4 Audit Vault Serverの構成

Audit Vault Serverの構成について学習します。

4.1 Audit Vault Serverの構成について

Audit Vault Serverの構成について学習します。

この章では、Audit Vault Serverの初期構成を実行する方法について説明します。

ノート:

Audit Vault ServerおよびDatabase Firewallはソフトウェア・アプライアンスです。Oracleの公式ドキュメントで説明されている手順に従う場合、またはOracleサポートからガイダンスを受けて作業する場合を除き、これらのサーバーでは、コマンドラインからLinuxオペレーティング・システムを変更しないでください。

構成プロセスの主なステップは次のとおりです。

  1. Audit Vault Serverで初期構成タスクを実行します。たとえば、システム・サービスおよびネットワーク設定を確認し、日付と時刻を設定します。

  2. (オプション) Audit Vault Agentを構成します。

  3. (オプション) 高可用性のための回復可能なペアを定義します。

  4. (オプション) Audit Vault Serverで、各Database Firewallを追加します。

  5. (オプション) Syslogから読み取ることができるサード・パーティのSecurity Information Event Management (SIEM)製品と連携するようにOracle Audit Vault and Database Firewallを構成します。

  6. (オプション) Microsoft Active DirectoryまたはOpen LDAPを構成します。

  7. システムが正常に機能していることを確認します。

関連項目:

  • 高可用性のためにAudit Vault Serverの回復可能なペアを構成する方法の詳細は、「Audit Vault Serverの高可用性の構成」を参照してください。両方のAudit Vault Serverに対して、この章で説明する初期構成を実行します

  • Oracle Audit Vault and Database Firewallを構成するワークフローの概要を確認するには、構成ステップの概要を参照してください。

4.2 Audit Vault ServerのUI (コンソール)証明書の変更

Audit Vault ServerのUI証明書を変更する方法を学習します。

Audit Vault Serverコンソールに初めてアクセスすると、証明書に関する警告またはメッセージが表示されます。このタイプのメッセージが表示されないように、適切な認証局によって署名された新しいUI証明書をアップロードできます。

前提条件

Audit Vault Serverコンソールにスーパー管理者としてログインします。詳細は、Audit Vault Serverコンソールの使用を参照してください。

Audit Vault ServerのUI証明書を変更するには:

  1. 「設定」をクリックします。
  2. 左側のナビゲーション・メニューの「セキュリティ」タブをクリックします。
  3. メイン・ページで「証明書」サブタブをクリックします。
  4. 「コンソール証明書」をクリックします。
  5. 「証明書の生成リクエスト」をクリックします。

    「証明書の生成リクエスト」ダイアログに証明書の「共通名」が表示されます。

  6. 表示される共通名を変更する場合は、「変更」をクリックします。

    証明書の警告は、Audit Vault Serverを識別するために使用される共通名に基づいています。ホスト名ではなくIPアドレスを使用してAudit Vault Serverコンソールにアクセスする場合に警告を抑制するには、「IPベースのURLアクセスに関する警告を抑制します。」も選択します。

  7. フォームのすべての必須フィールドに内容を入力します。
  8. 「送信およびダウンロード」をクリックします。
  9. .csrファイルを保存し、このファイルを認証局に送信します。証明書に次の詳細が含まれていることを確認します。デフォルトでは、COMMON NAMEフィールドは入力されています。
    COMMON NAME
    ISSUER COMMON NAME
  10. 認証局から新しい証明書が発行されたら、それをアップロードするため、「コンソール証明書」サブタブに戻って「証明書のアップロード」をクリックします。

ノート:

独自の公開キー・インフラストラクチャを使用している場合は、ブラウザに認証局のパブリック証明書をインストールする必要があります。

証明書は、次の表に示す特定の期間有効です。

4.3 Audit Vault Serverの初期システム設定およびオプションの指定(必須)

Audit Vault Serverで初期システム設定およびオプションを指定する方法を学習します。

4.3.1 サーバーの日付、時刻およびキーボード設定の指定

Audit Vault Serverの日付、時刻およびキーボードの設定を指定する方法を学習します。

スーパー管理者は、Audit Vault Serverの日付、時刻およびキーボードの設定を変更できます。Audit Vault Serverに設定した日付および時刻が正しいことを確認することが重要です。これは、サーバーによって生成されるイベントはサーバーの設定に応じて発生する日付および時刻でログに記録されるためです。また、アーカイブは、サーバーの時刻の設定に基づいて特定の間隔で発生します。

タイムスタンプについて

Audit Vault Serverでは、すべてのデータがUTCで保存されます。タイムスタンプは次のように表示されます。

  • ユーザーが対話形式(Audit Vault ServerコンソールやAVCLIコマンドラインなど)でデータにアクセスしている場合、タイムスタンプはすべてユーザーのタイムゾーンで表示されます。UIでは、タイムゾーンはブラウザのタイムゾーンから導出されます。AVCLIを使用する場合、タイムゾーンは「シェル」タイムゾーン(通常はTZ環境変数によって設定されます)から導出されます。

  • rootまたはsupportとしてAudit Vault Serverにログインする場合、そのセッションのTZ環境変数を変更しないかぎり、タイムスタンプはUTCで表示されます。

  • ユーザーがシステム生成されたPDFまたはXLSレポートを参照している場合、表示されるタイムスタンプには、Audit Vault Serverの「管理」リンクのタイムゾーン・オフセット設定(下の手順を参照)が反映されます。

    警告:

    構成ファイルを使用して、Audit Vault Serverのデータベース・タイムゾーンを変更しないでください。これを行うと、Audit Vault Serverで重大な問題が発生します。

前提条件

Audit Vault Serverコンソールにスーパー管理者としてログインします。詳細は、Audit Vault Serverコンソールの使用を参照してください。

サーバーの日付、時刻およびキーボード設定の設定

  1. 「設定」タブをクリックします。

  2. 左側のナビゲーション・メニューの「システム」タブをクリックします。

  3. メイン・ページの「構成」タブで、次を実行します。

  4. Oracle AVDF 20.3以降の場合は、「システム設定」ダイアログ・ボックスの「時間とキーボード」タブをクリックします。

  5. 「タイムゾーン・オフセット」ドロップダウン・リストから、協定世界時(UTC)から相対的に示したローカル時間を選択します。タイムゾーン・オフセットは、非対話型のスケジュールされたPDFまたはXLSレポートで使用されます。ここで設定した時間はローカル時間に変換され、レポートの「イベント時間」フィールドに表示されます。

    たとえば、-5:00は、UTCより5時間遅れていることを示します。同期で時刻が正確に設定されるように、適切な設定を選択する必要があります。

    ノート:

    コンソールおよび特定のユーザー・セッションの時間のみを変更するには、タイムゾーンの変更のステップに従います。この機能は、Oracle AVDFリリース20.6以降で使用できます。

  6. 「キーボード」ドロップダウン・リストから、キーボード設定を選択します。

  7. 「システム時間」フィールドで、「手動で設定」または「NTPを使用」を選択します。

    NTPを選択すると、時刻は「NTPサーバー1」、「NTPサーバー2」、「NTPサーバー3」の各フィールドに指定したタイム・サーバーからリカバリされる時刻の平均と同期されます。

  8. 「NTPを使用」を選択してから「定期的に同期」を選択してNTPサーバーの時刻の使用を開始します。

    このステップで時刻の同期を有効にしなくても、後続のステップでNTPサーバー情報を入力し、後でNTP同期を有効にできます。

  9. 必要に応じて、保存後に一度同期を選択し、「保存」をクリックしたときに一度時刻を同期します。

  10. 「NTPサーバー1」「NTPサーバー2」「NTPサーバー3」の各セクションに、優先するタイム・サーバーのIPアドレスまたは名前を入力します。

    名前を指定すると、「システム」タブの「サービス」ダイアログで指定したDNSサーバーが名前解決に使用されます。

  11. サーバーから時刻を表示するには、「サーバーのテスト」をクリックします。

    このNTPサーバーからAudit Vault Serverの時刻を更新するには、「サーバーの適用」をクリックします。「保存」をクリックするまで、更新は有効になりません。

  12. 「保存」をクリックします。

ノート:

  • 高可用性環境の場合は、前述のステップの、プライマリAudit Vault Serverの時間のみが変更されます。
  • NTPの場合は、デフォルト・ゲートウェイとDNSサーバーのIPアドレスを指定して、時間の同期を有効にします。

セカンダリAudit Vault Serverでの時間の設定

高可用性環境の場合、プライマリとセカンダリのAudit Vault Serverの時間が同じであることが重要です。次のステップに従って、セカンダリAudit Vault Serverで時間を手動で設定します。

Oracle AVDF 20の場合は、次のステップに従います。

  1. セカンダリAudit Vault Serverに、rootユーザーとしてログインします。

  2. 次のコマンドを実行します:

    systemctl stop monitor
    systemctl stop controller
    systemctl stop dbfwdb
    systemctl stop asmdb

  3. 次のコマンドを実行して、日付と時間を設定します。

    date -s "Day Month DD HH:MM:SS UTC YYYY"

    たとえば:

    date -s "Fri Jun 02 07:51:17 UTC 2021"

  4. 次のコマンドを実行します:

    systemctl start asmdb
    systemctl start dbfwdb
    systemctl start controller
    systemctl start monitor
  5. 高可用性ステータスを確認します。これはHigh Availability mode is enabledである必要があります。

Oracle AVDF 12.2の場合は、次のステップに従います。

  1. セカンダリAudit Vault Serverに、rootユーザーとしてログインします。

  2. 次のコマンドを実行します:

    /etc/init.d/monitor stop
    /etc/init.d/controller stop
    /etc/init.d/dbfwdb stop
    /etc/init.d/asmdb stop

  3. 次のコマンドを実行して、日付と時間を設定します。

    date -s "Day Month DD HH:MM:SS UTC YYYY"

    たとえば:

    date -s "Fri Jun 02 07:51:17 UTC 2021"

  4. 次のコマンドを実行します:

    /etc/init.d/asmdb start
    /etc/init.d/dbfwdb start
    /etc/init.d/controller start
    /etc/init.d/monitor start
  5. 高可用性ステータスを確認します。これはHigh Availability mode is enabledである必要があります。

関連項目:

4.3.2 タイムゾーンの変更

アクティブなセッションについてのみAudit Vault Serverコンソールでタイムゾーンを変更する方法を学習します。

この時間は、アクティブ・セッションについてのみ、Audit Vault Serverコンソールで変更できます。これはコンソール(ユーザー・インタフェース)の場合のみに制限されます。この機能は、Oracle AVDFリリース20.6以降で使用できます。次のステップを実行します。

  1. Audit Vault Serverコンソールに「管理者」「スーパー監査者」「監査者」または読取り専用の監査者としてログインします。
  2. 右上隅のユーザー名の横にあるドロップダウン・アイコンをクリックします。たとえば、「管理者」または「監査者」ユーザー・アイコンです。
  3. 「タイムゾーンの変更」オプションをクリックします。
  4. 「タイムゾーンの変更」ダイアログで、協定世界時(UTC)に関連するタイムゾーンを選択します。
  5. 「保存」をクリックします。

    ノート:

    • ここで変更されたタイムゾーンは、ユーザーのアクティブなセッションにのみ適用されます。Audit Vault Serverコンソールのタイムスタンプには、選択したタイムゾーンも反映されます。
    • ここで変更されたこのタイムゾーンは、非対話型(PDF/XLS)レポートには反映されません。レポートの時間を変更するには、サーバーの日付、時刻およびキーボード設定の指定のステップに従います。

4.3.3 Audit Vault Serverシステム設定の指定

Audit Vault Serverシステム設定の構成について学習します。

4.3.3.1 プライマリAudit Vault Serverのネットワーク構成の変更

Oracle Audit Vault and Database Firewall (Oracle AVDF)インストーラにより、インストール時にAudit Vault Serverの初期ネットワーク設定が構成されます。このネットワーク設定は、インストール後に変更できます。

  1. Audit Vault Serverコンソールにスーパー管理者としてログインします。
  2. 「設定」タブをクリックします。
  3. 左側のナビゲーション・メニューで「システム」をクリックします。
  4. 「構成」で、「ネットワーク設定」をクリックします。
  5. 「ネットワーク設定」ダイアログ・ボックスで、次のいずれかのフィールドを編集します:
    • ホスト名: Audit Vault Serverの完全修飾ドメイン名を入力します。ホスト名は文字で始まる必要があり、最大64文字で、空白を含めることはできません。

      ノート:

      • ホスト名を変更すると、Audit Vault Serverが自動的に再構成されます。ホスト名を変更し「保存」をクリックすると、確認を求められ、Audit Vault Serverが再構成されます。Audit Vault Serverコンソールは少なくとも10分間使用できません。その後、更新されたホスト名が「ネットワーク設定」ダイアログに表示されます。
      • Oracle AVDFリリース20.1から20.6では、高可用性環境でホスト名を変更することはできません。ホスト名を変更する必要がある場合は、Audit Vault Serverのペアリングを解除し、ホスト名を変更して再度ペアリングします。
      • Oracle AVDFリリース20.7以降では、プライマリAudit Vault Serverコンソールを使用して、プライマリおよびスタンバイAudit Vault Serverのホスト名を変更できます。

    • IPアドレス: インストール中に設定されたAudit Vault ServerのIPアドレスを更新する必要がある場合は、新しいIPアドレスを入力します。

      IPアドレスは静的で、ネットワーク管理者から取得する必要があります。Audit Vault ServerとDatabase Firewallの間のトラフィックを有効にするには、指定したIPアドレスをルーティング表に追加する必要がある場合があります。

      ノート:

      高可用性構成がある場合、IPアドレス、ネットワーク・マスクおよびゲートウェイを変更する前に、プライマリおよびスタンバイAudit Vault Serverのペアリングを解除する必要があります。プライマリまたはスタンバイAudit Vault Serverのネットワーク設定を更新した後、2つのサーバーを再度ペアリングします。ペアリング処理が完了したら、Audit Vault Agentを再デプロイして、プライマリおよびスタンバイAudit Vault Serverの新しい設定で更新されるようにします。
    • ネットワーク・マスク: Audit Vault Serverのサブネット・マスクを入力します。
    • ゲートウェイ: デフォルト・ゲートウェイのIPアドレス(たとえば、別のサブネットから管理インタフェースへのアクセス用)を入力します。デフォルト・ゲートウェイは、Audit Vault Serverと同じサブネット上にある必要があります。
    • リンクのプロパティ: 自動ネゴシエーションを使用しないようにネットワークが構成されている場合を除き、デフォルト設定を変更しないでください。
  6. 「保存」をクリックします。
  7. 次の構成後手順を実行します:
    1. 自動的に開始されるように監査証跡が構成されていない場合は、それらを手動で開始します。「Oracle Audit Vault Serverでの監査証跡の停止、開始および自動起動」を参照してください。
    2. 以前、Database Firewallの回復可能なペアを構成した場合は、ペアを再構成します。「Database Firewallの高可用性の構成」を参照してください。
    3. Audit Vault ServerのIPアドレスを変更した場合は、Database Firewall構成でそのIPアドレス情報を更新します。「Audit Vault Serverの証明書およびIPアドレスの指定」を参照してください。
    4. Audit Vault ServerのIPアドレスを変更した場合は、Audit Vault Agentを再デプロイします。Audit Vault Agentのデプロイを参照してください。
4.3.3.2 スタンバイAudit Vault Serverネットワーク構成の変更

