4 Audit Vault Serverの構成
Audit Vault Serverの構成について学習します。
4.1 Audit Vault Serverの構成について
Audit Vault Serverの構成について学習します。
この章では、Audit Vault Serverの初期構成を実行する方法について説明します。
ノート:
Audit Vault ServerおよびDatabase Firewallはソフトウェア・アプライアンスです。Oracleの公式ドキュメントで説明されている手順に従う場合、またはOracleサポートからガイダンスを受けて作業する場合を除き、これらのサーバーでは、コマンドラインからLinuxオペレーティング・システムを変更しないでください。
構成プロセスの主なステップは次のとおりです。
-
Audit Vault Serverで初期構成タスクを実行します。たとえば、システム・サービスおよびネットワーク設定を確認し、日付と時刻を設定します。
-
(オプション) Audit Vault Agentを構成します。
-
(オプション) 高可用性のための回復可能なペアを定義します。
-
(オプション) Audit Vault Serverで、各Database Firewallを追加します。
-
(オプション) Syslogから読み取ることができるサード・パーティのSecurity Information Event Management (SIEM)製品と連携するようにOracle Audit Vault and Database Firewallを構成します。
-
(オプション) Microsoft Active DirectoryまたはOpen LDAPを構成します。
-
システムが正常に機能していることを確認します。
関連項目:
-
高可用性のためにAudit Vault Serverの回復可能なペアを構成する方法の詳細は、「Audit Vault Serverの高可用性の構成」を参照してください。両方のAudit Vault Serverに対して、この章で説明する初期構成を実行します
-
Oracle Audit Vault and Database Firewallを構成するワークフローの概要を確認するには、構成ステップの概要を参照してください。
4.2 Audit Vault ServerのUI (コンソール)証明書の変更
Audit Vault ServerのUI証明書を変更する方法を学習します。
Audit Vault Serverコンソールに初めてアクセスすると、証明書に関する警告またはメッセージが表示されます。このタイプのメッセージが表示されないように、適切な認証局によって署名された新しいUI証明書をアップロードできます。
前提条件
Audit Vault Serverコンソールにスーパー管理者としてログインします。詳細は、Audit Vault Serverコンソールの使用を参照してください。
Audit Vault ServerのUI証明書を変更するには:
ノート:
独自の公開キー・インフラストラクチャを使用している場合は、ブラウザに認証局のパブリック証明書をインストールする必要があります。
証明書は、次の表に示す特定の期間有効です。
Oracle AVDFリリース | 有効期間 |
20.1から20.3 | 10年 |
20.4 | 27か月 |
4.3 Audit Vault Serverの初期システム設定およびオプションの指定(必須)
Audit Vault Serverで初期システム設定およびオプションを指定する方法を学習します。
4.3.1 サーバーの日付、時刻およびキーボード設定の指定
Audit Vault Serverの日付、時刻およびキーボードの設定を指定する方法を学習します。
スーパー管理者は、Audit Vault Serverの日付、時刻およびキーボードの設定を変更できます。Audit Vault Serverに設定した日付および時刻が正しいことを確認することが重要です。これは、サーバーによって生成されるイベントはサーバーの設定に応じて発生する日付および時刻でログに記録されるためです。また、アーカイブは、サーバーの時刻の設定に基づいて特定の間隔で発生します。
タイムスタンプについて
Audit Vault Serverでは、すべてのデータがUTCで保存されます。タイムスタンプは次のように表示されます。
-
ユーザーが対話形式(Audit Vault ServerコンソールやAVCLIコマンドラインなど)でデータにアクセスしている場合、タイムスタンプはすべてユーザーのタイムゾーンで表示されます。UIでは、タイムゾーンはブラウザのタイムゾーンから導出されます。AVCLIを使用する場合、タイムゾーンは「シェル」タイムゾーン(通常は
TZ
環境変数によって設定されます)から導出されます。 -
root
またはsupport
としてAudit Vault Serverにログインする場合、そのセッションのTZ
環境変数を変更しないかぎり、タイムスタンプはUTCで表示されます。 -
ユーザーがシステム生成されたPDFまたはXLSレポートを参照している場合、表示されるタイムスタンプには、Audit Vault Serverの「管理」リンクのタイムゾーン・オフセット設定(下の手順を参照)が反映されます。
警告:
構成ファイルを使用して、Audit Vault Serverのデータベース・タイムゾーンを変更しないでください。これを行うと、Audit Vault Serverで重大な問題が発生します。
前提条件
Audit Vault Serverコンソールにスーパー管理者としてログインします。詳細は、Audit Vault Serverコンソールの使用を参照してください。
サーバーの日付、時刻およびキーボード設定の設定
-
「設定」タブをクリックします。
-
左側のナビゲーション・メニューの「システム」タブをクリックします。
-
メイン・ページの「構成」タブで、次を実行します。
クリック Oracle AVDFリリースの場合 管理 20.1および20.2 システム設定 20.3以降 - Oracle AVDF 20.3以降の場合は、「システム設定」ダイアログ・ボックスの「時間とキーボード」タブをクリックします。
-
「タイムゾーン・オフセット」ドロップダウン・リストから、協定世界時(UTC)から相対的に示したローカル時間を選択します。タイムゾーン・オフセットは、非対話型のスケジュールされたPDFまたはXLSレポートで使用されます。ここで設定した時間はローカル時間に変換され、レポートの「イベント時間」フィールドに表示されます。
