1. インストレーション・ガイド
  2. Oracle Audit Vault and Database Firewallリリース20へのパッチ適用

6 Oracle Audit Vault and Database Firewallリリース20へのパッチ適用

Oracle Audit Vault and Database Firewall (Oracle AVDF)リリース20を使用している場合は、最新のリリース更新(RU)パッチを適用して、最新の機能およびバグ修正にアクセスできます。

Oracle AVDFリリース12.2を使用している場合は、「Oracle Audit Vault and Database Firewallのリリース12.2からリリース20へのアップグレード」を参照して、リリース20への完全アップグレードを実行します。

ノート:

  • パッチ適用プロセスでは、アップグレード・プロセスと同じアップグレード前RPMが使用されますが、パッチ適用には完全アップグレードと比較して、タスクのサブセットが小さくなります。

  • この章で使用する更新パッチ適用は交換可能です。

6.1 Oracle Audit Vault and Database Firewallへのパッチ適用について

Oracle Audit Vault and Database Firewall (Oracle AVDF)リリース20から最新リリース更新(RU)へのパッチ適用については、次のガイドラインに従ってください。

次の高レベルのプロセスを使用して、Oracle AVDFにパッチを適用します。

  1. My Oracle Supportからファイルをダウンロードします。
  2. バックアップの作成など、更新前タスクを完了します。
  3. Audit Vault Serverを更新します。
  4. Audit Vault Agentおよびホスト・モニター・エージェントが自動的に更新されたことを確認します。
  5. Database Firewallを更新します。
  6. 更新が成功したことの確認など、更新後のタスクを完了します。

ノート:

大量のイベント・データがある場合は、イベント・ログ・データ・サイズ合計の約5%の、十分なディスク領域を保持してください。HDDストレージとSANストレージが両方ある場合は、HDDまたはSANのどちらかに、必要なディスク領域を保持します。各ディスク・グループ(EVENTDATA、SYSTEMDATAおよびRECOVERY)に、20%以上の空き領域が必要です。

ノート:

データを監視および収集するための停止時間を最小限に抑えてOracle AVDFを新しいリリースに更新するには、「バックアップとリストアの使用による最小停止時間でのOracle AVDFの更新」を参照してください。

6.2 ファイルのダウンロード

Oracle Audit Vault and Database Firewall (Oracle AVDF)にパッチ適用またはこれをアップグレードするには、My Oracle Supportからファイルをダウンロードする必要があります。

  1. My Oracle Supportに移動してサインインします。
  2. 「Patches & Updates」タブをクリックします。
  3. 「パッチ検索」ボックスを使用してパッチを検索します。
    1. 左側の「製品またはファミリ(拡張)」リンクをクリックします。
    2. 「製品」フィールドに、Audit Vault and Database Firewallと入力します。
    3. 「リリース」フィールドのドロップダウン・リストから最新のOracle AVDFリリースを選択します。
    4. 「検索」をクリックします。
  4. 検索結果の「パッチ名」列で、最新のバンドル・パッチのリンクをクリックします。

6.3 更新前のタスク

Oracle Audit Vault and Database Firewall (Oracle AVDF)を最新リリースに更新する前に、バックアップの実行などの前提条件タスクを完了します。

ノート:

Audit Vault AgentがWindowsマシンで実行されている場合は、Oracle AVDFを更新する前に、エージェント関連のすべてのディレクトリと開いているファイルを閉じます。

6.3.1 現在のOracle Audit Vault and Database Firewallインストールのバックアップ

Oracle Audit Vault and Database Firewall (Oracle AVDF)を最新リリースに更新する前に、Audit Vault Serverをバックアップします。

詳細は、Audit Vault Serverのバックアップおよびリストアを参照してください。

現在のAudit Vault ServerがOracle VMやVMWareなどの仮想マシン(VM)にインストールされている場合、Oracleでは、更新プロセスを開始する前にVMスナップショットを取得することをお薦めします。

6.3.2 手動で取得した既存の表領域の解放

Oracle Audit Vault and Database Firewall (Oracle AVDF)リリース20.1から20.3に更新する場合は、手動で取得したすべての既存の表領域を解放します。この手順は、Oracle AVDFリリース20.4以降に更新する場合は、自動的に実行されます。

次のステップは、AVDF 20.1から20.3にのみ適用されます。

既存の表領域を解放しないと、次の状況が発生する可能性があります。

  • 更新が失敗し、エラーが発生する可能性があります。
  • 領域を割り当てることができないため、更新後に新しい索引が作成されない場合があります。

表領域を手動で解放するには、次のステップを実行します。

  1. Audit Vault Serverコンソールにスーパー管理者としてログインします。

  2. 「設定」タブをクリックします。

  3. 左側のナビゲーション・メニューの「アーカイブ中」をクリックします。

  4. 「取得」サブタブをクリックします。

    ページには、取得されたすべての表領域がリストされます。

  5. すべての表領域を選択して解放します。

6.3.3 SYSユーザーがロック解除され、パスワードが期限切れでないことの確認

sysパスワードの有効期限が切れているかsysユーザーがロックされている場合は、Oracle Audit Vault and Database Firewall (Oracle AVDF)の更新プロセスの間にアップグレード前RPMを実行すると、エラーが表示されます。

この問題を回避するには、プライマリ・システムとスタンバイ・システムでsysユーザーを更新します。

  1. プライマリ・システムとスタンバイ・システムの両方で次のステップを実行します。

    1. SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

      SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

    2. rootユーザーとして、次のコマンドを実行します。
      systemctl stop monitor
    3. 実行中のobserverctlプロセスを確認し、停止します。
      ps -elf | grep observerctl
kill -9 <PID of observerctl>
    4. 実行中のdgmgrlプロセスを確認し、停止します。
      ps -elf | grep dgmgrl
kill -9 <PID of dgmgrl>
  2. プライマリ・システムを更新します。

    1. SSHを使用してプライマリAudit Vault Serverにログインし、rootユーザーに切り替えます。

      SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

    2. oracleユーザーに切り替えます。

      su - oracle

    3. 次のコマンドを入力することでSQL*Plusを起動します。

      sqlplus / as sysdba

    4. 次のコマンドを入力します。

      select avsys.secutil.gen_rand_pwd(30) as pwd from dual

      ノート:

      このパスワードは、プライマリ・システムとスタンバイ・システムの両方で、パスワードが必要となるすべての手順で使用します。

    5. 次のコマンドを入力します。

      alter user sys identified by <password_from_step_1d_above> account unlock;
      ALTER SYSTEM SWITCH LOGFILE;
    6. 終了してoracleユーザーに戻ります。

    7. oracleユーザーとして、次のコマンドを入力します: 

       mkstore -wrl /var/lib/oracle/dbfw/network/admin/observer/ -modifyCredential DBFWDB_HA2_DGMGRL SYS <password_from_step_1d>
      mkstore -wrl /var/lib/oracle/dbfw/network/admin/observer/ -modifyCredential DBFWDB_HA1_DGMGRL SYS <password_from_step_1d>
      mkstore -wrl /var/lib/oracle/dbfw/network/admin/observer/ -modifyCredential DBFWDB_HA1 SYS <password_from_step_1d>
      mkstore -wrl /var/lib/oracle/dbfw/network/admin/observer/ -modifyCredential DBFWDB_HA2 SYS <password_from_step_1d>

    8. 次のコマンドを入力することで、ファイルをスタンバイ・システムに安全にコピーします。

      scp /var/lib/oracle/dbfw/dbs/orapwdbfwdb support@<standby IP>:~/

  3. スタンバイ・システムを更新します。

    1. SSHを使用してスタンバイAudit Vault Serverにログインし、rootユーザーに切り替えます。

      SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

    2. 新しいファイル権限が元のファイルと同じであることを確認します。

    3. oracleユーザーに切り替えます。

      su - oracle

    4. 次のコマンドを入力します。

      mkstore -wrl /var/lib/oracle/dbfw/network/admin/observer/ -modifyCredential DBFWDB_HA2_DGMGRL SYS <password_from_step_1d>
      mkstore -wrl /var/lib/oracle/dbfw/network/admin/observer/ -modifyCredential DBFWDB_HA1_DGMGRL SYS <password_from_step_1d>
      mkstore -wrl /var/lib/oracle/dbfw/network/admin/observer/ -modifyCredential DBFWDB_HA1 SYS <password_from_step_1d>
      mkstore -wrl /var/lib/oracle/dbfw/network/admin/observer/ -modifyCredential DBFWDB_HA2 SYS <password_from_step_1d>

  4. プライマリ・システムとスタンバイ・システムの両方で、rootユーザーとして次のコマンドを入力します: 

    systemctl stop monitor
    systemctl stop dbfwlistener
    systemctl stop dbfwdb
    systemctl start dbfwdb
    systemctl start dbfwlistener
    systemctl start monitor

  5. プライマリ・システムとスタンバイ・システムの両方で、oracleユーザーとして次のコマンドを入力します: 

    /usr/local/dbfw/bin/observerctl --start

関連トピック

6.3.4 パッチを適用してAVDF 20.10にする前のFIPSモードの無効化

パッチを適用してOracle AVDF 20.xから20.10にする際に、FIPSモードが現在有効になっている場合は、まず無効にする必要があります。パッチが正常に適用された後、必要に応じてFIPSモードを再度有効にします。

AVDFにパッチを適用してバージョン20.10にするには、パッチ適用の前にFIPSモードを無効にする必要があります。FIPSモードは、パッチ適用の完了後に有効にできます。パッチの適用がFIPSモードで試行されると、操作が次のメッセージで失敗します。 
Precondition: 'fips-mode-check.rb' Result: 'The installed system cannot be upgraded when the FIPS mode is enabled. Please disable the FIPS mode.'

Audit Vault ServerでのFIPSモードの無効化

  1. Audit Vault Serverコンソールにスーパー管理者としてログインします。
  2. 「設定」タブをクリックします。

    左側のナビゲーション・メニューの「セキュリティ」タブがデフォルトで選択されています。

  3. メイン・ページで、「FIPS」サブタブをクリックします。
  4. トグル・スイッチをクリックしてFIPS 140-2を無効にします。
  5. 「保存」をクリックします。

    Audit Vault Serverが再起動されるというメッセージが表示され、続行するか取り消すかを尋ねられます。

  6. Audit Vault Serverに対してFIPS 140-2を無効にするには、「OK」をクリックします。これを行わない場合は、「取消」をクリックします。

FIPSモードを無効にした後、コンソールが使用可能になるまでに数分かかることがあります。

高可用性構成では、プライマリAudit Vault Serverに対してFIPS 140-2モードを有効にすると、スタンバイAudit Vault ServerのFIPS 140-2モードも有効になります。同様に、プライマリAudit Vault Serverに対してFIPSモードを無効にすると、スタンバイAudit Vault Serverでもそれが無効になります。

Database FirewallでのFIPSモードの無効化

  1. Audit Vault Serverコンソールにスーパー管理者してログインします。
  2. 「データベース・ファイアウォール」タブをクリックします。左側のナビゲーション・メニューの「データベース・ファイアウォール」タブがデフォルトで選択されています。
  3. FIPS 140-2を有効にする特定のDatabase Firewallインスタンスの名前をクリックします。
  4. 「構成」セクションで「FIPS」をクリックします。ダイアログが表示されます。
  5. ダイアログで、トグル・スイッチをオフにしてFIPS 140-2を無効にします。
  6. 「保存」をクリックします。Database Firewallが再起動するメッセージが表示され、続行または取り消すように求められます。
  7. Database FirewallインスタンスのFIPS 140-2を無効にするには、「OK」をクリックして続行します。それ以外の場合は、「取消」をクリックします。