スタンバイAudit Vault Serverのネットワーク構成を変更する方法を学習します。

Oracle AVDFリリース20.7以降では、プライマリAudit Vault Serverコンソールを使用して、スタンバイAudit Vault Serverのネットワーク設定を構成できます。

スタンバイAudit Vault Serverのネットワーク設定を構成するには:

  1. プライマリAudit Vault Serverコンソールにスーパー管理者としてログインします。
  2. 「設定」タブをクリックします。
  3. 左側のナビゲーション・メニューの「システム」タブをクリックします。
  4. メイン・ページの「構成」サブタブで、「ネットワーク設定」をクリックします。
  5. 「ネットワーク設定」ダイアログで、デフォルトで「設定」サブタブが選択されています。「スタンバイ・サーバー」ラジオ・ボタンをクリックします。
  6. 「ホスト名」を編集します。ホスト名は、Audit Vault Serverの完全修飾ドメイン名である必要があります。ホスト名は最大64文字で、空白を含めることはできません。スタンバイAudit Vault Serverのホスト名をプライマリと同じにすることはできません。
  7. 「保存」をクリックします。

    次の確認ダイアログが表示されます。

    この操作では、スタンバイAudit Vault Serverを構成します。このプロセスには少なくとも10分かかります。続行しますか。

  8. 「OK」をクリックします。

    ノート:

    この間、スタンバイAudit Vault Serverは最低10分間使用できません。Audit Vault Serverコンソールの「ネットワーク設定」および「システム設定」ダイアログに、スタンバイAudit Vault Serverへのアクセスの失敗に関するエラー・メッセージが表示されます。

    関連項目:

4.3.3.3 Audit Vault Serverサービスの構成または変更

Audit Vault Serverサービスを構成および変更する方法を学習します。

Audit Vault Serverサービスを構成するには:

  1. Audit Vault Serverコンソールにスーパー管理者としてログインします。
  2. 「設定」タブをクリックします。
  3. 左側のナビゲーション・メニューの「システム」タブをクリックします。
  4. メイン・ページの「構成」セクションで、次を実行します。
  5. 「DNS」タブで、ボタンをオンにし、特定のフィールドにIPアドレスを入力します。ネットワーク上の最大3台のDNSサーバーのIPアドレスを入力します。Audit Vault Serverでは、これらのIPアドレスを使用してホスト名を解決します。DNSサーバーを使用しない場合は、このフィールドを無効のままにします。DNSサーバーを使用する場合、これらのフィールドを有効にするとシステム・パフォーマンスが低下することがあります。

    ノート:

    「クライアント・ホスト」(クライアントのホスト名)値は、DNSがここで構成されている場合にのみレポートに表示されます。
  6. ダイアログで、「Web/SSH/SNMP」タブをクリックします。
  7. 必要に応じて、次のフィールドに入力します。

    注意:

    Oracle Audit Vault and Database Firewallへのアクセスを許可する際には、セキュリティを保つために適切な予防措置を講じるようにしてください。

    • Webアクセス: 選択したコンピュータのみにAudit Vault Serverコンソールへのアクセスを許可する場合は、「IPアドレス」を選択して、そのIPアドレスをスペースで区切ってボックスに入力します。デフォルト値「すべて」を使用すると、サイト内のすべてのコンピュータからアクセス可能になります。
    • SSHアクセス: リモート・コンソールからSSHを使用してAudit Vault ServerにアクセスできるIPアドレスのリストを指定するには、「IPアドレス」を選択して、そのIPアドレスをスペースで区切ってこのフィールドに入力します。値「すべて」を使用すると、サイト内のすべてのコンピュータからアクセス可能になります。値「無効」を使用すると、どのコンピュータからのSSHアクセスも回避されます。
    • SNMPアクセス: IPアドレスを選択することにより、SNMPを介してAudit Vault Serverのネットワーク構成にアクセスできるIPアドレスのリストを指定できます。次に、スペースで区切ってこのフィールドに入力します。「すべて」を選択すると、すべてのコンピュータからアクセス可能になります。これを無効にすると、SNMPアクセスが回避されます。SNMPコミュニティ文字列はgT8@fq+Eです。
  8. 「保存」をクリックします。メッセージが表示されます。
  9. 確認ダイアログで「OK」をクリックします。

    関連項目:

    セキュリティを保つための推奨事項と予防措置のリストは、「データの保護」を参照してください

4.3.3.4 スタンバイAudit Vault Serverシステム設定の変更

スタンバイAudit Vault Serverのシステム設定を変更する方法を学習します。

Oracle AVDFリリース20.7以降では、プライマリAudit Vault Serverコンソールを使用して、スタンバイAudit Vault Serverのシステム設定を変更できます。

スタンバイAudit Vault Serverのシステム設定を構成するには:

  1. プライマリAudit Vault Serverコンソールにスーパー管理者としてログインします。
  2. 「設定」タブをクリックします。
  3. 左側のナビゲーション・メニューの「システム」タブをクリックします。
  4. メイン・ページの「構成」サブタブで、「システム設定」をクリックします。
  5. 「システム設定」ダイアログで、デフォルトで「DNS」サブタブが選択されています。「スタンバイ・サーバー」ラジオ・ボタンをクリックします。
  6. 特定のフィールドにIPアドレスを入力します。ネットワーク上の最大3台のDNSサーバーのIPアドレスを入力します。Audit Vault Serverでは、これらのIPアドレスを使用してホスト名を解決します。DNSサーバーを使用しない場合は、このフィールドを無効のままにします。DNSサーバーを使用する場合、これらのフィールドを有効にするとシステム・パフォーマンスが低下することがあります。
  7. 「システム設定」ダイアログで、「Web/SSH/SNMP」タブをクリックします。
  8. 「スタンバイ・サーバー」ラジオ・ボタンをクリックします。
  9. 必要に応じて、Web/SSH/SNMPフィールドに入力します。この要件は、前のトピックで説明したプライマリAudit Vault Serverと同様です。
  10. 「保存」をクリックします。

    次の確認ダイアログが表示されます。

    この操作では、スタンバイAudit Vault Serverを構成します。このプロセスには少なくとも2分かかります。続行しますか。

  11. 「OK」をクリックします。

    関連項目:

    セキュリティを保つための推奨事項と予防措置のリストは、「データの保護」を参照してください

4.3.3.5 アクティブな登録済エージェントのIPアドレスの変更

アクティブな登録済エージェントのIPアドレスの変更について学習します。

Audit Vault Agentの機能に影響を与えずに稼働中の登録済エージェントのIPアドレスを変更するには、この手順を使用します。

前提条件

  1. 特定のAudit Vault Agentで管理されているすべての監査証跡を停止します。詳細は、「Oracle Audit Vault Serverでの監査証跡の停止、開始および自動起動」の項を参照してください。

  2. ターゲット・サーバーのIPアドレスを変更する前に、Audit Vault Agentを停止します。Audit Vault Agentの停止の詳細は、「エージェントの起動、停止およびその他の操作」の項を参照してください。

稼働中の登録済エージェントのIPアドレスを変更する手順

  1. エージェントがインストールされているマシンのIPアドレスを変更します。
  2. Audit Vault ServerコンソールまたはAudit Vaultコマンドライン・インタフェースを使用して、以前に登録したOracle Audit Vault and Database Firewallのエージェント・エンティティのIPアドレスを変更します。
  3. -kオプションを指定して次を実行し、Audit Vault Agentを起動します。
    agentctl start -k
  4. アクティブ化キーを入力します。
  5. 監査証跡を開始します。

関連項目:

Database Firewallサーバーの単一インスタンスでのIPアドレスの変更

4.3.3.6 NTP構成ファイル内のAudit Vault Server IPアドレスの更新

ネットワーク・タイム・プロトコル(NTP)を使用している場合は、Audit Vault ServerのIPアドレスの更新後に、/etc/ntp.confファイルを更新する必要があります。

前提条件

Audit Vault ServerのIPアドレスを更新します。「プライマリAudit Vault Serverのネットワーク構成の変更」を参照してください。

手順

  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. 「設定」タブをクリックします。
  3. 左側のナビゲーション・メニューで、「システム」をクリックします。
  4. 「構成」で、「システム設定」(Oracle AVDF 20.2以前では「管理」)をクリックします。
  5. Oracle AVDF 20.3以降の場合は、「システム設定」ダイアログ・ボックスの「時間とキーボード」タブをクリックします。

  6. 「手動で設定」を選択します。

    これにより、/etc/ntp.confを更新します。

  7. /etc/ntp.confファイルを調べて、IPアドレスが変更されていることを確認します。

  8. 「システム設定」ダイアログ・ボックスで、「NTPを使用」を選択して、NTPサーバーのIPアドレスまたは名前を入力します。

    フィールド値の詳細は、「サーバーの日付、時刻およびキーボード設定の指定」を参照してください。

  9. 「保存」をクリックします。

4.3.4 Audit Vault Serverのsyslog宛先の構成

Audit Vault Serverのsyslogの宛先を構成する方法を学習します。

次の手順を使用して、Audit Vault Serverから送信するsyslogメッセージのタイプを構成します。メッセージ・カテゴリは、デバッグ、情報またはシステムです。また、警告メッセージをsyslogに転送できます。

syslogを構成すると、Splunk、IBM QRadar、LogRhythm、ArcSightなどの一般的なSIEMベンダーとの統合が可能になります。

ノート:

Syslogメッセージが、宛先マシンに送信されます。メッセージは、Audit Vault Serverの/var/log/ファイルには書き込まれません。

前提条件

  • Audit Vault Serverコンソールにスーパー管理者としてログインします。詳細は、Audit Vault Serverコンソールの使用を参照してください。

  • syslog宛先用に指定するIPアドレスがAudit Vault Serverとは異なるホストのものであることを確認します。

  1. 「設定」タブをクリックします。
  2. 左側のナビゲーション・メニューの「システム」タブをクリックします。
  3. 「構成」セクションで、「コネクタ」をクリックします。
  4. 「コネクタ」ダイアログで、「Syslog」タブをクリックします。
  5. 必要に応じて、フィールドを指定します。

    • Syslog宛先(UDP): Audit Vault Serverからのsyslogメッセージの通信にユーザー・データグラム・プロトコル(UDP)を使用している場合は、このボックスを使用します。syslogメッセージの受信を許可されている各マシンのIPアドレスを空白で区切って入力します。

    • Syslog宛先(TCP): Audit Vault Serverからのsyslogメッセージの通信にトランスミッション・コントロール・プロトコル(TCP)を使用している場合は、このボックスを使用します。syslogメッセージの受信を許可されている各サーバーのIPアドレスとポートの組合せを空白で区切って入力します。

    • Syslogカテゴリ: Syslogに送信するメッセージのタイプを次のように選択できます。

      • アラート: Oracle Audit Vault and Database Firewall監査者が指定するアラート条件に基づくアラート。

        Oracle Audit Vault and Database Firewallのアラートをsyslogに転送する場合は、この設定に加えて、Oracle Audit Vault and Database Firewall監査者がアラートの転送を構成する必要があります。

      • Debug: エンジニアリング・デバッグ・メッセージ(Oracleサポートでのみ使用されます)。

      • 情報: Oracle Audit Vault and Database Firewallの一般的なメッセージおよびプロパティの変更。

      • システム: Oracle Audit Vault and Database Firewallまたはその他のソフトウェアによって生成される、syslog優先度レベルが少なくともINFOのシステム・メッセージ。

  6. 「保存」をクリックします。
  7. 高可用性の場合は、2つ目のAudit Vault Serverに設定されている初期システム設定およびオプションを繰り返します。

    関連項目:

4.3.5 ネットワーク・インタフェースでのカスタム・ポートの構成

スタンドアロン環境および高可用性環境でネットワーク・インタフェースにカスタム・ポートを構成する方法を学習します。

Oracle Audit Vault and Database Firewallには、TCPおよびTCPSベースの外部SQLアクセスが必要です。デフォルトでは、TCPポートとTCPSポートはそれぞれ1521と1522です。Oracle Audit Vault and Database Firewallは、カスタム・ポートの複数のセットをサポートしています。SQL接続には、ユーザー定義のポートも使用されます。super administratorは、Oracle Audit Vault ServerでのSQL通信用にカスタムのTCPポートとTCPSポートを指定できます。カスタム・ポートは、スタンドアロン環境および高可用性環境のネットワーク・インタフェース用に構成できます。カスタム・ポートの構成時に、SQL通信が有効になってネットワーク構成に追加されます。

バックアップ操作およびリストア操作の実行中は、次の手順に従います。バックアップ操作を実行する前にカスタム・ポートを構成した場合は、リストア操作中もそのポートをその構成のとおりにします。

プライマリ・ネットワーク・インタフェースでカスタム・ポートを構成するには:

ノート:

次の手順のコマンドは、高可用性環境のプライマリAudit Vault Serverでのみ実行する必要があります。
  1. rootユーザーとしてアプライアンスにログインします。
  2. ユーザーをoracleに切り替えます。
  3. SQL*Plusを使用し、次のようにIDとパスワードを入力してスーパー管理者ユーザーとして接続します。
    <super-admin>/<password>

    ノート:

    • 他のユーザーは、カスタム・ポートを構成できません。別のユーザーがこの操作を試した場合、ユーザーの権限が十分でないという内容のメッセージがSQL*Plusに表示されます。
    • rootユーザーのみが、エラー・ログまたはデバッグ・ログにアクセスできます。
  4. カスタム・ポートと関連操作を構成するには、次のコマンドを実行します:
    操作 コマンド
    Audit Vault ServerでTCPおよびTCPSのカスタム・ポートを構成します。 
    exec management.server.custom_listener_ports(<tcp_custom_port>, <tcps_custom_port>);
    Audit Vault Serverのデフォルト・ポート(1521、1522)を無効にします。 
    exec management.server.disable_std_listener_port_access;

    デフォルトのリスナー・ポートの無効化後:

    • ポートは、リスナー・レベルでは無効化されません。
    • リスナーは、デフォルトのポートに加えて、カスタム・ポートでもリスニングするようになります。ただし、デフォルトのポートはローカルのAVDFサーバーからのみアクセス可能になり、リモート・クライアントからのアクセスはブロックされます。
    • AVDFデータベースには、新しいカスタム・ポートを通じてのみリモート・クライアントからのアクセスが可能になります。

    新規カスタム・ポートの構成時には、その新規ポートですべてのAudit Vault Agentが更新されるようにします。すべてのエージェントが更新されたら、各エージェントが新規カスタム・ポートで更新された後も引き続き証跡が実行されることを確認します。これを確認した後で、標準ポートを無効にする必要があります。エージェントが更新される前に標準ポートを無効にすると、そのエージェントは実行を停止するため、手動で更新する必要があります。そのためには、エージェント・ホーム・ディレクトリのav/conf/bootstrap.propファイル内の接続文字列を更新します。

    ヒント:

    高可用性環境の場合:
    • スタンバイAudit Vault Serverで同じポートを構成します
    • ペアリング中は、スタンバイで構成されているTCPSポートをプライマリ・サーバーと同じにします。そうしないと、ペアリングはエラーになります。
  5. カスタム・ポートを無効にするには、次のコマンドを実行します:
    操作 コマンド
    カスタム・ポートをロールバックして、デフォルト・ポートとしてポート1521と1522を復元するには exec management.server.enable_std_listener_port_access

    標準ポートを有効にしたときには、その直後に連続してポートを無効にしないでください。Audit Vault AgentとAudit Vault Serverの間の通信が中断される可能性があります。そうした場合は、Audit Vault Agentの再インストールが必要になります。カスタム・ポートを無効にしてデフォルト・ポートに変更する前に、Audit Vault Agentが更新され、RUNNING状態であることを確認します。

    カスタム・ポートを無効にするには exec management.server.disable_custom_listener_port_access

4.4 電子メール通知サービスの構成

電子メール通知サービスの構成について学習します。

4.4.1 Oracle Audit Vault and Database Firewallの電子メール通知について

Oracle Audit Vault and Database Firewallの電子メール通知について学習します。

監査者は、アラートまたはレポートが生成されたときにユーザーに電子メール通知を送信するように、Oracle Audit Vault and Database Firewallを構成できます。これを行うには、SMTPサーバーを構成して電子メール通知を有効にする必要があります。電子メール通知は、テキスト形式でモバイル機器に送信するか、SMSゲートウェイを経由してルーティングできます。

ノート:

  • Oracle Audit Vault and Database Firewall用にSMTP (またはESMTP)サーバーを構成できます。
  • セキュアでないSMTPサーバーと認証済のセキュアなSMTPサーバーの両方と連携して機能するように、Oracle Audit Vault and Database Firewallを構成できます。

関連項目:

アラートの構成およびレポートの生成の詳細は、『Oracle Audit Vault and Database Firewall監査者ガイド』を参照してください

4.4.2 電子メール通知の構成

電子メール通知を構成するには、SMTPサーバーを構成する必要があります。

  1. Audit Vault Serverコンソールにスーパー管理者としてログインします。

    詳細は、Audit Vault Serverコンソールの使用を参照してください。

  2. 「設定」タブをクリックします。
  3. 左側のナビゲーション・メニューで「システム」をクリックします。
  4. 「構成」で、「コネクタ」をクリックします。
  5. 「コネクタ」ダイアログ・ボックスで、「SMTPサーバー・アドレス」にSMTPサーバーのIPアドレスを入力します。
  6. 「SMTPポート」フィールドに、SMTPサーバー・ポートを入力します。
  7. 「送信元の名前」フィールドに、電子メールの送信者として使用するユーザー名を入力します。
  8. 「送信元アドレス」フィールドに、電子メール通知に表示される送信者のアドレスを入力します。
  9. このSMTPサーバーで資格証明が必要な場合は、「資格証明が必要」を選択して、ユーザー名およびパスワードを入力します。
  10. このSMTPサーバーで認証が必要な場合は、「セキュアな接続が必要」を選択して、認証プロトコル(SSLまたはTLS)を選択します。
  11. 「登録」をクリックして、SMTPサーバーを登録します。
  12. (オプション)電子メール・アドレスを入力し、「テスト」をクリックして電子メールの構成をテストします。
  13. 「保存」をクリックします。

4.5 アーカイブの場所および保存ポリシーの構成

アーカイブの場所および保存ポリシーの構成について学習します。

ノート:

表領域をアーカイブおよびリストアする場合は、次のルールに注意してください。

  • リストア・ポリシーは、この項のガイドラインに従う必要があります。

  • アーカイブする必要がある表領域と、ポリシーの記述に従ってパージする必要がある対応する表領域を確認します。

  • 空の表領域にはデータをリストアできません。適宜確認します。

  • 表領域が削除期間に入った場合は、Oracle Audit Vault Serverから自動的に削除されます。

  • すべての表領域は、オフラインに移行する月と削除される月の名前によって一意に識別されます。表領域は、ユーザーが作成したポリシーに基づいて自動的に作成されます。

  • 保存ポリシーが変更されると、新しいポリシーが翌月の受信データに適用されます。これは、古いポリシーに準拠する既存の表領域には影響しません。

  • 表領域がオフライン期間に入ったら、その表領域をアーカイブできます。

  • 表領域のリストア後は、実際にオンラインになります。表領域を解放するとオフラインになります。表領域を解放した後に再度アーカイブする必要があります。

  • <AVSYS>.EVENT_LOG表のレコードの削除または切捨ては、Oracle Audit Vault and Database Firewall (AVDF) 12.2ではサポートされていません。この表は、アプライアンスによって自動的に管理およびパーティション化されます。すべてのテスト・データを削除するには、Oracle AVDFサーバーの再構築が唯一の方法です。EVENT_LOGデータは、暗号化され、変更不可であり、保存ポリシーによって内部的に管理されます。

4.5.1 Oracle Audit Vault and Database Firewallでのデータのアーカイブおよび取得について

Oracle Audit Vault and Database Firewallでのデータのアーカイブおよび取得について学習します。

情報ライフサイクル戦略の一部として、データ・ファイルがアーカイブされます。Oracle Audit Vault and Database Firewallリリース20.1.0.0.0では、NFS構成済の場所に対してのみジョブの自動アーカイブがサポートされています。表領域のデータのオンライン期間が期限切れになると、そのデータは手動操作なしで自動的にアーカイブされます。リリース20.1.0.0.0では、Oracle Audit Vault and Database Firewallのフレッシュ・インストール時に自動アーカイブを有効にすることもできます。または、任意の設定でジョブを手動でアーカイブすることもできます。

以前のリリースからOracle Audit Vault and Database Firewallリリース20.1.0.0.0にアップグレードした場合でも、引き続き手動アーカイブが使用されます。アップグレード後のジョブの自動アーカイブを有効にする必要があります。

ジョブ・アーカイブを自動と手動とで切り替えることができます。スイッチオーバー中に進行中のジョブがあった場合、変更はアクティブ・ジョブの完了後に行われます。適切なメッセージがユーザーに表示されます。自動アーカイブに切り替えると、既存のすべてのNFSの場所が自動アーカイブ・リストに構成されます。これらは、「アーカイブの場所の管理」にリストされます。アーカイブの場所の領域が一杯であるかアクセス不可の場合、自動アーカイブではリストの次にあるアーカイブの場所が選択されます。自動アーカイブ機能は毎日実行され、アーカイブに使用できるデータをアーカイブします。

ノート:

自動アーカイブを有効にすると、手動アーカイブは無効になります。リリース20.1.0.0.0で新規バージョンにアップグレードした場合でも、引き続きアップグレード前に構成した自動アーカイブまたは手動アーカイブが使用されます。

ポリシーに従ってアーカイブ・データが転送されるように、保存ポリシーおよびアーカイブの場所を作成します。会社の方針に従って定期的にアーカイブすることをお薦めします。

自動アーカイブは、ネットワーク・ファイル・システム(NFS)でのみサポートされています。アーカイブの場所へのデータの転送にはNFSを使用することをお薦めします。セキュア・コピー(SCP)またはWindows File Sharing (SMB)を使用してアーカイブの場所にデータを転送する場合、データ・ファイルは、最初にOracle Audit Vault Serverのステージング領域にコピーされます。したがって、ファイル・システムに十分な領域があることを確認する必要があります。そうしないと、データ・ファイルのコピーが失敗する可能性があります。SCPまたはSMBを使用して大きいファイルを転送すると長い時間がかかることがあります。

保存ポリシーとは

保存ポリシー(アーカイブ・ポリシーとも呼ばれる)により、Oracle Audit Vault Serverでデータが保存される期間、データがアーカイブ可能になるタイミングおよびアーカイブ・データをOracle Audit Vault Serverに取得できる期間が決定されます。管理者がこれらのポリシーを作成し、監査者が特定のポリシーを各ターゲットやスケジュールされたレポートに割り当てます。ポリシーで指定できる設定は、次のとおりです。

  • オンラインだった月数: 指定したオンラインの月数の間、監査データがOracle Audit Vault Serverで使用可能になります。この期間中、データはレポートでの表示に使用可能です。この期間が経過すると、監査データ・ファイルはアーカイブに使用できるようになり、レポートには表示されなくなります。管理者がこれらのデータ・ファイルをアーカイブすると、データはOracle Audit Vault Serverから物理的に削除されます。

  • アーカイブされていた月数: アーカイブされた監査データは、「アーカイブされていた月数」で指定された月数の間、Oracle Audit Vault Serverに取得できます。この期間中にデータを取得した場合、レポートで再び使用可能になります。このアーカイブ期間が経過すると、Oracle Audit Vault Serverにデータを取得できなくなります。

ノート:

保存期間はイベント時間(生成された時間)に基づきます。監査者がターゲットまたはスケジュールされたレポートの保存ポリシーを選択しなかった場合、Audit Vault Serverではデフォルトの保存ポリシー(オンライン保存で12か月、アーカイブで12か月)が使用されます。

次のような保存ポリシーがあると仮定します。

  • オンラインだった月数: 2

  • アーカイブされていた月数: 4

この保存ポリシーでは、過去2か月間に生成された監査データをAudit Vault Serverで使用できます。2か月前より古いデータは、アーカイブに使用可能となり、レポートには表示されなくなります。アーカイブされたデータは、4か月間取得できます。このデータは、2か月前より古くて6か月前より新しいため、アーカイブからOracle Audit Vault Serverに取得できます。6か月前より古いデータは、使用できなくなります。

ターゲットに割り当てられた保存ポリシーの更新

保存ポリシーの変更は、すでに収集されているデータには適用されません。これは新しいデータに適用され、場合によっては適用されるまで1か月かかることがあります。1か月かかるのは、基礎となるデータ・パーティションを事前作成する必要がある最適化が原因です。

たとえば、現在4月で、現在のポリシーがオンラインで6か月、アーカイブで6か月の場合、4月28日に、ポリシーがオンラインで12か月、アーカイブで12か月に変更されると、5月に収集されるデータは、元のオンラインで6か月、アーカイブで6か月のポリシーを使用します。ただし、6月以降に収集されるデータは、新しいオンラインで12か月、アーカイブで12か月の保存ポリシーになります。

新たに収集されたデータが保存ポリシーの制限よりも古い場合

新規に構成されたターゲットの監査データを収集する場合や、既存のターゲットの新しい監査証跡から監査データを収集する場合、そのターゲットから収集したデータはオンライン月数の期間よりも古い可能性があります。実際、データはアーカイブ月数の期間より古い場合もあります。

たとえば、保存ポリシーは前述のと同じだとします。ここで、新規に構成されたターゲットから監査データの収集を開始すると仮定します。このデータの一部が6か月より古い場合、それはオンライン月数の期間とアーカイブ月数の期間の合計よりも古くなります。この場合、Oracle Audit Vault and Database Firewallでは、新しく収集された監査レコードのうち、6か月より古いものがすべて自動的に削除されます。

ただし、この監査データの一部が2か月前から6か月前までの期間のものである場合、つまりアーカイブ月数の期間に収まる場合、Oracle Audit Vault and Database Firewallでは次のいずれかが行われます。

  • 新規に構成されたターゲットの監査証跡である場合は、監査証跡が収集されるとOracle Audit Vault and Database Firewallにより自動的にそのデータがアーカイブされます。

  • 既存のターゲットの新規の監査証跡である場合は、監査証跡が収集されるとOracle Audit Vault and Database Firewallにより自動的にそのレコードのアーカイブが試行されます。ただし、この処理中に、必要なデータ・ファイルを使用可能にする必要がある場合があります。

ノート:

アーカイブ場所が定義されていない場合は、オンライン期間が終了してからオフライン期間完了するまでの間に、特定のターゲットの監査データがオフラインに移行します。データはAudit Vault Serverに残り、Audit Vault Serverコンソールの「レポート」セクションで取得および表示できます。これは、デフォルトおよびユーザー定義のアーカイブおよび保存ポリシーに適用されます。

関連項目:

必要なデータ・ファイルを使用可能にする方法の詳細は、「新規の監査証跡と期限切れ監査レコードの処理」を参照してください

4.5.2 アーカイブの場所の定義

アーカイブ・ジョブを開始するには、アーカイブ・ファイルの宛先として1つ以上の場所を定義する必要があります。アーカイブ先の定義では、アーカイブ格納場所およびその他の設定を指定します。

アーカイブの場所へのデータの転送にはNFSを使用することをお薦めします。セキュア・コピー(SCP)またはWindows File Sharing (SMB)を使用してアーカイブの場所にデータを転送する場合、データ・ファイルは、最初にAudit Vault Serverのステージング領域にコピーされます。したがって、ファイル・システムに十分な領域があることを確認する必要があります。そうしないと、データ・ファイルのコピーが失敗する可能性があります。SCPまたはSMBを使用して大きいファイルを転送すると長い時間がかかることがあります。

ノート:

バックアップ機能では、アーカイブ・ファイルはバックアップされません。アーカイブの場所にあるデータ・ファイルは、リモート・ファイル・システムに配置される可能性があるため、avbackupによってバックアップされません。これらのファイルは、NFSマウント・ポイントにある場合は、以前に構成されたマウント・ポイントと同じマウント・ポイント設定を使用して新しいシステムでリストアした後にアクセスできます。
  1. Audit Vault Serverに管理者としてログインします。

    詳細は、Audit Vault Serverコンソールの使用を参照してください。

  2. 「設定」タブをクリックします。
  3. 左側のナビゲーション・メニューで「アーカイブ中」をクリックします。
  4. 「アーカイブの場所の管理」をクリックします。
  5. 「作成」ボタンをクリックして、すべてのフィールドに入力します。詳細は、次のフィールド説明を参照してください。
  6. 「保存」をクリックします。
  1. Audit Vault Serverに管理者としてログインします。

