルが含まれるディレクトリへのフルパス
監査証跡のクリーンアップのサポート	あり(エージェントレス収集またはリモート収集ではサポートされません) 手順は、「Microsoft SQL Server監査証跡クリーンアップ」を参照してください。
クラスタ・サポート	あり(エージェントレス収集またはリモート収集ではサポートされません)
クラスタのターゲット・プラットフォーム	監査収集のためのWindows 2012 R2 Enterprise Edition
クラスタ・コレクション属性	属性名: `av.collector.clusterEnabled` 属性値: `1`
AlwaysOn可用性グループのサポート	あり(Oracle AVDF 20.3以降) ノート: AlwaysOn可用性グループに含まれているMicrosoft SQL Serverごとに1つのターゲットを、Audit Vault Serverに登録します。 Oracle AVDF監査レポートでは、可用性グループ内の個々のMicrosoft SQL Serverによって生成された監査レコードのビューが提供されます。これは、可用性グループ内のすべてのサーバーによって生成された監査レコードが示される統合されたビューではありません。
コレクション属性(オプション)	`av.collector.validateConnectionOnBorrow` この属性を`False`に設定すると、ターゲット・データベースでのテスト問合せによるレコードまたはイベントが不必要にロギングされることがなくなります。この属性は、Oracle AVDF 20.6以降で使用できます。

関連トピック

動作の変更、非推奨となったかサポートが終了したプラットフォームと機能

C.2.5 Oracle Audit Vault and Database Firewall用のPostgreSQLプラグイン

Oracle Audit Vault and Database Firewall用のPostgreSQLプラグインの使用方法について学習します。

表C-7では、構成に必要な値または詳細を示します。

前提条件: pgaudit拡張機能を有効にしてください。この拡張が有効になっていない場合、監査収集は不完全で、レポートから操作の詳細が失われます。

表C-7 PostgreSQL

仕様	説明
プラグイン・ディレクトリ	`AGENT_HOME/av/plugins/com.oracle.av.plugin.postgresql`
ターゲット・バージョン	オープン・ソースのバージョン: 9.6から11.8 12および13 (Oracle AVDF 20.8以降) 14および15 (Oracle AVDF 20.10以降)
ターゲット・プラットフォーム	Linux/x86-64
設定スクリプト	なし
ターゲットの場所(接続文字列)	なし
コレクション属性(必須)	`av.collector.securedTargetVersion` ターゲット・バージョンを指定します。デフォルトは11.0です。
コレクション属性(オプション)	`AV.COLLECTOR.DATABASECHARSET` 監査証跡ファイルのNLS文字セット。これは、Oracle AVDF 20.4以降で使用できます。 PostgreSQL `DIRECTORY`監査証跡では、Java文字セットを使用して、データベース文字セットに基づいた監査ファイルを開きます。これにより、監査ファイルは適切な文字セットを使用して処理され、データ消失を回避できます。
監査証跡タイプ	`DIRECTORY`
監査証跡の場所	`CSV`監査ファイルが含まれているディレクトリへのパス。
監査証跡のクリーンアップのサポート	なし

C.2.6 Oracle Audit Vault and Database Firewall用のIBM DB2プラグイン

Oracle Audit Vault and Database Firewall用のIBM DB2プラグインの使用方法について学習します。

表C-8に、IBM DB2プラグインの機能を示します。

表C-8 IBM DB2プラグイン

プラグインの仕様	説明
プラグイン・ディレクトリ	`AGENT_HOME/av/plugins/com.oracle.av.plugin.db2`
ターゲット・バージョン	10.5, 11.1, 11.5
ターゲット・プラットフォーム	Linux (x86-64): OL 5.x、6.x、7.xおよびRHEL 6.x、7.x Microsoft Windows (x86-64): 8 Microsoft Windows Server (x86-64): 2012、2012R2、2016 Power Systems (64ビット):上のIBM AIX 7.1
設定スクリプト	あり。手順は、「IBM DB2 for LUWの設定スクリプト」を参照してください。
ターゲットの場所(接続文字列)	`jdbc:av:db2://hostname`:`port/dbname` ノート: 接続文字列は、Oracle AVDFリリース20には必要ありません。 IBM DB2クラスタには接続文字列は必要ありません。
コレクション属性	`av.collector.databasename` (大文字小文字の区別あり) - (必須) IBM DB2 for LUWデータベース名を指定します。
AVDF監査証跡タイプ	`DIRECTORY` `NETWORK` 監査証跡タイプの説明は、表C-22を参照してください。
監査証跡の場所	ディレクトリへのパス。たとえば: `d:\temp\trace`
監査証跡のクリーンアップのサポート	〇
クラスタ・サポート	〇 HADR (高可用性および障害時リカバリ)
クラスタのターゲット・プラットフォーム	OL 7.x上のHADR
DB2複数インスタンスのサポート	〇

複数インスタンスの環境

複数インスタンスの環境の場合は、Audit Vault Agentユーザーを作成してからエージェント・グループを作成します。エージェント・グループに属する新規に作成したエージェント・ユーザーとしてエージェントをインストールします。インスタンスのすべてのユーザーをエージェント・グループに追加してから、エージェント・ユーザーをインスタンス・グループに追加します。この機能は、Oracle AVDF 20.2 (RU2)以上でサポートされています。

各インスタンスから次のステップを実行して、監査ファイルを抽出します。

$AGENT_HOME/av/plugins/com.oracle.av.plugin.db2/binを使用して、抽出ユーティリティの場所に移動します。
環境変数agent_home、db2audit_commandおよびlslk_cmdを設定します。
./DB295ExtractionUtil -archivepath <archive path> -extractionpath <extraction path> -audittrailcleanup <yes/no>を使用して抽出ユーティリティを実行します。
抽出されたファイルは、インスタンス・レベルでディレクトリに生成されます。
抽出パスがインスタンスごとに異なるため、インスタンスごとに監査証跡を開始します。

C.2.7 Oracle Audit Vault and Database Firewall用のSAP Sybase ASEプラグイン

Oracle Audit Vault and Database Firewall用のSAP Sybase ASEプラグインの使用方法について説明します。

表C-9に、SAP Sybase ASEプラグインの機能を示します。

表C-9 SAP Sybase ASEプラグイン

プラグインの仕様	説明
プラグイン・ディレクトリ	`AGENT_HOME/av/plugins/com.oracle.av.plugin.sybase`
ターゲット・バージョン	15.7 16.0
ターゲット・プラットフォーム	すべてのプラットフォーム
設定スクリプト	あり。手順は、「Oracle Audit Vault and Database Firewall用のSybase ASE設定スクリプト」を参照してください。
ターゲットの場所(接続文字列)	`jdbc:av:sybase://hostname:port`
コレクション属性	なし
AVDF監査証跡タイプ	`TABLE` `NETWORK` 監査証跡タイプの説明は、表C-22を参照してください。
監査証跡の場所	`SYSAUDITS`
監査証跡のクリーンアップのサポート	なし
クラスタ・サポート	なし

SAP Sybaseのパスワード暗号化

SAP Sybaseデータベースでパスワード暗号化を使用している場合は、次の変更内容をOracle Audit Vault and Database Firewallに適用します。

SAP Sybaseデータベースの監査証跡を設定する際に、Audit Vault Serverコンソールで次の接続文字列を使用します。

jdbc:sybase:Tds:<host>:<port>/sybsecurity?ENCRYPT_PASSWORD=TRUE&JCE_PROVIDER_CLASS=com.sun.crypto.provider.SunJCE
jconn4.jarファイルを、Sybaseサーバーの/opt/sybase/jConnect-16_0/classesからAgent_Home/av/jlibにコピーします。

ノート:

Sybase 15.7を使用している場合は、最新のSAP Sybaseサーバー・バージョン16.0.からjconn4.jarファイルをフェッチします。
Audit Vault Agentを再起動します。
収集を開始します。

C.2.8 Oracle Audit Vault and Database Firewall用のQuick JSONターゲット・タイプ

Oracle Audit Vault and Database Firewall用のQuick JSONターゲット・タイプを構成して使用する方法を学習します。

Quick JSONターゲット・タイプを使用すると、いくつかのコレクション属性をマッピングすることにより、監査レコードをJSON形式で格納するターゲットから監査データを収集できます。

表C-10では、構成に必要な値または詳細を示します。

表C-10 Quick JSON

仕様	説明
プラグイン・ディレクトリ	`AGENT_HOME/av/plugins/com.oracle.av.plugin.quickjson`
ターゲット・プラットフォーム	Linux/x86-64 Windows /x86-64
設定スクリプト	なし
ターゲットの場所(接続文字列)	なし
コレクション属性(必須)	`av.collector.securedTargetVersion` ターゲット・バージョンを指定します。
コレクション属性(オプション)	`AV.COLLECTOR.DATABASECHARSET` 監査証跡ファイルのNLS文字セット。これは、Oracle AVDF 20.4以降で使用できます。 Quick JSON `DIRECTORY`監査証跡では、Java文字セットを使用して、データベース文字セットに基づいた監査ファイルを開きます。これにより、監査ファイルは適切な文字セットを使用して処理され、データ消失を回避できます。
監査証跡タイプ	`DIRECTORY`
監査証跡の場所	`JSON`監査ファイルが含まれているディレクトリへのパス。
監査証跡のクリーンアップのサポート	不要

QuickJSONコレクタは、コレクション属性を利用してJSON監査データをOracle AVDF監査レコード・フィールドにマップします。これらのコレクション属性は、JSONパス式を使用してJSON監査ファイル内のデータを指します。次の表に、QuickJSONコレクション属性を示します。

表C-11 Quick JSONコレクション属性

Quick JSONコレクション属性名	説明	属性値タイプ
`av.collector.qck.starttag`	JSON監査レコードの最初のキーに設定する必要があります。これはJSONパス式ではありません。これは、必要なキーの名前です。	静的文字列
`av.collector.qck.eventtime`	イベントが発生した時刻。	JSONパス式
`av.collector.qck.username`	イベントを実行したターゲットのユーザー。	JSONパス式
`av.collector.qck.os.username`	イベントを実行したターゲット・ユーザーのオペレーティング・システム・ログイン名。	JSONパス式
`av.collector.qck.eventname`	ターゲットで認識されたイベントの名前。	JSONパス式
`av.collector.qck.commandclass`	イベントを実行したターゲット・ユーザーによって発行されたコマンドのクラス。	JSONパス式
`av.collector.qck.client.ip`	クライアント・ホストのIPアドレス。	JSONパス式
`av.collector.qck.targetobject`	イベントの影響を受けるオブジェクト。	JSONパス式
`av.collector.qck.targettype`	ターゲット・オブジェクトのタイプ。たとえば: パッケージ、タイプまたは表。	JSONパス式
`av.collector.qck.eventstatus`	イベントの完了ステータス。	JSONパス式
`av.collector.qck.errorid`	イベント失敗時のエラー番号。	JSONパス式
`av.collector.qck.errormessage`	イベント失敗時のエラー・メッセージ。	JSONパス式
`av.collector.qck.target.entity`	ターゲット・エンティティの名前。	JSONパス式
`av.collector.qck.target.user`	ターゲット・ユーザーの名前。	JSONパス式
`av.collector.qck.target.role`	ターゲット・ロールの名前。	JSONパス式

ノート:

属性av.collector.qck.target.entity、av.collector.qck.target.userおよびav.collector.qck.target.roleは、クイックJSONターゲットを使用してMongo DBから監査データを収集する場合にのみ適用可能です。

関連項目:

MongoDBから監査データを収集するためのQuick JSONターゲット・タイプの構成
他のコレクション属性および対応する監査レコード・フィールド定義の詳細は、「監査レコードのフィールド」を参照してください。

C.2.9 Oracle Audit Vault and Database Firewall用のQuickCSVコレクタ

Oracle Audit Vault and Database Firewall用のQuickCSVターゲット・タイプを構成し使用する方法を説明します。

QuickCSVターゲット・タイプを使用すると、コレクション属性をログ・ファイル内のフィールドに1対1でマッピングすることで、監査レコードがCSV形式で格納されているほとんどのターゲットから、監査データを収集できます。データベースで一部のデータが複数フィールドにわたり格納されている場合、それを単一フィールドには取得できません。

下のQuickCSVコレクタの仕様の表では、構成に必要な値または詳細を明記します。

表C-12 QuickCSVコレクタの仕様

仕様	説明
プラグイン・ディレクトリ	<agent_home>/av/plugins/com.oracle.av.plugin.quickcsv
ターゲット・プラットフォーム	サポートされているすべてのOS
設定スクリプト	なし
ターゲットの場所(接続文字列)	なし
コレクション属性	(次の表を参照)
監査証跡のタイプ	ディレクトリ
監査証跡の場所	.csvファイルを含むディレクトリへのパス
監査証跡のクリーンアップのサポート	不要

次の表では、.csv監査ファイル内のフィールドにマップされる属性を説明します。属性に対して、入力する値はフィールド番号です。フィールド番号は、1、2、3など、または$1、$2、$3などとして入力できます。