    Database Firewallインスタンスが再起動され、しばらくの間使用できません。

  8. しばらく待ってから、左側のナビゲーション・メニューの「データベース・ファイアウォール」タブに戻ります。
  9. 「FIPSモード」列の下にあるFIPS 140-2モードのステータスを特定のDatabase Firewallインスタンスに対して確認します。
  1. Audit Vault Serverコンソールにスーパー管理者してログインします。
  2. 「データベース・ファイアウォール」タブをクリックします。左側のナビゲーション・メニューの「データベース・ファイアウォール」タブがデフォルトで選択されています。
  3. 左側のナビゲーション・メニューの「高可用性」タブをクリックします。高可用性に構成されているすべてのDatabase Firewallインスタンスがメイン・ページに表示されます。
  4. ペアになったDatabase Firewallインスタンスの名前は、メイン・ページの「プライマリ」列と「セカンダリ」列の下にリストされます。FIPSを無効にするDatabase Firewallインスタンスの特定のペアを選択します。
  5. ページの右上隅にある「FIPS」をクリックします。ダイアログが表示されます。
  6. ダイアログで、トグル・スイッチをオフにしてFIPS 140-2を無効にします。
  7. 「保存」をクリックします。Database Firewallが再起動するメッセージが表示され、続行または取り消すように求められます。
  8. Database FirewallインスタンスのFIPS 140-2を無効にするには、「OK」をクリックして続行します。それ以外の場合は、「取消」をクリックします。

    Database Firewallインスタンスが再起動され、しばらくの間使用できません。

  9. しばらく待ってから、左側のナビゲーション・メニューの「データベース・ファイアウォール」タブに戻ります。
  10. 「FIPSモード」列の下にあるFIPS 140-2モードのステータスを特定のDatabase Firewallインスタンスに対して確認します。

関連トピック

6.4 Audit Vault Serverの更新

Audit Vault AgentおよびDatabase Firewallを更新する前に、Audit Vault Serverを更新します。

ノート:

この項では、アプライアンスという語はAudit Vault Serverを指します。

6.4.1 スタンドアロンAudit Vault Serverの更新

高可用性環境でペアになっていないスタンドアロンAudit Vault Serverを更新するには、次のプロセスに従います。

  1. すべての監査証跡を停止します。
  2. アップグレード前RPMを実行します。
  3. アプライアンスにISOファイルを転送します。
  4. 更新スクリプトを起動します。
  5. アプライアンスを再起動します。

ノート:

アプライアンスが再起動すると、更新プロセスが続行されます。Audit Vault Serverでの完了には数時間かかります。この進行中はシステムを再起動しないでください。

更新ノート

  • 既存のターゲットで、Oracle Audit Vault and Database Firewall (Oracle AVDF)設定スクリプトを実行してユーザー権限(ストアド・プロシージャ監査など)を設定した場合は、Audit Vault Serverの更新後にそれらの権限を更新するための追加の操作は必要ありません。

    Oracle AVDFのリリース・ノートで、設定スクリプトが変更されているかどうかを調べて、その再実行が必要かどうかを確認します。

  • Oracle AVDF 12.2からリリース20.1-20.8に更新すると、パスワード・ハッシュがより安全な標準にアップグレードされます。この変更は、オペレーティング・システムのパスワード(supportおよびroot)に影響します。Audit Vault Serverの更新後にパスワードを変更して、よりセキュアなハッシュを活用してください。

6.4.1.1 すべての監査証跡の停止

Audit Vault Serverを更新する前に、すべての監査証跡を停止します。

  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. 「ターゲット」タブをクリックします。
  3. 左側のナビゲーション・メニューの「監査証跡」をクリックします。
  4. すべての監査証跡を選択します。
  5. 「中止」をクリックします。
6.4.1.2 アップグレード前RPMの実行

アップグレード前RPMを実行して、ファイル・システムに必要な領域があるか確認し、更新のためにシステムを準備します。

ノート:

パッチ適用プロセスでは、アップグレード・プロセスと同じアップグレード前RPMが使用されますが、パッチ適用には完全アップグレードと比較して、タスクのサブセットが小さくなります。

アップグレード前RPMは、次のタスクを実行して、システムを更新用に準備します。

  • パッチ・ファイルをアプライアンスにコピーするための十分な領域があるようにアプライアンスの空き領域を再編成し、インストールを開始します。更新後、パッチ・ファイルの領域がファイル・システムに返されます。
  • Oracle AVDF 20.9からOracle AVDF 20.10以降への更新から、Audit Vault Agentおよびホスト・モニター・エージェントがAudit Vault Serverの新しいバージョンと互換性があることを検証します。たとえば、エージェント・ホスト・マシンに互換性のあるオペレーティング・システムとJavaバージョンがあることを検証します。
  • 更新前に他の前提条件およびプラットフォーム条件が満たされていることを検証します。
  • 更新のメインISOファイルを保持するための十分な領域を確保して/var/dbfw/upgradeディレクトリを作成することで、システムの更新準備を整えます。

アップグレード前RPMを実行するには、次のステップに従います。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. rootユーザーとしてscreenコマンドを実行します。

    screenコマンドは、ネットワークの切断によって更新が中断されないようにします。セッションが終了したら、rootユーザーに切り替え、screen -rコマンドを実行して再開します。

  3. rootディレクトリに変更します。 

    cd /root

  4. 次のコマンドを実行して、アップグレード前RPMファイルを、ダウンロードした場所からアプライアンスにコピーします。

    scp remote_host:/path/to/avdf-pre-upgrade-20.x.0.0.0.zip /root

  5. avdf-pre-upgrade-20.x.0.0.0.zipファイルのshasumを使用してダウンロードを確認します。 

    sha256sum /root/avdf-pre-upgrade-20.x.0.0.0.zip

  6. バンドルを解凍します。

    unzip /root/avdf-pre-upgrade-20.x.0.0.0.zip

  7. 次のコマンドを実行して、avdf-pre-upgrade-20.x.0.0.0-0_NNNNNN.NNNN.x86_64.rpmファイルを実行します: 

    rpm -i /root/avdf-pre-upgrade-20.x.0.0.0-0_NNNNNN.NNNN.x86_64.rpm

    次のメッセージが表示されます。

    SUCCESS: The upgrade media can now be copied to '/var/dbfw/upgrade'.
The upgrade can then be started by running: /usr/bin/avdf-upgrade

    SUCCESSメッセージではなくエラーが表示された場合は、続行する前に解決してください。

6.4.1.3 アプライアンスへのISOファイルの転送

更新するアプライアンスにavdf-upgrade-20.x.0.0.0.isoファイルを転送します。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. 次のコマンドを使用して、avdf-upgrade-20.x.0.0.0.isoファイルをコピーします。 

    scp remote_host:/path/to/avdf-upgrade-20.x.0.0.0.iso /var/dbfw/upgrade
6.4.1.4 更新スクリプトの起動

更新スクリプトは、ISOをマウントし、正しい作業ディレクトリに変更し、更新プロセスを実行し、アップグレード・プロセスの完了後にISOをマウント解除します。

ノート:

コマンドの完了には時間がかかる場合があります。更新を中断しないでください。そうしないと、システムが一貫性のない状態のままになる可能性があります。そのため、ダイレクト・コンソール・ログイン(またはILOM相当)など、信頼性があって中断されないシェルを使用するか、screenコマンドを使用してネットワーク切断による更新の中断を防止することが重要です。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. rootユーザーとしてscreenコマンドを実行します。

    screenコマンドは、ネットワークの切断によって更新が中断されないようにします。セッションが終了したら、rootユーザーに切り替え、screen -rコマンドを実行して再開します。

  3. 次のコマンドを実行して、更新の前に適切なチェックを実行します。

    /usr/bin/avdf-upgrade

  4. システム・プロンプト、警告および指示に従って更新を続行します。

    次のような出力が表示されます。

    Please wait while validating SHA256 checksum for /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso 
Checksum validation successful for /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso 
Mounting /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images 
mount: /dev/loop0 is write-protected, mounting read-only 
Successfully mounted /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images 

The following messages have important information about the upgrade process. 

Power loss during upgrade may cause data loss. Do not power off during upgrade. Please review Note ID 2235931.1 for a current list of known issues. 

The upgrade process is irreversible, please confirm 'y' to continue or 'n' to abort. [y/N]?

  5. yを入力して続行します。

    次のような出力が表示されます。

    The Oracle base has been set to /var/lib/oracle 
Error: ORA-01034: ORACLE not available 
ORA-27101: shared memory realm does not exist 
Linux-x86_64 Error: 2: No such file or directory 
Additional information: 4475 
Additional information: 1990413931 
The Oracle base has been set to /var/lib/oracle 
Error: ORA-01034: ORACLE not available 
ORA-27101: shared memory realm does not exist 
Linux-x86_64 Error: 2: No such file or directory 
Additional information: 4475 
Additional information: 1990413931 
Verifying upgrade preconditions 
1/11: Mounting filesystems (1) 
2/11: Cleaning yum configuration 
3/11: Cleaning old packages and files 
4/11: Upgrading kernel 
5/11: Upgrading system 
6/11: Cleaning platform packages repo 
7/11: Adding required platform packages 
8/11: Cleaning AVDF packages repo 
9/11: Installing AVDF packages 
10/11: Setting boot title 
11/11: Setting final system status 
Reboot now to continue the upgrade process. 
Unmounted /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images

    ノート:

    前述の出力は、ベース・インストール・レベル、アプライアンス・タイプおよび構成によって異なります。
6.4.1.5 アプライアンスの再起動

更新後、アプライアンスを再起動し、更新プロセスを続行します。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. アプライアンスを再起動します。たとえば:

    reboot

    ノート:

    アプライアンスが再起動すると、更新プロセスが続行されます。Audit Vault Serverで完了するまでに数時間かかり、Database Firewallで完了するまでに数分かかります。この進行中はシステムを再起動しないでください。

  3. Database Firewallを更新した場合は、アプライアンスの証明書が再生成されている場合があります。このような場合には、Database Firewallを再登録する必要があります。これを確認するには、次の手順を実行します。

    1. Audit Vault Serverコンソールに管理者としてログインします。

    2. 「Database Firewall」タブをクリックします。

      左側のナビゲーション・メニューで、「データベース・ファイアウォール」がデフォルトで選択され、構成されたDatabase Firewallインスタンスのリストがページに表示されます。

    3. 更新後の証明書エラーを示すDatabase Firewallインスタンスを選択します。
    4. 「ファイアウォールのリセット」をクリックします。

    関連項目:

    Audit Vault ServerでのDatabase Firewallの登録

6.4.2 高可用性用に構成されたAudit Vault Serverのペアの更新

高可用性環境でAudit Vault Serverのペアを更新するには、このプロセスに従います。

ノート:

両方のAudit Vault Serverの更新が完了するまで、プライマリ・ロールとスタンバイ・ロールを変更しないでください。

次のプロセスに従います。

  1. スタンバイAudit Vault Serverを更新します。

  2. スタンバイAudit Vault Serverを再起動した後、稼働していることを確認してから、プライマリAudit Vault Serverを更新します。
  3. プライマリAudit Vault Serverの監査証跡を停止します。

  4. プライマリAudit Vault Serverを更新します。

    プライマリAudit Vault Serverを再起動して稼働していることを確認したら、その他の再起動は不要です。この時点で完全に機能しています。

6.4.2.1 スタンバイAudit Vault Serverの更新

高可用性環境でスタンバイAudit Vault Serverを更新するには、この手順を使用します。まず、スタンバイAudit Vault Serverを更新してから、プライマリAudit Vault Serverを更新します。

次のプロセスに従います。

  1. プライマリAudit Vault Serverでフェイルオーバー・ステータスを確認します。
  2. アップグレード前RPMを実行します。
  3. アプライアンスにISOファイルを転送します。
  4. 更新スクリプトを起動します。
  5. アプライアンスを再起動します。

ノート:

アプライアンスが再起動すると、更新プロセスが続行されます。Audit Vault Serverでの完了には数時間かかります。この進行中はシステムを再起動しないでください。

6.4.2.1.1 プライマリAudit Vault Serverでのフェイルオーバー・ステータスの確認

高可用性環境でアップグレード前RPMを実行する前に、プライマリAudit Vault Serverのフェイルオーバー・ステータスを確認します。フェイルオーバー・ステータスがSTALLEDの場合は、しばらく待ってからステータスを再確認します。ステータスが変更されない場合は、Oracle Supportに連絡してください。

プライマリAudit Vault Serverで次のステップに従います。

  1. SSHを使用してプライマリAudit Vault Serverにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. oracleユーザーに切り替えます。

    su - oracle

  3. 次のコマンドを実行します。

    /usr/local/dbfw/bin/setup_ha.rb --status

  4. 出力のフェイルオーバー・ステータスを確認します。

6.4.2.1.2 アップグレード前RPMの実行

アップグレード前RPMを実行して、ファイル・システムに必要な領域があるか確認し、更新のためにシステムを準備します。

ノート:

パッチ適用プロセスでは、アップグレード・プロセスと同じアップグレード前RPMが使用されますが、パッチ適用には完全アップグレードと比較して、タスクのサブセットが小さくなります。

アップグレード前RPMは、次のタスクを実行して、システムを更新用に準備します。

  • パッチ・ファイルをアプライアンスにコピーするための十分な領域があるようにアプライアンスの空き領域を再編成し、インストールを開始します。更新後、パッチ・ファイルの領域がファイル・システムに返されます。
  • Oracle AVDF 20.9からOracle AVDF 20.10以降への更新から、Audit Vault Agentおよびホスト・モニター・エージェントがAudit Vault Serverの新しいバージョンと互換性があることを検証します。たとえば、エージェント・ホスト・マシンに互換性のあるオペレーティング・システムとJavaバージョンがあることを検証します。
  • 更新前に他の前提条件およびプラットフォーム条件が満たされていることを検証します。
  • 更新のメインISOファイルを保持するための十分な領域を確保して/var/dbfw/upgradeディレクトリを作成することで、システムの更新準備を整えます。

アップグレード前RPMを実行するには、次のステップに従います。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. rootユーザーとしてscreenコマンドを実行します。

    screenコマンドは、ネットワークの切断によって更新が中断されないようにします。セッションが終了したら、rootユーザーに切り替え、screen -rコマンドを実行して再開します。

  3. rootディレクトリに変更します。 

    cd /root

  4. 次のコマンドを実行して、アップグレード前RPMファイルを、ダウンロードした場所からアプライアンスにコピーします。

    scp remote_host:/path/to/avdf-pre-upgrade-20.x.0.0.0.zip /root

  5. avdf-pre-upgrade-20.x.0.0.0.zipファイルのshasumを使用してダウンロードを確認します。 

    sha256sum /root/avdf-pre-upgrade-20.x.0.0.0.zip

  6. バンドルを解凍します。

    unzip /root/avdf-pre-upgrade-20.x.0.0.0.zip

  7. 次のコマンドを実行して、avdf-pre-upgrade-20.x.0.0.0-0_NNNNNN.NNNN.x86_64.rpmファイルを実行します: 

    rpm -i /root/avdf-pre-upgrade-20.x.0.0.0-0_NNNNNN.NNNN.x86_64.rpm

    次のメッセージが表示されます。

    SUCCESS: The upgrade media can now be copied to '/var/dbfw/upgrade'.
The upgrade can then be started by running: /usr/bin/avdf-upgrade

    SUCCESSメッセージではなくエラーが表示された場合は、続行する前に解決してください。

6.4.2.1.3 アプライアンスへのISOファイルの転送

更新するアプライアンスにavdf-upgrade-20.x.0.0.0.isoファイルを転送します。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. 次のコマンドを使用して、avdf-upgrade-20.x.0.0.0.isoファイルをコピーします。 

    scp remote_host:/path/to/avdf-upgrade-20.x.0.0.0.iso /var/dbfw/upgrade
6.4.2.1.4 更新スクリプトの起動

更新スクリプトは、ISOをマウントし、正しい作業ディレクトリに変更し、更新プロセスを実行し、アップグレード・プロセスの完了後にISOをマウント解除します。

ノート:

コマンドの完了には時間がかかる場合があります。更新を中断しないでください。そうしないと、システムが一貫性のない状態のままになる可能性があります。そのため、ダイレクト・コンソール・ログイン(またはILOM相当)など、信頼性があって中断されないシェルを使用するか、screenコマンドを使用してネットワーク切断による更新の中断を防止することが重要です。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. rootユーザーとしてscreenコマンドを実行します。

    screenコマンドは、ネットワークの切断によって更新が中断されないようにします。セッションが終了したら、rootユーザーに切り替え、screen -rコマンドを実行して再開します。

  3. 次のコマンドを実行して、更新の前に適切なチェックを実行します。

    /usr/bin/avdf-upgrade

  4. システム・プロンプト、警告および指示に従って更新を続行します。

    次のような出力が表示されます。

    Please wait while validating SHA256 checksum for /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso 
Checksum validation successful for /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso 
Mounting /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images 
mount: /dev/loop0 is write-protected, mounting read-only 
Successfully mounted /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images 

The following messages have important information about the upgrade process. 

Power loss during upgrade may cause data loss. Do not power off during upgrade. Please review Note ID 2235931.1 for a current list of known issues. 

The upgrade process is irreversible, please confirm 'y' to continue or 'n' to abort. [y/N]?

  5. yを入力して続行します。

    次のような出力が表示されます。

    The Oracle base has been set to /var/lib/oracle 
Error: ORA-01034: ORACLE not available 
ORA-27101: shared memory realm does not exist 
Linux-x86_64 Error: 2: No such file or directory 
Additional information: 4475 
Additional information: 1990413931 
The Oracle base has been set to /var/lib/oracle 
Error: ORA-01034: ORACLE not available 
ORA-27101: shared memory realm does not exist 
Linux-x86_64 Error: 2: No such file or directory 
Additional information: 4475 
Additional information: 1990413931 
Verifying upgrade preconditions 
1/11: Mounting filesystems (1) 
2/11: Cleaning yum configuration 
3/11: Cleaning old packages and files 
4/11: Upgrading kernel 
5/11: Upgrading system 
6/11: Cleaning platform packages repo 
7/11: Adding required platform packages 
8/11: Cleaning AVDF packages repo 
9/11: Installing AVDF packages 
10/11: Setting boot title 
11/11: Setting final system status 
Reboot now to continue the upgrade process. 
Unmounted /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images

    ノート:

    前述の出力は、ベース・インストール・レベル、アプライアンス・タイプおよび構成によって異なります。
6.4.2.1.5 アプライアンスの再起動

更新後、アプライアンスを再起動し、更新プロセスを続行します。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. アプライアンスを再起動します。たとえば:

    reboot

    ノート:

    アプライアンスが再起動すると、更新プロセスが続行されます。Audit Vault Serverで完了するまでに数時間かかり、Database Firewallで完了するまでに数分かかります。この進行中はシステムを再起動しないでください。

  3. Database Firewallを更新した場合は、アプライアンスの証明書が再生成されている場合があります。このような場合には、Database Firewallを再登録する必要があります。これを確認するには、次の手順を実行します。

    1. Audit Vault Serverコンソールに管理者としてログインします。

    2. 「Database Firewall」タブをクリックします。

      左側のナビゲーション・メニューで、「データベース・ファイアウォール」がデフォルトで選択され、構成されたDatabase Firewallインスタンスのリストがページに表示されます。

    3. 更新後の証明書エラーを示すDatabase Firewallインスタンスを選択します。
    4. 「ファイアウォールのリセット」をクリックします。

    関連項目:

    Audit Vault ServerでのDatabase Firewallの登録
6.4.2.2 すべての監査証跡の停止

Audit Vault Serverを更新する前に、すべての監査証跡を停止します。

  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. 「ターゲット」タブをクリックします。
  3. 左側のナビゲーション・メニューの「監査証跡」をクリックします。
  4. すべての監査証跡を選択します。
  5. 「中止」をクリックします。
6.4.2.3 プライマリAudit Vault Serverの更新

高可用性環境でプライマリAudit Vault Serverを更新するには、スタンバイAudit Vault Serverの更新に使用したプロセスと同じプロセスに従います。

6.5 Audit Vault Agentおよびホスト・モニター・エージェントが自動的に更新されたことの確認

Audit Vault Agentおよびホスト・モニター・エージェントは、Audit Vault Serverを更新すると自動的に更新されます。ただし、状況によっては手動による更新が必要な場合があります。

ノート:

Audit Vault Agentの自動更新プロセスの間は、そのステータスは到達不能です。実行中状態に戻るまでに45分ほどかかることがあります。

次の状況では、Audit Vault Agentを手動で更新する必要があります。

  • Windowsホストでは、Audit Vault Agentが自動更新されるのは、それをWindowsサービスとして登録してあり、このサービスを、そのエージェントを最初にインストールしたOSユーザーの資格証明を使用するように設定した場合のみです。詳細は、WindowsでAudit Vault Agentをサービスとして開始する場合の追加要件を参照してください。

    コマンドラインからエージェントを起動した場合、Audit Vault Agentは自動的に更新されません。このような場合は、エージェントを手動で更新します。たとえば:

    <agent_home>\bin\agentctl.bat stop

    Audit Vault Serverコンソールから新しいagent.jarをダウンロードし、既存のエージェントのagent_homeからjava -jar agent.jarを使用してそれを解凍します。次のコマンドを実行します。 

    <agent_home>\bin\agentctl.bat start

    既存のagent_homeディレクトリを削除しないでください。

  • 高可用性のためにAudit Vault Serverを構成する際に、指定したスタンバイAudit Vault Serverのエージェントがペアリングの前にデプロイされた場合、ペアリング後にエージェントを手動でダウンロードして再度デプロイします。

6.6 Database Firewallを更新します

すべてのAudit Vault Serverを更新したら、Database Firewallを更新します。

高可用性(回復可能なペア)用に構成されたDatabase Firewallを更新する場合は、プライマリとスタンバイの両方のDatabase Firewallを更新します。まず、スタンバイDatabase Firewallインスタンスを更新します。更新後にスタンバイ・インスタンスを再起動します。既存のスタンバイ・インスタンスがプライマリ・インスタンスになるように、高可用性環境でプライマリおよびスタンバイのDatabase Firewallインスタンスのロールを入れ替えます。スタンバイ(以前のプライマリ) Database Firewallインスタンスを更新します。

スタンドアロンDatabase Firewallインスタンスの場合は、すべてのインスタンスを個別に更新します。

ノート:

  • Oracle Audit Vault and Database Firewall (Oracle AVDF)リリース20.3以降への更新後、一部のDatabase Firewallモニタリング・ポイントのステータスが停止中になることがあります。

    更新前に作成されたDatabase Firewallポリシーが、新しい形式に移行中です。この操作には数分かかります。Audit Vault Serverコンソールの「ジョブ」ダイアログ・ボックスに移動し、Firewall post-upgrade actionsジョブのステータスを確認します。バックグラウンド・ジョブが失敗した場合は、Audit Vault Serverコンソールのみを使用してDatabase Firewallポリシーをデプロイします。Database Firewallのモニタリング・ポイントのステータスが稼働中に変更されたことを確認します。それ以外の場合は、モニタリング・ポイントを起動します。

  • Database Firewallが更新されるまで、次の操作は実行できません。

    • Database Firewallのポリシーのデプロイメント
    • 新しい構成または構成変更

  • この項では、アプライアンスという用語はDatabase Firewallを指します。

6.6.1 スタンドアロンDatabase Firewallの更新

高可用性環境でペアになっていないスタンドアロンDatabase Firewallを更新するには、次の手順を使用します。

次のプロセスに従います。

  1. すべてのDatabase Firewallモニタリング・ポイントを停止します。
  2. アップグレード前RPMを実行します。
  3. アプライアンスにISOファイルを転送します。
  4. 更新スクリプトを起動します。
  5. アプライアンスを再起動します。

ノート:

アプライアンスが再起動すると、更新プロセスが続行されます。Database Firewallでの完了には数分かかります。この進行中はシステムを再起動しないでください。

6.6.1.1 すべてのDatabase Firewallモニタリング・ポイントの停止

Database Firewallを更新する前に、すべてのモニタリング・ポイントを停止します。

  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. 「Database Firewall」タブをクリックします。
  3. 左側のナビゲーション・メニューで「データベース・ファイアウォール・モニタリング」をクリックします。
  4. すべてのモニタリング・ポイントを選択します。
  5. 「中止」をクリックします。
6.6.1.2 アップグレード前RPMの実行

アップグレード前RPMを実行して、ファイル・システムに必要な領域があるか確認し、更新のためにシステムを準備します。

ノート:

パッチ適用プロセスでは、アップグレード・プロセスと同じアップグレード前RPMが使用されますが、パッチ適用には完全アップグレードと比較して、タスクのサブセットが小さくなります。