    詳細は、Audit Vault Serverコンソールの使用を参照してください。

  2. 「データ保存」タブをクリックします。
  3. 左側のナビゲーションにある「リモート・アーカイブ」タブをクリックします。
  4. 「作成」ボタンをクリックして、すべてのフィールドに入力します。詳細は、次のフィールド説明を参照してください。
  5. 「保存」をクリックします。
フィールド
転送方法

データをアーカイブするマシンにOracle Audit Vault Serverからデータを転送する方法を選択します。

  • セキュア・コピー(SCP): Linuxマシンでデータをアーカイブする場合に選択します。

  • Windows File Sharing (SMB): Windowsマシンでデータをアーカイブする場合に選択します。

  • ネットワーク・ファイル・システム(NFS): ネットワーク・ファイル共有またはNASを使用している場合に選択します。

転送方法を選択しないと、アーカイブ・ファイルはAudit Vault Serverのイベント・データに保持されます。
ロケーション名 アーカイブ先の名前を入力します。この名前は、アーカイブの開始時にアーカイブ先として表示されます。
リモート・ファイルシステム

NFS転送方法を使用する場合は、既存のファイル・システムを選択できます。選択しなかった場合は、このアーカイブの場所の詳細に基づいてファイル・システムが自動的に作成されます。

ノート:

スタンドアロン・システムでは、AVCLIユーティリティを使用して、リモート・ファイル・システムを登録できます。その後、Audit Vault Serverコンソールでこのファイル・システムを選択できます。高可用性環境ではこれを行うことはできません。高可用性環境では、Audit Vault Serverコンソールで「新規ファイルシステムの作成」オプションを選択して、アーカイブの場所を作成します。

AVCLIユーティリティの使用方法の詳細は、「AVCLIコマンドライン・インタフェースのダウンロードおよび使用」を参照してください。

アドレス アーカイブのためにAudit Vault Serverで使用されるNFSサーバーのホスト名またはIPアドレスを入力します。Windows File Sharing転送方法を使用する場合は、IPアドレスを指定します。
エクスポート・ディレクトリ

NFS転送方法を使用する場合は、NFSサーバーのエクスポート・ディレクトリを入力します。たとえば、このディレクトリはNFSサーバーの/etc/exportsファイルに作成できます。oracleユーザー(ユーザーID: 503)にこのディレクトリに対する適切なreadおよびwrite権限があることを確認します。

ノート:

エクスポート・ディレクトリ名に特殊文字($、#、!など)は使用できません。
パス アーカイブ格納場所へのパスを入力します。(ファイルではなく)ディレクトリへのパスを入力し、各転送方法の次の要件に従います。
  • セキュア・コピー(scp): 先頭にスラッシュ文字がないと、パスはユーザーのホーム・ディレクトリへの相対パスになります。先頭にスラッシュがあると、パスはrootディレクトリへの相対パスになります。
  • Windows File Sharing (SMB): 共有名、スラッシュ、フォルダ名の順に入力します。たとえば、/sharename/myfolderとします。

  • ネットワーク・ファイル・システム(NFS): エクスポート・ディレクトリへの相対パスを入力します。たとえば、エクスポート・ディレクトリが/export_dirで、アーカイブの場所として指定するディレクトリへのフルパスが/export_dir/dir1/dir2である場合は、「パス」フィールドに/dir1/dir2と入力します。NFSサーバーのエクスポート・ディレクトリに直接アーカイブを格納する場合は、パスに/ (スラッシュ)を入力します。

    「テスト」ボタンをクリックしてNFSの場所を検証します。

ポート

これは、データをアーカイブするマシン上のセキュア・コピー(scp)またはWindowsファイル共有サービスで使用されるポート番号です。通常は、デフォルトのポート番号を使用できます。

転送方法としてWindows File Sharing (SMB)を選択した場合は、ポート445を使用します。
ユーザー名 アーカイブ・データが転送されるマシンでのアカウント・ユーザー名を入力します。
認証方式

セキュア・コピー(scp)を転送方法として使用する場合は、「パスワード認証」を選択してログイン・パスワードを入力できます。

Linuxマシンを使用している場合は、「キー・ベースの認証」を選択できます。キー・ベースの認証を使用している場合、リモート・マシンの管理者は、RSAキー(~/.ssh/authorized_keys)が含まれるファイルの権限が664に設定されていることを確認する必要があります。

パスワードおよびパスワードの確認 Windows File Sharing (SMB)を使用する場合またはパスワード認証方法を選択した場合は、データをアーカイブするマシンのログイン・パスワードを入力します。
公開キー このフィールドは、キー・ベースの認証を選択した場合に表示されます。この公開キーをコピーして、データをアーカイブするマシンの公開キー・ファイルに追加します。たとえば、~/.ssh/authorized_keysにキーを追加します。

関連トピック

4.5.3 アーカイブ・ポリシーおよび保存ポリシーの作成と削除

ポリシーの作成と削除について学習します。

4.5.3.1 アーカイブ・ポリシーおよび保存ポリシーの作成

Oracle Audit Vault and Database Firewall (Oracle AVDF)監査者がターゲットに適用できる保存ポリシー(アーカイブ・ポリシーとも呼ばれる)を作成できます。

  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. 「設定」タブをクリックします。
  3. 左側のナビゲーション・メニューで「アーカイブ中」をクリックします。
  4. 「ポリシーの管理」をクリックします。
  5. 「作成」をクリックします。
  6. ポリシーの名前を入力します。
  7. 「オンラインだった月数」フィールドに、監査データにアーカイブ対象のマークが付くまでOracle Audit Vault Serverで監査データを保有する月数を入力します。
  8. 「アーカイブされていた月数」フィールドに、アーカイブ場所で監査データを保有する月数を入力します。この期間の後に、そのデータがパージされます。
  9. オプション - Oracle AVDFリリース20.7以降では、スーパー管理者としてサインインしている場合、「デフォルトとして設定」を選択すると、そのポリシーをデフォルトとして設定できます。
  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. 「データ保存」タブをクリックします。
  3. 左側のナビゲーション・メニューで「保存ポリシー」をクリックします。
  4. 「作成」をクリックします。
  5. ポリシーの名前を入力します。
  6. 「オンラインだった月数」フィールドに、監査データにアーカイブ対象のマークが付くまでOracle Audit Vault Serverで監査データを保有する月数を入力します。
  7. 「アーカイブされていた月数」フィールドに、アーカイブ場所で監査データを保有する月数を入力します。この期間の後に、そのデータがパージされます。デフォルト値は6です。
  8. オプション - スーパー管理者としてサインインしている場合は、「デフォルトとして設定」を選択すると、そのポリシーをデフォルトとして設定できます。
  9. 「保存」をクリックします。

オンラインだった月数

ターゲットで、割り当てられた保存ポリシーが使用されている場合、その監査データは、指定した月数の間はAudit Vault Serverでオンラインで使用可能になり、その期間が経過するとアーカイブの場所に移動されます。

ノート:

オンライン状態の月数を経過すると、データはレポートに表示されなくなります。データはオンライン・ビューから削除され、アーカイブの場所に存在するようになります。オンライン・データは手動で削除できません。

アーカイブされていた月数

ターゲットで、割り当てられた保存ポリシーが使用されている場合、その監査データは、指定した月数の間はアーカイブの場所に存在するようになり、その期間が経過するとパージされます。それは、アーカイブの場所にある間は、Audit Vault Serverに戻してオンラインで取得できます。

ノート:

保存ポリシーの割当て手順は、データ保存(アーカイブ)ポリシーの設定を参照してください。

4.5.3.2 アーカイブ・ポリシーおよび保存ポリシーの削除

ターゲット・データベースに割り当てられていないユーザー定義の保存ポリシー(アーカイブ・ポリシーとも呼ばれる)を削除できます。

  1. Oracle Audit Vault Serverコンソールに管理者としてログインします。
  2. 「設定」タブをクリックします。
  3. 左側のナビゲーション・メニューで「アーカイブ中」をクリックします。
  4. 「ポリシーの管理」をクリックします。
  5. 「ユーザー定義ポリシー」で、削除するポリシーを選択します。
  6. 「削除」をクリックします。
  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. 「データ保存」タブをクリックします。
  3. 左側のナビゲーション・メニューで「保存ポリシー」をクリックします。
  4. リストから少なくとも1つのユーザー定義保存ポリシーを選択します。
  5. 「削除」をクリックします。
  6. ダイアログ・ボックスで「OK」をクリックして、選択したポリシーの削除を確定します。

4.5.4 アーカイブされたデータファイルの表示

アーカイブされたデータファイルの表示方法を学習します。

  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. 「設定」タブをクリックします。
  3. 左側のナビゲーション・メニューの「アーカイブ中」タブをクリックします。

    このページには、アーカイブされたデータファイルが次の詳細とともにリストされます:

    ノート:

    • スーパー管理者は、すべてのターゲットに関連するデータファイルを表示できます。管理者は、アクセス権を持つターゲットのデータファイルのみを表示できます。
    • アーカイブされたデータファイルを表示するこの機能は、Oracle AVDFリリース20.6以降で使用できます。

4.5.5 アーカイブ・ジョブおよび取得ジョブの実行

アーカイブ・ジョブおよび取得ジョブを実行する方法を学習します。

監査データのアーカイブおよび取得を参照してください。

4.6 高可用性環境でのアーカイブおよび取得の管理

高可用性環境でアーカイブおよび取得を管理する方法を学習します。

Oracle Audit Vault and Database Firewallは、アーカイブをサポートしています。12.2.0.11.0より前のリリースでは、アーカイブはプライマリAudit Vault Serverでのみ構成し、スタンバイ・サーバーでは構成できませんでした。フェイルオーバー後、アーカイブの場所を元のスタンバイ(新規プライマリ)で手動で設定する必要がありました。12.2.0.11.0以降のリリースでは、プライマリとスタンバイの両方のAudit Vault ServerでNFSアーカイブの場所を構成できるようになり、フェイルオーバー後に手動で実行する必要がある作業の量が減りました。

Oracle Audit Vault and Database Firewallリリース12.2.0.11.0以降では、プライマリおよびセカンダリAudit Vault ServerのNFSアーカイブの場所の数が同じになります。これは、アーカイブ機能およびファイル管理機能が高可用性環境で効果的に機能するために重要です。

ノート:

  • admin権限を持つユーザーは、アーカイブ・タスクおよび取得タスクを実行できます。
  • プライマリおよびセカンダリAudit Vault ServerのNFSアーカイブの場所を、別々のNFSサーバーにすることをお薦めします。
  • これらのNFSサーバーをAudit Vault Serverと同じデータ・センター内に配置することをお薦めします。プライマリAudit Vault ServerのNFSサーバーを同じデータ・センター内に配置し、セカンダリAudit Vault ServerのNFSサーバーを同じデータ・センター内に配置する必要があります。
  • NFSは、Audit Vault Serverのマウント・ポイントです。NFSサーバーを置き換える場合は、Audit Vault Serverがマウント・ポイントにアクセスしていないことを確認してください。

前提条件

高可用性を構成する前に、Audit Vault Serverの高可用性を構成するための前提条件をすべて満たしていることを確認します。

高可用性のペアリングが正常に完了すると、プライマリおよびセカンダリAudit Vault Serverに関連するNFSの場所が、プライマリAudit Vault Serverのコンソールの「アーカイブの場所の管理」に表示されます。これらのNFSの場所には、高可用性の構成前と構成後にプライマリおよびセカンダリAudit Vault Serverに作成された場所が含まれます。これらのNFSの場所の名前は、高可用性が構成されると、プライマリの場所の名前または場所の作成時に定義した名前になります。Audit Vault Serverコンソールには、プライマリおよびセカンダリAudit Vault Serverのホスト、エクスポート・ディレクトリおよび宛先パスの詳細が表示されます。

ノート:

Oracle Audit Vault and Database Firewallリリース20.1.0.0.0は、プライマリとセカンダリの両方のAudit Vault Serverで自動アーカイブをサポートしています。プライマリAudit Vault Serverで自動アーカイブが有効になっている場合は、対応するセカンダリAudit Vault Serverでも有効になっています。Audit Vault Serverコンソールに、プライマリ・ホストのアーカイブの場所が、そのマップされた対応するセカンダリの場所とともに表示されます。

高可用性環境でのアップグレードおよびアーカイブ機能

アップグレード処理中にアーカイブ機能が無効になるのは、NFSの場所にアーカイブされるデータファイルがある場合のみです。アップグレード処理が完了したら、adminユーザーはアーカイブ機能を有効にしてアーカイブを開始する必要があります。

NFSの場所の更新または削除

super adminは、プライマリおよびセカンダリAudit Vault Serverの高可用性のペアリングの後に、NFSの場所を更新または削除できます。プライマリおよびセカンダリAudit Vault ServerのNFSの場所は、更新または削除できます。データファイルがアーカイブされている場合は、場所を更新または削除できません。高可用性が有効な場合は、「ロケーション名」およびプライマリ・サーバーのパスまたはセカンダリ・サーバーのパスを更新できます。ただし、NFSマウント・ポイントは内部的なものであり、変更できません。

関連項目:

4.7 高可用性のための回復可能なペアの定義

高可用性のために回復可能なペアを定義する方法を学習します。

Oracle Audit Vault ServerまたはOracle Database Firewall (あるいはその両方)の回復可能なペアを定義できます。

Oracle Audit Vault Serverの回復可能なペアを定義する場合は、すべての構成タスクを実行する必要があります。これらのタスクには、サーバーへのデータベース・ファイアウォールの追加や、プライマリOracle Audit Vault Serverでのターゲットの登録などがあります。

関連項目:

Oracle AVDFにおける高可用性

4.8 Audit Vault ServerでのDatabase Firewallの登録

この手順を使用して、Audit Vault ServerにDatabase Firewallを登録します。

前提条件

Audit Vault ServerにDatabase Firewallを登録するには:

  1. Audit Vault Serverの回復可能なペアがある場合は、プライマリ・サーバーにログインします。
  2. 「Database Firewall」タブをクリックします。

    「ファイアウォール」ページに、現在登録されているファイアウォールとそのステータスが表示されます。

  3. 「登録」をクリックします。
  4. Database Firewallの名前を入力し、そのIP アドレスも入力します。
  5. 「保存」をクリックします。

    ノート:

    • 証明書に問題があることを示すメッセージが表示された場合は、日付と時刻の設定がDatabase FirewallとAudit Vault Serverの両方で同じであることを確認してください。