表C-13 QuickCSVコレクタの属性

属性	説明
av.collector.map.client.hostname	ターゲット・ホスト名
av.collector.map.client.id	ターゲットID
av.collector.map.client.ip	ターゲットIPアドレス
av.collector.map.client.program.name	イベントを実行した、ターゲットで実行中のプログラム
av.collector.map.command.class	イベントを実行したターゲット・ユーザーによって発行されたコマンドのクラス
av.collector.map.command.param	イベントの実行中にコマンドに指定されたパラメータ
av.collector.map.command.text	イベントのコマンド文
av.collector.map.database.name	ターゲット・データベースの名前
av.collector.map.error.id	イベント失敗時のエラー番号
av.collector.map.error.message	イベント失敗時のエラー・メッセージ
av.collector.map.event.name (必須)	ターゲットで認識されたイベントの名前
av.collector.map.event.status	イベントの完了ステータス
av.collector.map.event.time (必須)	イベントが発生した時刻
av.collector.map.instance.name	データベース・インスタンスの名前
av.collector.map.os.username	イベントを実行したターゲット・ユーザーのオペレーティング・システム・ログイン名
av.collector.map.repository.name	データベース・リポジトリの名前
av.collector.map.target.object	イベントの影響を受けるオブジェクト
av.collector.map.target.owner	ターゲットを所有するユーザーの名前
av.collector.map.target.type	ターゲット・オブジェクトのタイプ
av.collector.map.username	イベントを実行したターゲットのユーザー

事前定義されている前述の属性の他に、収集元のフィールドを指定する属性をさらに追加することもできます。これらの属性は、接頭辞av.collector.map.extensionで始まる必要があります。ユーザー定義属性に対して指定されているフィールドから収集されたデータは、その属性に指定されている名前とともに拡張フィールドに追加されます。

次の表では、.csvファイルの書式を指定する属性を説明します。

表C-14 QuickCSVコレクタの書式属性

書式属性	説明	デフォルト値
av.collector.format.delimiter	.csvファイルで使用するデリミタ文字列を指定します。たとえば、カンマ(,)、セミコロン(;)などです。	, (カンマ)
av.collector.format.escape	引用符で囲まれたフィールド内のエスケープ文字を指定します	該当なし
av.collector.format.quote	フィールドを引用符で囲むために使用する文字を指定します	" (二重引用符)
av.collector.pattern.timestamp	タイムスタンプ書式文字列を指定します	yyyy-MM-dd HH:mm:ss.SSS z
av.collector.timezoneoffset	タイムスタンプのタイムゾーン・オフセットを指定します	該当なし

C.2.10 Oracle Audit Vault and Database Firewall用のSAP Sybase SQL Anywhereプラグイン

Oracle Audit Vault and Database Firewall用のSAP Sybase SQL Anywhereプラグインの使用方法について説明します。

ノート:

SAP Sybase SQL AnywhereはOracle AVDFリリース20.7で非推奨になっています。また、20.8でサポートが終了しています。

表C-15に、SAP Sybase SQL Anywhereプラグインの機能を示します。

表C-15 SAP Sybase SQL Anywhereプラグイン

プラグインの仕様	説明
プラグイン・ディレクトリ	`AGENT_HOME/av/plugins/com.oracle.av.plugin.sqlanywhere`
ターゲット・バージョン	10.0.1
ターゲット・プラットフォーム	すべてのプラットフォーム
設定スクリプト	あり。手順は、「Sybase SQL Anywhereの設定スクリプト」を参照してください。
ターゲットの場所(接続文字列)	`jdbc:av:sybase://hostname:port`
コレクション属性	なし
AVDF監査証跡タイプ	`NETWORK` (ホスト監視のみで使用) 監査証跡タイプの説明は、表C-22を参照してください。
監査証跡の場所	不要
監査証跡のクリーンアップのサポート	不要

関連トピック

動作の変更、非推奨となったかサポートが終了したプラットフォームと機能

C.2.11 Oracle Audit Vault and Database Firewall用のOracle Solarisプラグイン

Oracle Audit Vault and Database Firewall用のOracle Solarisプラグインの使用方法を学習します。

表C-16に、Oracle Solarisプラグインの機能を示します。

表C-16 Oracle Solarisプラグイン

プラグインの仕様	説明
プラグイン・ディレクトリ	`AGENT_HOME/av/plugins/com.oracle.av.plugin.solaris`
ターゲット・バージョン	バージョン11.3、バージョン11.4 (SPARC64プラットフォームおよびx86-64プラットフォーム上)
ターゲット・プラットフォーム	Solaris/x86-64 Solaris/SPARC64 Solaris - x86-64は、Oracle AVDF 20.9で非推奨となりました。また、今後のリリースのいずれかでサポートが終了します。
設定スクリプト	不要
ターゲットの場所(接続文字列)	`hostname` (完全修飾マシン名またはIPアドレス)
コレクション属性	なし
AVDF監査証跡タイプ	`DIRECTORY` 監査証跡タイプの説明は、表C-22を参照してください。
監査証跡の場所	`hostname:path_to_trail` `hostname`は、監査ログ名内(次のような形式)のホスト名と一致します。 `timestamp1.timestamp2.hostname`
監査証跡のクリーンアップのサポート	不要

関連トピック

動作の変更、非推奨となったかサポートが終了したプラットフォームと機能

C.2.12 Oracle Audit Vault and Database Firewall用のLinuxプラグイン

Oracle Audit Vault and Database Firewall用のLinuxプラグインを使用して得られる利点について学習します。

表C-17に、Oracle Linux (OL)およびRed Hat Enterprise Linux (RHEL)から監査データを収集するLinuxプラグインの機能を示します。

表C-17 Linuxプラグイン

プラグインの仕様	説明
プラグイン・ディレクトリ	`AGENT_HOME/av/plugins/com.oracle.av.plugin.linux`
ターゲット・バージョン	Oracle Linux (OL): Oracle Linux 6は、Oracle AVDF 20.10で非推奨となり、将来のリリースでサポートが終了します。 OL 6.0 (`auditd`パッケージ2.0を含む) OL 6.1 - 6.5 (`auditd`パッケージ2.2.2を含む) OL 6.6 - 6.7 (`auditd`パッケージ2.3.7を含む) OL 6.8 - 6.9 (`auditd`パッケージ2.4.5を含む) OL 7.0 (`auditd`パッケージ2.3.3を含む) OL 7.1 - 7.2 (`auditd`パッケージ2.4.1を含む) OL 7.3 (`auditd`パッケージ2.6.5を含む) OL 7.4 - 7.5 (`auditd`パッケージ2.7.6を含む) OL 7.6 (`auditd` 2.8を含む) (Oracle AVDF 20.2以降) OL 7.7 (`auditd` 2.8.5を含む) (Oracle AVDF 20.2以降) OL 7.8 (`auditd` 2.8を含む) (Oracle AVDF 20.2以降) OL 7.9 (`auditd` 2.8を含む) (Oracle AVDF 20.4以降) OL 8 (`auditd` 3.0を含む) (Oracle AVDF 20.3以降) OL 8.2および8.3 (`auditd` 3.0を含む) (Oracle AVDF 20.4以降) OL 9 (Oracle AVDF 20.9以降) Red Hat Enterprise Linux (RHEL): RHEL 6.7 (`auditd` 2.3.7を含む) RHEL 6.8 (`auditd` 2.4.5を含む) RHEL 6.9 (`auditd` 2.4.5を含む) RHEL 6.10 (`auditd` 2.4.5を含む) RHEL 7.0 (`auditd` 2.3.3を含む) RHEL 7.1 (`auditd` 2.4.1を含む) RHEL 7.2 (`auditd` 2.4.1を含む) RHEL 7.3 (`auditd` 2.6.5を含む) RHEL 7.4 (`auditd` 2.7.6を含む) RHEL 7.5 (`auditd` 2.7.6を含む) RHEL 7.6 (`auditd` 2.8を含む) (Oracle AVDF 20.2以降) RHEL 7.7 (`auditd` 2.8.5を含む) (Oracle AVDF 20.2以降) RHEL 7.8 (`auditd` 2.8を含む) (Oracle AVDF 20.2以降) RHEL 7.9 (`auditd` 2.8を含む) (Oracle AVDF 20.4以降) RHEL 8 (`auditd` 3.0を含む) (Oracle AVDF 20.3以降) RHEL 8.2および8.3 (`auditd` 3.0を含む) (Oracle AVDF 20.4以降) RHEL 9 (Oracle AVDF 20.9以降) 監査パッケージのバージョンを確認するには`rpm -q audit`を実行します。
ターゲット・プラットフォーム	Linux/x86-64
設定スクリプト	不要。ただし、Linux監査証跡を開始するには、次のユーザー/グループのアクセス権限が必要です。エージェント・プロセスが`root`ユーザーで開始される場合、アクセス権限を変更する必要はありません。エージェント・プロセスが`root`以外のユーザーで開始される場合は、次の手順を実行します。エージェント・ユーザー(エージェント・プロセスを開始するユーザー)のグループ名を、`/etc/audit/auditd.conf`ファイルの`log_group`パラメータに割り当てます。エージェント・ユーザーおよびグループには、audit.logファイルが格納されているフォルダ(デフォルト・フォルダは/var/log/audit)に対する`read`および`execute`権限が必要です。前述の変更を加えた後、Linux監査サービスを再起動します。
ターゲットの場所(接続文字列)	`hostname` (完全修飾マシン名またはIPアドレス)
コレクション属性	なし
AVDF監査証跡タイプ	`DIRECTORY` 監査証跡タイプの説明は、表C-22を参照してください。
監査証跡の場所	`audit.log`のデフォルトの場所(`/var/log/audit/audit*.log`)または`/etc/audit/auditd.conf`ファイルで構成したカスタムの場所
監査証跡のクリーンアップのサポート	不要

関連トピック

動作の変更、非推奨となったかサポートが終了したプラットフォームと機能

C.2.13 Oracle Audit Vault and Database Firewall用のIBM AIXプラグイン

Oracle Audit Vault and Database Firewall用のIBM AIXプラグインについて学習します。

表C-18に、IBM AIXプラグインの機能を示します。

表C-18 IBM AIXプラグイン

プラグインの仕様	説明
プラグイン・ディレクトリ	`AGENT_HOME/av/plugins/com.oracle.av.plugin.aixos`
ターゲット・バージョン	AIXのバージョン: 7.3 (TL2) (Oracle AVDF 20.13以降) 7.3 (TL0) (Oracle AVDF 20.10以降) 7.2 (TL2以上) 7.1 (TL5)
サポートされるJREバージョン	1.8.0_241 (最小) ノート: AIXプラットフォームでは、JREバージョン11はサポートされていません。
ターゲット・プラットフォーム	Power Systems (64ビット)
設定スクリプト	不要。ただし、AIX監査証跡を開始するには、次のユーザーとグループのアクセス権限が必要です: エージェント・プロセスを`root`ユーザーで開始する場合は、アクセス権限を変更する必要はありません。エージェント・プロセスを`root`以外のユーザーで開始する場合は、別のユーザーを承認するため、AIXシステムで`root`として次のコマンドを実行します。新しいロールを作成し、それに`aix.security.audit`の認可を付与します。 `mkrole authorizations= (aix.security.audit) (role_name)` 新しく作成したロールに割り当てるエージェント・ユーザーを変更するには、次を実行します。 `chuser roles=role_name agent_user_name` `setkst`コマンドを実行して、新しく作成したロールでカーネル表を更新しますエージェント・ユーザーをAIX監査ファイルと同じグループに追加します。監査証跡ファイルが置かれる`/audit`ディレクトリに読取りのアクセス許可が設定されていることを確認します。エージェント・ユーザーでエージェントを開始するには、`agent_user_name`でAIX端末にログインし、この手順で作成したロールに切り替えます。 `swrole` `role_name`
ターゲットの場所(接続文字列)	`hostname` (完全修飾マシン名またはIPアドレス)
コレクション属性	なし
AVDF監査証跡タイプ	DIRECTORY 監査証跡タイプの説明は、表C-22を参照してください。
監査証跡の場所	証跡のデフォルトの場所(`/audit/trail`)、または`/etc/security/audit/config`ファイルで構成されている任意のカスタムの場所
監査証跡のクリーンアップのサポート	あり。AIXプラグインで、次の場所に`.atc`ファイルが作成されます。 `AGENT_HOME/av/atc/SecuredTargetName_TrailId.atc` `.atc`ファイルには、次の情報が含まれています。 `trail_location end_time_of_audit_event_collection`

C.2.14 Oracle Audit Vault and Database Firewall用のMicrosoft Windowsプラグイン

Oracle Audit Vault and Database Firewall用のMicrosoft Windowsプラグインについて学習します。

表C-19に、Microsoft Windowsプラグインの機能を示します。

表C-19 Microsoft Windowsプラグイン

プラグインの仕様	説明
プラグイン・ディレクトリ	`AGENT_HOME\av\plugins\com.oracle.av.plugin.winos`
ターゲット・バージョン	Microsoft Windows Server 2012、2012 R2、2016 2019 (Oracle AVDF 20.2以降)
ターゲット・プラットフォーム	Windows/x86-64
設定スクリプト	不要
ターゲットの場所(接続文字列)	`hostname` (完全修飾マシン名またはIPアドレス)
コレクション属性	なし
AVDF監査証跡タイプ	`EVENT LOG` 監査証跡タイプの説明は、表C-22を参照してください。
監査証跡の場所	`security` (大文字小文字の区別あり)
監査証跡のクリーンアップのサポート	不要