アップグレード前RPMは、次のタスクを実行して、システムを更新用に準備します。

  • パッチ・ファイルをアプライアンスにコピーするための十分な領域があるようにアプライアンスの空き領域を再編成し、インストールを開始します。更新後、パッチ・ファイルの領域がファイル・システムに返されます。
  • Oracle AVDF 20.9からOracle AVDF 20.10以降への更新から、Audit Vault Agentおよびホスト・モニター・エージェントがAudit Vault Serverの新しいバージョンと互換性があることを検証します。たとえば、エージェント・ホスト・マシンに互換性のあるオペレーティング・システムとJavaバージョンがあることを検証します。
  • 更新前に他の前提条件およびプラットフォーム条件が満たされていることを検証します。
  • 更新のメインISOファイルを保持するための十分な領域を確保して/var/dbfw/upgradeディレクトリを作成することで、システムの更新準備を整えます。

アップグレード前RPMを実行するには、次のステップに従います。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. rootユーザーとしてscreenコマンドを実行します。

    screenコマンドは、ネットワークの切断によって更新が中断されないようにします。セッションが終了したら、rootユーザーに切り替え、screen -rコマンドを実行して再開します。

  3. rootディレクトリに変更します。 

    cd /root

  4. 次のコマンドを実行して、アップグレード前RPMファイルを、ダウンロードした場所からアプライアンスにコピーします。

    scp remote_host:/path/to/avdf-pre-upgrade-20.x.0.0.0.zip /root

  5. avdf-pre-upgrade-20.x.0.0.0.zipファイルのshasumを使用してダウンロードを確認します。 

    sha256sum /root/avdf-pre-upgrade-20.x.0.0.0.zip

  6. バンドルを解凍します。

    unzip /root/avdf-pre-upgrade-20.x.0.0.0.zip

  7. 次のコマンドを実行して、avdf-pre-upgrade-20.x.0.0.0-0_NNNNNN.NNNN.x86_64.rpmファイルを実行します: 

    rpm -i /root/avdf-pre-upgrade-20.x.0.0.0-0_NNNNNN.NNNN.x86_64.rpm

    次のメッセージが表示されます。

    SUCCESS: The upgrade media can now be copied to '/var/dbfw/upgrade'.
The upgrade can then be started by running: /usr/bin/avdf-upgrade

    SUCCESSメッセージではなくエラーが表示された場合は、続行する前に解決してください。

6.6.1.3 アプライアンスへのISOファイルの転送

更新するアプライアンスにavdf-upgrade-20.x.0.0.0.isoファイルを転送します。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. 次のコマンドを使用して、avdf-upgrade-20.x.0.0.0.isoファイルをコピーします。 

    scp remote_host:/path/to/avdf-upgrade-20.x.0.0.0.iso /var/dbfw/upgrade
6.6.1.4 更新スクリプトの起動

更新スクリプトは、ISOをマウントし、正しい作業ディレクトリに変更し、更新プロセスを実行し、アップグレード・プロセスの完了後にISOをマウント解除します。

ノート:

コマンドの完了には時間がかかる場合があります。更新を中断しないでください。そうしないと、システムが一貫性のない状態のままになる可能性があります。そのため、ダイレクト・コンソール・ログイン(またはILOM相当)など、信頼性があって中断されないシェルを使用するか、screenコマンドを使用してネットワーク切断による更新の中断を防止することが重要です。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. rootユーザーとしてscreenコマンドを実行します。

    screenコマンドは、ネットワークの切断によって更新が中断されないようにします。セッションが終了したら、rootユーザーに切り替え、screen -rコマンドを実行して再開します。

  3. 次のコマンドを実行して、更新の前に適切なチェックを実行します。

    /usr/bin/avdf-upgrade

  4. システム・プロンプト、警告および指示に従って更新を続行します。

    次のような出力が表示されます。

    Please wait while validating SHA256 checksum for /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso 
Checksum validation successful for /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso 
Mounting /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images 
mount: /dev/loop0 is write-protected, mounting read-only 
Successfully mounted /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images 

The following messages have important information about the upgrade process. 

Power loss during upgrade may cause data loss. Do not power off during upgrade. Please review Note ID 2235931.1 for a current list of known issues. 

The upgrade process is irreversible, please confirm 'y' to continue or 'n' to abort. [y/N]?

  5. yを入力して続行します。

    次のような出力が表示されます。

    The Oracle base has been set to /var/lib/oracle 
Error: ORA-01034: ORACLE not available 
ORA-27101: shared memory realm does not exist 
Linux-x86_64 Error: 2: No such file or directory 
Additional information: 4475 
Additional information: 1990413931 
The Oracle base has been set to /var/lib/oracle 
Error: ORA-01034: ORACLE not available 
ORA-27101: shared memory realm does not exist 
Linux-x86_64 Error: 2: No such file or directory 
Additional information: 4475 
Additional information: 1990413931 
Verifying upgrade preconditions 
1/11: Mounting filesystems (1) 
2/11: Cleaning yum configuration 
3/11: Cleaning old packages and files 
4/11: Upgrading kernel 
5/11: Upgrading system 
6/11: Cleaning platform packages repo 
7/11: Adding required platform packages 
8/11: Cleaning AVDF packages repo 
9/11: Installing AVDF packages 
10/11: Setting boot title 
11/11: Setting final system status 
Reboot now to continue the upgrade process. 
Unmounted /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images

    ノート:

    前述の出力は、ベース・インストール・レベル、アプライアンス・タイプおよび構成によって異なります。
6.6.1.5 アプライアンスの再起動

更新後、アプライアンスを再起動し、更新プロセスを続行します。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. アプライアンスを再起動します。たとえば:

    reboot

    ノート:

    アプライアンスが再起動すると、更新プロセスが続行されます。Audit Vault Serverで完了するまでに数時間かかり、Database Firewallで完了するまでに数分かかります。この進行中はシステムを再起動しないでください。

  3. Database Firewallを更新した場合は、アプライアンスの証明書が再生成されている場合があります。このような場合には、Database Firewallを再登録する必要があります。これを確認するには、次の手順を実行します。

    1. Audit Vault Serverコンソールに管理者としてログインします。

    2. 「Database Firewall」タブをクリックします。

      左側のナビゲーション・メニューで、「データベース・ファイアウォール」がデフォルトで選択され、構成されたDatabase Firewallインスタンスのリストがページに表示されます。

    3. 更新後の証明書エラーを示すDatabase Firewallインスタンスを選択します。
    4. 「ファイアウォールのリセット」をクリックします。

    関連項目:

    Audit Vault ServerでのDatabase Firewallの登録

6.6.2 高可用性用に構成されたDatabase Firewallのペアの更新

高可用性環境でDatabase Firewallのペアを更新するには、この手順を使用します。

次のプロセスに従います。

  1. スタンバイDatabase Firewallを更新します。
  2. スタンバイDatabase Firewallが完全に再起動されたら、スタンバイDatabase FirewallがプライマリDatabase Firewallになるように入れ替えます。
  3. 元のプライマリ(現在のスタンバイ) Database Firewallを更新します。
  4. (オプション)元のプライマリDatabase Firewallが完全に再起動したら、元のプライマリ・ロールとスタンバイ・ロールに戻るようにDatabase Firewallを入れ替えます。
6.6.2.1 スタンバイDatabase Firewallの更新

高可用性環境でスタンバイDatabase Firewallを更新するには、この手順を使用します。最初にスタンバイDatabase Firewallを更新してから、このDatabase FirewallがプライマリDatabase Firewallになるように入れ替えます。次に、元のプライマリ(現在のスタンバイ)Database Firewallを更新します。

次のプロセスに従います。

  1. すべてのDatabase Firewallモニタリング・ポイントを停止します。
  2. アップグレード前RPMを実行します。
  3. アプライアンスにISOファイルを転送します。
  4. 更新スクリプトを起動します。
  5. アプライアンスを再起動します。

ノート:

アプライアンスが再起動すると、更新プロセスが続行されます。Database Firewallでの完了には数分かかります。この進行中はシステムを再起動しないでください。

6.6.2.1.1 すべてのDatabase Firewallモニタリング・ポイントの停止

Database Firewallを更新する前に、すべてのモニタリング・ポイントを停止します。

  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. 「Database Firewall」タブをクリックします。
  3. 左側のナビゲーション・メニューで「データベース・ファイアウォール・モニタリング」をクリックします。
  4. すべてのモニタリング・ポイントを選択します。
  5. 「中止」をクリックします。
6.6.2.1.2 アップグレード前RPMの実行

アップグレード前RPMを実行して、ファイル・システムに必要な領域があるか確認し、更新のためにシステムを準備します。

ノート:

パッチ適用プロセスでは、アップグレード・プロセスと同じアップグレード前RPMが使用されますが、パッチ適用には完全アップグレードと比較して、タスクのサブセットが小さくなります。

アップグレード前RPMは、次のタスクを実行して、システムを更新用に準備します。

  • パッチ・ファイルをアプライアンスにコピーするための十分な領域があるようにアプライアンスの空き領域を再編成し、インストールを開始します。更新後、パッチ・ファイルの領域がファイル・システムに返されます。
  • Oracle AVDF 20.9からOracle AVDF 20.10以降への更新から、Audit Vault Agentおよびホスト・モニター・エージェントがAudit Vault Serverの新しいバージョンと互換性があることを検証します。たとえば、エージェント・ホスト・マシンに互換性のあるオペレーティング・システムとJavaバージョンがあることを検証します。
  • 更新前に他の前提条件およびプラットフォーム条件が満たされていることを検証します。
  • 更新のメインISOファイルを保持するための十分な領域を確保して/var/dbfw/upgradeディレクトリを作成することで、システムの更新準備を整えます。

アップグレード前RPMを実行するには、次のステップに従います。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. rootユーザーとしてscreenコマンドを実行します。

    screenコマンドは、ネットワークの切断によって更新が中断されないようにします。セッションが終了したら、rootユーザーに切り替え、screen -rコマンドを実行して再開します。

  3. rootディレクトリに変更します。 

    cd /root

  4. 次のコマンドを実行して、アップグレード前RPMファイルを、ダウンロードした場所からアプライアンスにコピーします。

    scp remote_host:/path/to/avdf-pre-upgrade-20.x.0.0.0.zip /root

  5. avdf-pre-upgrade-20.x.0.0.0.zipファイルのshasumを使用してダウンロードを確認します。 

    sha256sum /root/avdf-pre-upgrade-20.x.0.0.0.zip

  6. バンドルを解凍します。

    unzip /root/avdf-pre-upgrade-20.x.0.0.0.zip

  7. 次のコマンドを実行して、avdf-pre-upgrade-20.x.0.0.0-0_NNNNNN.NNNN.x86_64.rpmファイルを実行します: 

    rpm -i /root/avdf-pre-upgrade-20.x.0.0.0-0_NNNNNN.NNNN.x86_64.rpm

    次のメッセージが表示されます。

    SUCCESS: The upgrade media can now be copied to '/var/dbfw/upgrade'.
The upgrade can then be started by running: /usr/bin/avdf-upgrade

    SUCCESSメッセージではなくエラーが表示された場合は、続行する前に解決してください。

6.6.2.1.3 アプライアンスへのISOファイルの転送

更新するアプライアンスにavdf-upgrade-20.x.0.0.0.isoファイルを転送します。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. 次のコマンドを使用して、avdf-upgrade-20.x.0.0.0.isoファイルをコピーします。 

    scp remote_host:/path/to/avdf-upgrade-20.x.0.0.0.iso /var/dbfw/upgrade
6.6.2.1.4 更新スクリプトの起動

更新スクリプトは、ISOをマウントし、正しい作業ディレクトリに変更し、更新プロセスを実行し、アップグレード・プロセスの完了後にISOをマウント解除します。

ノート:

コマンドの完了には時間がかかる場合があります。更新を中断しないでください。そうしないと、システムが一貫性のない状態のままになる可能性があります。そのため、ダイレクト・コンソール・ログイン(またはILOM相当)など、信頼性があって中断されないシェルを使用するか、screenコマンドを使用してネットワーク切断による更新の中断を防止することが重要です。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. rootユーザーとしてscreenコマンドを実行します。

    screenコマンドは、ネットワークの切断によって更新が中断されないようにします。セッションが終了したら、rootユーザーに切り替え、screen -rコマンドを実行して再開します。

  3. 次のコマンドを実行して、更新の前に適切なチェックを実行します。

    /usr/bin/avdf-upgrade

  4. システム・プロンプト、警告および指示に従って更新を続行します。

    次のような出力が表示されます。

    Please wait while validating SHA256 checksum for /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso 
Checksum validation successful for /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso 
Mounting /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images 
mount: /dev/loop0 is write-protected, mounting read-only 
Successfully mounted /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images 

The following messages have important information about the upgrade process. 