    • 次のエラー・メッセージが表示された場合は、Audit Vault Server証明書がDatabase Firewallに正しくコピーされていることを確認してください。また、日時設定がDatabase FirewallとAudit Vault Serverで同じであることも確認します。

      OAV-46981 IP %sでデータベース・ファイアウォールに接続できません。

4.9 Audit Vault Serverのシステム操作のテスト

Audit Vault Serverのシステム操作のテストについて学習します。

通常の日常的な操作を始める前に、システムが完全に動作していることを確認します。

前提条件

Audit Vault Serverに管理者としてログインします。詳細は、Audit Vault Serverコンソールの使用を参照してください。

システムの操作をテストするには:

  1. Audit Vault Serverの日付と時刻の設定を確認します。
  2. 「設定」タブをクリックします。
  3. 左側のナビゲーション・メニューの「システム」タブをクリックします。
  4. メイン・ページの「モニタリング」セクションで、「診断」をクリックします。
  5. 「診断の実行」ボタンをクリックし、一連の診断テストを実行して結果を確認します。

    この診断には次のテストが含まれます。

    • 構成ファイルの存在とアクセス権限

    • ファイル・システムのサニティ

    • ネットワーク構成

    • システムで実行する必要がある様々なプロセスのステータス。たとえば、データベース・サーバー・プロセス、イベント収集プロセス、Javaフレームワーク・プロセス、HTTPサーバー・プロセスなどです。

  6. 「診断のダウンロード」ボタンを使用して、診断結果をダウンロードして、さらに詳しく分析できます。
  7. 「診断ログのクリア」ボタンを使用して、Audit Vault Serverの現在の診断ログ・セットをクリアできます。
  8. 「ホーム」タブをクリックし、「データベース・ファイアウォール」および「ターゲット」のステータスを確認します。

4.10 Audit Vault Server用のファイバ・チャネル・ベース・ストレージの構成

Audit Vault Server用のファイバ・チャネル・ベースのストレージの構成について学習します。

Audit Vault Serverは、ファイバ・チャネル・ベースのストレージをサポートしています。ユーザーは、この手順を実行して、インストール中にこのストレージを構成できます。

Audit Vault Server用のファイバ・チャネル・ベースのストレージを構成するには:

  1. Audit Vault Serverをサーバーのローカル・ディスクにインストールします。インストール中に、Audit Vault Serverによって、システム内のすべてのディスクの使用が試みられます。Fast!UTILなどのファイバ・チャネル・コントローラの構成ツールを使用して、他のディスクにアクセスできないようにします。

    ノート:

    • 他のディスクにアクセスできる場合、インストール中にこれらがフォーマットされて消去されます。

    • Audit Vault Serverは、/sys/block.のsd*、xvd*、hd*、cciss*、fio*という名前のデバイスを検索しますこれらのブロック・デバイスの1つとしてファイバ・チャネル・ディスクが公開されると、インストールが成功します。

    • デバイスxvd *は、マルチパスではサポートされていません。

    • 最初のディスクは、使用可能な領域が300 GB以上あるローカル・ディスクにする必要があります。使用可能な領域が300 GBより少ない場合、サポートされないSANファイバ・チャネル・ディスクにブート・パーティションが割り当てられます。他のディスクのサイズは最初のディスクのサイズより大きくすることをお薦めします。

  2. ファイバ・チャネル・ベース・ストレージを使用している場合は、インストールが正常に完了したら、次の残りのステップを実行して、Oracle Automatic Storage Managementがアクティブ・パスを使用していることを確認します。それ以外の場合は、システムを再起動して、構成プロセスを完了します。

    ノート:

    マルチパスを使用するファイバ・チャネル・ベース・ストレージは、Oracle Audit Vault and Database Firewallリリース20.1以降でサポートされています。

4.11 Oracle AVDFのファイバ・チャネル・ベース・マルチパス

Oracle AVDFのマルチパスのサポートについて学習します。

Oracle Audit Vault and Database Firewall 20.1以降では、マルチパスによるファイバ・チャネル・ベースのストレージをサポートしています。マルチパスの冗長パスにより、パフォーマンスが向上し、動的ロード・バランシング、トラフィック・シェーピング、自動パス管理、動的再構成などの機能を利用できるようになります。ディスクへの接続は、2つのファイバ・チャネル・ポートを通じて確立できます。

次に、Oracle AVDFのマルチパスについて、いくつかの重要な側面を示します。

  • ISCSIストレージではサポートされません。
  • デバイスxvd *はサポートしていません。
  • マルチパスは、Audit Vault Serverインストールに対してのみサポートされます。
  • マルチパスは、Database Firewallインストールに対してサポートされません。
  • リムーバブル・ブロック・デバイスはサポートしていません。インストール・エラーにつながる可能性があるため、システム内のリムーバブル・ブロック・デバイスを確認してください。

ノート:

システム内にリムーバブル・ブロック・デバイスがあると、Audit Vault Serverのインストール時に次のエラーが発生することがあります。

ERROR: Failed to check if the disk is in multipath
Traceback (most recent call last):
  File "/run/install/repo/partitions.py", line 386, in <module>
    main()
  File "/run/install/repo/partitions.py", line 372, in main
    write_partition_table( None )
  File "/run/install/repo/partitions.py", line 322, in write_partition_table
    part_table = generate_partition_table_data(dev_list)
  File "/run/install/repo/partitions.py", line 243, in generate_partition_table_data
    raise RuntimeError("No disks detected")
RuntimeError: No disks detected

4.12 Audit Vault Agentへのネットワーク・アドレス変換IPアドレスの追加

ネットワーク・アドレス変換(NAT) IPアドレスをAudit Vault Agentに追加できます。

Network Address Translation (NAT)は、1つのIPアドレス領域を別のIPアドレス領域に再マッピングする方法です。これは、パケットがトラフィック・ルーティング・デバイス間で移動しているときに、そのパケットのIPヘッダー内のネットワーク・アドレス情報を変更することによって行われます。Audit Vault ServerのNAT IPアドレスをAudit Vault Agentに手動で追加するには、この手順を使用します。

一部のデプロイメントでは、Audit Vault ServerはNATネットワーク内にあります。エージェントは、NATで構成されたネットワークの外部ネットワークにデプロイされ、Audit Vault Serverの実際のIPアドレスを使用しています。このような場合は、エージェントがAudit Vault Serverに到達できません。

この場合は、NATのIPアドレスおよびポート・マッピング情報をAudit Vault Serverのdbfw.confファイルに追加できます。これにより、エージェントのbootstrap.propファイルに別の接続文字列が追加され、エージェントをNATおよび非NATネットワークの両方にデプロイできるようになります。この機能は、Oracle AVDF 12.2.0.8.0以降から使用できます。

ユースケース

ケース 構成タイプ 説明

ケース1

高可用性がないAudit Vault Server構成。

  • 1つのAudit Vault Serverのみがあります。このサーバーはNATの背後にあります。

  • この設定のエージェントは、NATを使用せずにAudit Vault Serverに直接接続するか、NATを使用してAudit Vault Serverに接続できます。

  • Audit Vault Serverに直接接続するエージェントは、Audit Vault ServerのIPアドレスとポートを使用します。

  • Audit Vault ServerにNAT経由で接続するエージェントは、Audit Vault ServerのIPアドレスとポートを使用します。

ケース2

高可用性があるAudit Vault Server構成。

  • プライマリとセカンダリの両方のAudit Vault Serverが同じNATの背後にあります。プライマリNAT IPアドレスおよびセカンダリNAT IPアドレスは同じです。プライマリNATポートとセカンダリNATポートは異なります。

  • この設定のエージェントは、NATを使用せずに、またはNATを使用してAudit Vault Serverに接続できます。

  • Audit Vault Serverに直接接続するエージェントは、Audit Vault ServerのIPアドレスとポートを使用します。プライマリAudit Vault Serverのフェイルオーバーの場合、エージェントは、セカンダリAudit Vault ServerのIPアドレスおよびポートを使用してセカンダリAudit Vault Serverへの接続を継続します。

  • NATを使用してAudit Vault Serverに接続しているエージェントは、プライマリAudit Vault ServerのIPアドレスおよびポートを使用します。プライマリAudit Vault Serverのフェイルオーバーの場合、エージェントは、セカンダリAudit Vault ServerのIPアドレスおよびポートを使用してセカンダリAudit Vault Serverへの接続を継続します。

ケース3

異なるNAT IPアドレスを使用するプライマリおよびセカンダリAudit Vault Server。

  • プライマリとセカンダリの両方のAudit Vault Serverが2つの異なるNAT IPアドレスの背後にあります。プライマリNAT IPアドレスおよびセカンダリNAT IPアドレスは異なります。プライマリNATポートとセカンダリNATポートは同じ場合や異なる場合があります。

  • この設定のエージェントは、NATを使用せずに、またはNATを使用してAudit Vault Serverに接続できます。

  • Audit Vault Serverに直接接続するエージェントは、Audit Vault ServerのIPアドレスとポートを使用します。プライマリAudit Vault Serverのフェイルオーバーの場合、エージェントは、セカンダリAudit Vault ServerのIPアドレスおよびポートを使用してセカンダリAudit Vault Serverへの接続を継続します。

  • NATを使用してAudit Vault Serverに接続しているエージェントは、プライマリAudit Vault ServerのIPアドレスおよびポートを使用します。プライマリAudit Vault Serverのフェイルオーバーの場合、エージェントは、セカンダリAudit Vault ServerのIPアドレスおよびポートを使用してセカンダリAudit Vault Serverへの接続を継続します。

Audit Vault ServerのNAT IPアドレスをAudit Vault Agentに追加するには、次のステップを実行します。

  1. Audit Vaultコマンドライン・インタフェース(AVCLI)にadminまたはoracleユーザーとしてログインします。
  2. 先に進む前に、構成ファイルのバックアップを取得します。
    cp /usr/local/dbfw/etc/dbfw.conf /usr/local/dbfw/etc/dbfw.conf.backup
  3. 次のようにdbfw.confファイルを編集して、Audit Vault ServerにNAT IPアドレスを含めます。
    NAT_PRIMARY_IP_ADDRESS=<xx.yyy.zzz.aaa>
NAT_PRIMARY_AGENT_PORT_TLS=<12345>
NAT_PRIMARY_AGENT_PORT=<12346>
  4. 変更内容を保存します。
  5. 次のコマンドを実行して、エージェントを再生成します。
    avca configure_bootstrap
    この後、ダウンロードされたすべてのエージェントには、NAT IPアドレスを使用した文字列のいずれかが含まれています。確認するには、次のような/var/lib/oracle/dbfw/av/conf/bootstrap.propのブートストラップ・ファイルの内容を確認します。
    SYS.CONNECT_STRING999=(DESCRIPTION=(ENABLE=BROKEN)(ADDRESS=(PROTOCOL=TCP)(HOST=10.240.114.167)(PORT=13031))(CONNECT_DATA=(SERVICE_NAME=DBFWDB.DBFWDB)))
SYS.SSL_CONNECT_STRING999=(DESCRIPTION=(ADDRESS=(PROTOCOL=TCPS)(HOST=10.240.114.167)(PORT=13032))(CONNECT_DATA=(SERVICE_NAME=DBFWDB.DBFWDB)(SERVER=DEDICATED))(SECURITY= (SSL_SERVER_CERT_DN="DC=com,CN=avserver,OU=db,O=oracle")))
  6. 前述のケースは、前述の表に示されているケース1に適用できます。ケース2およびケース3では、Audit Vault Serverが高可用性モードになっています。これらの場合は、dbfw.confファイルを構成して、次のような一連のパラメータを追加する必要があります。
    NAT_PRIMARY_IP_ADDRESS=<xx.yyy.zzz.aaa>
NAT_PRIMARY_AGENT_PORT_TLS=<12345>
NAT_PRIMARY_AGENT_PORT=<12346>
NAT_SECONDARY_IP_ADDRESS=<xx.yyy.zzz.ccc>
NAT_SECONDARY_AGENT_PORT_TLS=<56789>
NAT_SECONDARY_AGENT_PORT=<12678>
  7. 変更内容を保存します。
  8. この後、エージェントのbootstrap.propファイルは、高可用性の接続文字列を使用して構成され、IPアドレスとポートの前述のセットが含まれるようになります。これを確認するには、次のような/var/lib/oracle/dbfw/av/conf/bootstrap.propのブートストラップ・ファイルの内容を確認します。
    SYS.CONNECT_STRING999=(DESCRIPTION_LIST=(LOAD_BALANCE=off)(FAILOVER=on)(DESCRIPTION=(ENABLE=BROKEN)(ADDRESS_LIST=(LOAD_BALANCE=on)(ADDRESS=(PROTOCOL=TCP)(HOST=<NAT_PRIMARY_AGENT_PORT>)(PORT=<NAT_PRIMARY_AGENT_PORT>)))

(CONNECT_DATA=(SERVICE_NAME=DBFWDB.DBFWDB)))(DESCRIPTION=(ENABLE=BROKEN)(ADDRESS_LIST=(LOAD_BALANCE=on)(ADDRESS=(PROTOCOL=TCP)(HOST=<NAT_SECONDARY_IP_ADDRESS>)(PORT=NAT_SECONDARY_AGENT_PORT>)))(CONNECT_DATA=(SERVICE_NAME=DBFWDB.DBFWDB))))

SYS.SSL_CONNECT_STRING999=(DESCRIPTION_LIST=(LOAD_BALANCE=off)(FAILOVER=on)(DESCRIPTION=(ADDRESS_LIST=(LOAD_BALANCE=on)(ADDRESS=(PROTOCOL=TCPS)(HOST=<NAT_PRIMARY_IP_ADDRESS>)(PORT=<NAT_PRIMARY_AGENT_PORT_TLS>)))(CONNECT_DATA=(SERVICE_NAME=DBFWDB.DBFWDB)(SERVER=DEDICATED))(SECURITY= (SSL_SERVER_CERT_DN="DC=com,CN=avserver,OU=db,O=oracle")))(DESCRIPTION=(ADDRESS_LIST=(LOAD_BALANCE=on)(ADDRESS=(PROTOCOL=TCPS)(HOST=<NAT_SECONDARY_IP_ADDRESS>)(PORT=<NAT_SECONDARY_AGENT_PORT_TLS>)))(CONNECT_DATA=(SERVICE_NAME=DBFWDB.DBFWDB)(SERVER=DEDICATED))(SECURITY=(SSL_SERVER_CERT_DN="DC=com,CN=avserver,OU=db,O=oracle"))))