たとえば、-5:00は、UTCより5時間遅れていることを示します。同期で時刻が正確に設定されるように、適切な設定を選択する必要があります。
ノート:
コンソールおよび特定のユーザー・セッションの時間のみを変更するには、タイムゾーンの変更のステップに従います。この機能は、Oracle AVDFリリース20.6以降で使用できます。 -
「キーボード」ドロップダウン・リストから、キーボード設定を選択します。
-
「システム時間」フィールドで、「手動で設定」または「NTPを使用」を選択します。
NTPを選択すると、時刻は「NTPサーバー1」、「NTPサーバー2」、「NTPサーバー3」の各フィールドに指定したタイム・サーバーからリカバリされる時刻の平均と同期されます。
-
「NTPを使用」を選択してから「定期的に同期」を選択してNTPサーバーの時刻の使用を開始します。
このステップで時刻の同期を有効にしなくても、後続のステップでNTPサーバー情報を入力し、後でNTP同期を有効にできます。
-
必要に応じて、保存後に一度同期を選択し、「保存」をクリックしたときに一度時刻を同期します。
-
「NTPサーバー1」、「NTPサーバー2」、「NTPサーバー3」の各セクションに、優先するタイム・サーバーのIPアドレスまたは名前を入力します。
名前を指定すると、「システム」タブの「サービス」ダイアログで指定したDNSサーバーが名前解決に使用されます。
-
サーバーから時刻を表示するには、「サーバーのテスト」をクリックします。
このNTPサーバーからAudit Vault Serverの時刻を更新するには、「サーバーの適用」をクリックします。「保存」をクリックするまで、更新は有効になりません。
-
「保存」をクリックします。
ノート:
- 高可用性環境の場合は、前述のステップの、プライマリAudit Vault Serverの時間のみが変更されます。
- NTPの場合は、デフォルト・ゲートウェイとDNSサーバーのIPアドレスを指定して、時間の同期を有効にします。
セカンダリAudit Vault Serverでの時間の設定
高可用性環境の場合、プライマリとセカンダリのAudit Vault Serverの時間が同じであることが重要です。次のステップに従って、セカンダリAudit Vault Serverで時間を手動で設定します。
Oracle AVDF 20の場合は、次のステップに従います。
-
セカンダリAudit Vault Serverに、rootユーザーとしてログインします。
-
次のコマンドを実行します:
systemctl stop monitor
systemctl stop controller
systemctl stop dbfwdb
systemctl stop asmdb
-
次のコマンドを実行して、日付と時間を設定します。
date -s "Day Month DD HH:MM:SS UTC YYYY"
たとえば:
date -s "Fri Jun 02 07:51:17 UTC 2021"
-
次のコマンドを実行します:
systemctl start asmdb
systemctl start dbfwdb
systemctl start controller
systemctl start monitor
- 高可用性ステータスを確認します。これは
High Availability mode is enabled
である必要があります。
Oracle AVDF 12.2の場合は、次のステップに従います。
-
セカンダリAudit Vault Serverに、rootユーザーとしてログインします。
-
次のコマンドを実行します:
/etc/init.d/monitor stop
/etc/init.d/controller stop
/etc/init.d/dbfwdb stop
/etc/init.d/asmdb stop
-
次のコマンドを実行して、日付と時間を設定します。
date -s "Day Month DD HH:MM:SS UTC YYYY"
たとえば:
date -s "Fri Jun 02 07:51:17 UTC 2021"
-
次のコマンドを実行します:
/etc/init.d/asmdb start
/etc/init.d/dbfwdb start
/etc/init.d/controller start
/etc/init.d/monitor start
- 高可用性ステータスを確認します。これは
High Availability mode is enabled
である必要があります。
4.3.2 タイムゾーンの変更
アクティブなセッションについてのみAudit Vault Serverコンソールでタイムゾーンを変更する方法を学習します。
この時間は、アクティブ・セッションについてのみ、Audit Vault Serverコンソールで変更できます。これはコンソール(ユーザー・インタフェース)の場合のみに制限されます。この機能は、Oracle AVDFリリース20.6以降で使用できます。次のステップを実行します。
4.3.3 Audit Vault Serverシステム設定の指定
Audit Vault Serverシステム設定の構成について学習します。
4.3.3.1 プライマリAudit Vault Serverのネットワーク構成の変更
Oracle Audit Vault and Database Firewall (Oracle AVDF)インストーラにより、インストール時にAudit Vault Serverの初期ネットワーク設定が構成されます。このネットワーク設定は、インストール後に変更できます。
4.3.3.2 スタンバイAudit Vault Serverネットワーク構成の変更
スタンバイAudit Vault Serverのネットワーク構成を変更する方法を学習します。
Oracle AVDFリリース20.7以降では、プライマリAudit Vault Serverコンソールを使用して、スタンバイAudit Vault Serverのネットワーク設定を構成できます。
スタンバイAudit Vault Serverのネットワーク設定を構成するには:
4.3.3.3 Audit Vault Serverサービスの構成または変更