C.2.15 Oracle Audit Vault and Database Firewall用のMicrosoft Active Directoryプラグイン

Oracle Audit Vault and Database Firewall用のMicrosoft Active Directoryプラグインの使用方法について学習します。

表C-20に、Microsoft Active Directoryプラグインの機能を示します。

表C-20 Microsoft Active Directoryプラグイン

プラグインの仕様	説明
プラグイン・ディレクトリ	`AGENT_HOME\av\plugins\com.oracle.av.plugin.msad`
ターゲット・バージョン	2012から2016の64ビット版
ターゲット・プラットフォーム	Windows/x86-64
設定スクリプト	不要
ターゲットの場所(接続文字列)	`hostname` (完全修飾マシン名またはIPアドレス)
コレクション属性	なし
AVDF監査証跡タイプ	`EVENT LOG` 監査証跡タイプの説明は、表C-22を参照してください。
監査証跡の場所	`directory service`または`security` (大文字小文字の区別あり)
監査証跡のクリーンアップのサポート	不要

C.2.16 Oracle Audit Vault and Database Firewall用のOracle ACFSプラグイン

Oracle Audit Vault and Database Firewall用のOracle ACFSプラグインを使用してOracle AVDFにOracle ACFSを実装します。

ノート:

Oracle Automatic Storage Management Cluster File System (Oracle ACFS)またはOracle Advanced Cluster File Systemは、Oracle AVDFリリース20.7では非推奨です。また、20.8ではサポートされていません。

表C-21に、Oracle ACFSプラグインの機能を示します。

表C-21 Oracle ACFSプラグイン

プラグインの仕様	説明
プラグイン・ディレクトリ	`AGENT_HOME/av/plugins/com.oracle.av.plugin.acfs`
ターゲット・バージョン	12c リリース1 (12.1)
ターゲット・プラットフォーム	Linux/x86-64 Solaris/x86-64 Solaris/SPARC64 Windows 2008、2008 R2 64ビット
設定スクリプト	不要
ターゲットの場所(接続文字列)	`hostname` (完全修飾マシン名またはIPアドレス)
コレクション属性	`av.collector.securedtargetversion` - (必須) Oracle ACFSバージョンを指定します。
AVDF監査証跡タイプ	`DIRECTORY` 監査証跡タイプの説明は、表C-22を参照してください。
監査証跡の場所	XML監査ファイルが含まれているディレクトリへのパス。たとえば、`$MOUNT_POINT`にマウントされているファイル・システムの場合、監査証跡の場所は次のようになります。 `$MOUNT_POINT/.Security/audit/`
監査証跡のクリーンアップのサポート	不要

関連トピック

動作の変更、非推奨となったかサポートが終了したプラットフォームと機能

C.2.17 各監査証跡タイプに対して収集されるデータの概要

Oracle Audit Vault and Database Firewall (Oracle AVDF)で収集されるデータのタイプを監査証跡タイプごとに示します。

ターゲットの監査証跡を構成するときに、「監査証跡のタイプ」フィールドで監査証跡タイプを選択します。監査証跡タイプは、ターゲット・タイプによって異なります。表C-22では、ターゲット・タイプごとに、構成できる監査証跡のタイプを示します。

ターゲット・タイプの監査機能および機能性の詳細は、製品のドキュメントを参照してください。次のOracle製品ドキュメントを参照してください:

Oracle Database 12c リリース1 (12.1): 『Oracle Databaseセキュリティ・ガイド』
Oracle Database 11g リリース2 (11.2): 『Oracle Databaseセキュリティ・ガイド』
Oracle Solaris 11.1
Oracle Solaris 10.6
Oracle ACFS: 『Oracle Advanced Cluster File System管理者ガイド』

ノート:
Oracle Automatic Storage Management Cluster File System (Oracle ACFS)またはOracle Advanced Cluster File Systemは、Oracle AVDFリリース20.7では非推奨です。また、20.8ではサポートされていません。

表C-22 各ターゲット・タイプでサポートされる監査証跡タイプの概要

ターゲット・タイプ	証跡タイプ	説明
Oracle Database	TABLE サポートされているリリース: 11.2.0.4、12.1、12.2、18c、19c。リリース21 (Oracle AVDF 20.4以降)	次の監査証跡から収集します。 Oracle Database監査証跡。`SYS.AUD$`ディクショナリ表に標準の監査イベントが書き込まれます。 Oracle Databaseファイングレイン監査証跡。`SYS.FGA_LOG$`ディクショナリ表に監査イベントが書き込まれます。 Oracle Database Vault監査証跡。`DVSYS.AUDIT_TRAIL$`ディクショナリ表に監査イベントが書き込まれます。 Oracle Database 12.x統合監査証跡。`UNIFIED_AUDIT_TRAIL`データ・ディレクトリ・ビューに監査イベントが書き込まれますノート: `SYS.AUD$`表と`SYS.FGA_LOG$`表には、さらに`RLS$INFO`という列があります。統合監査証跡表には`RLS_INFO`列があります。この列では、構成されている行レベル・セキュリティ・ポリシーの説明が示されます。これは、Oracle AVDF内の拡張フィールドにマップされます。この列に移入するには、ターゲットの`AUDIT_TRAIL`パラメータを`DB EXTENDED`に設定します。
Oracle Database	DIRECTORY リリース11.2.0.4、12c、18c、19c。	次の監査証跡からデータを収集します。 LinuxおよびUNIXプラットフォームの場合: オペレーティング・システムの(AUDおよびXML)ファイルに書き込まれるOracleデータベース監査ファイル Windowsプラットフォームの場合: オペレーティング・システムのXMLファイルノート: ディレクトリ証跡は非推奨となっているため、統合監査表証跡を使用することをお薦めします。
Oracle Database	TRANSACTION LOG 11.2.0.4以降 (TRANSACTION LOGコレクションの場合)	GoldenGate統合Extractファイルから監査データを収集します。この監査証跡タイプを使用する予定の場合は、GoldenGate統合Extractが監査情報の取得元にする表を監査するようにGoldenGate統合Extractのルールを定義できます。その後で、GoldenGate統合Extractのファイルは、トランザクション・ログ監査証跡によって読み取られます。 12.2より前のバージョンの場合は、Oracle GoldenGateダウンストリーム・マイニングを構成する必要があります。詳細は、『Oracle Audit Vault and Database Firewall監査者ガイド』を参照してください。
Oracle Database	SYSLOG	LinuxおよびUNIXプラットフォームのみ、`syslog`または`rsyslog`のいずれかの監査ファイルからOracle監査レコードを収集します。システムに`syslog`と`rsyslog`が両方ともインストールされている場合、`rsyslog`ファイルからデータを収集するには、`rsyslog`監査ファイルの正確な場所を指定する必要があります。次の`rsyslog`形式がサポートされています。 `RSYSLOG_TraditionalFileFormat` (低精度のタイム・スタンプ) `RSYSLOG_FileFormat` (高精度のタイム・スタンプおよびタイムゾーン情報) 両方の形式によるイベントは、レポート上で同じように見えます。しかしながら、`RSYSLOG_FileFormat`では、`AVSYS.EVENT_LOG`表にマイクロ秒の精度で`EVENT_TIME`が表示されます。この表の詳細、およびAudit Vault Serverスキーマのドキュメントは、『Oracle Audit Vault and Database Firewall監査者ガイド』を参照してください。
Oracle Database	EVENT LOG	Windowsプラットフォーム上のMicrosoft Windowsイベント・ログのみからOracle監査レコードを収集します。
Oracle Database	NETWORK	ネットワーク・トラフィック(TCP接続を使用するすべてのデータベース操作)を収集します。ホスト・モニター・エージェントに使用されます。
Microsoft SQL Server	DIRECTORY	次のものから監査データを収集します: `sqlaudit` `trace` `extended events` `C2_DYNAMIC` `TRACE_DYNAMIC`
Microsoft SQL Server	TRANSACTION LOG	Oracle AVDF 20.9以降では、Oracle GoldenGate CDC Extractのファイルから監査データを収集します。この監査証跡タイプを使用する予定の場合は、GoldenGate CDC Extractのルールを定義して、GoldenGate CDC Extractでの監査情報取得元となる表を監査できます。GoldenGate CDC Extractのファイルは、順々に、トランザクション・ログ監査証跡によって読み取られます。
Microsoft SQL Server	EVENT LOG	Windowsアプリケーション・イベント・ログとWindowsセキュリティ・イベント・ログから監査データを収集します。
Microsoft SQL Server	NETWORK	ネットワーク・トラフィック(TCP接続を使用するすべてのデータベース操作)を収集します。ホスト・モニター・エージェントに使用されます。
Sybase ASE	TABLE	`sybsecurity`データベースのシステム監査表(`sysaudits_01`から`sysaudits_08`)から監査データを収集します。
Sybase ASE	NETWORK	ネットワーク・トラフィック(TCP接続を使用するすべてのデータベース操作)を収集します。ホスト・モニター・エージェントに使用されます。
Sybase SQL Anywhere	NETWORK	(ホスト監視の場合のみ)ネットワーク・トラフィック(TCP接続を使用したすべてのデータベース操作)を収集します。ノート: Sybase SQL AnywhereはOracle AVDFリリース20.7では非推奨です。また、20.8ではサポートされていません。
IBM DB2 for LUW	DIRECTORY	バイナリ監査ログ(`db2audit.log`)から抽出されたASCIIテキスト・ファイルから監査データを収集します。これらのファイルは、DB2データベース・インスタンスの`security`サブディレクトリに存在します。
IBM DB2 for LUW	NETWORK	ネットワーク・トラフィック(TCP接続を使用するすべてのデータベース操作)を収集します。ホスト・モニター・エージェントに使用されます。
MySQL	DIRECTORY	指定された場所からXMLベースの監査データを収集します。
MySQL	NETWORK	ネットワーク・トラフィック(TCP接続を使用するすべてのデータベース操作)を収集します。ホスト・モニター・エージェントに使用されます。
Oracle Solaris	DIRECTORY	Solaris監査の`audit_binfile`プラグインで生成されるSolaris監査レコード(バージョン2)を収集します。
Linux	DIRECTORY	`audit.log`から監査データを収集します。
Windows OS	EVENT LOG	Windowsセキュリティ・イベント・ログから監査データを収集します。
Microsoft Active Directory	EVENT LOG	Windowsディレクトリ・サービスおよびセキュリティ・イベント・ログから監査データを収集します。
Oracle ACFS	DIRECTORY	ACFS暗号化ソースおよびACFSセキュリティ・ソースから監査データを収集します。ノート: Oracle Automatic Storage Management Cluster File System (Oracle ACFS)またはOracle Advanced Cluster File Systemは、Oracle AVDFリリース20.7では非推奨です。また、20.8ではサポートされていません。
Oracle Linux	DIRECTORY	`audit.log`から監査データを収集します。
IBM AIX	DIRECTORY	バイナリ監査ログ(`/audit/trail`)から監査データを収集します。BIN監査モードのみがサポートされます。監査ログのカスタムの場所は、`/etc/security/audit/config`ファイルで構成されています。

関連トピック

動作の変更、非推奨となったかサポートが終了したプラットフォームと機能

C.3 ターゲットに対するOracle AVDFアカウント権限用のスクリプト

Oracle Audit Vault and Database Firewallには、Oracle Database、Sybase、Microsoft、IBM DB2 for LUWおよびMySQLプラグイン用のスクリプトが用意されています。

C.3.1 Oracle Audit Vault and Database Firewallアカウント権限を設定するためのスクリプトについて

スクリプトを使用して、Oracle Audit Vault and Database Firewallのアカウントおよび権限を設定できます。

監査データの監視および収集に関連する機能を実行するために使用する、Oracle Audit Vault and Database Firewallの各ターゲットに対する適切な権限を持つユーザー・アカウントを設定する必要があります。Oracle Audit Vault and Database Firewallでは、データベース・ターゲットを構成できるようにこの目的の設定スクリプトが用意されています。ターゲットのタイプに応じて、スクリプトにより、Oracle Audit Vault and Database Firewallで次の機能を実行できるユーザー権限が設定されます。

監査データ収集
監査ポリシー管理
ストアド・プロシージャ監査
ユーザー権限監査
ネイティブ・ネットワーク暗号化トラフィックの監視
監査証跡のクリーンアップ(一部のターゲットが対象)
機密データ検出(Oracle Databaseターゲット専用)

ホスト・コンピュータ(通常はターゲットと同じコンピュータ)にAudit Vault Agentをデプロイした場合、Oracle Audit Vault and Database Firewallに対するユーザー権限を作成するための設定スクリプトは、次のディレクトリにあります(次の例はLinuxの場合)。