4.13 Audit Vault Serverの監視

Audit Vault Serverを監視する方法を学習します。

監視により、疑わしいアクティビティの調査、アクションのアカウンタビリティおよびコンプライアンスの監査要件への対応が可能です。

Oracle AVDF 20.13以降、アプリケーション監査はAudit Vault Serverでデフォルトで有効になっています。また、アプリケーション監査レポートとともに、OS監査レポートおよび埋込みリポジトリ監査レポートもすぐに使用できます。「アプリケーション監査」および「AVDF 20.13以降でのOSおよびリポジトリの監査」

Oracle AVDF 20.7 - 20.12では、モニタリングには、監査の構成(埋込みリポジトリとオペレーティング・システムの両方)と、分析およびレポートを目的とした生成されたレコードのシャドウAudit Vault Serverへの収集が含まれます。Audit Vault Serverは、オペレーティング・システムと埋込みリポジトリの両方について、監査を自動的に構成します(「AVDF 20.7-20.12でのOSおよびリポジトリの監査」)。

4.13.1 アプリケーション監査

Oracle AVDF 20.13以降でAVDFアプリケーションをモニタリングする方法を学習します。

Oracle AVDF 20.13以降では、Audit Vault ServerとDatabase Firewallの両方で管理者および監査者の操作を監査するアプリケーション監査がデフォルトで有効になっています。次の操作が監査されます。
  • 管理者の操作
    • ユーザー管理およびアクティビティ
    • ターゲット管理
    • 監査証跡管理
    • Audit Vault Agent管理
    • Database Firewall管理
  • 監査者の操作
    • ユーザー管理
    • グローバル・セット管理
    • 監査、Database Firewallおよびアラート・ポリシー・アクティビティ
    • ステータス変更のアラート
    • 評価レポート
    • ターゲット - 取得ジョブのスケジュール

アプリケーション監査レコードは自動的に収集され、分析用のレポートとして使用できます。これらのレポートは、イベントの日付から6か月後にパージされます。

デフォルトでは、アプリケーション監査証跡はAVS_MAINTENANCE_JOBによって7日ごとにパージされます。

アプリケーション監査用に、EVENTDATAディスクに最低12 GBおよび最大30 GBの空き領域をお薦めします。

4.13.1.1 AVDFアプリケーション監査レポートの表示

アプリケーション監査レポートは、「AVDFシステム・レポート」ページでsuper auditorによって表示できます。

  1. Audit Vault Serverコンソールにsuper auditorとしてログインします。

  2. 「レポート」タブをクリックします。
  3. 「AVDFシステム・レポート」をクリックします。
  4. 「すべてのアクティビティ」または「アプリケーション監査」レポートのいずれかを選択します。

    「すべてのアクティビティ」レポートには、AVDFアプライアンスのアプリケーション、埋込みリポジトリおよびオペレーティング・システムのすべての監査アクティビティが含まれます。

    「アプリケーション監査」レポートには、AVDFアプライアンスのアプリケーションのすべての監査アクティビティが含まれます。

AVDFシステム・レポートのレコードは、6か月後にパージされます。

これらのレポートをスケジュールおよび生成できます(「PDFまたはXLSレポートのスケジューリングおよび生成」)。

4.13.1.2 AVDFアプリケーション監査の無効化

AVDF 20.13以降でデフォルトで有効になっているAVDFアプリケーション監査を無効にするには、次のステップを実行します。

ノート:

アプリケーション監査を無効にすることはお薦めしませんが、アプリケーション監査が操作上の問題を引き起こしている場合は、一時的に無効にすることが必要になることがあります。

  1. SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

    「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。

  2. avsysアカウントをロック解除します。

    1. dvaccountmgrユーザーに切り替えます。 

      su - dvaccountmgr

    2. ユーザー名とパスワードを指定せずにSQL*Plusを起動します。

      sqlplus /

    3. 次のコマンドを実行してavsysのロックを解除します: 

      alter user avsys identified by <password> account unlock;

    4. SQL*Plusを終了します。

      exit

    ノート:

    このタスクが完了したら、必ずavsysアカウントを再ロックしてください。

  3. SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

    「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。

  4. oracleユーザーに切り替えます。

    su - oracle

  5. avsysユーザーとしてSQL*Plusを起動します。 

    sqlplus avsys
  6. 次を実行して、AVDFアプリケーション監査証跡を停止します:
    execute avsys.app_audit.disable;

    この証跡が停止すると、AVS_MAINTENANCE_JOBは28日後にレコードをパージします。

  7. (オプション)次を実行して、監査証跡の収集を停止します: 
    execute avsys.avdf_system_audit.stop_app_audit_trail

    アプリケーション監査証跡が停止すると、監査証跡が空になるため、監査証跡の収集を停止することは冗長です。

  8. avsysアカウントをロックします。

    1. dvaccountmgrユーザーに切り替えます。 

      su - dvaccountmgr

    2. ユーザー名とパスワードを指定せずにSQL*Plusを起動します。

      sqlplus /

    3. 次のコマンドを実行してavsysをロックします: 

      alter user avsys account lock;

    4. SQL*Plusを終了します。

      exit
4.13.1.3 AVDFアプリケーション監査の有効化

AVDF 20.13以降でデフォルトで有効になっているAVDFアプリケーション監査を再度有効にするには、次のステップを実行します。

  1. SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

    「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。

  2. avsysアカウントをロック解除します。

    1. dvaccountmgrユーザーに切り替えます。 

      su - dvaccountmgr

    2. ユーザー名とパスワードを指定せずにSQL*Plusを起動します。

      sqlplus /

    3. 次のコマンドを実行してavsysのロックを解除します: 

      alter user avsys identified by <password> account unlock;

    4. SQL*Plusを終了します。

      exit

    ノート:

    このタスクが完了したら、必ずavsysアカウントを再ロックしてください。

  3. SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

    「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。

  4. oracleユーザーに切り替えます。

    su - oracle

  5. avsysユーザーとしてSQL*Plusを起動します。 

    sqlplus avsys
  6. 次を実行して、AVDFアプリケーション監査証跡を開始します:
    execute avsys.app_audit.enable;
  7. 以前にアプリケーション監査証跡の収集を停止した場合は、次を実行して収集を再開します:
    execute avsys.avdf_system_audit.start_app_audit_trail

  8. avsysアカウントをロックします。

    1. dvaccountmgrユーザーに切り替えます。 

      su - dvaccountmgr

    2. ユーザー名とパスワードを指定せずにSQL*Plusを起動します。

      sqlplus /

    3. 次のコマンドを実行してavsysをロックします: 

      alter user avsys account lock;

    4. SQL*Plusを終了します。

      exit

4.13.2 オペレーティング・システムおよびリポジトリの監査

AVDFのオペレーティング・システム(OS)および埋込みリポジトリを監査する方法を学習します。

4.13.2.1 AVDF 20.13以降でのOSおよびリポジトリの監査

Oracle AVDF 20.13以降でAVDF OSおよびリポジトリを監査する方法を学習します。

4.13.2.1.1 オペレーティング・システムの監査について

オペレーティング・システムの監査について学習します。

Audit Vault Severでは、デフォルトのOracle Linux監査構成が有効になります。構成設定は /etc/audit/auditd.confファイルで使用でき、監査ログは/var/log/audit directoryに記録されます。

4.13.2.1.2 アプリケーション監査で使用される監査ポリシー

Oracle AVDF 20.13以降でアプリケーション監査を構成するために使用される監査ポリシーについて学習します。

表4-1 Audit Vault Server用に構成されたOracle事前定義済ポリシー

ポリシー名 説明

ORA_LOGON_FAILURES

失敗したログイン・イベント。

AVDF_ORA_SECURECONFIG

このポリシーは、AVSYSおよびMANAGEMENTユーザーを除き、Oracle Databaseによって定義されたセキュアな構成であるora_secureconfigと同じです。

AVSYS_DV_UA_POLICY

Database Vaultで保護されたAVSYSレルム。Database Vault AVSYSレルムは、AVSYSデータベース・スキーマが所有するすべてのオブジェクトを保護します。

MANAGEMENT_DV_UA_POLICY

Database Vaultで保護されたMANAGEMENTレルム。Database Vault MANAGEMENTレルムは、MANAGEMENTデータベース・スキーマが所有するすべてのオブジェクトを保護します。

AUDIT_DB_MGMT_POLICY

データベース管理操作。

AUDIT_SELECT_DICTIONARY_POLICY

AVSYSおよびMANAGEMENTユーザー以外の任意のディクショナリ権限を選択します。

関連項目:

AVDF_ORA_SECURECONFIG

AVDF_ORA_SECURECONFIGポリシーは、AVSYSおよびMANAGEMENTユーザーを除き、次を監査します。 

CREATE AUDIT POLICY AVDF_ORA_SECURECONFIG             
    PRIVILEGES ALTER ANY TABLE, CREATE ANY TABLE, DROP ANY TABLE,            
    CREATE ANY PROCEDURE, DROP ANY PROCEDURE, ALTER ANY PROCEDURE,            
    GRANT ANY PRIVILEGE, GRANT ANY OBJECT PRIVILEGE, GRANT ANY ROLE,
    AUDIT SYSTEM, CREATE EXTERNAL JOB, CREATE ANY JOB,             
    CREATE ANY LIBRARY,
    EXEMPT ACCESS POLICY,             
    CREATE USER, DROP USER,             
    ALTER DATABASE, ALTER SYSTEM,             
    CREATE PUBLIC SYNONYM, DROP PUBLIC SYNONYM,            
    CREATE SQL TRANSLATION PROFILE, CREATE ANY SQL TRANSLATION PROFILE,            
    DROP ANY SQL TRANSLATION PROFILE, ALTER ANY SQL TRANSLATION PROFILE,            
    TRANSLATE ANY SQL,            
    EXEMPT REDACTION POLICY,              
    PURGE DBA_RECYCLEBIN, LOGMINING,            
    ADMINISTER KEY MANAGEMENT, BECOME USER             
    ACTIONS  ALTER USER, CREATE ROLE, ALTER ROLE, DROP ROLE,
    SET ROLE, CREATE PROFILE, ALTER PROFILE,             
    DROP PROFILE, CREATE DATABASE LINK,
    ALTER DATABASE LINK, DROP DATABASE LINK,             
    CREATE DIRECTORY, DROP DIRECTORY,
    CREATE PLUGGABLE DATABASE,              
    DROP PLUGGABLE DATABASE,            
    ALTER PLUGGABLE DATABASE,            
    EXECUTE ON DBMS_RLS,            
    ALTER DATABASE DICTIONARY        
WHEN
    'sys_context(''''USERENV'''',''''CURRENT_USER'''')             
    NOT IN (''''AVSYS'''', ''''MANAGEMENT'''')'             
    EVALUATE PER STATEMENT;

AVSYS_DV_UA_POLICY

CREATE AUDIT POLICY文は、AVSYS_DV_UA_POLICY統合監査ポリシー定義を次のように示します。 


create audit policy AVSYS_DV_UA_POLICY actions component=dv
realm violation on "Audit Vault Realm",
realm success on "Audit Vault Realm",
realm access on "Audit Vault Realm",
rule set failure on "AVSYS audit command",
rule set success on "AVSYS audit command",
rule set eval on "AVSYS audit command"

Database Vault AVSYSレルムの統合監査ポリシー

AVSYS Database Vaultレルムは、AVSYS表やパッケージなどのすべてのAVSYSオブジェクトを保護します。AVSYS_DV_UA_POLICYは、Database Vault AVSYSレルムのすべてのアクティビティを監査します。

次のコマンドは、Database Vault AVSYSレルムによって監査されます。

  • drop database link
  • drop index
  • drop package
  • drop package body
  • drop procedure
  • drop sequence
  • drop synonym
  • drop table
  • drop type
  • drop type body
  • drop view
  • delete
  • revoke
  • truncate table

MANAGEMENT_DV_UA_POLICY

CREATE AUDIT POLICY文は、MANAGEMENT_DV_UA_POLICY統合監査ポリシー定義を次のように示します。 


create audit policy MANAGEMENT_DV_UA_POLICY actions component=dv
realm violation on "Audit Vault Account Manager Realm",
realm success on "Audit Vault Account Manager Realm",
realm access on "Audit Vault Account Manager Realm",
rule set failure on "MANAGEMENT audit command",
rule set success on "MANAGEMENT audit command",
rule set eval on "MANAGEMENT audit command"

Database Vault MANAGEMENTレルムの統合監査ポリシー

Database Vault管理レルムは、MANAGEMENT表やパッケージなどを含むすべてのMANAGEMENTオブジェクトを保護します。MANAGEMENT_DV_UA_POLICYは、Database Vault MANAGEMENTレルムのすべてのアクティビティを監査します。

次のコマンドは、Database Vault MANAGEMENTレルムによって監査されます。

  • drop database link
  • drop index
  • drop package
  • drop package body
  • drop procedure
  • drop sequence
  • drop synonym
  • drop table
  • drop type
  • drop type body
  • drop view
  • delete
  • revoke
  • truncate table

AUDIT_DB_MGMT_POLICY

CREATE AUDIT POLICY文は、AUDIT_DB_MGMT_POLICY統合監査ポリシー定義を示し、すべてのユーザーを監査します。 


create audit policy audit_db_mgmt_policy
privileges
ALTER PUBLIC DATABASE LINK,
AUDIT ANY, AUDIT SYSTEM,
CREATE ANY TRIGGER, CREATE PUBLIC DATABASE LINK,
DROP ANY DIRECTORY, DROP PUBLIC DATABASE LINK
actions
ALTER FUNCTION, ALTER PACKAGE, ALTER PROCEDURE, 
ALTER TRIGGER,
CREATE PACKAGE, CREATE PACKAGE BODY, CREATE PROCEDURE,
CREATE SPFILE, CREATE TRIGGER,
DROP FUNCTION, DROP PACKAGE, DROP PROCEDURE,
DROP TRIGGER;

AUDIT_SELECT_DICTIONARY_POLICY

CREATE AUDIT POLICY文は、AUDIT_SELECT_DICTIONARY_POLICY統合監査ポリシー定義を示し、AVSYSおよびMANAGEMENTを除くすべてのユーザーを監査します。 


CREATE AUDIT POLICY  AUDIT_SELECT_DICTIONARY_POLICY              
        PRIVILEGES
        SELECT ANY DICTIONARY         
    WHEN 'sys_context(''''USERENV'''',''''CURRENT_USER'''')
        NOT IN (''''AVSYS'''', ''''MANAGEMENT'''')'              
        EVALUATE PER STATEMENT;
4.13.2.1.3 AVDF OSおよびリポジトリ監査レポートの表示