Audit Vault Serverサービスを構成および変更する方法を学習します。
Audit Vault Serverサービスを構成するには:
4.3.3.4 スタンバイAudit Vault Serverシステム設定の変更
スタンバイAudit Vault Serverのシステム設定を変更する方法を学習します。
Oracle AVDFリリース20.7以降では、プライマリAudit Vault Serverコンソールを使用して、スタンバイAudit Vault Serverのシステム設定を変更できます。
スタンバイAudit Vault Serverのシステム設定を構成するには:
4.3.3.5 アクティブな登録済エージェントのIPアドレスの変更
アクティブな登録済エージェントのIPアドレスの変更について学習します。
Audit Vault Agentの機能に影響を与えずに稼働中の登録済エージェントのIPアドレスを変更するには、この手順を使用します。
前提条件
-
特定のAudit Vault Agentで管理されているすべての監査証跡を停止します。詳細は、「Oracle Audit Vault Serverでの監査証跡の停止、開始および自動起動」の項を参照してください。
-
ターゲット・サーバーのIPアドレスを変更する前に、Audit Vault Agentを停止します。Audit Vault Agentの停止の詳細は、「エージェントの起動、停止およびその他の操作」の項を参照してください。
稼働中の登録済エージェントのIPアドレスを変更する手順
4.3.3.6 NTP構成ファイル内のAudit Vault Server IPアドレスの更新
ネットワーク・タイム・プロトコル(NTP)を使用している場合は、Audit Vault ServerのIPアドレスの更新後に、/etc/ntp.conf
ファイルを更新する必要があります。
前提条件
Audit Vault ServerのIPアドレスを更新します。「プライマリAudit Vault Serverのネットワーク構成の変更」を参照してください。
手順
- Audit Vault Serverコンソールに管理者としてログインします。
- 「設定」タブをクリックします。
- 左側のナビゲーション・メニューで、「システム」をクリックします。
- 「構成」で、「システム設定」(Oracle AVDF 20.2以前では「管理」)をクリックします。
- Oracle AVDF 20.3以降の場合は、「システム設定」ダイアログ・ボックスの「時間とキーボード」タブをクリックします。
-
「手動で設定」を選択します。
これにより、
/etc/ntp.conf
を更新します。 /etc/ntp.conf
ファイルを調べて、IPアドレスが変更されていることを確認します。-
「システム設定」ダイアログ・ボックスで、「NTPを使用」を選択して、NTPサーバーのIPアドレスまたは名前を入力します。
フィールド値の詳細は、「サーバーの日付、時刻およびキーボード設定の指定」を参照してください。
- 「保存」をクリックします。
4.3.4 Audit Vault Serverのsyslog宛先の構成
Audit Vault Serverのsyslogの宛先を構成する方法を学習します。
次の手順を使用して、Audit Vault Serverから送信するsyslogメッセージのタイプを構成します。メッセージ・カテゴリは、デバッグ、情報またはシステムです。また、警告メッセージをsyslogに転送できます。
syslogを構成すると、Splunk、IBM QRadar、LogRhythm、ArcSightなどの一般的なSIEMベンダーとの統合が可能になります。
ノート:
Syslogメッセージが、宛先マシンに送信されます。メッセージは、Audit Vault Serverの/var/log/ファイルには書き込まれません。前提条件
-
Audit Vault Serverコンソールにスーパー管理者としてログインします。詳細は、Audit Vault Serverコンソールの使用を参照してください。
-
syslog宛先用に指定するIPアドレスがAudit Vault Serverとは異なるホストのものであることを確認します。
4.3.5 ネットワーク・インタフェースでのカスタム・ポートの構成
スタンドアロン環境および高可用性環境でネットワーク・インタフェースにカスタム・ポートを構成する方法を学習します。
Oracle Audit Vault and Database Firewallには、TCPおよびTCPSベースの外部SQLアクセスが必要です。デフォルトでは、TCPポートとTCPSポートはそれぞれ1521と1522です。Oracle Audit Vault and Database Firewallは、カスタム・ポートの複数のセットをサポートしています。SQL接続には、ユーザー定義のポートも使用されます。super administrator
は、Oracle Audit Vault ServerでのSQL通信用にカスタムのTCPポートとTCPSポートを指定できます。カスタム・ポートは、スタンドアロン環境および高可用性環境のネットワーク・インタフェース用に構成できます。カスタム・ポートの構成時に、SQL通信が有効になってネットワーク構成に追加されます。
バックアップ操作およびリストア操作の実行中は、次の手順に従います。バックアップ操作を実行する前にカスタム・ポートを構成した場合は、リストア操作中もそのポートをその構成のとおりにします。
プライマリ・ネットワーク・インタフェースでカスタム・ポートを構成するには:
ノート:
次の手順のコマンドは、高可用性環境のプライマリAudit Vault Serverでのみ実行する必要があります。4.4 電子メール通知サービスの構成
電子メール通知サービスの構成について学習します。
4.4.1 Oracle Audit Vault and Database Firewallの電子メール通知について
Oracle Audit Vault and Database Firewallの電子メール通知について学習します。
監査者は、アラートまたはレポートが生成されたときにユーザーに電子メール通知を送信するように、Oracle Audit Vault and Database Firewallを構成できます。これを行うには、SMTPサーバーを構成して電子メール通知を有効にする必要があります。電子メール通知は、テキスト形式でモバイル機器に送信するか、SMSゲートウェイを経由してルーティングできます。