$AGENT_HOME/av/plugins/com.oracle.av.plugin.secured_target_type/config/

C.3.2 Oracle Databaseの設定スクリプト

これらのスクリプトをダウンロードし使用して、Oracle Audit Vault and Database Firewall (Oracle AVDF)でOracle Databaseターゲットを監査するためユーザー・アカウント権限を設定します。

Oracle AVDFで次の機能を実行できるように、これらのスクリプトを使用してOracle Databaseに対するユーザー権限を設定するか取り消します:

監査データ収集
監査ポリシー管理
ストアド・プロシージャ監査(SPA)
ユーザー権限監査
機密データ検出

Oracle Databaseの設定スクリプトのダウンロード

Audit Vault Serverコンソールからそれらのスクリプトをダウンロードするには:

Audit Vault Serverコンソールに管理者としてログインします。
「ターゲット」タブをクリックします。
「ターゲット設定スクリプト」ボタンをクリックします。

Oracle Databaseターゲットを監査するためのターゲット設定スクリプトをダウンロードして実行します。Database Firewall監視にはそれらのスクリプトは必要ありません。

次のディレクトリでそれらのスクリプトにアクセスすることもできます(Linuxの例):

/opt/avdf/defaultagent/av/plugins/com.oracle.av.plugin.oracle/config/

Oracle Databaseターゲットに対するユーザー権限の設定および取消し

Oracle Databaseターゲットに対するOracle Audit Vault and Database Firewallユーザー権限を設定または取り消すには:

Oracle DatabaseでOracle Audit Vault and Database Firewallのユーザー・アカウントを作成します。たとえば:
```
SQL> CREATE USER username IDENTIFIED BY password
```
Audit Vault ServerでこのOracle Databaseをターゲットとして登録するときに、このユーザー名およびパスワードを使用します。
SYSDBA権限を持つSYSユーザーとして接続します。たとえば:
```
SQL> CONNECT SYS / AS SYSDBA
```
Oracle Audit Vault and Database Firewallのユーザー権限を設定するには、次の設定スクリプトを実行してから、プロンプトでユーザー名とモードを入力します:
```
SQL> @oracle_user_setup.sql
```
または、スクリプト、ユーザー名およびモードを1行で入力することもできます:
```
SQL> @oracle_user_setup.sql username mode
```
- username: ステップ1で作成したユーザーの名前を入力します。
- mode: 次のいずれかを入力します。
  - SETUP: Oracle Audit Vault and Database FirewallからOracle Database監査ポリシーを管理するための権限と、監査証跡タイプからデータを収集するための権限を設定する場合。たとえば、このモードは、Oracle Audit Vault and Database FirewallでのTABLE監査証跡に使用します。
  - SPA: このデータベースに対してストアド・プロシージャ監査を有効にする場合
  - ENTITLEMENT: このデータベースに対してユーザー権限監査を有効にする場合
  - DBSAT_DISCOVERY: このデータベースに対して機密データ検出を有効にする場合
  - SQL_FIREWALL: AVDFユーザーにデータベースに対するSQL_FIREWALL_ADMINロールを付与し、AVDFがSQLファイアウォール違反ログを収集し、有効になっている場合は違反ログのパージもできるようにします。
ノート:
- CDBからの監査収集の場合、CDBにユーザーを作成し、このユーザーに対してoracle_user_setup.sqlスクリプトを実行します。
- 個々のPDBからの監査収集の場合、最初にPDBに切り替えるセッションを変更し、PDBでユーザーを作成してから、このユーザーに対してoracle_user_setup.sqlスクリプトを実行します。
Oracle DatabaseでDatabase Vaultがインストールされて有効化されている場合は、DV_OWNERロールが付与されたユーザーとしてログインし、次の手順を実行します。

Oracle Audit Vault and Database Firewallユーザーに、このOracle Databaseに対するDV_SECANALYSTロールを付与します。たとえば:
```
SQL> GRANT DV_SECANALYST TO username;
```
usernameには、ステップ1で作成したユーザーの名前を入力します。

DV_SECANALYSTロールにより、Oracle Audit Vault and Database FirewallでOracle Database Vaultの監査証跡データを監視および収集して、Oracle Database Vaultレポートを実行できます。
Oracle Audit Vault and Database Firewallのユーザー権限を取り消すには、次の手順を実行します。
1. SYSDBA権限を持つSYSユーザーとしてデータベースに接続します。
2. 次のスクリプトを実行してから、プロンプトでユーザー名とモードを入力します:
```
SQL> @oracle_drop_db_permissions.sql
```
  または、スクリプト、ユーザー名およびモードを1行で入力することもできます:
```
SQL> @oracle_drop_db_permissions.sql username mode
```
  - username: ステップ1で作成したユーザーの名前を入力します。
  - mode: 次のいずれかを入力します。
    - SETUP: Oracle Audit Vault and Database FirewallからOracle Database監査ポリシーを管理するための権限と、監査証跡タイプからデータを収集するための権限を取り消す場合。
    - SPA: このデータベースに対してストアド・プロシージャ監査を無効にする場合
    - ENTITLEMENT: このデータベースに対してユーザー権限監査を無効にする場合
    - DBSAT_DISCOVERY: このデータベースに対して機密データ検出を無効にする場合
    - SQL_FIREWALL: AVDFユーザーからデータベースに対するSQL_FIREWALL_ADMINロールを取り消し、AVDFがSQLファイアウォール違反ログを収集およびパージできないようにします。

Oracle Audit Vault Serverでの監査レポート・アクセス権を持つユーザーの識別

AVDFでレポートをチェックできるユーザーを確認するには、SSHを使用してAVDFサーバーに接続し、次の問合せを実行する必要があります:

select * from dba_role_privs where granted_role='AV_AUDITOR';

出力には、AUDITOR権限を持つユーザーが戻されます。SYS、AVREPORTUSER、OPS$DBFW_LOCAL_REPORT、AVSYSなどのユーザーは、事前定義済(システム)ユーザーであるため除外できます。リストされている残りのユーザーは、AUDITORSとしてAVDFに接続できます。

関連項目:

CDBおよびPDBの監査証跡収集の構成

C.3.3 Oracle Audit Vault and Database Firewall用のSybase ASE設定スクリプト

Sybase ASE設定スクリプトでは、Sybase ASEターゲットの監査データ収集権限と監査権限を構成します。

C.3.3.1 Sybase ASE設定スクリプトについて

Oracle Audit Vault and Database Firewall用のSybase ASE設定スクリプトについて学習します。

Sybase ASEターゲットでOracle Audit Vault and Database Firewallに必要なユーザー権限を構成するために、次のスクリプトが提供されています。

sybase_auditcoll_user_setup.sql
sybase_auditcoll_drop_db_permissions.sql
sybase_spa_user_setup.sql
sybase_spa_drop_db_permissions.sql

このスクリプトは次のディレクトリにあります(次の例はLinuxの場合)。

$AGENT_HOME/av/plugins/com.oracle.av.plugin.sybase/config/

これらのスクリプトにより、Oracle Audit Vault and Database FirewallでSybase ASEに対して次の機能を実行できます。

監査データ収集
ストアド・プロシージャ監査(SPA)

C.3.3.2 Sybase ASEターゲットの監査データ収集権限の設定

Sybase ASEターゲットの監査データ収集権限を設定して、監査データを分析できるようにします。

Sybase ASEターゲットの監査データ収集権限を設定または取り消すには:

Sybase ASEでユーザー名avdf_sybuserを使用してOracle Audit Vault and Database Firewallのユーザー・アカウントを作成します。たとえば:

sp_addlogin avdf_sybuser, password

Audit Vault ServerでこのSybase ASEデータベースをターゲットとして登録するときに、ユーザー名av_sybuserおよびパスワードを使用します。
次のようにしてsybase_auditcoll_user_setup.sql設定スクリプトを実行します。
```
isql -S server_name -U sa -i sybase_auditcoll_user_setup.sql
```
- server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。
- sa: システム管理者のユーザー名を入力します。
パスワードを要求されたら、システム管理者のパスワードを入力します。
Oracle Audit Vault and Database Firewallユーザー権限を取り消すには、次のようにしてsybase_auditcoll_drop_db_permissions.sqlスクリプトを実行します。
```
isql -S server_name -U sa -i sybase_auditcoll_drop_db_permissions.sql
```
- server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。
- sa: システム管理者のユーザー名を入力します。
- パスワードを要求されたら、システム管理者のパスワードを入力します。

C.3.3.3 Sybase ASEターゲットのストアド・プロシージャ監査権限の設定

Sybase ASEターゲットのストアド・プロシージャ監査権限を構成できます。

Sybase ASEターゲットのストアド・プロシージャ監査権限を設定または取り消すには:

Sybase ASEでOracle AVDFのユーザー・アカウントをavdf_sybuserというユーザー名で作成します(まだ行っていない場合)。たとえば:

sp_addlogin avdf_sybuser, password

Audit Vault ServerでこのSybase ASEデータベースをターゲットとして登録するときに、ユーザー名av_sybuserおよびパスワードを使用します。
次のようにしてsybase_spa_user_setup.sqlスクリプトを実行します。
```
isql -S server_name -U sa -i sybase_spa_user_setup.sql
```
- server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。
- sa: システム管理者のユーザー名を入力します。
パスワードを要求されたら、システム管理者のパスワードを入力します。
SPAユーザー権限を取り消すには、次のようにしてsybase_spa_drop_db_permissions.sqlスクリプトを実行します。
```
isql -S server_name -U sa -i sybase_spa_drop_db_permissions.sql
```
- server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。
- sa: システム管理者のユーザー名を入力します。
- パスワードを要求されたら、システム管理者のパスワードを入力します。

C.3.4 Sybase SQL Anywhereの設定スクリプト

Sybase SQL Anywhereの設定スクリプトを使用する方法を学習します。

ノート:

Sybase SQL AnywhereはOracle AVDFリリース20.7では非推奨です。また、20.8ではサポートされていません。

Sybase SQL Anywhereターゲット用のOracle AVDF設定スクリプトsqlanywhere_spa_user_setup.sqlおよびsqlanywhere_spa_drop_db_permissions.sqlは、次のディレクトリにあります(次の例はLinuxの場合)。

$AGENT_HOME/av/plugins/com.oracle.av.plugin.sqlanywhere/config/

これらのスクリプトは、Oracle AVDFでストアド・プロシージャ監査(SPA)を実行するための、SQL Anywhereデータベースに対するユーザー権限を設定または取り消すために使用します。

SQL Anywhereターゲットのストアド・プロシージャ監査を設定または取り消すには:

ユーザーを作成してユーザー権限を設定する権限を持つユーザーとしてデータベースにログインします。
次のようにしてsqlanywhere_spa_user_setup.sqlスクリプトを実行します。
```
isql -S server_name -U sa -i sqlanywhere_spa_user_setup.sql -v username="username" password="password"
```
- server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。
- sa: システム管理者のユーザー名を入力します。
- username: Oracle AVDFでSPAに使用するために作成するユーザーの名前を入力します。このユーザー名は二重引用符で囲みます。
- password: 作成しているOracle AVDF SPAユーザーのパスワードを入力します。パスワードは二重引用符で囲みます。
スクリプトを実行すると、SPA用の権限を持つユーザーが作成されます。
パスワードを要求されたら、システム管理者のパスワードを入力します。
これらの権限を取り消し、このユーザーをデータベースから削除するには、次のようにしてsqlanywhere_spa_drop_db_permissions.sqlを実行します。
```
isql -S server_name -U sa -i sqlanywhere_spa_drop_db_permissions.sql -v username="username"
```
- server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。
- sa: システム管理者のユーザー名を入力します。
- username: Oracle AVDFでSPAに使用するために作成するユーザーの名前を入力します。このユーザー名は二重引用符で囲みます。
- パスワードを要求されたら、システム管理者のパスワードを入力します。

関連トピック

動作の変更、非推奨となったかサポートが終了したプラットフォームと機能

C.3.5 Microsoft SQL Serverの設定スクリプト

Microsoft SQL Serverの設定スクリプトでは、Microsoft SQL Serverターゲットの監査データ収集権限と監査権限を管理します。

C.3.5.1 SQL Serverの設定スクリプトについて

Microsoft SQL Serverの設定スクリプトを使用して、Oracle AVDFのユーザー権限を設定するか取り消します。

Microsoft SQL Server 2012はOracle AVDF 20.12で非推奨となり、将来のリリースでサポートが終了します。

Microsoft SQL Serverターゲット用のOracle AVDF設定スクリプトと削除スクリプトは、SQL Server 2014以降の場合、mssql_user_setup.sqlとmssql_drop_db_permissions.sqlです(2014より前のリリースの場合は、mssql_user_setup_pre2014.sqlとmssql_drop_db_permissions_pre2014.sqlです)。

Oracle AVDF 20.10以降、このスクリプトはAudit Vault Serverコンソールからダウンロードします。

Audit Vault Serverコンソールに管理者としてログインします。
「ターゲット」タブをクリックします。
「ターゲット設定スクリプト」ボタンをクリックします。