OSおよびリポジトリ監査レポートは、「AVDFシステム・レポート」ページでsuper auditorによって表示できます。

  1. Audit Vault Serverコンソールにsuper auditorとしてログインします。

  2. 「レポート」タブをクリックします。
  3. 「AVDFシステム・レポート」をクリックします。
  4. 次のいずれかのレポートを選択します。
    • すべてのアクティビティ - 「すべてのアクティビティ」レポートには、AVDFアプライアンスのアプリケーション、埋込みリポジトリおよびオペレーティング・システムのすべての監査アクティビティが含まれます。
    • データベース監査 - 「データベース監査」レポートには、AVDFアプライアンスの埋込みリポジトリのすべての監査アクティビティが含まれます。
    • OS監査 - 「OS監査」レポートには、AVDFアプライアンスの埋込みオペレーティング・システムのすべての監査アクティビティが含まれます。

AVDFシステム・レポートのレコードは、6か月後にパージされます。

これらのレポートをスケジュールおよび生成できます(「PDFまたはXLSレポートのスケジューリングおよび生成」)。

4.13.2.1.4 AVDFオペレーティング・システムおよびリポジトリの監査の停止

AVDF 20.13以降でAVDFオペレーティング・システムおよび埋込みリポジトリの監査を停止するには、次のステップを実行します。

  1. SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

    「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。

  2. avsysアカウントをロック解除します。

    1. dvaccountmgrユーザーに切り替えます。 

      su - dvaccountmgr

    2. ユーザー名とパスワードを指定せずにSQL*Plusを起動します。

      sqlplus /

    3. 次のコマンドを実行してavsysのロックを解除します: 

      alter user avsys identified by <password> account unlock;

    4. SQL*Plusを終了します。

      exit

    ノート:

    このタスクが完了したら、必ずavsysアカウントを再ロックしてください。

  3. SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

    「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。

  4. oracleユーザーに切り替えます。

    su - oracle

  5. avsysユーザーとしてSQL*Plusを起動します。 

    sqlplus avsys
  6. 次のいずれかを実行して、リストされた監査証跡の収集を停止します:
    • avsys.avdf_system_audit.stop_database_trail: 埋込みリポジトリの統合監査証跡の収集を停止します
    • avsys.avdf_system_audit.stop_os_trail: OS証跡の収集を停止します
    • avsys.avdf_system_audit.stop_avdf_trails: アプリケーション監査証跡に加えて、前述の証跡の収集を停止します(「アプリケーション監査」)

    AVDF OSまたは埋込みリポジトリの監査証跡を無効にすることはできませんが、収集を停止すると、AVDFシステム・レポートに追加のレコードが格納されなくなります。

  7. avsysアカウントをロックします。

    1. dvaccountmgrユーザーに切り替えます。 

      su - dvaccountmgr

    2. ユーザー名とパスワードを指定せずにSQL*Plusを起動します。

      sqlplus /

    3. 次のコマンドを実行してavsysをロックします: 

      alter user avsys account lock;

    4. SQL*Plusを終了します。

      exit
4.13.2.1.5 AVDFオペレーティング・システムおよびリポジトリの監査の開始

AVDF 20.13以降でAVDFオペレーティング・システムおよび埋込みリポジトリの監査を開始するには、次のステップを実行します。

  1. SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

    「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。

  2. avsysアカウントをロック解除します。

    1. dvaccountmgrユーザーに切り替えます。 

      su - dvaccountmgr

    2. ユーザー名とパスワードを指定せずにSQL*Plusを起動します。

      sqlplus /

    3. 次のコマンドを実行してavsysのロックを解除します: 

      alter user avsys identified by <password> account unlock;

    4. SQL*Plusを終了します。

      exit

    ノート:

    このタスクが完了したら、必ずavsysアカウントを再ロックしてください。

  3. SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

    「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。

  4. oracleユーザーに切り替えます。

    su - oracle

  5. avsysユーザーとしてSQL*Plusを起動します。 

    sqlplus avsys
  6. 次のいずれかを実行して、リストされた監査証跡の収集を開始します:
    • avsys.avdf_system_audit.start_database_trail: 埋込みリポジトリの統合監査証跡の収集を開始します
    • avsys.avdf_system_audit.start_os_trail: OS証跡の収集を開始します
    • avsys.avdf_system_audit.start_avdf_trails: アプリケーション監査証跡に加えて、前述の証跡の収集を開始します(「アプリケーション監査」)

  7. avsysアカウントをロックします。

    1. dvaccountmgrユーザーに切り替えます。 

      su - dvaccountmgr

    2. ユーザー名とパスワードを指定せずにSQL*Plusを起動します。

      sqlplus /

    3. 次のコマンドを実行してavsysをロックします: 

      alter user avsys account lock;

    4. SQL*Plusを終了します。

      exit
4.13.2.1.6 メインAudit Vault Serverでの統合監査証跡のパージについて

Audit Vault Serverに関連する統合監査データに対してパージ・ジョブを構成する方法を学習します。

7日間より古い統合監査証跡データは、デフォルトでパージされます。これは、デフォルトで毎日実行するようにスケジュールされているAVS_MAINTENANCE_JOBの一部として実行されます。スケジュールは、Audit Vault Serverコンソールを使用して変更できます。

関連項目:

メンテナンス・ジョブのスケジュール
Audit Vault Serverで統合監査証跡のパージ・ジョブを構成することをお薦めします。

統合監査証跡のパージ・ジョブを構成するには、次のステップに従います。

  1. Audit Vault Serverにroot OSユーザーとしてログインします。
  2. コマンドを実行してoracleユーザーに切り替えます。
    su - oracle
  3. ユーザー名またはパスワードなしで、SQL*Plus接続をsqlplus /nologとして起動します。
  4. SQL*Plusで次のコマンドを実行します。
    connect <sysdba>

    必要な場合にはパスワードを入力します。あるいは、次のコマンドを実行します。

    connect <sysdba/password>
  5. 次のSQLスクリプトを実行し、統合監査証跡に対してジョブ名がAVS_UNIFIED_AUDIT_CLEANUPのパージ・ジョブを作成します。
    
begin
      dbms_audit_mgmt.create_purge_job(
        audit_trail_type => dbms_audit_mgmt.audit_trail_unified,
        audit_trail_purge_interval => 1,
        audit_trail_purge_name => 'AVS_UNIFIED_AUDIT_CLEANUP',
        use_last_arch_timestamp => true,
        container => dbms_audit_mgmt.container_current);
  end;

    このジョブは1時間に1回実行され、Audit Vault Serverのデータベース監査収集によって更新されたアーカイブ済タイムスタンプに基づいて、統合監査証跡をクリーン・アップします。

    ベスト・プラクティス:

    統合監査証跡のパージ・ジョブを構成することをお薦めします。

    ノート:

    統合監査証跡のパージ・ジョブを構成すると、AVS_MAINTENANCE_JOBの一部として実行されるクリーン・アップが自動的に削除され、「ジョブ・ステータス」ページに次のメッセージが表示されます。 

    Audit Trail cleanup for Audit Vault Server is enabled, so not purging audit data by Maintenance

    ノート:

    AVS_UNIFIED_AUDIT_CLEANUPのステータスを確認するには、次のSQL文を実行します。 

    select * from dba_scheduler_job_run_details where job_name='AVS_UNIFIED_AUDIT_CLEANUP';

    詳細は、監査証跡管理のデータ・ディクショナリ・ビューを参照してください。

4.13.2.2 AVDF 20.7-20.12でのOSおよびリポジトリの監査

Oracle AVDFバージョン20.7から20.12でAVDF OSおよびリポジトリを監査する方法を学習します。

4.13.2.2.1 オペレーティング・システムの監査について

オペレーティング・システムの監査について学習します。

Audit Vault Severでは、デフォルトのOracle Linux監査構成が有効になります。構成設定は /etc/audit/auditd.confファイルで使用でき、監査ログは/var/log/audit directoryに記録されます。

4.13.2.2.2 Audit Vault Serverリポジトリの監査について

Audit Vault Serverリポジトリの監査について学習します。

Oracle AVDFリリース20.7より前は、Audit Vault Serverを使用すると、次の設定でデフォルトの混合モードの監査が有効になります。


audit_file_dest = /var/lib/oracle/admin/dbfwdb/adump
audit_sys_operations = TRUE
audit_trail = DB

ノート:

リリース20.7より前のデフォルト構成では、SYS操作が監査され、アプリケーション・レベルのスキーマAVSYSおよびMANAGEMENTは監査されません。

Oracle AVDFリリース20.7以降では、アプリケーション・スキーマAVSYSおよびMANAGEMENTを監査するための追加のポリシーを使用して、完全な統合監査が自動的に有効になります。

完全な統合監査を有効にすると、Audit Vault Serverはすべての監査を統合監査証跡に集中化します。たとえば、Database Vault監査レコードは、統合監査証跡に移動します。統合監査ポリシーはデフォルトで構成されます。これには、Audit Vault Serverのフレッシュ・インストールおよびリリース20.7へのアップグレードが含まれます。

従来の監査では、デフォルトで、すべての管理ユーザー(SYSやSYSDBAなど)による操作が監査されます。

統合監査では、データベースがオープンされていない場合に、すべての管理ユーザー(SYSやSYSDBAなど)による最上位レベルの操作が監査されます。データベースがオープンされている場合は、すべてのセキュアな構成が監査されます(新しいデータベースで)。管理ユーザーを監査するには、統合監査ポリシーを作成し、そのポリシーをユーザーに適用します。

ノート:

Oracle Databaseのインストール構成が、監査動作に影響を与える可能性があります。詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。

表4-2 Audit Vault Server用に構成されたOracle事前定義済ポリシー

ポリシー名 説明

ORA_LOGON_FAILURES

失敗したログイン・イベント。

ORA_SECURECONFIG

Oracle Databaseによって定義されたセキュアな構成。

AVSYS_DV_UA_POLICY

Database Vaultで保護されたAVSYSレルム。Database Vault AVSYSレルムは、AVSYSデータベース・スキーマが所有するすべてのオブジェクトを保護します。

MANAGEMENT_DV_UA_POLICY

Database Vaultで保護されたMANAGEMENTレルム。Database Vault MANAGEMENTレルムは、MANAGEMENTデータベース・スキーマが所有するすべてのオブジェクトを保護します。

AUDIT_DB_MGMT_POLICY

データベース管理操作。

AUDIT_SELECT_DICTIONARY_POLICY

SELECT ANY DICTIONARY権限。

関連項目:

AVSYS_DV_UA_POLICY

CREATE AUDIT POLICY文は、AVSYS_DV_UA_POLICY統合監査ポリシー定義を次のように示します。 


create audit policy AVSYS_DV_UA_POLICY actions component=dv
realm violation on "Audit Vault Realm",
realm success on "Audit Vault Realm",
realm access on "Audit Vault Realm",
rule set failure on "AVSYS audit command",
rule set success on "AVSYS audit command",
rule set eval on "AVSYS audit command"

Database Vault AVSYSレルムの統合監査ポリシー

AVSYS Database Vaultレルムは、AVSYS表やパッケージなどのすべてのAVSYSオブジェクトを保護します。AVSYS_DV_UA_POLICYは、Database Vault AVSYSレルムのすべてのアクティビティを監査します。

次のコマンドは、Database Vault AVSYSレルムによって監査されます。

  • drop database link
  • drop index
  • drop package
  • drop package body
  • drop procedure
  • drop sequence
  • drop synonym
  • drop table
  • drop type
  • drop type body
  • drop view
  • delete
  • revoke
  • truncate table

MANAGEMENT_DV_UA_POLICY

CREATE AUDIT POLICY文は、MANAGEMENT_DV_UA_POLICY統合監査ポリシー定義を次のように示します。 


create audit policy MANAGEMENT_DV_UA_POLICY actions component=dv
realm violation on "Audit Vault Account Manager Realm",
realm success on "Audit Vault Account Manager Realm",
realm access on "Audit Vault Account Manager Realm",
rule set failure on "MANAGEMENT audit command",
rule set success on "MANAGEMENT audit command",
rule set eval on "MANAGEMENT audit command"

Database Vault MANAGEMENTレルムの統合監査ポリシー

Database Vault管理レルムは、MANAGEMENT表やパッケージなどを含むすべてのMANAGEMENTオブジェクトを保護します。MANAGEMENT_DV_UA_POLICYは、Database Vault MANAGEMENTレルムのすべてのアクティビティを監査します。

次のコマンドは、Database Vault MANAGEMENTレルムによって監査されます。

  • drop database link
  • drop index
  • drop package
  • drop package body
  • drop procedure
  • drop sequence
  • drop synonym
  • drop table
  • drop type
  • drop type body
  • drop view
  • delete
  • revoke
  • truncate table

AUDIT_DB_MGMT_POLICY

CREATE AUDIT POLICY文は、AUDIT_DB_MGMT_POLICY統合監査ポリシー定義を示し、すべてのユーザーを監査します。 


create audit policy audit_db_mgmt_policy
privileges
ALTER PUBLIC DATABASE LINK,
AUDIT ANY, AUDIT SYSTEM,
CREATE ANY TRIGGER, CREATE PUBLIC DATABASE LINK,
DROP ANY DIRECTORY, DROP PUBLIC DATABASE LINK
actions
ALTER FUNCTION, ALTER PACKAGE, ALTER PROCEDURE, 
ALTER TRIGGER,
CREATE PACKAGE, CREATE PACKAGE BODY, CREATE PROCEDURE,
CREATE SPFILE, CREATE TRIGGER,
DROP FUNCTION, DROP PACKAGE, DROP PROCEDURE,
DROP TRIGGER;

AUDIT_SELECT_DICTIONARY_POLICY

CREATE AUDIT POLICY文は、AUDIT_SELECT_DICTIONARY_POLICY統合監査ポリシー定義を示し、AVSYSおよびMANAGEMENTを除くすべてのユーザーを監査します。 


create audit policy audit_select_dictionary_policy
privileges
SELECT ANY DICTIONARY;
4.13.2.2.3 メインAudit Vault Serverでの統合監査証跡のパージについて

メインAudit Vault Serverに関連する統合監査データに対してパージ・ジョブを構成する方法を学習します。

7日間より古い統合監査証跡データは、デフォルトでパージされます。これは、デフォルトで毎日実行するようにスケジュールされているAVS_MAINTENANCE_JOBの一部として実行されます。スケジュールは、Audit Vault Serverコンソールを使用して変更できます。

関連項目:

メンテナンス・ジョブのスケジュール

シャドウAudit Vault Serverで統合監査証跡収集を構成した後、メインAudit Vault Serverで統合監査証跡のパージ・ジョブを構成することをお薦めします。