Power loss during upgrade may cause data loss. Do not power off during upgrade. Please review Note ID 2235931.1 for a current list of known issues. 

The upgrade process is irreversible, please confirm 'y' to continue or 'n' to abort. [y/N]?

  5. yを入力して続行します。

    次のような出力が表示されます。

    The Oracle base has been set to /var/lib/oracle 
Error: ORA-01034: ORACLE not available 
ORA-27101: shared memory realm does not exist 
Linux-x86_64 Error: 2: No such file or directory 
Additional information: 4475 
Additional information: 1990413931 
The Oracle base has been set to /var/lib/oracle 
Error: ORA-01034: ORACLE not available 
ORA-27101: shared memory realm does not exist 
Linux-x86_64 Error: 2: No such file or directory 
Additional information: 4475 
Additional information: 1990413931 
Verifying upgrade preconditions 
1/11: Mounting filesystems (1) 
2/11: Cleaning yum configuration 
3/11: Cleaning old packages and files 
4/11: Upgrading kernel 
5/11: Upgrading system 
6/11: Cleaning platform packages repo 
7/11: Adding required platform packages 
8/11: Cleaning AVDF packages repo 
9/11: Installing AVDF packages 
10/11: Setting boot title 
11/11: Setting final system status 
Reboot now to continue the upgrade process. 
Unmounted /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images

    ノート:

    前述の出力は、ベース・インストール・レベル、アプライアンス・タイプおよび構成によって異なります。
6.6.2.1.5 アプライアンスの再起動

更新後、アプライアンスを再起動し、更新プロセスを続行します。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. アプライアンスを再起動します。たとえば:

    reboot

    ノート:

    アプライアンスが再起動すると、更新プロセスが続行されます。Audit Vault Serverで完了するまでに数時間かかり、Database Firewallで完了するまでに数分かかります。この進行中はシステムを再起動しないでください。

  3. Database Firewallを更新した場合は、アプライアンスの証明書が再生成されている場合があります。このような場合には、Database Firewallを再登録する必要があります。これを確認するには、次の手順を実行します。

    1. Audit Vault Serverコンソールに管理者としてログインします。

    2. 「Database Firewall」タブをクリックします。

      左側のナビゲーション・メニューで、「データベース・ファイアウォール」がデフォルトで選択され、構成されたDatabase Firewallインスタンスのリストがページに表示されます。

    3. 更新後の証明書エラーを示すDatabase Firewallインスタンスを選択します。
    4. 「ファイアウォールのリセット」をクリックします。

    関連項目:

    Audit Vault ServerでのDatabase Firewallの登録
6.6.2.2 スタンバイDatabase FirewallとプライマリDatabase Firewallの入替え

スタンバイDatabase Firewallを更新したら、スタンバイDatabase FirewallがプライマリDatabase Firewallになるように入れ替えます。両方の更新後に、Database Firewallを入れ替えて元のロールに戻すこともできます。

  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. 「Database Firewall」タブをクリックします。
  3. 左側のナビゲーション・メニューの「高可用性」をクリックします。
  4. Database Firewallインスタンスの回復可能なペアを選択します。

  5. 「スワップ」をクリックします。

6.6.2.3 元のプライマリ(現在のスタンバイ) Database Firewallの更新

高可用性環境で元のプライマリ(現在のスタンバイ)Database Firewallを更新するには、元のスタンバイDatabase Firewallの更新に使用したプロセスと同じプロセスに従います。

6.7 更新後のタスク

Oracle Audit Vault and Database Firewall (Oracle AVDF)を更新したら、次のタスクを実行して更新プロセスを確認し、必要な機能を有効化し、残りの問題を解決します。

ノート:

  • Audit Vault Serverをリリース20.1から20.3に更新する場合は、更新後にDeprecated-Cipher-Removal.zipパッチを適用します。
  • Audit Vault Serverをリリース20.4以降に更新する場合、Deprecated-Cipher-Removal.zipパッチは、更新中にTLSレベルを減らす場合にのみ適用します。

関連項目:

SSHを介してOracle AVDFアプライアンスにログインできない

6.7.1 更新プロセスの確認

次のステップを使用して、更新プロセスが成功したことを確認します。

Audit Vault Serverの正常な更新

  1. 問題なくAudit Vault Serverコンソールを開くことができることを確認します。
  2. 管理者および監査者として、問題なくAudit Vault Serverコンソールにログインできることを確認します。
  3. 問題なくSSHを介してAudit Vault Serverに接続できることを確認します。
  4. Audit Vault Serverコンソールに管理者としてログインし、次の項目を確認します。
    1. 「設定」タブをクリックして、左側のナビゲーション・メニューにある「システム」をクリックします。
    2. 「Audit Vault Serverバージョン」フィールドに正しいバージョンのAudit Vault Serverが表示されていることを確認します。
    3. 「稼働時間」の値を確認します。
    4. 「データベース・ファイアウォール・ログ収集」に緑色の上向き矢印が表示されていることを確認します。
    5. 「バックグラウンド・ジョブ」に緑色の上向き矢印が表示されていることを確認します。
    6. 「高可用性ステータス」の値を確認します。

Audit Vault Agentの正常な更新

  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. 「エージェント」タブをクリックします。
  3. すべてのAudit Vault Agentのステータスが実行中であることを確認します。
  4. 「エージェントの詳細」列に、各Audit Vault Agentの正しいバージョンが表示されていることを確認します。

Database Firewallの正常な更新

  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. 「Database Firewall」タブをクリックします。
  3. すべてのDatabase Firewallのステータスが稼働中であることを確認します。
  4. 「バージョン」列に各Database Firewallの正しいバージョンが表示されていることを確認します。
  5. 「名前」列で、特定のDatabase Firewallのリンクをクリックします。
  6. 「ファイアウォール・バージョン」フィールドにも正しいバージョンが表示されていることを確認します。
  7. 「診断」セクションの「ヘルス・インジケータ」リンクをクリックし、すべてのヘルス・インジケータに緑色のマークが付いている必要があることを確認します。
  8. ダイアログ・ボックスを閉じます。
  9. 左側のナビゲーション・メニューで「データベース・ファイアウォール・モニタリング」をクリックします。
  10. すべてのモニタリング・ポイントのステータスが稼働中であることを確認します。

更新失敗

次の症状は、更新が失敗したことを示しています。

  • Audit Vault Serverコンソールを開けません。
  • Audit Vault Server (またはターミナル)へのSSH接続に、更新が失敗したことを示すエラーが表示されます。

ノート:

また、システム診断で現在のステータスを確認し、システム・ログでエラーがないか確認します。

6.7.2 アップグレード後のエージェント・ユーザー・セキュリティの強化

Oracle AVDF 20.9以降に更新する場合は、すべてのエージェントが更新された後にエージェント・ユーザー権限の制限が厳しくなります。

  1. すべてのエージェントが更新されたことを確認してください。

    「更新プロセスの確認」を参照してください。

  2. My Oracle Supportからrevoke_privileges.sqlスクリプト(パッチ番号35303191)をダウンロードします。

  3. SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  4. avsysユーザーのロックを解除します。

    AVSYSユーザーのロック解除を参照してください。

    ノート:

    このタスクが完了したら、必ずavsysアカウントを再ロックしてください。
  5. ダウンロードしたrevoke_privileges.sqlスクリプトをAudit Vault Server (たとえば、/tmp)に転送します。

  6. avsysユーザーとしてSQL*Plusを起動します。 

    sqlplus avsys

  7. プロンプトにパスワードを入力します。

  8. revoke_privileges.sqlスクリプトを実行します。 

    @<path to revoke_privileges.sql>

    たとえば、ファイルを/tmpにコピーした場合は、@/tmp/revoke_privileges.sqlと入力します。

  9. rootに戻ります。 

    exit

  10. avsysユーザーをロックします。

    AVSYSユーザーのロックを参照してください。

6.7.3 既存のアーカイブの場所への管理者アクセスの有効化

Oracle Audit Vault and Database Firewallの更新後、アーカイブの場所に次の新しい動作が適用されます。

  • 新しいアーカイブ場所は、それらを作成した管理者ロールを持つユーザーが所有します。
  • スーパー管理者ロールを持つユーザーは、すべてのアーカイブの場所を表示できます。
  • スーパー管理者ロールを持つユーザーのみが、既存のアーカイブの場所にアクセスできます。

管理者ロールを持つ通常のユーザーに既存のアーカイブの場所へのアクセス権を付与するには、アーカイブの場所ごとに次の手順を実行します。

  1. SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. avsysユーザーのロックを解除します。

    AVSYSユーザーのロック解除を参照してください。

    ノート:

    このタスクが完了したら、必ずavsysアカウントを再ロックしてください。
  3. rootに戻ります。

  4. avsysユーザーとしてSQL*Plusを起動します。 

    sqlplus avsys

  5. プロンプトにパスワードを入力します。

  6. 次のコマンドを実行します:

    update avsys.archive_host set created_by=<adminuser> where name=<archive location name>;
commit;
exit;

  7. rootに戻ります。 

    exit

  8. avsysユーザーをロックします。

    AVSYSユーザーのロックを参照してください。

6.7.4 高可用性のためのアーカイブ機能の有効化

Audit Vault Serverが高可用性環境にデプロイされている場合は、更新後にアーカイブを有効にすることが必要になる場合があります。

ネットワーク・ファイル・システム(NFS)の場所とアーカイブ済データ・ファイルがある場合、すべてのデータ・ファイルがそれぞれのNFSの場所で使用できることを確認してください。アップグレード・プロセスの完了後、アーカイブが無効になるため、有効にする必要があります。

  • Oracle Audit Vault and Database Firewall (Oracle AVDF)リリース20.1以降では、NFSサーバー・バージョンv3およびv4のアーカイブおよび取得機能がサポートされています。
  • リリース20.3以前では、NFS v3のみがサポートされていません。Oracle AVDFリリース20.4以降でサポートされています。
  • NFSサーバーがv3とv4の両方をサポートしていて、アーカイブまたは取得を許可している場合、アクションは必要ありません。

  • 対象の環境でアーカイブまたは取得にNFS v4のみを使用できる場合は、次のステップを使用して、_SHOWMOUNT_DISABLEDパラメータをTRUEに設定します。

    1. SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

      SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

    2. oracleユーザーに切り替えます。

      su - oracle

    3. ユーザー名またはパスワードなしでSQL*Plusを起動します。

      sqlplus /nolog

    4. SQL*Plusで、次のコマンドを実行します。

      connect <super administrator>

    5. 必要な場合にはパスワードを入力します。

    6. 次のコマンドを実行します。

      exec avsys.adm.add_config_param('_SHOWMOUNT_DISABLED','TRUE');

  1. SSHを使用してプライマリAudit Vault Serverにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. oracleユーザーに切り替えます。

    su - oracle

  3. Audit Vault Serverコンソールを使用して、新しいNFSの場所を作成します。

    これらの新しい場所では、プライマリAudit Vault ServerとセカンダリAudit Vault Serverの両方に新しくマウントされたNFSポイントが考慮されます。アーカイブする必要なデータ・ファイルをすべて格納するために、新しく作成するNFSの場所に十分な領域があることを確認してください。

  4. ユーザー名またはパスワードなしでSQL*Plusを起動します。

    sqlplus /nolog

  5. SQL*Plusで次のコマンドを実行します。

    connect super administrator

  6. 必要な場合にはパスワードを入力します。

  7. 次のコマンドを実行して、アーカイブ機能を有効にします。

    exec management.ar.run_hailm_job('<NFS location name defined>');

    このコマンドはバックグラウンド・ジョブを開始します。「ジョブ」ページでステータスを表示できます。ジョブの名前はHAILM POST UPGRADE JOBです。

    この機能を有効にすると、すべてのアーカイブ済データ・ファイルが新しいNFSの場所に移動され、ジョブが正常に完了するとアーカイブが有効になります。

6.7.5 Oracle Audit Vault and Database Firewallからの未使用のカーネルのクリア

使用していないカーネルをOracle Audit Vault and Database Firewall (Oracle AVDF)からクリアする手順は、My Oracle Support Doc ID 2458154.1を参照してください。