次のディレクトリで、このスクリプトにアクセスすることもできます:

AGENT_HOME\av\plugins\com.oracle.av.plugin.mssql\config\

これらのスクリプトにより、Oracle AVDFでSQL Serverに対して次の機能を実行するためのユーザー権限を設定するか取り消します:

監査データ収集
ストアド・プロシージャ監査(SPA)

関連トピック

動作の変更、非推奨となったかサポートが終了したプラットフォームと機能

C.3.5.2 SQL Serverターゲットの監査データ収集権限の設定

Microsoft SQL Serverターゲットに対する監査データ収集権限を設定できます。

前提条件

このトピックのコマンドを実行するには、次の必要な権限を割り当てます。

バージョンと用途	コマンド
SQL Server 2014以降で必要な権限を割り当てるには	`AGENT_HOME\av\plugins\com.oracle.av.plugin.mssql\config\mssql_user_setup.sql`
SQL Server 2014以降で割り当てられた権限を取り消すには	`AGENT_HOME\av\plugins\com.oracle.av.plugin.mssql\config\mssql_drop_db_permissions.sql`
2014より前のSQL Serverバージョンで必要な権限を割り当てるには	`AGENT_HOME\av\plugins\com.oracle.av.plugin.mssql\config\mssql_user_setup_pre2014.sql`
2014より前のSQL Serverバージョンで割り当てられた権限を取り消すには	`AGENT_HOME\av\plugins\com.oracle.av.plugin.mssql\config\mssql_drop_db_permissions_pre2014.sql`

監査データ収集用のOracle AVDFユーザー権限を設定または取り消すには:

SQL ServerでOracle AVDF用のユーザー・アカウントを作成するか、Windows認証済ユーザーを使用します。たとえば:
```
exec sp_executesql N'create login username with password = ''password'', 
check_policy= off'

exec sp_executesql N'create user username for login username'
```
Audit Vault ServerでこのSQL Serverデータベースをターゲットとして登録するときに、このユーザー名およびパスワードを使用します。
次のいずれかのコマンドで、スクリプトmssql_user_setup.sqlまたはmssql_user_setup_pre2014.sqlを実行します:
SQL Server認証の場合(SQL Server 2014以降):
```
sqlcmd -S server_name -U sa -i mssql_user_setup.sql -v username="username" mode="AUDIT_COLL" all_databases="NA" database="NA"
```
Windows認証の場合(SQL Server 2014以降):
```
sqlcmd -S localhost -U sa -i mssql_user_setup.sql -v username="[domain_name\username]" mode="AUDIT_COLL" all_databases="NA" database="NA"
```
- server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行している場合は、-S server_name引数を省略します。
- sa: システム管理者のユーザー名を入力します。
- username: ステップ1で作成したユーザーの名前を入力します。
パスワードを要求されたら、システム管理者のパスワードを入力します。
監査データ収集の権限を取り消すには、次のいずれかのコマンドでスクリプトmssql_drop_db_permissions.sqlまたはmssql_drop_db_permissions_pre2014.sqlを実行します:
SQL Server認証の場合(SQL Server 2014以降):
```
sqlcmd -S server_name -U sa -i mssql_drop_db_permissions.sql -v username="username" mode="AUDIT_COLL" all_databases="NA" database="NA"
```
Windows認証の場合(SQL Server 2014以降):
1. ```
sqlcmd -S server_name -U sa -i mssql_drop_db_permissions.sql -v username="[domain_name\username]" mode="AUDIT_COLL" all_databases="NA" database="NA"
```
  - server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行している場合は、-S server_name引数を省略します。
  - sa: システム管理者のユーザー名を入力します。
  - username: ステップ1で作成したユーザーの名前を入力します。
2. パスワードを要求されたら、システム管理者のパスワードを入力します。

C.3.5.3 SQL Serverターゲットのストアド・プロシージャ監査権限の設定

SQL Serverターゲットのストアド・プロシージャ監査権限を設定できます。

ストアド・プロシージャ監査用のOracle AVDFユーザー権限を設定または取り消すには:

SQL ServerでOracle AVDFのユーザー・アカウントを作成します(まだ行っていない場合)。たとえば:
```
exec sp_executesql N'create login username with password = ''password'', 
check_policy= off'