ノート:
- Oracle Audit Vault and Database Firewall用にSMTP (またはESMTP)サーバーを構成できます。
- セキュアでないSMTPサーバーと認証済のセキュアなSMTPサーバーの両方と連携して機能するように、Oracle Audit Vault and Database Firewallを構成できます。
関連項目:
アラートの構成およびレポートの生成の詳細は、『Oracle Audit Vault and Database Firewall監査者ガイド』を参照してください
4.5 アーカイブの場所および保存ポリシーの構成
アーカイブの場所および保存ポリシーの構成について学習します。
ノート:
表領域をアーカイブおよびリストアする場合は、次のルールに注意してください。
-
リストア・ポリシーは、この項のガイドラインに従う必要があります。
-
アーカイブする必要がある表領域と、ポリシーの記述に従ってパージする必要がある対応する表領域を確認します。
-
空の表領域にはデータをリストアできません。適宜確認します。
-
表領域が削除期間に入った場合は、Oracle Audit Vault Serverから自動的に削除されます。
-
すべての表領域は、オフラインに移行する月と削除される月の名前によって一意に識別されます。表領域は、ユーザーが作成したポリシーに基づいて自動的に作成されます。
-
保存ポリシーが変更されると、新しいポリシーが翌月の受信データに適用されます。これは、古いポリシーに準拠する既存の表領域には影響しません。
-
表領域がオフライン期間に入ったら、その表領域をアーカイブできます。
-
表領域のリストア後は、実際にオンラインになります。表領域を解放するとオフラインになります。表領域を解放した後に再度アーカイブする必要があります。
4.5.1 Oracle Audit Vault and Database Firewallでのデータのアーカイブおよび取得について
Oracle Audit Vault and Database Firewallでのデータのアーカイブおよび取得について学習します。
情報ライフサイクル戦略の一部として、データ・ファイルがアーカイブされます。Oracle Audit Vault and Database Firewallリリース20.1.0.0.0では、NFS構成済の場所に対してのみジョブの自動アーカイブがサポートされています。表領域のデータのオンライン期間が期限切れになると、そのデータは手動操作なしで自動的にアーカイブされます。リリース20.1.0.0.0では、Oracle Audit Vault and Database Firewallのフレッシュ・インストール時に自動アーカイブを有効にすることもできます。または、任意の設定でジョブを手動でアーカイブすることもできます。
以前のリリースからOracle Audit Vault and Database Firewallリリース20.1.0.0.0にアップグレードした場合でも、引き続き手動アーカイブが使用されます。アップグレード後のジョブの自動アーカイブを有効にする必要があります。
ジョブ・アーカイブを自動と手動とで切り替えることができます。スイッチオーバー中に進行中のジョブがあった場合、変更はアクティブ・ジョブの完了後に行われます。適切なメッセージがユーザーに表示されます。自動アーカイブに切り替えると、既存のすべてのNFSの場所が自動アーカイブ・リストに構成されます。これらは、「アーカイブの場所の管理」にリストされます。アーカイブの場所の領域が一杯であるかアクセス不可の場合、自動アーカイブではリストの次にあるアーカイブの場所が選択されます。自動アーカイブ機能は毎日実行され、アーカイブに使用できるデータをアーカイブします。
ノート:
自動アーカイブを有効にすると、手動アーカイブは無効になります。リリース20.1.0.0.0で新規バージョンにアップグレードした場合でも、引き続きアップグレード前に構成した自動アーカイブまたは手動アーカイブが使用されます。ポリシーに従ってアーカイブ・データが転送されるように、保存ポリシーおよびアーカイブの場所を作成します。会社の方針に従って定期的にアーカイブすることをお薦めします。
自動アーカイブは、ネットワーク・ファイル・システム(NFS)でのみサポートされています。アーカイブの場所へのデータの転送にはNFSを使用することをお薦めします。セキュア・コピー(SCP)またはWindows File Sharing (SMB)を使用してアーカイブの場所にデータを転送する場合、データ・ファイルは、最初にOracle Audit Vault Serverのステージング領域にコピーされます。したがって、ファイル・システムに十分な領域があることを確認する必要があります。そうしないと、データ・ファイルのコピーが失敗する可能性があります。SCPまたはSMBを使用して大きいファイルを転送すると長い時間がかかることがあります。
保存ポリシーとは
保存ポリシー(アーカイブ・ポリシーとも呼ばれる)により、Oracle Audit Vault Serverでデータが保存される期間、データがアーカイブ可能になるタイミングおよびアーカイブ・データをOracle Audit Vault Serverに取得できる期間が決定されます。管理者がこれらのポリシーを作成し、監査者が特定のポリシーを各ターゲットやスケジュールされたレポートに割り当てます。ポリシーで指定できる設定は、次のとおりです。
-
オンラインだった月数: 指定したオンラインの月数の間、監査データがOracle Audit Vault Serverで使用可能になります。この期間中、データはレポートでの表示に使用可能です。この期間が経過すると、監査データ・ファイルはアーカイブに使用できるようになり、レポートには表示されなくなります。管理者がこれらのデータ・ファイルをアーカイブすると、データはOracle Audit Vault Serverから物理的に削除されます。
-
アーカイブされていた月数: アーカイブされた監査データは、
「アーカイブされていた月数」
で指定された月数の間、Oracle Audit Vault Serverに取得できます。この期間中にデータを取得した場合、レポートで再び使用可能になります。このアーカイブ期間が経過すると、Oracle Audit Vault Serverにデータを取得できなくなります。