統合監査証跡のパージ・ジョブを構成するには、次のステップに従います。

  1. Audit Vault Serverにroot OSユーザーとしてログインします。
  2. コマンドを実行してoracleユーザーに切り替えます。
    su - oracle
  3. ユーザー名またはパスワードなしで、SQL*Plus接続をsqlplus /nologとして起動します。
  4. SQL*Plusで次のコマンドを実行します。
    connect <sysdba>

    必要な場合にはパスワードを入力します。あるいは、次のコマンドを実行します。

    connect <sysdba/password>
  5. 次のSQLスクリプトを実行し、統合監査証跡に対してジョブ名がAVS_UNIFIED_AUDIT_CLEANUPのパージ・ジョブを作成します。
    
begin
      dbms_audit_mgmt.create_purge_job(
        audit_trail_type => dbms_audit_mgmt.audit_trail_unified,
        audit_trail_purge_interval => 1,
        audit_trail_purge_name => 'AVS_UNIFIED_AUDIT_CLEANUP',
        use_last_arch_timestamp => true,
        container => dbms_audit_mgmt.container_current);
  end;

    このジョブは1時間に1回実行され、シャドウAudit Vault Serverの証跡収集によって更新されたアーカイブ済タイムスタンプに基づいて、統合監査証跡をクリーン・アップします。

    ベスト・プラクティス:

    メインAudit Vault Serverからデータを収集するには、シャドウAudit Vault Serverで証跡を構成する際に、統合監査証跡のパージ・ジョブを構成することをお薦めします。

    ノート:

    統合監査証跡のパージ・ジョブを構成すると、AVS_MAINTENANCE_JOBの一部として実行されるクリーン・アップが自動的に削除され、「ジョブ・ステータス」ページに次のメッセージが表示されます。 

    Audit Trail cleanup for Audit Vault Server is enabled, so not purging audit data by Maintenance

    ノート:

    AVS_UNIFIED_AUDIT_CLEANUPのステータスを確認するには、次のSQL文を実行します。 

    select * from dba_scheduler_job_run_details where job_name='AVS_UNIFIED_AUDIT_CLEANUP';

    詳細は、監査証跡管理のデータ・ディクショナリ・ビューを参照してください。

4.13.2.2.4 メインAudit Vault Serverのストレージ要件

監査が有効になっている場合のメインAudit Vault Serverのストレージ要件について学習します。

100万件の監査レコードおよびネットワーク・イベントが収集されるたびに、Audit Vault Serverは自己監査の一部として3 GBの監査レコードを生成します。管理者は、デプロイメントに応じてこの領域使用量を考慮するようサイズ設定を行う必要があります。

Audit Vault Serverのフレッシュ・インストールは、『Audit Vaultサイズ設定ガイド』を参照してください。以前のバージョンからAudit Vault Serverをアップグレードする場合は、次のガイドラインに従います。

  1. Audit Vault Serverによって生成されたレコード数(百万単位)に対するデータを8日間収集します。これをXとします。たとえば、1日当たり200万件のレコードが生成される場合、Xは、2 * 8 = 16となります。

  2. 次に、Audit Vault Serverの自己監査に必要な領域(Y)を計算します。これには、SYSTEMDATAおよびEVENTDATAが含まれます。100万件のレコードごとに必要な領域は3 GBです。

    Y = X multiplied by 3 GB

管理者は、SYSTEMDATAおよびEVENTDATAディスク・グループにY GBの領域を割り当てる必要があります。たとえば、システムで1日当たり200万件の監査レコードを処理している場合、Audit Vault Serverの監査にはSYSTEMDATAEVENTDATAの両方に48 GBのストレージ領域が必要です。(200万件のレコード* 8日間* 3 GB = 48 GB)。 


X = 2 * 8 = 16
Y = 16 * 3 GB = 48 GB

Audit Vault Serverの監査で1日当たり約200万件の監査レコードを処理するには、管理者SYSTEMDATAおよびEVENTDATAに48 GBの領域を割り当てる必要があります。

4.13.2.2.5 シャドウAudit Vault Serverへの監査レコードの収集

シャドウAudit Vault Serverに監査レコードを収集する方法を学習します。

メインAudit Vault Serverの監査証跡を監視するように、シャドウAudit Vault Serverを構成できます。たとえば、何者かがメインAudit Vault ServerにログインしてAVSYSパッケージを削除すると、アクティビティが監査され、証跡がレポートおよび分析のためにシャドウAudit Vault Serverに収集されます。監査レコードは、監査者がAudit Vault Serverコンソールでアクセスできるアクティビティ・レポートにあります。たとえば、「すべてのアクティビティ」レポートです。

シャドウAudit Vault Serverを構成する場合は、統合監査証跡とOS監査証跡の両方からの収集を構成する必要があります。

これらの証跡を構成するには、次のステップを実行します。

  1. メインAudit Vault ServerへのAudit Vault Agentのデプロイ
  2. メインAudit Vault Serverの統合監査証跡からデータを収集するための、シャドウAudit Vault Serverへの証跡の追加
  3. メインAudit Vault Serverのオペレーティング・システム監査証跡からデータを収集するための、シャドウAudit Vault Serverへの証跡の追加
4.13.2.2.6 メインAudit Vault ServerへのAudit Vault Agentのデプロイ

メインAudit Vault ServerにAudit Vault Agentをデプロイする方法を学習します。

シャドウAudit Vault Serverは、メインAudit Vault Serverの監査証跡を監視するように構成できます。これを実現するには、Audit Vault AgentをメインAudit Vault Serverにデプロイする必要があります。

次のステップを実行します。

  1. シャドウAudit Vault Serverに管理者としてログインします。
  2. メインAudit Vaultサーバーを「エージェント」タブで登録します。
  3. メインAudit Vault Serverにrootユーザーとしてログインします。
  4. 次のコマンドを実行して、メインAudit Vault Serverに/var/lib/oracle/avs_agentディレクトリを作成します。
    cd /var/lib/oracle
    mkdir avs_agent
    chown avsagent:osaudit avs_agent
  5. sudo -u avsagent /bin/bashコマンドを実行して、avsagent OSユーザーのbashシェルを作成します。

    ノート:

    avsagent OSユーザーのログインはシェルで定義されていません。avsagentユーザーとしてコマンドを実行するには、rootユーザーとしてログインします。これを行うには、コマンドsudo -u avsagent /bin/bashを実行し、作成したbashシェルを使用してavsagentユーザーとしてコマンドを実行するか、またはコマンドsudu -u avsagent <command>を実行します。
  6. シャドウAudit Vault Serverコンソールに管理者としてログインします。
  7. 「エージェント」タブをクリックし、「ダウンロード」をクリックします。
  8. agent.jarファイルを/var/lib/oracle/avs_agentディレクトリにダウンロードし、メインAudit Vault Serverにavsagent OSユーザーとしてコピーします。
  9. /home/avsagent/.bashrcに、行export PATH=/var/lib/oracle/avs_agent/bin:$PATHを追加します。これにより、sudo -u avsagent /bin/bashによって作成される将来のbashシェルに、agentctlにアクセスするためのPATHが確実に含まれるようになります。
  10. 前に作成したシェルで、avsagent OSユーザーとして、メインAudit Vault ServerにAudit Vault Agentをデプロイします。

    /var/lib/oracle/avs_agent/binPATHに含まれることを確認します。または、export PATH=/var/lib/oracle/avs_agent/bin:$PATHを実行します。

  11. このとき、次のコマンドを実行すると、
    java -jar /var/lib/oracle/avs_agent/agent.jar
  12. 次のコマンドを実行して、エージェントをavsagent OSユーザーとして起動します。
    agentctl start -k
  13. プロンプトが表示されたら、アクティブ化キーを入力します。アクティブ化キーは、シャドウAudit Vault Serverの「エージェント」タブで入手できます。必ず、エージェントの名前を含む完全なアクティブ化キーを入力するようにしてください。
4.13.2.2.7 メインAudit Vault Serverの統合監査証跡からデータを収集するための証跡の追加

Oracle DatabaseターゲットとしてのメインAudit Vault Serverの統合監査証跡からデータを収集するために証跡を追加する方法を学習します。

これは、大まかに2つのステップで構成されます:

  1. Oracle DatabaseターゲットとしてのメインAudit Vault Serverの登録。
  2. メインAudit Vault Serverの統合監査証跡からデータを収集するための証跡の構成。
4.13.2.2.7.1 Oracle DatabaseターゲットとしてのメインAudit Vault Serverの登録

Oracle DatabaseターゲットとしてメインAudit Vault Serverを登録する方法を学習します。

  1. メインAudit Vault Serverにdvaccountmgrとしてログインします。
  2. AVSAUDITユーザーのパスワードを更新し、アカウントをロック解除します。
  3. ユーザー名またはパスワードなしで、SQL*Plus接続をsqlplus /nologとして起動します。
  4. SQL*Plusで次のコマンドを実行します。
    connect <sysdba>

    あるいは、次のコマンドを実行します。

    connect <sysdba/password>
  5. 必要な場合にはパスワードを入力します。
  6. 次のコマンドを実行します。
    @oracle_user_setup.sql AVSAUDIT setup

    oracle_user_setup.sql/var/lib/oracle/avs_agent/av/plugins/com.oracle.av.plugin.oracle/configにあります。

  7. dvownerとしてログインします。
  8. SQL*Plusを起動し、次のコマンドを実行します。
    GRANT DV_MONITOR TO "AVSAUDIT"
  9. シャドウAudit Vault Serverに管理者としてログインします。
  10. アーカイブの場所を作成し、メインAudit Vault Serverターゲットのアーカイブ・ポリシーを定義します。オンラインの月数を6およびアーカイブの月数を0として、アーカイブ・ポリシーを作成することをお薦めします。
  11. Oracle DatabaseターゲットとしてメインAudit Vault Serverを登録します。ターゲット登録時に、保存ポリシーとして6 months online, 0 monthsを選択します。「データベース・ユーザー名」フィールドでAVSAUDITを使用します。「パスワード」フィールドにAVSAUDITパスワードを入力します。
4.13.2.2.7.2 メインAudit Vault Serverの統合監査証跡からデータを収集するための証跡の構成

Oracle DatabaseターゲットとしてのメインAudit Vault Serverの統合監査証跡からデータを収集するために監査証跡を追加する方法を学習します。

  1. シャドウAudit Vault Serverに管理者としてログインします。
  2. メインAudit Vault Server Oracle Databaseターゲットの監査証跡を追加します。
  3. 「ターゲット」タブをクリックします。
  4. メインAudit Vault Server Oracle Databaseターゲットを特定してクリックします。
  5. 「監査データ収集」セクションで、「追加」をクリックします。
  6. 「監査証跡のタイプ」フィールドの表を選択します。
  7. 「証跡の場所」フィールドでUNIFIED_AUDIT_TRAILを選択します。
  8. 「エージェント・ホスト」フィールドでデプロイされたAudit Vault Agentを選択します。
  9. 「エージェント・プラグイン」フィールドで、com.oracle.av.plugin.oracleを選択します。
  10. 「保存」をクリックします。
  11. 監査証跡は自動的に起動します。
4.13.2.2.8 メインAudit Vault ServerのOS監査証跡からデータを収集するための証跡の追加

LinuxターゲットとしてのメインAudit Vault ServerのOS監査証跡からデータを収集するために証跡を追加する方法を学習します。

これは、大まかに2つのステップで構成されます:

  1. LinuxターゲットとしてのメインAudit Vault Serverの登録。
  2. メインAudit Vault ServerのOS監査証跡からデータを収集するための証跡の構成。
4.13.2.2.8.1 LinuxターゲットとしてのメインAudit Vault Serverの登録

LinuxターゲットとしてメインAudit Vault Serverを登録する方法を学習します。

  1. シャドウAudit Vault Serverに管理者としてログインします。
  2. 「ターゲット」タブをクリックし、「登録」をクリックします。
  3. 「タイプ」フィールドでLinuxを選択します。
  4. 「保存ポリシー」として6 months online and 0 monthsを選択します。
  5. DNSが構成されている場合、メインAudit Vault Serverの「ホスト名」を入力します。
  6. Audit Vault ServerのメインのIPアドレスを入力します。
  7. 「保存」をクリックします。
4.13.2.2.8.2 メインAudit Vault ServerのOS監査証跡からデータを収集するための証跡の構成

LinuxターゲットとしてのメインAudit Vault Serverの統合監査のために監査証跡を追加する方法を学習します。

  1. シャドウAudit Vault Serverに管理者としてログインします。
  2. LinuxターゲットとしてのメインAudit Vault Serverの監査証跡を追加します。
  3. 「ターゲット」タブをクリックします。
  4. メインAudit Vault Server Linuxターゲットを特定してクリックします。
  5. 「監査データ収集」セクションで、「追加」をクリックします。
  6. 「監査証跡のタイプ」フィールドでDIRECTORYを選択します。
  7. 「証跡の場所」フィールドに、/var/log/audit/audit*.logと入力します。
  8. 「エージェント・ホスト」フィールドでデプロイされたAudit Vault Agentを選択します。これは、メインAudit Vault Serverで以前にデプロイされたエージェントです。
  9. 「エージェント・プラグイン」フィールドで、com.oracle.av.plugin.linuxosを選択します。
  10. 「保存」をクリックします。
  11. 監査証跡は自動的に起動します。

    ベスト・プラクティス:

    • メインAudit Vault Serverから統合監査データとOS監査データを収集するようにシャドウAudit Vault Serverを構成することをお薦めします。
    • シャドウAudit Vault Serverは、メインAudit Vault Serverからのみ監査データを取得するように強く制限する必要があります。
    • シャドウAudit Vault Serverを介してメインAudit Vault Serverの監査ポリシーをプロビジョニングまたは変更する場合は、慎重に検討することをお薦めします。メインAudit Vault Serverの監査が増加すると、パフォーマンスに影響を及ぼします。
4.13.2.2.9 AVREPORTUSERAVSAUDITおよびORDS_PUBLIC_USERユーザーをモニタリングするアラート・ポリシーの作成

AVREPORTUSERAVSAUDITおよびORDS_PUBLIC_USERユーザーをモニターするために、電子メール通知を含むアラート・ポリシーを作成することをお薦めします。

次の条件で、電子メール通知を含むアラート・ポリシーを作成します。
upper(:EVENT_STATUS)='FAILURE' and upper(:EVENT)='LOGON' and (upper(:USER)='AVREPORTUSER' or upper(:USER)='AVSAUDIT' or upper(:USER)='ORDS_PUBLIC_USER')

詳細は、『Oracle Audit Vault and Database Firewall監査者ガイド』「アラートの作成およびアラート条件の作成」を参照してください。

アラートを受信した場合は、イベントの詳細を確認し、AVREPORTUSERAVSAUDITおよびORDS_PUBLIC_USERユーザーがこれ以上ログインを試行しないようにアクションを実行する必要があります。