exec sp_executesql N'create user username for login username'
```
Audit Vault ServerでこのSQL Serverデータベースをターゲットとして登録するときに、このユーザー名およびパスワードを使用します。
次のようにしてmssql_user_setup.sqlスクリプトを実行します。
```
sqlcmd -S server_name -U sa -i mssql_user_setup.sql -v username="username" mode="SPA" all_databases="Y/N" 
database="NA/database_name"
```
- server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。
- sa: システム管理者のユーザー名を入力します。
- username: ステップ1で作成したユーザーの名前を入力します。
- Y/N: ストアド・プロシージャに対してすべてのデータベースを監査する場合は、Yを入力します。databaseパラメータに1つのデータベース名を指定する場合は、Nを入力します。
- NA/database_name: all_databasesにYを入力した場合は、NAを入力します。all_databasesにNを入力した場合は、ストアド・プロシージャに対して監査するデータベース名を入力します。
パスワードを要求されたら、システム管理者のパスワードを入力します。
SPA権限を取り消すには、次のようにしてmssql_drop_db_permissions.sqlスクリプトを実行します。
```
sqlcmd -S server_name -U sa -i mssql_drop_db_permissions.sql -v username="username" mode="SPA" all_databases="Y/N" 
database="NA/database_name"
```
- server_name: この引数を使用するのは、データベースがリモートの場合のみです。リモート・サーバーの名前またはIPアドレスを入力します。スクリプトをローカルで実行する場合は、-S server_name引数を省略します。
- sa: システム管理者のユーザー名を入力します。
- sa_password: システム管理者のパスワードを入力します。
- Y/N: すべてのデータベースについてSPA権限を取り消す場合は、Yを入力します。databaseパラメータに1つのデータベース名を指定する場合は、Nを入力します。
- NA/database_name: all_databasesにYを入力した場合は、NAを入力します。all_databasesにNを入力した場合は、SPA権限を取り消すデータベース名を入力します。
- パスワードを要求されたら、ステップ1で作成したユーザーの名前を入力します。

C.3.6 IBM DB2 for LUWの設定スクリプト

IBM DB2 for LUWの設定スクリプトでは、IBM DB2 for LUWターゲットの監査データ収集権限とストアド・プロシージャ監査(SPA)権限を管理します。

C.3.6.1 IBM DB2 for LUWの設定スクリプトについて

IBM DB2 for LUWの設定スクリプトを使用する方法を学習します。

DB2ターゲット用のOracle Audit Vault and Database Firewall設定スクリプト、db2_auditcoll_user_setup.sqlおよびdb2_spa_user_setup.sqlは、次のディレクトリにあります(次の例はLinuxの場合)。

$AGENT_HOME/av/plugins/com.oracle.av.plugin.db2/config/

ノート:

接続文字列は、12.2.0.11.0以降では不要です。

これらのスクリプトは、Oracle AVDFで次の機能を実行するための、DB2データベースに対するユーザー権限を設定または取り消すために使用します。

監査データ収集
ストアド・プロシージャ監査(SPA)

C.3.6.2 IBM DB2 for LUWの監査データ収集権限の設定

IBM DB2 for LUWの監査データ収集権限を構成して、監査データへのアクセスを制御できます。

監査データ収集用のOracle AVDFユーザー権限を設定または取り消すには:

Oracle AVDFで監査データ収集に使用されるDB2で、新しいユーザー・アカウントを作成します。

Audit Vault ServerでこのDB2データベースをターゲットとして登録するときに、このユーザー名およびパスワードを使用します。
$AGENT_HOME/av/plugins/com.oracle.av.plugin.db2/config/ディレクトリでdb2_auditcoll_user_setup.sqlスクリプトを探し、編集のために開きます。
スクリプトで、ステップ1のアカウントのユーザー名をgrant文に入れ、変更後のスクリプトを保存します。
次のようにして変更後のスクリプトを実行します。

$> db2 -tvf db2_auditcoll_user_setup.sql
監査収集権限を取り消すには:
1. 前述のステップ3のように、db2_auditcoll_drop_db_permissions.sqlスクリプトを変更します。
2. スクリプトを次のように実行します。
  
  $> db2 -tvf db2_auditcoll_drop_db_permissions.sql

C.4 監査収集の考慮事項

他のターゲット・タイプでの監査収集に関する考慮事項です。

C.4.1 Oracle Active Data Guardからの監査収集のための追加情報

Oracle Active Data Guardから監査データを収集するために必要な追加情報について説明します。

Oracle Active Data Guardは、単一のプライマリ・データベースと複数のスタンバイ・データベースからなる高可用性ソリューションです。この項では、様々な監査証跡を構成するための追加情報を示します。

ノート:

Oracle AVDFリリース20.6以前:

従来の監査が有効になっている場合、Oracle AVDFでは、Oracle Active Data Guardのプライマリ・データベースとスタンバイ・データベースの両方からの監査収集がサポートされます。Oracle Active Data Guardターゲットの場合、Oracle AVDFリリース20.6以前については、従来の監査をお薦めします。
Oracle Active Data Guardで統合監査が有効になっている場合、監査収集はプライマリ・データベースからのみサポートされ、スタンバイ・データベースからはサポートされません。スタンバイ・データベースで生成された監査データは収集されません。

Oracle AVDFリリース20.7以降: 統合監査が有効になっている場合、監査収集は、Oracle Active Data Guardのプライマリ・データベースとスタンバイ・データベースの両方からサポートされます。Oracle Active Data Guardターゲットの場合、Oracle AVDFリリース20.7以降については、統合監査をお薦めします。

従来の監査

従来の監査を使用してOracle Active Data Guard内のデータベースから監査データを収集するには、次のステップに従います。

すべてのターゲット・データベースで、AUDIT_TRAILパラメータをDB, EXTENDEDに設定します。
すべてのデータベースの接続詳細を含む単一の接続文字列を使用して、Oracle AVDFでターゲットを作成します。これにより、フェイルオーバーまたはスイッチオーバーが発生した場合でも、現在のプライマリ・データベースのsys.aud$表からOracle AVDF証跡を読み取ることができます。
前述のターゲットの場合、sys.aud$からレコードを読み取るように、Oracle AVDFでOracle Database表証跡を構成します。
特定のデータベースのみの接続詳細を含む接続文字列を使用して、Oracle Active Data Guard内のデータベースごとに、Oracle AVDFで1つのターゲットを作成します。
Oracle Active Data Guard内の特定のターゲット・データベースの*.audログ・ファイルからデータを収集するには、ターゲットごとに、Oracle AVDFで1つのディレクトリ証跡を構成します。

統合監査(Oracle AVDF 20.6以前)

監査データは、Oracle AVDF 20.6以前のリリースの統合監査を使用して、Oracle Active Data Guardのプライマリ・データベースからのみ収集できます。次のステップを実行します。

すべてのデータベースの接続詳細を含む単一の接続文字列を使用して、Oracle AVDFでターゲットを作成します。これにより、フェイルオーバーまたはスイッチオーバーが発生した場合でも、Oracle AVDF証跡をプライマリ・データベースのunified_audit_trail表から読み取ることができます。
Oracle AVDFでOracle Database表証跡を作成して、プライマリ・データベースのunified_audit_trailからレコードを読み取ります。

統合監査(Oracle AVDF 20.7以降)

監査データは、統合監査を使用して、Oracle Active Data Guardのプライマリ・データベースとスタンバイ・データベースの両方から収集できます。これは、Oracle AVDFリリース20.7以降に適用されます。次のステップを実行します。

Oracle Active Data Guard設定のすべてのデータベースにパッチ(33568223と33420490)を必ず適用してください。
Oracle Active Data Guardの現在のプライマリ・データベースに常に接続する、フェイルオーバー接続文字列を作成します。
Oracle Active Data Guard内のすべてのデータベースから監査データを収集するには、Oracle AVDFで単一のターゲット・データベースの登録が必要です。
ターゲット登録時に「アクティブなData Guard」チェック・ボックスを選択します。
フェイルオーバー接続文字列テキスト・ボックスに、常に現在のプライマリ・データベースに接続するフェイルオーバー接続文字列を入力します。

Oracle Active Data Guard構成のすべてのデータベースについて、「監査収集属性」タブで、次のように属性を作成します。

各属性はav.target.connection.<name>の形式である必要があります。ここで、<name>は、データベースを識別するためにユーザーが定義する任意の識別子です。

各属性に対応する値は、その特定のデータベースの接続文字列として指定する必要があります。たとえば、Oracle Active Data Guard構成に3つのデータベースがある場合、ユーザーは次の属性を作成できます。

属性名属性値

av.target.connection.first_db

最初のデータベースの専用接続文字列。

av.target.connection.second_db

2番目のデータベースの専用接続文字列。

av.target.connection.third_db

3番目のデータベースの専用接続文字列。

監査収集の場合、Oracle Active Data Guard構成のデータベースごとに1つの証跡を作成します。フェイルオーバー接続文字列を使用する追加の証跡を作成します。残りの証跡では、「監査収集属性」で指定された接続文字列を使用する必要があります。

「追加」をクリックして監査証跡を作成し、次を指定します。このステップは1回のみ実行する必要があります。フェイルオーバー接続を使用する証跡は1つのみとなります。

フィールド選択または値を入力

監査証跡のタイプ

TABLE

証跡の場所

UNIFIED_AUDIT_TRAIL

接続

FAILOVER_CONNECTION

「追加」ボタンをクリックして証跡を作成し、次のオプションを選択します。このステップは、Oracle Active Data Guard内のデータベースごとに実行する必要があります。

フィールド選択または値を入力

監査証跡のタイプ

TABLE

証跡の場所

UNIFIED_AUDIT_TRAIL

接続

av.target.connection.<name>

スタンバイ・データベースのファイル・ベースの監査データをクリーン・アップするには、AUDIT_TRAIL_TYPEをDBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED_FILESとしてDBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAILを使用します。

プライマリ・データベースのファイル・ベースの監査データをクリーン・アップするには、AUDIT_TRAIL_TYPEをDBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED_FILESとしてDBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAILを使用します。

プライマリ・データベースの表ベースの監査データをクリーン・アップするには、AUDIT_TRAIL_TYPEをDBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED_TABLEとしてDBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAILを使用します。データベースはActive Data Guard構成であるため、すべてのスタンバイ・データベースから表ベースの監査データもクリーン・アップされます。

C.4.2 Oracle Data Guardからの監査収集のための追加情報

Oracle Data Guardから監査データを収集するために必要な追加情報について説明します。

Oracle Data Guardは、単一のプライマリ・データベースと複数のスタンバイ・データベースからなる高可用性ソリューションです。この項では、様々な監査証跡を構成するための追加情報を示します。

従来の監査

監査データは、従来の監査を使用して、Oracle Data Guardの現在のプライマリ・データベースから収集できます。次のステップを実行します。

すべてのターゲット・データベースで、AUDIT_TRAILパラメータをDB, EXTENDED,に設定します。
すべてのデータベースの接続詳細を含む単一の接続文字列を使用して、Oracle AVDFでターゲットを作成します。これにより、フェイルオーバーまたはスイッチオーバーが発生した後、現在のプライマリ・データベースのsys.aud$表からOracle AVDF証跡を読み取ることができます。
Oracle AVDFでOracle Database表証跡を作成し、現在のプライマリ・データベースのsys.aud$.からレコードを読み取ります。

統合監査

監査データは、統合監査を使用して、Oracle Data Guardの現在のプライマリ・データベースから収集できます。次のステップを実行します。

すべてのデータベースの接続詳細を含む単一の接続文字列を使用して、Oracle AVDFでターゲットを作成します。これにより、フェイルオーバーまたはスイッチオーバーが発生した後、現在のプライマリ・データベースのunified_audit_trail表からOracle AVDF証跡を読み取ることができます。
Oracle AVDFでOracle Database表証跡を作成し、現在のプライマリ・データベースのunified_audit_trailからレコードを読み取ります。

ノート:

Oracle AVDFでは、現在のプライマリ・データベースについてのみ、従来の監査証跡および統合監査証跡からの監査収集がサポートされています。スイッチオーバーまたはフェイルオーバーが発生した場合、古いプライマリ・データベースで収集が停止した時点から、新しいプライマリ・データベースで監査収集が開始されます。スタンバイ・データベースからの監査収集はサポートされていません。

C.5 監査証跡のクリーンアップ

一部のOracle Audit Vault and Database Firewallプラグインには、監査証跡のクリーンアップ・ユーティリティが含まれています。

C.5.1 Oracle Database監査証跡クリーンアップ

Oracle Databaseでは、監査証跡を手動とスケジュール済ジョブの両方でパージできます。

C.5.1.1 Oracle Databaseターゲット監査証跡のパージについて

DBMS_AUDIT_MGMT PL/SQLパッケージを使用してデータベース監査証跡をパージできます。

DBMS_AUDIT_MGMTパッケージを使用すると、パージ・ジョブのスケジュール、別の表領域への監査証跡の移動、監査証跡でのアーカイブ・タイムスタンプの設定など、監査証跡のクリーンアップ・タスクを実行できます。DBMS_AUDIT_MGMTを使用するために、ターゲット・データベース・ユーザーはEXECUTE権限を持っている必要があります。

Oracle Database 11g リリース2 (11.2)以降には、DBMS_AUDIT_MGMTパッケージとその関連データ・ディクショナリ・ビューが同梱されており、デフォルトでインストールされます。ターゲット・データベースにこのパッケージがインストールされていない場合は、My Oracle Supportからパッケージとデータ・ディクショナリ・ビューをダウンロードできます。

記事ID 731908.1を検索してください。

DBMS_AUDIT_MGMT PL/SQLパッケージおよびビューの使用方法は、次のOracle Databaseドキュメントを参照してください:

概念および手順は、『Oracle Databaseセキュリティ・ガイド』の監査証跡レコードのパージに関する項を参照してください。
DBMS_AUDIT_MGMT PL/SQLパッケージに関するリファレンス情報は、『Oracle Database PL/SQLパッケージおよびタイプ・リファレンス』を参照してください。
DBA_AUDIT_MGMT_*データ・ディクショナリ・ビューの詳細は、Oracle Databaseリファレンスを参照してください。

C.5.1.2 自動パージ・ジョブのスケジューリング

不要な監査データをパージするように自動ジョブをスケジュールすることでメンテナンスを簡素化します。

Oracle Audit Vault and Database Firewallは、Oracle Database上のDBMS_AUDIT_MGMTパッケージと統合されています。この統合により、Audit Vault Serverリポジトリに正常に挿入された後、UNIFIED_AUDIT_TRAIL、AUD$およびFGA_LOG$の各表と、オペレーティング・システムの.audおよび.xmlファイルからの監査レコードのパージが自動化されます。

パージの完了後、Audit Vault Agentは、収集された監査データにタイムスタンプを自動的に設定します。そのため、USE_LAST_ARCH_TIMESTAMPプロパティをTRUEに設定し、確実に適切な監査レコード・セットがパージされるようにする必要があります。パージ・ジョブの間隔を手動で設定する必要はありません。

Oracle Databaseターゲット用の自動パージ・ジョブをスケジュールするには:

ターゲット・データベースでSQL*Plusに、DBMS_AUDIT_MGMT PL/SQLパッケージに対するEXECUTE権限が付与されたユーザーとしてログインします。
たとえば:
```
sqlplus tjones
Enter password: password
```
監査証跡をクリーン・アップ操作用に初期化します。
次の例では、DEFAULT_CLEANUP_INTERVAL設定により、2時間ごとにジョブが実行されます。
```
BEGIN