ノート:
保存期間はイベント時間(生成された時間)に基づきます。監査者がターゲットまたはスケジュールされたレポートの保存ポリシーを選択しなかった場合、Audit Vault Serverではデフォルトの保存ポリシー(オンライン保存で12か月、アーカイブで12か月)が使用されます。例
次のような保存ポリシーがあると仮定します。
-
オンラインだった月数: 2
-
アーカイブされていた月数: 4
この保存ポリシーでは、過去2か月間に生成された監査データをAudit Vault Serverで使用できます。2か月前より古いデータは、アーカイブに使用可能となり、レポートには表示されなくなります。アーカイブされたデータは、4か月間取得できます。このデータは、2か月前より古くて6か月前より新しいため、アーカイブからOracle Audit Vault Serverに取得できます。6か月前より古いデータは、使用できなくなります。
ターゲットに割り当てられた保存ポリシーの更新
保存ポリシーの変更は、すでに収集されているデータには適用されません。これは新しいデータに適用され、場合によっては適用されるまで1か月かかることがあります。1か月かかるのは、基礎となるデータ・パーティションを事前作成する必要がある最適化が原因です。
たとえば、現在4月で、現在のポリシーがオンラインで6か月、アーカイブで6か月の場合、4月28日に、ポリシーがオンラインで12か月、アーカイブで12か月に変更されると、5月に収集されるデータは、元のオンラインで6か月、アーカイブで6か月のポリシーを使用します。ただし、6月以降に収集されるデータは、新しいオンラインで12か月、アーカイブで12か月の保存ポリシーになります。
新たに収集されたデータが保存ポリシーの制限よりも古い場合
新規に構成されたターゲットの監査データを収集する場合や、既存のターゲットの新しい監査証跡から監査データを収集する場合、そのターゲットから収集したデータはオンライン月数の期間よりも古い可能性があります。実際、データはアーカイブ月数の期間より古い場合もあります。
たとえば、保存ポリシーは前述の例と同じだとします。ここで、新規に構成されたターゲットから監査データの収集を開始すると仮定します。このデータの一部が6か月より古い場合、それはオンライン月数の期間とアーカイブ月数の期間の合計よりも古くなります。この場合、Oracle Audit Vault and Database Firewallでは、新しく収集された監査レコードのうち、6か月より古いものがすべて自動的に削除されます。
ただし、この監査データの一部が2か月前から6か月前までの期間のものである場合、つまりアーカイブ月数の期間に収まる場合、Oracle Audit Vault and Database Firewallでは次のいずれかが行われます。
-
新規に構成されたターゲットの監査証跡である場合は、監査証跡が収集されるとOracle Audit Vault and Database Firewallにより自動的にそのデータがアーカイブされます。
-
既存のターゲットの新規の監査証跡である場合は、監査証跡が収集されるとOracle Audit Vault and Database Firewallにより自動的にそのレコードのアーカイブが試行されます。ただし、この処理中に、必要なデータ・ファイルを使用可能にする必要がある場合があります。
ノート:
アーカイブ場所が定義されていない場合は、オンライン期間が終了してからオフライン期間完了するまでの間に、特定のターゲットの監査データがオフラインに移行します。データはAudit Vault Serverに残り、Audit Vault Serverコンソールの「レポート」セクションで取得および表示できます。これは、デフォルトおよびユーザー定義のアーカイブおよび保存ポリシーに適用されます。
関連項目:
必要なデータ・ファイルを使用可能にする方法の詳細は、「新規の監査証跡と期限切れ監査レコードの処理」を参照してください
4.5.2 アーカイブの場所の定義
アーカイブ・ジョブを開始するには、アーカイブ・ファイルの宛先として1つ以上の場所を定義する必要があります。アーカイブ先の定義では、アーカイブ格納場所およびその他の設定を指定します。
アーカイブの場所へのデータの転送にはNFSを使用することをお薦めします。セキュア・コピー(SCP)またはWindows File Sharing (SMB)を使用してアーカイブの場所にデータを転送する場合、データ・ファイルは、最初にAudit Vault Serverのステージング領域にコピーされます。したがって、ファイル・システムに十分な領域があることを確認する必要があります。そうしないと、データ・ファイルのコピーが失敗する可能性があります。SCPまたはSMBを使用して大きいファイルを転送すると長い時間がかかることがあります。
ノート:
バックアップ機能では、アーカイブ・ファイルはバックアップされません。アーカイブの場所にあるデータ・ファイルは、リモート・ファイル・システムに配置される可能性があるため、avbackup
によってバックアップされません。これらのファイルは、NFSマウント・ポイントにある場合は、以前に構成されたマウント・ポイントと同じマウント・ポイント設定を使用して新しいシステムでリストアした後にアクセスできます。
- Audit Vault Serverに管理者としてログインします。
詳細は、Audit Vault Serverコンソールの使用を参照してください。
- 「設定」タブをクリックします。
- 左側のナビゲーション・メニューで「アーカイブ中」をクリックします。
- 「アーカイブの場所の管理」をクリックします。
- 「作成」ボタンをクリックして、すべてのフィールドに入力します。詳細は、次のフィールド説明を参照してください。
- 「保存」をクリックします。
- Audit Vault Serverに管理者としてログインします。
詳細は、Audit Vault Serverコンソールの使用を参照してください。
- 「データ保存」タブをクリックします。
- 左側のナビゲーションにある「リモート・アーカイブ」タブをクリックします。
- 「作成」ボタンをクリックして、すべてのフィールドに入力します。詳細は、次のフィールド説明を参照してください。
- 「保存」をクリックします。
フィールド | 値 |
---|---|