6.7.6 高可用性のためのOracle AVDF 20.7以降への更新後のオブザーバ・ステータスの確認

高可用性環境でOracle AVDFリリース20.5または20.6からリリース20.7以降にアップグレードした後、Oracle Data Guardオブザーバに問題が発生することがあります。Audit Vault Serverでは、高可用性の管理にOracle Data Guardが使用されます。

Oracle Data Guardオブザーバのステータスを確認するには:

  1. SSHを使用してスタンバイAudit Vault Serverにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. oracleユーザーに切り替えます。

    su - oracle

  3. 次のコマンドを実行します:

    dgmgrl /
    show observer

    出力には、プライマリおよびスタンバイの両方のAudit Vault Serverで実行されているオブザーバのステータスと最後のping間隔が表示されます。両方のオブザーバの最後のping間隔に具体的な期間が秒単位で示されている必要があります。

  4. 次の例に示すように、前のステップの出力に両方のオブザーバについて特定の期間が表示されない場合は、残りのステップを完了して問題を解決してください。

    
Host Name:                   <host name>
Last Ping to Primary:        (unknown)
Last Ping to Target:         (unknown)

    1. SSHを使用してスタンバイAudit Vault Serverにログインし、rootユーザーに切り替えます。

      SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

    2. oracleユーザーに切り替えます。

      su - oracle

    3. 次のコマンドを実行します。

      /usr/local/dbfw/bin/observerctl --stop
    4. 1分間待機します。

    5. 次のコマンドを実行します:

      dgmgrl /
      show observer
    6. 両方のオブザーバの最後のping間隔に特定の期間が秒単位で示されていることを確認します。

6.7.7 Audit Vault Serverのバックアップの構成

Audit Vault Serverのバックアップ構成ファイルはリリース固有であり、作成されたリリースと同じリリースで動作します。Oracleでは、Oracle Audit Vault and Database Firewall (Oracle AVDF)の更新後にバックアップ操作の前に、avbackup configコマンドを実行して新しい構成ファイルを作成することをお薦めします。

6.7.8 メンテナンス・ジョブのスケジュール

Oracle Audit Vault and Database Firewall (Oracle AVDF)は、システムが適切および効率的に機能するように、いくつかのジョブをAudit Vault Serverで実行します。

これらのジョブは、夜間など、Audit Vault Serverの使用率が低い期間に実行することをお薦めします。これらのジョブは、タイムゾーンに基づいてスケジュールできます。
  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. 「設定」タブをクリックします。
  3. 左側のナビゲーション・メニューの「システム」をクリックします。
  4. 「構成」セクションで、リリースに応じて次のいずれかのリンクをクリックします。
    Oracle AVDFリリース リンク
    20.1および20.2 管理
    20.3以降 メンテナンス
  5. 新しいメンテナンス・ジョブをスケジュールするには、開始時間を時間と分で入力します。
    ここで指定する時間は、ブラウザに表示される時間です。
  6. 「タイムアウト(時間)」フィールドに、メンテナンス・ジョブの期間を時間数で入力します。

    指定した期間にジョブが完了しない場合、ジョブはタイムアウトします。

    ノート:

    ジョブは、毎日指定された開始時間に実行されます。繰返し頻度は変更できません。
  7. 「保存」をクリックします。

6.7.9 パッチを適用してAVDF 20.10にする前にFIPSモードが無効化された場合の有効化

正常にパッチを適用してOracle AVDF 20.10にした後、FIPSモードがパッチ適用前に無効化されていた場合は再度有効にする必要があります。

Audit Vault ServerでのFIPSモードの有効化

  1. Audit Vault Serverコンソールにスーパー管理者としてログインします。
  2. 「設定」タブをクリックします。

    左側のナビゲーション・メニューの「セキュリティ」タブがデフォルトで選択されています。

  3. メイン・ページで、「FIPS」サブタブをクリックします。
  4. トグル・スイッチをクリックしてFIPS 140-2を有効にします。オンにすると、そのトグル・スイッチが緑色になります。
  5. 「保存」をクリックします。

    Audit Vault Serverが再起動されるというメッセージが表示され、続行するか取り消すかを尋ねられます。

  6. Audit Vault Serverに対してFIPS 140-2を有効にするには、「OK」ボタンをクリックして続行します。これを行わない場合は、「取消」をクリックします。

OCI上のOracle AVDFでは、FIPSモードを有効にした後にSSHアクセスが無効になった場合は、Audit Vault Serverコンソールにログインし、FIPSモードを無効にします。次に、SSHを使用してそのアプライアンスに再度ログインし、/home/opc/.SSH/authorized_keysにあるopcのユーザー・キーを、FIPSに準拠するように更新します。FIPSモードを有効または無効にした後、コンソールが使用可能になるまでに数分かかることがあります。

高可用性構成では、プライマリAudit Vault Serverに対してFIPS 140-2モードを有効にすると、スタンバイAudit Vault ServerのFIPS 140-2モードも有効になります。同様に、プライマリAudit Vault Serverに対してFIPSモードを無効にすると、スタンバイAudit Vault Serverでもそれが無効になります。

Database FirewallでのFIPSモードの有効化

  1. Audit Vault Serverコンソールにスーパー管理者してログインします。
  2. 「データベース・ファイアウォール」タブをクリックします。左側のナビゲーション・メニューの「データベース・ファイアウォール」タブがデフォルトで選択されています。
  3. FIPS 140-2を有効にする特定のDatabase Firewallインスタンスの名前をクリックします。
  4. 「構成」セクションで「FIPS」をクリックします。ダイアログが表示されます。
  5. ダイアログで、トグル・スイッチをオンにしてFIPS 140-2を有効にします。オンにすると、トグル・スイッチは緑色になります。
  6. 「保存」をクリックします。Database Firewallが再起動するメッセージが表示され、続行または取り消すように求められます。
  7. Database FirewallインスタンスのFIPS 140-2を有効にするには、「OK」をクリックして続行します。それ以外の場合は、「取消」をクリックします。

    Database Firewallインスタンスが再起動され、しばらくの間使用できません。

  8. しばらく待ってから、左側のナビゲーション・メニューの「データベース・ファイアウォール」タブに戻ります。
  9. 「FIPSモード」列の下にあるFIPS 140-2モードのステータスを特定のDatabase Firewallインスタンスに対して確認します。
  1. Audit Vault Serverコンソールにスーパー管理者してログインします。
  2. 「データベース・ファイアウォール」タブをクリックします。左側のナビゲーション・メニューの「データベース・ファイアウォール」タブがデフォルトで選択されています。
  3. 左側のナビゲーション・メニューの「高可用性」タブをクリックします。高可用性に構成されているすべてのDatabase Firewallインスタンスがメイン・ページに表示されます。
  4. ペアになったDatabase Firewallインスタンスの名前は、メイン・ページの「プライマリ」列と「セカンダリ」列の下にリストされます。FIPSを有効にするDatabase Firewallインスタンスの特定のペアを選択します。
  5. ページの右上隅にある「FIPS」をクリックします。ダイアログが表示されます。
  6. トグル・スイッチをオンにして、FIPS 140-2を有効にします。オンにすると、トグル・スイッチは緑色になります。
  7. 「保存」ボタンをクリックします。Database Firewallインスタンスが再起動するメッセージが表示され、続行または取り消すように求められます。
  8. Database FirewallインスタンスのFIPS 140-2を有効にするには、「OK」をクリックして続行します。それ以外の場合は、「取消」をクリックします。

    Database Firewallインスタンスが再起動され、しばらくの間使用できません。

  9. しばらく待ってから、列「FIPSモード」のFIPS 140-2モードのステータスをペアになっているDatabase Firewallインスタンスに対して確認します。

関連トピック

6.7.10 AVDF 20.11へのパッチ適用後のアラート・ポリシーのアラート通知テンプレートの更新

Oracle AVDF 20.11へのパッチ適用が正常に完了した後は、アラート・ポリシーのアラート通知テンプレートを更新する必要があります。

Oracle AVDF 20.11にパッチを適用すると、既存のアラート・ポリシーのアラート通知テンプレートが、デフォルトのアラート・テンプレートに設定されます。監査者は、アラート・ポリシーのアラート通知テンプレートを更新する必要がある場合があります。

電子メール・テンプレートの変更の詳細は、『Oracle Audit Vault and Database Firewall監査者ガイド』の電子メール・テンプレートの作成または変更を参照してください。

6.7.11 20.12へのパッチ適用後の監査ポリシーの取得

Oracle AVDF 20.12へのパッチ適用が正常に完了した後、Oracleデータベースの監査ポリシーを取得する必要があります。

Oracle AVDF 20.12へのパッチ適用後、監査者はOracleデータベースで監査ポリシーを再度取得する必要があります。

監査ポリシーの取得の詳細は、『Oracle Audit Vault and Database Firewall監査者ガイド』Oracle Databaseからの監査ポリシーの取得および変更に関する項を参照してください。

6.8 更新が失敗した場合のデータベースのリカバリ

更新前にOracle Audit Vault and Database Firewall (Oracle AVDF)をバックアップし、Audit Vault Serverのフラッシュ・リカバリ領域に十分な領域がある場合は、Oracle Supportのガイダンスのもとで、更新に失敗した後にデータベースをリカバリできます。

データベースのリカバリを可能にするには、フラッシュ・リカバリ領域に次の空き領域が必要です。

20GBまたはAudit Vault Serverデータベースに格納されているデータ量の150%のどちらか大きい方

フラッシュ・リカバリ領域の監視の詳細は、『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。

6.9 バックアップとリストアの使用による最小停止時間でのOracle AVDFの更新

バックアップとリストアの機能を使用すると、データを監視および収集するための停止時間を最小限に抑えてOracle Audit Vault and Database Firewall (Oracle AVDF)を新しいリリースに更新できます。

このプロセスを使用すると、Oracle AVDF 20.3以降からリリース20.9以降に更新できます。

6.9.1 更新プロセスについて

Audit Vault Serverを最新のOracle AVDFリリースに更新するときは、通常は、更新プロセスの開始時に監査データの監視と収集を停止することになり、更新プロセス全体が完了するまでの停止時間が発生します。

この停止時間を最小限に抑えるには、現在の(ソース) Audit Vault Serverで監視と収集を続行しながら、バックアップされリストアされたシステムである新しい(宛先) Audit Vault Serverで更新を実行します。更新の間、ソースAudit Vault Serverで監査データの監視と収集が続行されます。宛先Audit Vault Serverの更新が完了したら、差分データを移行した後、監視をソースAudit Vault Serverから新しい宛先に切り替えます。

バックアップとリストアの機能を使用してOracle AVDFを更新するには、大まかには次の作業を行います:

  1. ソースAudit Vault Serverと宛先Audit Vault Serverを構成します。
  2. ソースAudit Vault Serverのホット・バックアップを作成します。
  3. そのホット・バックアップを宛先Audit Vault Serverにリストアします。
  4. 宛先Audit Vault Serverを最新リリースに更新します。
  5. 高可用性環境の場合は、プライマリAudit Vault ServerとスタンバイAudit Vault Serverをペアにします。
  6. 収集された監査データをソースAudit Vault Serverから宛先にレプリケートします。
  7. すべての監視および収集を更新して宛先Audit Vault Serverに移行します。
  8. 宛先Audit Vault Serverですべての監査証跡を開始します。

更新プロセスを実行するには、この項にあるすべてのタスクを実施します。

6.9.2 前提条件

更新プロセスを開始する前に、次のタスクを完了してください。

  1. 宛先Audit Vault Serverで、現在の(ソース) Audit Vault Serverと同じハードウェア構成でOracle AVDFのフレッシュ・インストールを実行します。

    ソースAudit Vault Serverで実行されているのと同じOracle AVDFリリースをインストールします。バックアップして宛先Audit Vault Serverにリストアした後、新しいOracle AVDFリリースに更新します。

