1. 開発者ガイド
  2. Audit Vault Serverフィールド

A Audit Vault Serverフィールド

収集プラグインでOracle Audit Vault and Database Firewallイベントとフィールドをマップできます。

A.1 Oracle Audit Vault and Database Firewallフィールド

Oracle Audit Vault and Database Firewall値は、コア・フィールド、ラージ・フィールド、マーカー・フィールドおよび拡張フィールドから構成されます。

A.1.1 コア・フィールド

Oracle Audit Vaultですべてのソース・タイプの監査レコードをモニターおよびフィルタするには、コア・フィールドを使用します。

コア・フィールドは、すべてのソース・タイプの基本です。イベントの説明の中核となるものです。このフィールドは、ほとんどの監査レコードに存在し、レポート、フィルタ処理などに使用されます。

コア・フィールド定義

EventTimeUTC: 必須: イベントが発生した時間を示すタイム・スタンプ。イベントに複数のタイム・スタンプがある場合(たとえば、イベント開始タイム・スタンプとイベント終了タイム・スタンプなど)、収集プラグイン は、タイム・スタンプをこのフィールドに割り当てる必要があります。このフィールドがNULLを含む場合、Oracle Audit Vaultは収集プラグインを停止します。

UserName: 必須: 監査レコードを生成したアプリケーションまたはシステムのアクションを実行したユーザー。このフィールドがNULLを含む場合、監査レコードは無効です。

CommandClass: 必須: イベントで実行したアクション(たとえば、SELECTDELETEなど)。このフィールドがNULLを含む場合、監査レコードは無効です。

OSUserName: 監査レコードを生成したオペレーティング・システムにログインしたユーザー。ユーザーがJOHNとしてオペレーティング・システムにログインし、SCOTTとしてアクションを実行した場合、このフィールドはJOHNとなり、User NameフィールドはSCOTTとなります。

TargetType: アクションを実行したターゲット・オブジェクトのタイプ。たとえば、ユーザーが表から選択した場合、ターゲット・タイプはTABLEです。

TargetObject: アクションを実行したオブジェクトの名前。たとえば、ユーザーが表から選択した場合、Target Objectフィールドはその表の名前になります。

TargetOwner: アクションが実行されたターゲットの所有者の名前。たとえば、ユーザーがユーザーJOHNによって所有されている表から選択した場合、「ターゲット所有者」フィールドはユーザー名JOHNになります。

ClientIP: ユーザーがアクションを開始したホスト(ホスト名)のIPアドレス。

ClientId: アクションが監査されたユーザーのクライアントID。

ClientHostName: ユーザーがアクションを開始したホスト・コンピュータ。たとえば、ユーザーがサーバーのアプリケーションからアクションを実行した場合、このフィールドはそのサーバーの名前になります。

TerminalName: イベントのソースであったUNIX端末の名前。

EventName: 監査証跡からのそのままのイベント名。

EventStatus: イベントのステータス。EventStatusには、SUCCESSFAILUREおよびUNKNOWNの3つの値が使用できます。

ErrorId: アクションのエラー・コード。

ErrorMessage: アクションのエラー・メッセージ。

関連トピック

A.1.2 ラージ・フィールド

Oracle Audit Vaultでは、ラージ・フィールドは大量のデータを任意で含むことができるフィールドです。

ラージ・フィールド定義

ラージ・フィールドでは、次を使用します。

  • CommandText: SQL文、PL/SQL文などを指定できるイベントを発生させたコマンドのテキストを含みます。これはコア・フィールドでもあります。

  • CommandParam: イベントを発生させたコマンドのパラメータを含みます。これはコア・フィールドでもあります。

A.1.3 マーカー・フィールド

Oracle Audit Vaultでは、マーカー・フィールドは証跡のレコードを一意に識別するフィールドです。

マーカー・フィールド定義

レコードのマーカー・フィールド: マーカーは、証跡のレコードを一意に識別する文字列です。リカバリ・プロセス中に、Oracle Audit Vaultは、このフィールドを使用して、重複するレコードをフィルタ処理します。収集プラグインは、通常監査レコード・フィールドの連結したサブセットであるマーカー・フィールドを提供します。たとえば、Oracle Databaseでは、セッションIDとエントリID (セッション内の一意の識別子)によってマーカーが定義されます。

A.1.4 拡張フィールド

拡張フィールドは、コア・フィールドまたはラージ・フィールドに対応できないフィールドを、名前/値ペアとしてデリミタで区切って単一のAudit Vaultフィールド内に格納します。

拡張フィールド定義

拡張フィールドにはキャラクタ・ラージ・オブジェクト(CLOB)列が含まれます。RLS$INFO列には、構成された行レベルのセキュリティ・ポリシーが示されます。RLS$INFO情報は、Oracle Audit Vault and Database Firewallの拡張フィールドにマップされます。