転送方法 |
データをアーカイブするマシンにOracle Audit Vault Serverからデータを転送する方法を選択します。
転送方法を選択しないと、アーカイブ・ファイルはAudit Vault Serverのイベント・データに保持されます。 |
ロケーション名 | アーカイブ先の名前を入力します。この名前は、アーカイブの開始時にアーカイブ先として表示されます。 |
リモート・ファイルシステム |
NFS転送方法を使用する場合は、既存のファイル・システムを選択できます。選択しなかった場合は、このアーカイブの場所の詳細に基づいてファイル・システムが自動的に作成されます。 ノート: スタンドアロン・システムでは、
|
アドレス | アーカイブのためにAudit Vault Serverで使用されるNFSサーバーのホスト名またはIPアドレスを入力します。Windows File Sharing転送方法を使用する場合は、IPアドレスを指定します。 |
エクスポート・ディレクトリ |
NFS転送方法を使用する場合は、NFSサーバーのエクスポート・ディレクトリを入力します。たとえば、このディレクトリはNFSサーバーの ノート: エクスポート・ディレクトリ名に特殊文字($、#、!など)は使用できません。 |
パス | アーカイブ格納場所へのパスを入力します。(ファイルではなく)ディレクトリへのパスを入力し、各転送方法の次の要件に従います。
|
ポート |
これは、データをアーカイブするマシン上のセキュア・コピー(scp)またはWindowsファイル共有サービスで使用されるポート番号です。通常は、デフォルトのポート番号を使用できます。 転送方法としてWindows File Sharing (SMB)を選択した場合は、ポート445を使用します。 |
ユーザー名 | アーカイブ・データが転送されるマシンでのアカウント・ユーザー名を入力します。 |
認証方式 |
セキュア・コピー(scp)を転送方法として使用する場合は、「パスワード認証」を選択してログイン・パスワードを入力できます。 Linuxマシンを使用している場合は、「キー・ベースの認証」を選択できます。キー・ベースの認証を使用している場合、リモート・マシンの管理者は、RSAキー( |
パスワードおよびパスワードの確認 | Windows File Sharing (SMB)を使用する場合またはパスワード認証方法を選択した場合は、データをアーカイブするマシンのログイン・パスワードを入力します。 |
公開キー | このフィールドは、キー・ベースの認証を選択した場合に表示されます。この公開キーをコピーして、データをアーカイブするマシンの公開キー・ファイルに追加します。たとえば、~/.ssh/authorized_keys にキーを追加します。
|
4.5.3 アーカイブ・ポリシーおよび保存ポリシーの作成と削除
ポリシーの作成と削除について学習します。
4.5.3.1 アーカイブ・ポリシーおよび保存ポリシーの作成
Oracle Audit Vault and Database Firewall (Oracle AVDF)監査者がターゲットに適用できる保存ポリシー(アーカイブ・ポリシーとも呼ばれる)を作成できます。
- Audit Vault Serverコンソールに管理者としてログインします。
- 「設定」タブをクリックします。
- 左側のナビゲーション・メニューで「アーカイブ中」をクリックします。
- 「ポリシーの管理」をクリックします。
- 「作成」をクリックします。
- ポリシーの名前を入力します。
- 「オンラインだった月数」フィールドに、監査データにアーカイブ対象のマークが付くまでOracle Audit Vault Serverで監査データを保有する月数を入力します。
- 「アーカイブされていた月数」フィールドに、アーカイブ場所で監査データを保有する月数を入力します。この期間の後に、そのデータがパージされます。
- オプション - Oracle AVDFリリース20.7以降では、スーパー管理者としてサインインしている場合、「デフォルトとして設定」を選択すると、そのポリシーをデフォルトとして設定できます。
- Audit Vault Serverコンソールに管理者としてログインします。
- 「データ保存」タブをクリックします。
- 左側のナビゲーション・メニューで「保存ポリシー」をクリックします。
- 「作成」をクリックします。
- ポリシーの名前を入力します。
- 「オンラインだった月数」フィールドに、監査データにアーカイブ対象のマークが付くまでOracle Audit Vault Serverで監査データを保有する月数を入力します。
- 「アーカイブされていた月数」フィールドに、アーカイブ場所で監査データを保有する月数を入力します。この期間の後に、そのデータがパージされます。デフォルト値は6です。
- オプション - スーパー管理者としてサインインしている場合は、「デフォルトとして設定」を選択すると、そのポリシーをデフォルトとして設定できます。
- 「保存」をクリックします。
オンラインだった月数
ターゲットで、割り当てられた保存ポリシーが使用されている場合、その監査データは、指定した月数の間はAudit Vault Serverでオンラインで使用可能になり、その期間が経過するとアーカイブの場所に移動されます。
ノート:
オンライン状態の月数を経過すると、データはレポートに表示されなくなります。データはオンライン・ビューから削除され、アーカイブの場所に存在するようになります。オンライン・データは手動で削除できません。アーカイブされていた月数
ターゲットで、割り当てられた保存ポリシーが使用されている場合、その監査データは、指定した月数の間はアーカイブの場所に存在するようになり、その期間が経過するとパージされます。それは、アーカイブの場所にある間は、Audit Vault Serverに戻してオンラインで取得できます。
ノート:
保存ポリシーの割当て手順は、データ保存(アーカイブ)ポリシーの設定を参照してください。
4.5.3.2 アーカイブ・ポリシーおよび保存ポリシーの削除
ターゲット・データベースに割り当てられていないユーザー定義の保存ポリシー(アーカイブ・ポリシーとも呼ばれる)を削除できます。
- Oracle Audit Vault Serverコンソールに管理者としてログインします。
- 「設定」タブをクリックします。
- 左側のナビゲーション・メニューで「アーカイブ中」をクリックします。