    手順については、「Oracle Audit Vault and Database Firewallのダウンロードおよびインストール」を参照してください。

  2. 新しい宛先Audit Vault ServerでソースAudit Vault Serverにアクセスし接続できることを確認します。

6.9.3 ソースAudit Vault Serverと宛先Audit Vault Serverの構成

バックアップとリストアの作業を開始する前に、収集された監査データを更新プロセスの後半でレプリケートできるようにソースAudit Vault Serverと宛先Audit Vault Serverを構成する必要があります。

この構成では、データ・レプリケーションを実行するOracle GoldenGateプロセスが作成され起動されます。宛先Audit Vault Serverを最新リリースに更新したら、後で実際のレプリケーションを実行します。

ソースAudit Vault Serverと宛先Audit Vault Serverを構成するには、この項にあるすべてのタスクを実施します。

ノート:

更新プロセスの間の任意の時点で、宛先Audit Vault Serverを変更する必要や、宛先Audit Vault Serverに対してパッチをアンインストールするか再インストールする必要があった場合は、ソースAudit Vault Serverからパッチをアンインストールし、もう一度、最初から更新プロセスを開始します。リリースのパッチ・バグ番号は、「ソースAudit Vault Serverと宛先Audit Vault Serverのパッチ・バグ番号」を参照してください。

6.9.3.1 ソースAudit Vault Serverと宛先Audit Vault Serverのパッチ・バグ番号

構成の一部として、ソースAudit Vault Serverと宛先Audit Vault Serverにパッチをインストールします。

ご使用のOracle AVDFリリースに対応するソースAudit Vault Serverと宛先Audit Vault Serverの両方のパッチをダウンロードします。

表6-1 ソースAudit Vault Serverのパッチ・バグ番号

ターゲットOracle AVDFリリース パッチ・バグ番号
20.13への更新 37474251
20.12への更新 36782027
20.11への更新 36290747
20.10への更新 35703285
20.9への更新 34625846

表6-2 宛先Audit Vault Serverのパッチ・バグ番号

ターゲットOracle AVDFリリース パッチ・バグ番号
20.13への更新 37474256
20.12への更新 36782032
20.11への更新 36290752
20.10への更新 35703288
20.9への更新 34625855
6.9.3.2 ソースAudit Vault Serverのアーカイブ・ログ保存先としてのNFSの場所の作成

ソースAudit Vault Serverのアーカイブ・ログ保存先として使用するネットワーク・ファイル・システム(NFS)の場所を作成します。

  1. SSHを使用してソースAudit Vault Serverにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. アーカイブ・ログ用に使用されている領域を監視します。

    1. oracleユーザーに切り替えます。

      su - oracle

    2. sysdbaとしてSQL*Plusを起動します。 

      sqlplus / as sysdba

    3. 次の問合せを実行します。

      select  sum( blocks*block_size)/1024/1024 "Size (MB)" from v$archived_log where DELETED = 'NO';

      この問合せでは、アーカイブ・ログについて領域使用量が示されます。

      ノート:

      この問合せを使用して、以降の手順の間に、ソースAudit Vault Serverでのアーカイブ・ログのサイズを監視します。この問合せの出力が、以降の手順でソースAudit Vault ServerでマウントしたNFSの場所のサイズを超えた場合は、NFSの場所にさらに領域を追加します。

    4. SQL*Plusを終了します。

      exit

  3. ソースAudit Vault Serverで、500 GB以上の空き領域があるNFSの場所をマウントします。

    1. マウント・ポイントとして使用するディレクトリ(/archive_logなど)を作成します。

    2. 次のコマンドを実行します(例として/archive_logを使用します): 

      mount -t nfs <NFS_IP>:<export_path> /archive_log

      正確なmountコマンドは異なる場合があります。

      マウント・ポイントとして作成したディレクトリに対するreadwriteおよびexecute権限がoracleユーザーにあることを確認します。

      /etc/fstabを更新してマウント・ポイントを追加すると、システムの再起動時にそれが元の状態に戻ります。

  4. log_archive_dest_1を、マウントしたNFSの場所に設定します。

    1. oracleユーザーに切り替えます。

      su - oracle

    2. sysdbaとしてSQL*Plusを起動します。 

      sqlplus / as sysdba

    3. 次のコマンドを実行します(例として/archive_logを使用します): 

      alter system set log_archive_dest_1='LOCATION=/archive_log' scope=both;

    4. SQL*Plusを終了します。

      exit
6.9.3.3 レプリケーションのためのソースAudit Vault Serverの構成

ソースAudit Vault Serverをバックアップする前に、それをレプリケーション用に構成する必要があります。

これは、更新プロセスの間に収集されたデータを、ソースAudit Vault Serverから宛先Audit Vault Serverにレプリケートするために必要になります。

ノート:

高可用性構成の場合は、このパッチをプライマリAudit Vault Serverにのみ適用します。

  1. My Oracle Supportから、ご使用のリリース用のソースAudit Vault Serverパッチをダウンロードします。「ソースAudit Vault Serverと宛先Audit Vault Serverのパッチ・バグ番号」を参照してください。

  2. avs-source-20.x-replication.rpmをソースAudit Vault Server上の/home/support/に安全にコピーします。

    ノート:

    Oracle Cloud Infrastructure (OCI)マーケットプレイス・イメージを使用している場合は、そのファイルを/home/opc/にコピーします。

  3. SSHを使用してソースAudit Vault Serverにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  4. rootユーザーとして、そのRPMをインストールします。 

    mv /home/support/avs-source-20.x-replication.rpm /
    rpm -i /avs-source-20.x-replication.rpm

    ノート:

    Oracle Cloud Infrastructure (OCI)マーケットプレイス・イメージを使用している場合は、次のコマンドを入力します:

    mv /home/opc/avs-source-20.x-replication.rpm /
    rpm -i /avs-source-20.x-replication.rpm

  5. oracleユーザーに切り替えます。

    su - oracle

  6. AVS_source_data_replication.pyを実行します。

    1. 次のコマンドを入力します。

      /usr/bin/python /var/lib/oracle/avs_source/AVS_source_data_replication.py --configure

      このコマンドでは、新しいレプリケーション・ユーザーGGADMINSRCが作成されます。

    2. プロンプトが表示されたら、GGADMINSRCユーザーの新しいパスワードを入力します。

      このパスワードには、少なくとも1つの大文字、1つの文字、1つの数字および1つの特殊文字が含まれている必要があります。その長さは8文字から30文字までである必要があります。

      このパスワードは、このプロセスの後半でレプリケーションのために宛先Audit Vault Serverを構成するときにも必要になります。

    3. プロンプトが表示されたら、スーパー管理者のユーザー名とパスワードを入力します。

    インストールが正常に終了すると、次のメッセージが表示されます:

    レプリケーションのソースとしてAVSが正常に構成されました。

    このメッセージが表示されない場合は、Oracleサポートに連絡してください。

  7. アーカイブ・ログ・モードが有効になっていないという警告メッセージが表示された場合は、次の手順に進む前にアーカイブ・ログ・モードを有効にします。

    アーカイブ・ログ・モードを有効にするには、次の手順に従います:

    1. SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

      SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

    2. 次のコマンドを実行して、監視プロセスを停止します。

      systemctl stop monitor

    3. 次のコマンドを実行して、Audit Vault Serverリポジトリ(Oracle Database)を停止します。

      systemctl stop dbfwdb

    4. 次のコマンドを実行して、Audit Vault Serverリポジトリが停止していることを確認します:

      /usr/local/dbfw/bin/dbfwdb status

      「ORACLEインスタンスが停止しました。」と出力されます。

    5. oracleユーザーに切り替えます。

      su - oracle

    6. sysdbaとしてSQL*Plusを起動します。 

      sqlplus / as sysdba

    7. SQL*Plusプロンプトで次のコマンドを実行して、アーカイブ・ログ・モードを有効にします:

      startup mount
      alter database archivelog;
      alter database open;
      shutdown immediate;

    8. SQL*Plusを終了します。

      exit

  8. 次のコマンドを実行して、Audit Vault Serverリポジトリ(Oracle Database)を起動します。

    systemctl start dbfwdb

  9. 次のコマンドを実行して、監視プロセスを開始します。

    systemctl start monitor

  10. rootユーザーとして、dvownerユーザーに切り替えて、新しいレプリケーション・ユーザーGGADMINSRCにレプリケーション権限を付与します。 

    su dvowner
    sqlplus /
    grant DV_GOLDENGATE_ADMIN, DV_GOLDENGATE_REDO_ACCESS to GGADMINSRC;
6.9.3.4 レプリケーションのための宛先Audit Vault Serverの構成

ソースAudit Vault Serverをバックアップして宛先Audit Vault Serverにリストアする前に、それをレプリケーション用に構成する必要があります。

これは、更新プロセスの間に収集されたデータを、ソースAudit Vault Serverから宛先Audit Vault Serverにレプリケートするために必要になります。

  1. My Oracle Supportから、ご使用のリリース用の宛先Audit Vault Serverパッチをダウンロードします。「ソースAudit Vault Serverと宛先Audit Vault Serverのパッチ・バグ番号」を参照してください。

  2. avs-destination-20.x-replication.rpmを宛先Audit Vault Server上の/home/support/に安全にコピーします。

    ノート:

    Oracle Cloud Infrastructure (OCI)マーケットプレイス・イメージを使用している場合は、そのファイルを/home/opc/にコピーします。

  3. SSHを使用して宛先Audit Vault Serverにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  4. rootユーザーとして、そのRPMをインストールします。 

    mv /home/support/avs-destination-20.x-replication.rpm /
    rpm -i avs-destination-20.x-replication.rpm

    ノート:

    Oracle Cloud Infrastructure (OCI)マーケットプレイス・イメージを使用している場合は、次のコマンドを入力します:

    mv /home/opc/avs-destination-20.x-replication.rpm /
    rpm -i avs-destination-20.x-replication.rpm

  5. oracleユーザーに切り替えます。

    su - oracle

  6. アーカイブ・ログ・モードが無効になっていることを確認します。

    1. sysdbaとしてSQL*Plusを起動します。 

      sqlplus / as sysdba

    2. 次のコマンドを入力して、アーカイブ・ログ・モードを確認します。

      select log_mode from v$database;

      出力がNOARCHIVELOGの場合、アーカイブ・ログ・モードは無効になっています。

      出力がARCHIVELOGの場合は、アーカイブ・ログ・モードが有効になっているため、無効にする必要があります。

    3. アーカイブ・ログ・モードを無効にするには、oracleユーザーとして次のコマンドを順番に入力します。 

      shutdown immediate;
      startup mount;
      alter database noarchivelog;
      alter database open;

    4. 変更が行われたことを確認します。

      select name,log_mode from v$database;

      出力はNOARCHIVELOGとなっている必要があります。

  7. 次のコマンドを実行します。

    /usr/bin/python /var/lib/oracle/avs_goldengate/AVS_target_data_replication.py --install_and_configure

    このコマンドでは、Oracle GoldenGate Microservices Architectureがインストールされます。

  8. プロンプトが表示されたら、作成された新しいGoldenGateユーザーであるAVS_GG_ADMINのパスワードを入力します。

    このパスワードには、少なくとも1つの大文字、1つの文字、1つの数字および1つの特殊文字が含まれている必要があります。その長さは8文字から30文字までである必要があります。

    このパスワードは、レプリケーション・プロセスの後半でも必要になります。

  9. プロンプトが表示されたら、そのIPアドレスとGGADMINSRCユーザーのパスワードを入力します。

    このパスワードは、「レプリケーションのためのAudit Vault Serverの構成」の手順でレプリケーション用にソースAudit Vault Serverを構成したときに作成しました。

    インストールが正常に終了すると、次のメッセージが表示されます:

    レプリケーションの宛先としてAVSが正常に構成されました。

    このメッセージが表示されない場合は、Oracleサポートに連絡してください。

    ノート:

    使用可能なすべてのコマンドを表示するには、次のコマンドを実行します:

    /usr/bin/python /var/lib/oracle/avs_goldengate/AVS_tar get_data_replication.py --help

  10. /var/lib/oracle/avs_goldengate/avs_goldengate_dep/var/lib/dataディレクトリを、使用可能な空き領域が500 GB以上あるNFSの場所にマウントします。

    これは、ソースAudit Vault ServerでマウントされているNFSの場所とは異なります。

    次のコマンドを実行します。

    mount -t nfs <NFS_IP>:<export_path> /var/lib/oracle/avs_goldengate/avs_goldengate_dep/var/lib/data