 DBMS_AUDIT_MGMT.INIT_CLEANUP(
  AUDIT_TRAIL_TYPE            => DBMS_AUDIT_MGMT.AUDIT_TRAIL_ALL,
  DEFAULT_CLEANUP_INTERVAL    => 2 );
END;
/
```
ノート:
- CDBから監査データを収集している場合は、PDBインスタンスに変更があるたびにこのステップを実行します。
- CDB統合監査証跡を使用している場合は、前述のコマンドでCONTAINER_ALLパラメータを使用します。

監査証跡がクリーンアップのために初期化されることを確認します。

たとえば:

SET SERVEROUTPUT ON
BEGIN
 IF
   DBMS_AUDIT_MGMT.IS_CLEANUP_INITIALIZED(DBMS_AUDIT_MGMT.AUDIT_TRAIL_ALL)
 THEN
   DBMS_OUTPUT.PUT_LINE('Database and OS audit are initialized for cleanup');
 ELSE
   DBMS_OUTPUT.PUT_LINE('Database and OS audit are not initialized for cleanup.');
 END IF;
END;
/

DBMS_AUDIT_MGMT.CREATE_PURGE_JOBプロシージャを使用してパージ・ジョブを作成し、スケジュールします。
このプロシージャで、USE_LAST_ARCH_TIMESTAMPプロパティをTRUEに設定し、タイムスタンプより古いすべてのレコードを削除できるようにします。

次のプロシージャにより、CLEANUP_OS_DB_AUDIT_RECORDSという名前のパージ・ジョブが作成されます。このジョブは、2時間ごとに実行され、監査レコードがパージされます。
```
BEGIN
  DBMS_AUDIT_MGMT.CREATE_PURGE_JOB (
   AUDIT_TRAIL_TYPE            => DBMS_AUDIT_MGMT.AUDIT_TRAIL_ALL,
   AUDIT_TRAIL_PURGE_INTERVAL  => 2,
   AUDIT_TRAIL_PURGE_NAME      => 'CLEANUP_OS_DB_AUDIT_RECORDS',
   USE_LAST_ARCH_TIMESTAMP     => TRUE );
END;
/
```

C.5.1.3 セキュア・ターゲットからの監査証跡データの重複収集を防止する方法

データの重複収集を回避しながら登録されたセキュア・ターゲットから監査データを収集するように、Audit Vault Serverの監査証跡を構成する方法について説明します。

AVSYS.CHECKPOINT表には、監査証跡ごとのCHECKPOINT_TIMEが格納されています。これは、セキュア・ターゲットの監査証跡から監査レコードが収集されて、AVSYS.EVENT_LOG表に挿入/コミットされるまでのタイムスタンプを示します。

DBA_AUDIT_MGMT_LAST_ARCH_TSビューのLAST_ARCHIVE_TS列も、監査証跡によって監査データが収集されるまでのタイムスタンプを示すように更新されます。これは、まだ監査証跡によって収集されていないレコードを削除しないように、パージ操作を決定する際に役立ちます。

ただし、LAST_ARCHIVE_TS列の値は、監査証跡が次の読取り操作中に、どこから監査データを読み取る必要があるかを決定する役割は果たしません。監査証跡は、コレクタの再起動時に常にAVSYS.CHECKPOINT表を参照するため、収集はCHECKPOINT_TIMEから開始されます。それにより、監査証跡は、タイムスタンプがCHECKPOINT_TIMEより小さいレコードを読み取らなくなります。

そのため、監査証跡は、収集が必要になる開始ポイントを決定するために、セキュア・ターゲット側のデータベースの最終アーカイブ・タイムスタンプに格納されている値には明らかに依存していません。どちらかといえば、このタイムスタンプまでの監査データは収集済のためパージできることをセキュア・ターゲットに知らせるためだけの指標です。

ノート:

LAST_ARCHIVE_TS列は手動で変更できますが、Audit Vault ServerのAVSYS.CHECKPOINT表のCHECKPOINT_TIME列は自動的に管理されていて、手動による変更は想定されていません。そのため、これらの2つの列は必ずしも相互に同期している必要はありません。

C.5.1.4 Oracle GoldenGate Extractクリーン・アップ

Oracle GoldenGate Extractクリーンアップおよび単純なメンテナンスの使用方法を学習します。

Oracle GoldenGate Extractクリーンアップ・ユーティリティを使用して、メンテナンスを簡略化します。このユーティリティは、Oracle AVDF 20.4以降で使用できます。

Oracle GoldenGate Extractクリーンアップ・ユーティリティを実行するには:

ホスト・マシンの次のディレクトリに移動します。
AGENT_HOME\av\plugins\com.oracle.av.plugin.oracle\bin
次のコマンドを実行します。
```
OracleGoldenGateExtractCleanupHandler <target name> <Agent deployed location>
```
このコマンドには次の変数が含まれています。

<target name>は、登録済ターゲットの名前です。

<Agent deployed location>は、エージェントをデプロイするディレクトリのフルパスです。

ノート:
ターゲット属性av.collector.timezoneoffsetを使用して、ターゲットの作成時にタイムゾーン・オフセットを指定してください。また、エージェント・マシンとOracle Databaseターゲットを同じタイムゾーンにしてください。

C.5.2 Microsoft SQL Server監査証跡クリーンアップ

Microsoft SQL Server監査証跡のクリーン・アップについて学習します。

Microsoft SQL Server 2012はOracle AVDF 20.12で非推奨となり、将来のリリースでサポートが終了します。

SQL Server監査証跡にトレース、拡張イベントまたはsqlauditファイルから収集されたデータがあり、そのファイルが非アクティブである場合、このファイルをクリーン・アップできます。SQL Server監査証跡により、SQL Server監査テキスト・ファイルの名前が、拡張子.atcのプレーン・テキスト・ファイルに書き込まれます。.atcファイルは、エージェントがインストールされているコンピュータのAGENT_HOME\av\atcディレクトリにあります。

Oracle AVDFによる監査レコードの抽出が完了したファイルを手動でクリーンアップするには:

Audit Vault AgentがインストールされているコンピュータのAGENT_HOME\av\plugins\com.oracle.av.plugin.mssql\binディレクトリに移動します。

AGENT_HOME環境変数がagent.jarファイルが抽出されているディレクトリ・パスに正しく設定されていることを確認します。
次のユーティリティを実行します。
```
SQLServerCleanupHandler secured_target_name
```
たとえば:
```
SQLServerCleanupHandler mssqldb4
```
AGENT_HOME環境変数を設定しない場合は、次の構文を使用してコマンドラインでエージェントのホーム場所を指定できます。
```
SQLServerCleanupHandler -securedtargetname secured_target_name agent_home_location
```
たとえば:
```
SQLServerCleanupHandler mssqldb4 c:\AV_agent_installation
```
重要: Audit Vault Agentのインストール・ディレクトリの名前にスペースが含まれている場合は、名前を二重引用符で囲んでください。たとえば"C:\Agent Directory"。

SQL Serverトレース・ファイルのクリーンアップを自動化するために、Windows Schedulerを使用できます。

ノート:

SQL Serverトレース定義を再定義または再初期化する場合は、トレース・ファイルのファイル名が以前に作成したトレース・ファイルと重複しないようにする必要があります。

たとえば、トレース・ファイル名で次の形式が使用されるトレース定義を使用して、SQL Serverを起動するとします。

c:\serversidetraces.trc
c:\serversidetraces_1.trc
c:\serversidetraces_2.trc
...
c:\serversidetraces_259.trc

その後、新しいトレース定義を使用してSQL Serverを再起動します。この新しいトレース定義では、現在のトレース・ファイル(たとえば、現在のファイル名はc:\serversidetraces.trc)とは異なるファイル名を使用する必要があります。異なるファイル名を使用しないと、監査証跡をパージするときに、古いトレース・ファイルと同じ名前の新しいトレース・ファイルは削除されます。

関連トピック

動作の変更、非推奨となったかサポートが終了したプラットフォームと機能

C.5.2.1 Oracle GoldenGate Extractのクリーン・アップ

Oracle GoldenGate Extractクリーンアップ・ユーティリティを使用して、メンテナンスを簡略化します。

ノート:

収集した監査データをリモート収集からパージするには、ロールオーバー・ファイルの数およびサイズを設定する必要があります。これらの値は、Microsoft SQL Serverで設定します。

ホスト・マシンの次のディレクトリに移動します。

AGENT_HOME\av\plugins\com.oracle.av.plugin.mssql\bin
次のコマンドを実行します。
```
SQLServerGoldenGateExtractCleanupHandler.bat <target name> <agent deployed location>
```
<target name>は、登録済ターゲットの名前です。

<agent deployed location>は、Audit Vault Agentがデプロイされているディレクトリのフルパスです。

C.5.3 MySQL監査証跡クリーンアップ

MySQL監査証跡のクリーンアップ・ユーティリティを使用して、メンテナンスを簡素化します。

MySQL監査証跡クリーンアップ・ユーティリティを実行するには:

ホスト・マシンで、AGENT_HOME\av\plugins\com.oracle.av.plugin.mysql\binディレクトリに移動します。
次のコマンドを実行します。
MySQLServerCleanupHandler.bat secured_target_name AGENT_HOME

このコマンドには次の変数が含まれています。
- secured_target_name - MySQLターゲットの名前
- AGENT_HOME - Audit Vault Agentがデプロイされたディレクトリへのパス

C.5.3.1 Oracle GoldenGate Extractのクリーン・アップ

Oracle GoldenGate Extractクリーンアップ・ユーティリティを使用して、メンテナンスを簡略化します。

ホスト・マシン上の次のディレクトリに移動します: AGENT_HOME\av\plugins\com.oracle.av.plugin.mysql\bin
次のコマンドを実行します。
```
MySQLGoldenGateCleanupHandler <target name> <Agent deployed location>
```
<target name>は、登録済ターゲットの名前です。

<Agent deployed location>は、Audit Vault Agentがデプロイされているディレクトリのフルパスです。

C.5.4 IBM DB2監査証跡のクリーン・アップ

IBM DB2スクリプトを使用したレコードのクリーン・アップについて学習します。

DB2レコードのクリーン・アップの詳細は、IBM DB2のバイナリ監査ファイルからASCII形式への変換を参照してください。

C.6 手順に関する参照情報: 接続文字列、コレクション属性、監査証跡の場所

手順に関する参照情報を使用して、監査レコードの生成を微調整およびカスタマイズできます。

C.6.1 ターゲットの場所(接続文字列)

接続文字列を使用して、Audit Vault Serverコンソールでターゲットの場所を登録します。

Audit Vault Serverコンソールでターゲットを登録するときに、「ターゲットの場所」フィールドに接続文字列を入力します。ターゲットのタイプに応じて、表C-23の接続文字列形式を使用します。

ノート:

監査収集には接続文字列が必須です。ただし、Database Firewallのモニタリングには必要ありません。

表C-23 ターゲットの接続文字列(「ターゲットの場所」フィールド用)

ターゲット・タイプ	接続文字列
Oracle Database	`jdbc:oracle:thin:@//hostname:port/service`
Sybase ASE	`jdbc:av:sybase://hostname:port`
Sybase SQL Anywhere	`jdbc:av:sybase://hostname:port` ノート: Sybase SQL AnywhereはOracle AVDFリリース20.7では非推奨です。また、20.8ではサポートされていません。
Microsoft SQL Server (SQL Server認証)	`jdbc:av:sqlserver://hostname:port` SSL暗号化がMSSQLサーバーで使用されており、サーバー証明書の検証が必要な場合。エージェントのTLSレベルがレベル4に設定されていることを確認します。 `jdbc:av:sqlserver://<MSSQL Host name>:<Port number>;encryptionMethod=SSL;validateServerCertificate=true;CryptoProtocolVersion=TLSv1.2;trustStore=<key store jks path>;trustStorePassword=<keystore password>;extendedOptions=enableCipherSuites=SSL_RSA_WITH_RC4_128_MD5,SSL_RSA_WITH_RC4_128_SHA` SSL暗号化がMSSQLサーバーで使用されており、サーバー証明書の検証が必要ない場合。 `jdbc:av:sqlserver://<MSSQL Host name>:<Port number>;encryptionMethod=SSL;validateServerCertificate=false;CryptoProtocolVersion=TLSv1.2;`
Microsoft SQL Server (Windows認証)	`jdbc:av:sqlserver://<Host Name>:<Port>;authenticationMethod=ntlmjava` `(ドメインとともにWindowsユーザー資格証明を使用します。たとえば、<domain name>\<user name >とパスワードなどです。)` または `jdbc:av:sqlserver://<Host Name>:<Port>;authenticationMethod=ntlmjava;domain=<domain name>` `ドメインを指定せずにWindowsユーザー資格証明を使用します。たとえば、<user name >とパスワードなどです。`
Oracle Solaris	`hostname` (完全修飾マシン名またはIPアドレス)
Oracle Linux	`hostname` (完全修飾マシン名またはIPアドレス)
Microsoft Windows	`hostname` (完全修飾マシン名またはIPアドレス)
Microsoft Active Directory Server	`hostname` (完全修飾マシン名またはIPアドレス)
Oracle ACFS	`hostname` (完全修飾マシン名またはIPアドレス) ノート: Oracle Automatic Storage Management Cluster File System (Oracle ACFS)またはOracle Advanced Cluster File Systemは、Oracle AVDFリリース20.7では非推奨です。また、20.8ではサポートされていません。
IBM AIX	`hostname` (完全修飾マシン名またはIPアドレス)

関連トピック

C.6.2 監査収集属性

Oracle Audit Vault and Database Firewall (Oracle AVDF)には、Oracle DatabaseやMySQLなどのターゲット・プラットフォーム固有の監査収集属性が用意されています。

C.6.2.1 監査収集属性について

ターゲットを構成する際に監査収集属性を指定します。

一部のターゲットのタイプには、オプションまたは必須の監査証跡コレクション属性があります。ターゲットの登録または変更時には、「監査収集属性」の各フィールドで監査収集属性を指定できます。

次のターゲット・タイプでは監査収集属性は必要ありません。

Microsoft SQL Server
Sybase ASE
Oracle Solaris
Windows
Linux
Microsoft Active Directory Server

関連項目:

Audit Vault Serverでのターゲットの登録または削除

C.6.2.2 Oracle Databaseの監査収集属性

Audit Vaultが収集するデータの型を制御するための監査収集属性を指定します。

Oracle DatabaseではDIRECTORY監査証跡の監査収集属性を指定できます。表C-24に、Oracle Audit Vault and Database FirewallでOracle Databaseターゲットを登録するときに監査証跡のタイプとしてDIRECTORYを選択した場合に使用できる監査収集属性を示します。

表C-24 Oracle DatabaseのDIRECTORY監査証跡用の監査収集属性

属性名および説明	必須かどうか	デフォルト	備考
`ORCLCOLL.NLS_LANGUAGE` データ・ソースのNLS言語。	必須: 開始された監査証跡がOracleターゲットへの接続を確立できない場合(たとえば、ターゲットが実行されていない) 不要: 開始された監査証跡がOracleターゲットに接続でき、これらのパラメータ値をターゲットから取得できる場合(たとえば、証跡の開始時にターゲットが実行されている)	該当なし	値の大/小文字は区別されません。
`ORCLCOLL.NLS_TERRITORY` データ・ソースのNLS地域。	必須: 開始された監査証跡がOracleターゲットへの接続を確立できない場合(たとえば、ターゲットが実行されていない) 不要: 開始された監査証跡がOracleターゲットに接続でき、これらのパラメータ値をターゲットから取得できる場合(たとえば、証跡の開始時にターゲットが実行されている)	該当なし	値の大/小文字は区別されません。
`ORCLCOLL.NLS_CHARSET` データ・ソースのNLS文字セット。	必須: 開始された監査証跡がOracleターゲットへの接続を確立できない場合(たとえば、ターゲットが実行されていない) 不要: 開始された監査証跡がOracleターゲットに接続でき、これらのパラメータ値をターゲットから取得できる場合(たとえば、証跡の開始時にターゲットが実行されている)	該当なし	値の大/小文字は区別されません。