- 「ポリシーの管理」をクリックします。
- 「ユーザー定義ポリシー」で、削除するポリシーを選択します。
- 「削除」をクリックします。
- Audit Vault Serverコンソールに管理者としてログインします。
- 「データ保存」タブをクリックします。
- 左側のナビゲーション・メニューで「保存ポリシー」をクリックします。
- リストから少なくとも1つのユーザー定義保存ポリシーを選択します。
- 「削除」をクリックします。
- ダイアログ・ボックスで「OK」をクリックして、選択したポリシーの削除を確定します。
4.6 高可用性環境でのアーカイブおよび取得の管理
高可用性環境でアーカイブおよび取得を管理する方法を学習します。
Oracle Audit Vault and Database Firewallは、アーカイブをサポートしています。12.2.0.11.0より前のリリースでは、アーカイブはプライマリAudit Vault Serverでのみ構成し、スタンバイ・サーバーでは構成できませんでした。フェイルオーバー後、アーカイブの場所を元のスタンバイ(新規プライマリ)で手動で設定する必要がありました。12.2.0.11.0以降のリリースでは、プライマリとスタンバイの両方のAudit Vault ServerでNFSアーカイブの場所を構成できるようになり、フェイルオーバー後に手動で実行する必要がある作業の量が減りました。
Oracle Audit Vault and Database Firewallリリース12.2.0.11.0以降では、プライマリおよびセカンダリAudit Vault ServerのNFSアーカイブの場所の数が同じになります。これは、アーカイブ機能およびファイル管理機能が高可用性環境で効果的に機能するために重要です。
ノート:
- admin権限を持つユーザーは、アーカイブ・タスクおよび取得タスクを実行できます。
- プライマリおよびセカンダリAudit Vault ServerのNFSアーカイブの場所を、別々のNFSサーバーにすることをお薦めします。
- これらのNFSサーバーをAudit Vault Serverと同じデータ・センター内に配置することをお薦めします。プライマリAudit Vault ServerのNFSサーバーを同じデータ・センター内に配置し、セカンダリAudit Vault ServerのNFSサーバーを同じデータ・センター内に配置する必要があります。
- NFSは、Audit Vault Serverのマウント・ポイントです。NFSサーバーを置き換える場合は、Audit Vault Serverがマウント・ポイントにアクセスしていないことを確認してください。
前提条件
高可用性を構成する前に、Audit Vault Serverの高可用性を構成するための前提条件をすべて満たしていることを確認します。
高可用性のペアリングが正常に完了すると、プライマリおよびセカンダリAudit Vault Serverに関連するNFSの場所が、プライマリAudit Vault Serverのコンソールの「アーカイブの場所の管理」に表示されます。これらのNFSの場所には、高可用性の構成前と構成後にプライマリおよびセカンダリAudit Vault Serverに作成された場所が含まれます。これらのNFSの場所の名前は、高可用性が構成されると、プライマリの場所の名前または場所の作成時に定義した名前になります。Audit Vault Serverコンソールには、プライマリおよびセカンダリAudit Vault Serverのホスト、エクスポート・ディレクトリおよび宛先パスの詳細が表示されます。
ノート:
Oracle Audit Vault and Database Firewallリリース20.1.0.0.0は、プライマリとセカンダリの両方のAudit Vault Serverで自動アーカイブをサポートしています。プライマリAudit Vault Serverで自動アーカイブが有効になっている場合は、対応するセカンダリAudit Vault Serverでも有効になっています。Audit Vault Serverコンソールに、プライマリ・ホストのアーカイブの場所が、そのマップされた対応するセカンダリの場所とともに表示されます。高可用性環境でのアップグレードおよびアーカイブ機能
アップグレード処理中にアーカイブ機能が無効になるのは、NFSの場所にアーカイブされるデータファイルがある場合のみです。アップグレード処理が完了したら、adminユーザーはアーカイブ機能を有効にしてアーカイブを開始する必要があります。
NFSの場所の更新または削除
super adminは、プライマリおよびセカンダリAudit Vault Serverの高可用性のペアリングの後に、NFSの場所を更新または削除できます。プライマリおよびセカンダリAudit Vault ServerのNFSの場所は、更新または削除できます。データファイルがアーカイブされている場合は、場所を更新または削除できません。高可用性が有効な場合は、「ロケーション名」およびプライマリ・サーバーのパスまたはセカンダリ・サーバーのパスを更新できます。ただし、NFSマウント・ポイントは内部的なものであり、変更できません。
関連項目:
4.7 高可用性のための回復可能なペアの定義
高可用性のために回復可能なペアを定義する方法を学習します。
Oracle Audit Vault ServerまたはOracle Database Firewall (あるいはその両方)の回復可能なペアを定義できます。
Oracle Audit Vault Serverの回復可能なペアを定義する場合は、すべての構成タスクを実行する必要があります。これらのタスクには、サーバーへのデータベース・ファイアウォールの追加や、プライマリOracle Audit Vault Serverでのターゲットの登録などがあります。
関連項目:
4.8 Audit Vault ServerでのDatabase Firewallの登録
この手順を使用して、Audit Vault ServerにDatabase Firewallを登録します。
前提条件
-
複数のDatabase Firewallをデプロイする場合は、サーバー間での通信を可能にするためにAudit Vault Serverに各ファイアウォールを登録する必要があります。「Database Firewallの構成」の手順に従って、まずDatabase Firewallを構成することをお薦めします。