拡張フィールド値

拡張フィールド列に移入するには、ターゲットのAUDIT_TRAILパラメータをDB EXTENDEDに設定する必要があります。

A.2 アクションおよびターゲット・タイプ

収集プラグインを作成する際、Oracle Audit Vaultで検出可能なターゲット・タイプとアクションを使用できます。

収集プラグインを作成している場合に、フィールドが意味的にマップされていたら、マッパー・ファイルでこれらのフィールドを使用する必要があります。それ以外の場合、独自の値を使用できます。

A.2.1 アクション

Actionフィールドは、監査レコードの生成をトリガーするユーザー・アクティビティの性質を説明します。文の動詞と似ていて、動作を説明します。

目的

監査レコードの生成をトリガーするユーザー・アクティビティの性質を説明します

Oracle Audit Vault and Database Firewallでは、ユーザー・アクティビティが意味的にマップされている場合、監査イベントをActionフィールドの適切な値にマップすることをお薦めします。

許可されているアクション

Audit Vault Serverは、現在、次のアクションを認識します。


END
ACCESS
ACQUIRE
ALTER
ANALYZE
APPLY
ARCHIVE
ASSIGN
ASSOCIATE
AUDIT
AUTHENTICATE
AUTHORIZE
BACKUP
BIND
BLOCK
CACHE
CALCULATE
CALL
CANCEL
CLOSE
COMMIT
COMMUNICATE
COMPARE
CONFIGURE
CONNECT
CONTROL
CONVERT
COPY
CREATE 
DDL
DEADLOCK
DELETE
DEMOTE
DENY
DENY
DISABLE
DISASSOCIATE
DISCONNECT
DML
DROP
ENABLE
EXCEED
EXECUTE
EXPIRE
EXPORT
FAIL
FILTER
FINISH
GET
GRANT
IMPORT
INHERIT
INITIALIZE
INSERT
INSTALL
INVALID
INVALIDATE
LOAD
LOCK
LOGIN
LOGOUT
MIGRATE
MOUNT
MOVE
NOAUDIT
NOTIFY
NOTIFY
OPEN
PAUSE
PROMOTE
PROXY
PUBLISH
QUARANTINE
RAISE
READ
RECEIVE
RECOVER
REDO
REFRESH
REGISTER
RELEASE
REMOTE CALL
RENAME
RENEW
REQUEST
RESET
RESTORE
RESUME
RETRIEVE
REVOKE
ROLLBACK
ROLLFORWARD
SAVEPOINT
SEARCH
SELECT
SEND
SET
START
STOP
SUBMIT
SUBSCRIBE
SUSPEND
SYNCHRONIZE
TRANSACTION MANAGEMENT
TRUNCATE
UNDO
UNINSTALL
UNKNOWN
UNLOCK
UNMOUNT
UNREGISTER
UNSUBSCRIBE
UPDATE
VALIDATE
VIOLATE
WAIT
WRITE

A.2.2 ターゲット・タイプ

TargetTypeフィールドは、ユーザー・アクションが動作するオブジェクトのタイプを説明します。ユーザー・アクションのオブジェクトを説明する名詞と似ています。

目的

ユーザー・アクションが動作するオブジェクトのタイプを説明します。

Oracle Audit Vault and Database Firewallでは、ユーザー・アクティビティが意味的にマップされている場合、監査イベントをTargetTypeフィールドの適切な値にマップすることを強くお薦めします。

許可されているオブジェクト

Oracle Audit Vault Serverは、現在、次のターゲット・タイプを認識します。

ALL TRIGGERS
APP ROLE
APPLICATION
ASSEMBLY
AUTHORIZATION
BROKER QUEING
BUFFERPOOL
CHECKPOINT
CLUSTER
CONNECTION
CONTEXT
CONTROL FILE
DATABASE
DATABASE LINK
DBA_RECYCLEBIN
DEFAULT
DIMENSION
DIRECTORY
EDITION
EVALUATION
EVENT MONITOR
EXPRESSION
FLASHBACK
FLASHBACK ARCHIVE
FUNCTION
INDEX
INDEXES
INDEXTYPE
INSTANCE
JAVA
LIBRARY
MATERIALIZED VIEW
MATERIALIZED VIEW LOG
MESSAGE
METHOD
MINING MODEL
NODE
NODEGROUP
OBJECT
OPERATOR
OUTLINE
PACKAGE
PACKAGE BODY
PRIVILEGE
PROCEDURE
PROFILE
PUBLIC DATABASE LINK
PUBLIC SYNONYM
RESOURCE COST
RESTORE POINT
REVOKE
REWRITE EQUIVALENCE
ROLE
ROLLBACK SEG
RULE
SAVEPOINT
SAVEPOINT
SCHEMA
SEQUENCE
SESSION
STATISTICS
SUBSCRIPTION
SUMMARY
SYNONYM
SYSTEM
TABLE
TABLE OR SCHEMA POLICY
TABLESPACE
TAPE
TRACE
TRANSACTION
TRIGGER
TYPE
TYPE BODY
UNKNOWN
USER
USER LOGON
USER OR PROGRAM UNIT LABEL
USER_RECYCLEBIN
VIEW