`ORCLCOLL.RAC_INSTANCE_ID` Oracle RAC環境のインスタンスID。	不要	1	なし。
`AV.COLLECTOR.DATABASECHARSET` データ・ソースのNLS文字セット。	必須: 開始された監査証跡がターゲットOracle Databaseへの接続を確立できない場合。たとえば、ターゲットが実行されていない場合などです。不要: 開始された監査証跡がターゲットOracle Databaseに接続でき、これらのパラメータ値をターゲットから取得できる場合。たとえば、証跡の開始時にターゲットが実行されている場合などです。	該当なし	なし。
`ORCLCOLL.HEARTBEAT_INTERVAL` メトリック情報を保存する間隔(秒)	不要	60	実行時に再構成することはできません。この間隔はメトリック情報の更新頻度を示します。値が小さすぎると、メトリックをAudit Vault Serverに送信するときのオーバーヘッドが生じます。値が大きすぎると、平均メトリック情報の正確性に影響を及ぼします。
`ORCLCOLL.NT_ORACLE_SID` Microsoft WindowsシステムでのOracle SID名	不要	デフォルトなし	値の大/小文字は区別されません。値を指定しない場合、監査証跡にはターゲットからの値が必要です。
`AV.COLLECTOR.TIMEZONEOFFSET` Oracle Databaseターゲットのタイムゾーン・オフセット	オプション。ノート: Oracle AVDFリリース20.1についてのみ、これはトランザクション・ログ監査収集の必須ターゲット属性です。トランザクション・ログ監査証跡によってターゲット・データベースからタイムゾーン・オフセットがフェッチされるため、この属性はOracle AVDFリリース20.2以降では必要ありません。	該当なし	なし。

C.6.2.3 IBM DB2 for LUWの監査収集属性

IBM DB2 for LUWの監査収集属性について学習します。

表C-25に、Oracle AVDFでIBM DB2 for LUWターゲットを登録するときに必要な監査収集属性を示します。

表C-25 IBM DB2 for LUWデータベースの監査収集属性

属性名および説明必須かどうかデフォルト備考

属性名および説明	必須かどうか	デフォルト	備考
`av.collector.databasename` IBM DB2 for LUWデータベース名	必須	該当なし	このパラメータは、大/小文字を区別します。ノート: 監査収集属性は、12.2.0.11.0以降のリリースでは不要です。

av.collector.databasename

IBM DB2 for LUWデータベース名

必須

該当なし

このパラメータは、大/小文字を区別します。

ノート: 監査収集属性は、12.2.0.11.0以降のリリースでは不要です。

C.6.2.4 MySQLの監査収集属性

MySQLの監査収集属性について学習します。

表C-26に、Oracle Audit Vault and Database FirewallでMySQLターゲットを登録するときの必須およびオプションの監査収集属性を示します。

表C-26 MySQLデータベースの監査収集属性

属性名および説明必須かどうかデフォルト備考

属性名および説明	必須かどうか	デフォルト	備考
`av.collector.securedTargetVersion` MySQLデータベースのバージョン	必須	8.0	該当なし
`av.collector.AtcTimeInterval` 監査証跡クリーンアップ時間を更新する時間間隔(分単位)を指定します。	不要	20	例: この値が20である場合、監査証跡クリーン・アップ時間はATCファイルで20分ごとに更新されます。タイムスタンプが監査証跡クリーン・アップ時間より古い監査ログ・ファイルは、監査証跡クリーン・アップ・ユーティリティを実行したときにソース・フォルダからクリーン・アップされます。

av.collector.securedTargetVersion

MySQLデータベースのバージョン

必須

8.0

該当なし

av.collector.AtcTimeInterval

監査証跡クリーンアップ時間を更新する時間間隔(分単位)を指定します。

不要

例: この値が20である場合、監査証跡クリーン・アップ時間はATCファイルで20分ごとに更新されます。タイムスタンプが監査証跡クリーン・アップ時間より古い監査ログ・ファイルは、監査証跡クリーン・アップ・ユーティリティを実行したときにソース・フォルダからクリーン・アップされます。

関連項目:

MySQL監査証跡クリーンアップ

C.6.2.5 Oracle ACFSの監査収集属性

Oracle ACFSターゲットの監査収集属性について学習します。

ノート:

表C-27に、Oracle Audit Vault and Database FirewallでOracle ACFSターゲットを登録するときに必要な監査収集属性を示します。

表C-27 Oracle ACFSの監査収集属性

属性名および説明必須かどうかデフォルト備考

属性名および説明	必須かどうか	デフォルト	備考
`av.collector.securedtargetversion` Oracle ACFSのバージョン番号	必須	該当なし	ドット区切りの5つの整数値(たとえば`12.1.0.0.0`)

av.collector.securedtargetversion

Oracle ACFSのバージョン番号

必須

該当なし

ドット区切りの5つの整数値(たとえば12.1.0.0.0)

C.6.3 監査証跡の場所

Audit Vault Serverでターゲットの監査証跡を構成するときには、証跡の場所を指定します。証跡の場所は、ターゲットのタイプによって異なります。

ノート:

証跡の場所の指定では大文字と小文字が区別されます。データ収集の重複を防ぐため、証跡の場所を指定するときには大文字のみを使用するか小文字のみを使用することをお薦めします。

ノート:

監査証跡のタイプとしてDIRECTORYを選択する場合、証跡の場所はディレクトリ・マスクにする必要があります。

表C-28 ターゲットでサポートされる証跡の場所

ターゲット・タイプ	証跡タイプ	サポートされる証跡の場所
Oracle Database	表	`SYS.AUD$`、`SYS.FGA_LOG$`、 `DVSYS.AUDIT_TRAIL$`、`UNIFIED_AUDIT_TRAIL`、`CDB_UNIFIED_AUDIT_TRAIL` Oracle Database 23aiの`SYS.DBA_SQL_FIREWALL_VIOLATIONS`
Oracle Database	ディレクトリ	AUDまたはXMLファイルが含まれているディレクトリへのフルパス
Oracle Database	syslog	`syslog`または`rsyslog`ファイルが含まれているディレクトリへのフルパスこのパスには、`syslog`または`rsyslog`ファイルの接頭辞を含めます。たとえば、ファイル名が`messages.0`、`messages.1`などである場合は、次のパスを使用できます: `/scratch/user1/rsyslogbug/dbrecord/messages` `Default`と入力することもでき、この場合は、システムによって`syslog`または`rsyslog`のどちらかの場所が検索されます。両方が存在する場合、`Default`を入力すると、監査証跡では`syslog`ファイルからデータが収集されます。
Oracle Database	イベント・ログ	証跡の場所は不要です
Oracle Database	トランザクション・ログ	Oracle GoldenGate統合ExtractのXML証跡ファイルが含まれているディレクトリへのフルパス
Oracle Database	ネットワーク*	`NETWORK/<network interface name>`、 `LOCAL/<loopback adapter name>`および `LOCAL/Bequeath` `LOCAL/Bequeath`証跡は、LinuxおよびSolarisプラットフォームでのみサポートされます。
Microsoft SQL Server	ディレクトリ	`.sqlaudit`ファイルまたは`.trc` (トレース)ファイル例: `directory_path\.sqlaudit` `directory_path\prefix.sqlaudit` `directory_path\prefix.trc` `prefix`には、`.trc`または`.sqlaudit`ファイル用の任意の接頭辞を使用できます。 `#C2_DYNAMIC`および`#TRACE_DYNAMIC`は、SQL Server 2000、2005、2014および2016の場合のみサポートされます。 Microsoft SQL Server 2012はOracle AVDF 20.12で非推奨となり、将来のリリースでサポートが終了します。
Microsoft SQL Server	イベント・ログ	`application`または`security` (SQL Server 2008、2012、2014および2016) Microsoft SQL Server 2012はOracle AVDF 20.12で非推奨となり、将来のリリースでサポートが終了します。
Microsoft SQL Server	トランザクション・ログ(Oracle AVDF 20.9以降)	Oracle GoldenGate CDC ExtractのXML証跡ファイルが含まれているディレクトリへのフルパス
Microsoft SQL Server、MySQLおよびファイアウォール・モニタリングでサポートされているすべてのタイプ	ネットワーク*	`NETWORK/<network interface name>`および `LOCAL/<loopback adapter name>`
IBM DB2 for LUW	ディレクトリ	ディレクトリへのパス。たとえば: `d:\temp\trace`
Sybase ASE	表	`SYSAUDITS`
PostgreSQL	ディレクトリ	CSV監査ファイルが含まれているディレクトリへのパス
MySQL	ディレクトリ	MySQL XML変換ユーティリティを実行したときに変換後のXMLファイルが作成されるディレクトリへのパス
Linux	ディレクトリ	`audit.log`のデフォルトの場所(`/var/log/audit/audit*.log`)、または`/etc/audit/auditd.conf`ファイル内で構成したカスタムの場所
Microsoft Windows	イベント・ログ	`security` (大文字小文字の区別なし) `security`には大文字小文字の任意の組合せを使用できます。ただし、特定の大文字小文字の組合せを使用して証跡の収集を開始した場合は、後続の収集で同じ組合せを使用する必要があります。そうしないと、新しい監査証跡で、セキュリティ・イベント・ログの先頭からレコードの収集が開始されます。
Oracle Solaris	ディレクトリ	`hostname:path_to_trail` `hostname`は、監査ログ名(次のような形式)に含まれているホスト名と一致します: `timestamp1.timestamp2.hostname`
AIX	ディレクトリ	`/audit/trail`
Oracle ACFS	ディレクトリ	XML監査ファイルが含まれているディレクトリへのパスたとえば、`$MOUNT_POINT`にマウントされているファイル・システムでの監査証跡の場所は、次のようになります: `$MOUNT_POINT/.Security/audit/` ノート: Oracle Automatic Storage Management Cluster File System (Oracle ACFS)またはOracle Advanced Cluster File Systemは、Oracle AVDFリリース20.7では非推奨です。また、20.8ではサポートされていません。
Microsoft Active Directory Server	イベント・ログ	`directory service`または`security` (大文字小文字の区別なし) `directory service`または`security`には大文字小文字の任意の組合せを使用できます。ただし、特定の大文字小文字の組合せを使用して証跡の収集を開始した場合は、後続の収集で同じ組合せを使用する必要があります。そうしないと、新しい監査証跡で、セキュリティ・イベント・ログの先頭からレコードの収集が開始されます。

*Oracle AVDF 20.12以前では、証跡の場所は空になり、属性network_device_name_for_hostmonitorを設定する必要があります。

Oracle AVDF 20.13以降、証跡の場所のドロップダウン・リストには使用可能なネットワーク・インタフェース・カードがリストされます。複数のインタフェースが関係する場合は、それぞれに個別の証跡を作成します。

関連トピック

C.7 独自のOSユーザー・アカウントでのAudit Vault Agentのインストール

職務分離が必要な環境では、Oracleソフトウェアのインストールを所有するOSユーザー・アカウントではなく、独自のOSユーザー・アカウントの下でAudit Vault Agentをインストールできます。

次の2つのオプションがあります。

従来のUnix権限
POSIXアクセス制御リスト(ACL)

従来のUnix権限

これは、最も単純なオプションです。Audit Vault AgentユーザーavagentosuserをOracleソフトウェア所有者と同じプライマリ・グループ(通常はoinstall)に追加します。データベースはグループ読取りアクセス権なしで監査ファイルを書き出すことがあります。これは、chmod g:rxコマンドで簡単にメンテナンスできます。

POSIX ACL

POSIX ACLでは、従来のUNIXアクセス権をオーバーライドする権限をファイルとディレクトリに設定できます。

このアプローチを選択する前に、考慮するいくつかのポイントを示します:

Oracle Exadataを使用している場合は、四半期バンドル・パッチを適用すると、ファイル・アクセス制御リスト(FACL)パッケージが削除されます(または、バンドル・パッチの競合を回避するために削除が必要になります)。FACLパッケージが削除されても、設定されている既存のFACLは有効のままです。
DBAがaudit_file_destパス内のいずれかのディレクトリを移動すると、FACLは破損します。mv audit audit.old; mkdir auditのような単純なアクションにより、そのディレクトリのFACLが破損します。
setFACLへのFACLコマンドは、rootのみが実行できます。

FACLが破損していて(またはバンドル・パッチの適用後にFACLバイナリまたはパッケージが欠落していて)、DBAまたはAudit Vault Server管理者が問題の解決のためにrootアクセス権を持つシステム管理者と協力する必要がある場合は、監査収集がほぼリアルタイムではなくなる可能性があります。
/etc/fstabマウント・ポイントにaclが設定されている必要があります。これにより、ACLがそのファイル・システムに適用されて再マウントされるようにします。

FACLをディレクトリに適用すると、特定のユーザーにアクセスを許可できます。そのディレクトリに作成された新しいファイル(新しい監査レコードなど)には、FACL権限が設定されます。FACLの適用前からディレクトリに存在している監査ファイルにはFACL権限がないため、各ファイルに個別にsetFACLコマンドを適用する必要があります。

監査ディレクトリへの完全修飾パスに含まれる各ディレクトリには、専用ユーザーが監査ファイルへのパスを通過できるようにFACLを設定しておく必要があります。

例C-1 FACLの適用

この例では、rootユーザーとavagentという名前のOSユーザーを使用します。

rootとしてUNIXコマンドを実行している間は、OSユーザー・アカウントを使用して結果を表示できます。

次のコマンドをrootとして実行します:

mkdir -p /tmp/dir1/dir2/audit

mkdir -p /tmp/dir1/dir2/audit2

touch /tmp/dir1/dir2/audit/file1

touch /tmp/dir1/dir2/audit2/file2

chmod -R 750 /tmp/dir1

/tmp/dir1/dir2/auditディレクトリへのアクセス権をavagent OSユーザーにのみ付与します。これは、ディレクトリごとに実行する必要があります(たとえば、chmod 750の場合と同様です)。
```
setfacl -m u:avagent:rx /tmp/
```
```
setfacl -m u:avagent:rx /tmp/dir1
```
```
setfacl -m u:avagent:rx /tmp/dir1/dir2
```
```
setfacl -m u:avagent:rx /tmp/dir1/dir2/audit
```
avagent OSユーザーは/tmp/dir1/dir2/auditディレクトリにアクセスできるようになりましたが、FACLが適用されていない/tmp/dir1/dir2/audit2ディレクトリにはアクセスできません。
ファイルまたはディレクトリにFACLが適用されているかどうかを確認するには、次のコマンドを使用します:
```
getfacl <file/directory>
```
/tmp/dir1/dir2/auditディレクトリに作成作成されるすべての新しいファイルに、avagent OSユーザーのrxアクセス権が設定されるように指定します。
```
setfacl -dm u:avagent:rx /tmp/dir1/dir2/audit
```
デフォルト情報が正しく設定されていることを確認するには、次のコマンドを使用します:
```
getfacl /tmp/dir1/dir2/audit
```
前述の設定をテストするために、/tmp/dir1/dir2/auditに新しいファイルを作成します。
```
echo "test" > /tmp/dir1/dir2/audit/file3
```
avagent OSユーザーは、file3にアクセスできますが、file1にはアクセスできません。
getfaclを使用して、ファイル間の差異を確認します。
```
getfacl /tmp/dir1/dir2/audit/file1
```
```
getfacl /tmp/dir1/dir2/audit/file3
```
FACLが適用されていなかったファイル(ディレクトリ内の新しいファイルにsetfacl -d [default]を適用するように設定したときより前のファイル)を解決するために、それらのファイルにFACLを適用します。
```
setfacl -m u:avagent:rx /tmp/dir1/dir2/audit/file1
```
ワイルドカードを使うこともできます。たとえば:
```
setfacl -m u:avagent:rx /tmp/dir1/dir2/audit/*
```
/tmp/dir1/dir2/auditディレクトリへのファイルの移動をテストするには、次のコマンドを実行します:
```
mv /tmp/dir1/dir2/audit2/file2 /tmp/dir1/dir2/audit/
```
```
getfacl /tmp/dir1/dir2/audit/file2
```
移動したファイルにはFACLが適用されていません。これは、setfacl -d [default]を設定したときに、そのファイルがディレクトリに作成されていなかったためです。そのため、移動したファイルにはFACLを適用する必要があります。
```
setfacl -m u:avagent:rx /tmp/dir1/dir2/audit/file2
```