-
高可用性のためにペアリングする前に、Audit Vault ServerにDatabase Firewallを登録する必要があります。詳細は、「Database Firewallの高可用性の構成」を参照してください。
-
登録するDatabase Firewallに、Audit Vault Serverの証明書およびIPアドレスを指定します。「Audit Vault Serverの証明書およびIPアドレスの指定」を参照してください。
-
Audit Vault Serverに管理者としてログインします。詳細は、Audit Vault Serverコンソールの使用を参照してください。
Audit Vault ServerにDatabase Firewallを登録するには:
4.9 Audit Vault Serverのシステム操作のテスト
Audit Vault Serverのシステム操作のテストについて学習します。
通常の日常的な操作を始める前に、システムが完全に動作していることを確認します。
4.10 Audit Vault Server用のファイバ・チャネル・ベース・ストレージの構成
Audit Vault Server用のファイバ・チャネル・ベースのストレージの構成について学習します。
Audit Vault Serverは、ファイバ・チャネル・ベースのストレージをサポートしています。ユーザーは、この手順を実行して、インストール中にこのストレージを構成できます。
Audit Vault Server用のファイバ・チャネル・ベースのストレージを構成するには:
4.11 Oracle AVDFのファイバ・チャネル・ベース・マルチパス
Oracle AVDFのマルチパスのサポートについて学習します。
Oracle Audit Vault and Database Firewall 20.1以降では、マルチパスによるファイバ・チャネル・ベースのストレージをサポートしています。マルチパスの冗長パスにより、パフォーマンスが向上し、動的ロード・バランシング、トラフィック・シェーピング、自動パス管理、動的再構成などの機能を利用できるようになります。ディスクへの接続は、2つのファイバ・チャネル・ポートを通じて確立できます。
次に、Oracle AVDFのマルチパスについて、いくつかの重要な側面を示します。
- ISCSIストレージではサポートされません。
- デバイスxvd *はサポートしていません。
- マルチパスは、Audit Vault Serverインストールに対してのみサポートされます。
- マルチパスは、Database Firewallインストールに対してサポートされません。
- リムーバブル・ブロック・デバイスはサポートしていません。インストール・エラーにつながる可能性があるため、システム内のリムーバブル・ブロック・デバイスを確認してください。
ノート:
システム内にリムーバブル・ブロック・デバイスがあると、Audit Vault Serverのインストール時に次のエラーが発生することがあります。
ERROR: Failed to check if the disk is in multipath Traceback (most recent call last): File "/run/install/repo/partitions.py", line 386, in <module> main() File "/run/install/repo/partitions.py", line 372, in main write_partition_table( None ) File "/run/install/repo/partitions.py", line 322, in write_partition_table part_table = generate_partition_table_data(dev_list) File "/run/install/repo/partitions.py", line 243, in generate_partition_table_data raise RuntimeError("No disks detected") RuntimeError: No disks detected
4.12 Audit Vault Agentへのネットワーク・アドレス変換IPアドレスの追加
ネットワーク・アドレス変換(NAT) IPアドレスをAudit Vault Agentに追加できます。
Network Address Translation (NAT)は、1つのIPアドレス領域を別のIPアドレス領域に再マッピングする方法です。これは、パケットがトラフィック・ルーティング・デバイス間で移動しているときに、そのパケットのIPヘッダー内のネットワーク・アドレス情報を変更することによって行われます。Audit Vault ServerのNAT IPアドレスをAudit Vault Agentに手動で追加するには、この手順を使用します。
一部のデプロイメントでは、Audit Vault ServerはNATネットワーク内にあります。エージェントは、NATで構成されたネットワークの外部ネットワークにデプロイされ、Audit Vault Serverの実際のIPアドレスを使用しています。このような場合は、エージェントがAudit Vault Serverに到達できません。
この場合は、NATのIPアドレスおよびポート・マッピング情報をAudit Vault Serverのdbfw.conf
ファイルに追加できます。これにより、エージェントのbootstrap.prop
ファイルに別の接続文字列が追加され、エージェントをNATおよび非NATネットワークの両方にデプロイできるようになります。この機能は、Oracle AVDF 12.2.0.8.0以降から使用できます。
ユースケース
ケース | 構成タイプ | 説明 |
---|---|---|
ケース1 |
高可用性がないAudit Vault Server構成。 |
|
ケース2 |
高可用性があるAudit Vault Server構成。 |
|
ケース3 |
異なるNAT IPアドレスを使用するプライマリおよびセカンダリAudit Vault Server。 |
|
Audit Vault ServerのNAT IPアドレスをAudit Vault Agentに追加するには、次のステップを実行します。