    正確なmountコマンドは異なる場合があります。

    マウント・ポイントとして作成したディレクトリに対するreadwriteおよびexecute権限がoracleユーザーにあることを確認します。

    /etc/fstabを更新してマウント・ポイントを追加すると、システムの再起動時にそれが元の状態に戻ります。

  11. ソースAudit Vault Serverでマウントしアーカイブ・ログ用に使用しているのと同一のNFSの場所を、まったく同じマウント・ポイント・パスでマウントします。

    これは、「ソースAudit Vault Serverのアーカイブ・ログ保存先としてのNFSの場所の作成」の手順で設定したNFSの場所と同じです。

  12. oracleユーザーとして、次のコマンドを入力します: 

    rman target /
    CONFIGURE ARCHIVELOG DELETION POLICY TO BACKED UP 5 TIMES to disk;

6.9.4 ソースAudit Vault Serverのホット・バックアップの作成

このプロセスにおいて前に構成したネットワーク・ファイル・システム(NFS)の場所への、ソースAudit Vault Serverのホット(またはホット増分)バックアップを実行します。

「ソースAudit Vault Serverのアーカイブ・ログ保存先としてのNFSの場所の作成」の手順で構成したNFSの場所を使用します。

宛先Audit Vault Serverで、バックアップ先となるこのNFSの場所にアクセスできる必要があります。

バックアップを実行するときに、REDUNDANCY2に設定します。

手順の詳細は、「Audit Vault Serverのバックアップとリストア」を参照してください。

ノート:

高可用性構成の場合は、プライマリAudit Vault Serverをバックアップし、それをスタンドアロン・システムにリストアします。

6.9.5 宛先Audit Vault Serverへのホット・バックアップのリストア

ソースAudit Vault Serverのホット・バックアップから宛先Audit Vault Serverにリストアします。

「ソースAudit Vault Serverのホット・バックアップの作成」の手順で、バックアップ先のNFSの場所からリストアします。

USE_NEW_IPオプションをyes (USE_NEW_IP: Y)に設定します。

手順については、「Audit Vault Serverバックアップからのリストア」を参照してください。

ノート:

リストア・プロセスの完了後にリストア後タスクを実行しないでください。

6.9.6 宛先Audit Vault Serverでのアーカイブ・ログ保存先の設定

Oracle AVDF 20.9への更新に進む前に、宛先Audit Vault Serverでlog_archive_dest_1を設定します。

  1. SSHを使用して宛先Audit Vault Serverにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. oracleユーザーに切り替えます。

    su - oracle

  3. sysdbaとしてSQL*Plusを起動します。 

    sqlplus / as sysdba

  4. 次のコマンドを入力します。

    alter system set log_archive_dest_1='LOCATION=+RECOVERY' scope=both;

  5. SQL*Plusを終了します。

    exit

6.9.7 最新リリースへの宛先Audit Vault Serverの更新

ソースAudit Vault Serverをバックアップし、それを宛先Audit Vault Serverにリストアしたら、宛先Audit Vault Serverを最新リリース(Oracle AVDF 20.9以降)に更新します。

手順については、「Oracle Audit Vault and Database Firewallリリース20へのパッチ適用」を参照してください。

6.9.8 (高可用性の場合のみ)プライマリAudit Vault ServerとスタンバイAudit Vault Serverのペアリング

更新が完了したら、高可用性を実現するためにAudit Vault Serverをペアにします。

宛先Audit Vault Serverをプライマリ・サーバーとして使用し、スタンバイAudit Vault Serverで、最新バージョンのOracle AVDFのフレッシュ・インストールを実行します。

手順については、「Audit Vault Serverの高可用性の構成」を参照してください。

関連トピック

6.9.9 更新プロセスの間に収集されたデータのレプリケート

宛先Audit Vault Serverを最新リリースに更新した後は、更新プロセスの間にソースAudit Vault Serverで収集されたデータを、宛先Audit Vault Serverにレプリケートする必要があります。

更新プロセスの間に収集されたデータをレプリケートするには、この項にあるすべてのタスクを実施します。

6.9.9.1 宛先Audit Vault Serverでのレプリケーションの開始

宛先Audit Vault Serverでレプリケーション・スクリプトを起動するには、宛先Audit Vault Server上のバックアップ・ディレクトリへの完全パスを指定します。これは、ホット・バックアップを宛先Audit Vault Serverにリストアしたときに指定したのと同じパスです。

ノート:

高可用性環境では、プライマリAudit Vault Serverで次の手順を実行します。

前提条件

宛先Audit Vault Serverでバックアップ・ディレクトリおよび/var/lib/oracle/avs_goldengate/avs_goldengate_dep/var/lib/dataディレクトリがマウントされていることを確認します。詳細は、「ソースAudit Vault Serverと宛先Audit Vault Serverの構成」を参照してください。

手順

  1. SSHを使用して宛先Audit Vault Serverにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. oracleユーザーに切り替えます。

    su - oracle

  3. 次のコマンドを入力します。

    /usr/bin/python2 /var/lib/oracle/avs_goldengate/AVS_target_data_replication.py --start <backup_directory>

    宛先Audit Vault Server上のバックアップ・ディレクトリへの完全パスを指定します。これは、「ソースAudit Vault Serverのホット・バックアップの作成」および「宛先Audit Vault Serverへのホット・バックアップのリストア」の手順でバックアップし宛先Audit Vault Serverにリストアしたときに指定したのと同じパスです。

  4. プロンプトが表示されたら、AVS_GG_ADMINユーザーのパスワードを入力します。

    これは、「レプリケーションのための宛先Audit Vault Serverの構成」の手順で宛先Audit Vault Serverにパッチをインストールしたときに作成したパスワードです。

6.9.9.2 宛先Audit Vault Serverでのレプリケーション・ステータスの確認

レプリケーションが実行されていることを確認するには、宛先Audit Vault Serverでレプリケーション・ステータスを確認します。

ノート:

高可用性環境では、プライマリAudit Vault Serverで次の手順を実行します。

  1. SSHを使用して宛先Audit Vault Serverにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. oracleユーザーに切り替えます。

    su - oracle

  3. 次のコマンドを入力します。

    /usr/bin/python2 /var/lib/oracle/avs_goldengate/AVS_target_data_replication.py --check_replication_status

    extractreplicatの両方について、ステータスが「実行中」である必要があります。両方とも「実行中」になっていない場合は、Oracleサポートに連絡してください。

6.9.9.3 宛先Audit Vault Serverでのパージ・タスクの設定

レプリケーションの実行中に、宛先Audit Vault Serverで、レプリケーション中に作成されたOracle GoldenGate証跡ファイルを自動的にパージするようにパージ・タスクを設定します。

ノート:

高可用性環境では、プライマリAudit Vault Serverで次の手順を実行します。

  1. SSHを使用して宛先Audit Vault Serverにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. oracleユーザーに切り替えます。

    su - oracle

  3. 次のコマンドを入力します。

    /usr/bin/python2 /var/lib/oracle/avs_goldengate/AVS_target_data_replication.py --setup_purge_task

  4. プロンプトが表示されたら、AVS_GG_ADMINユーザーのパスワードを入力します。

    このパスワードは、「レプリケーションのための宛先Audit Vault Serverの構成」の手順でレプリケーション用に宛先Audit Vault Serverを構成したときに作成しました。

6.9.9.4 宛先Audit Vault Serverでのレプリケーション・タイム・ラグの確認

ソースAudit Vault Serverでモニタリング・ポイントおよび監査証跡を停止する前に、宛先サーバーでのレプリケーション・タイム・ラグが60秒未満であることを確認してください。

ノート:

高可用性環境では、プライマリAudit Vault Serverで次の手順を実行します。

  1. SSHを使用して宛先Audit Vault Serverにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. oracleユーザーに切り替えます。

    su - oracle

  3. 次のコマンドを入力します。

    /usr/bin/python2 /var/lib/oracle/avs_goldengate/AVS_target_data_replication.py --check_replication_lag

    次の形式で出力が表示されます: 

    Processing Lag: <time> seconds
Extract lag: <time> seconds
Replicat lag: <time> seconds
6.9.9.5 ソースAudit Vault Serverでのすべてのモニタリング・ポイントおよび監査証跡の停止

すべてのレプリケーション・タイム・ラグが60秒未満の場合は、ソースAudit Vault Serverですべてのモニタリング・ポイントおよび監査証跡を停止します。

タイム・ラグを確認するには、「宛先Audit Vault Serverでのレプリケーション・タイム・ラグの確認」を参照してください。

モニタリング・ポイントを停止するには、「Database Firewallモニタリング・ポイントの開始、停止または削除」を参照してください。

監査証跡を停止するには、Audit Vault Serverでの監査証跡の停止、開始および自動起動を参照してください。

6.9.9.6 宛先Audit Vault Serverでのレプリケーションの停止

レプリケーション・ラグが0秒の場合は、宛先Audit Vault Serverでデータ・レプリケーションを停止します。

ノート:

高可用性環境では、プライマリAudit Vault Serverで次の手順を実行します。

タイム・ラグを確認するには、「宛先Audit Vault Serverでのレプリケーション・タイム・ラグの確認」を参照してください。続行前に、次の結果が表示されます: 

Processing Lag: 0 seconds
Extract records processed. No lag.
Replicat records processed. No lag.

レプリケーションを停止するには:

  1. SSHを使用して宛先Audit Vault Serverにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. oracleユーザーに切り替えます。

    su - oracle

  3. 次のコマンドを入力します。

    /usr/bin/python2 /var/lib/oracle/avs_goldengate/AVS_target_data_replication.py --stop

  4. 停止後に、次のコマンドを入力し、レプリケーション・ステータスが「停止済」であることを確認します。 

    /usr/bin/python2 /var/lib/oracle/avs_goldengate/AVS_target_data_replication.py --check_replication_status

6.9.10 すべての監視および収集を更新して宛先Audit Vault Serverに移行

データ・レプリケーションが完了したら、すべてのDatabase FirewallおよびAudit Vault Agentを更新し宛先Audit Vault Serverに移行します。

前提条件

ソースAudit Vault Serverのリリースが20.3、20.4、20.5または20.6であった場合は、ソースAudit Vault Serverにバグ34676006のパッチが適用されていることを確認してください。

ソースAudit Vault Serverリリースが20.1 - 20.9であった場合は、バグ35997720のパッチが宛先Audit Vault Serverに適用されていることを確認します。

手順

  1. ファイアウォールごとに次の手順を実行することでDatabase Firewallを更新し移行します:

    1. Database Firewallを最新リリースに更新します。

      「Oracle Audit Vault and Database Firewallリリース20へのパッチ適用」を参照してください。

    2. Database Firewallを宛先Audit Vault ServerのIPアドレスに再度関連付けます。

      「Audit Vault Serverの証明書およびIPアドレスの指定」を参照してください。

    3. 宛先Audit Vault ServerからDatabase Firewallをリセットします。

      Database Firewallのリセットを参照してください。

    4. 宛先Audit Vault Serverのコンソールで、Database Firewallのバージョンとして、更新後のリリース(20.9以降)が表示されていることを確認してください。
  2. ソースAudit Vault Serverでエージェント更新スクリプトを実行することで、Audit Vault Agentおよびホスト・モニター・エージェントを更新し移行します。

    1. SSHを使用してソースAudit Vault Serverにログインし、rootユーザーに切り替えます。

      SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

    2. oracleユーザーに切り替えます。

      su - oracle

    3. 次のコマンドを入力します。

      sh /var/lib/oracle/avs_source/send_agent_migration_signal.sh  -primary_avs <ip_of_destination_primary_or_standalone_AVS>  [-standby_avs <ip_of_destination_standby_AVS>] [-tcpport <tcp  port def 1521>] [-tcpsport <tcps port def 2484>]

    4. エージェントが正常に更新されたことを確認します。

      宛先Audit Vault Serverのコンソールで、それらのエージェントが「実行中」状態になっている必要があります。そうでない場合は、Oracleサポートに連絡してください。

追加条件

ソースAudit Vault Serverリリースが20.1 - 20.9であり、パッチ35997720が適用されている場合は、宛先Audit Vault Serverからパッチを削除します。

6.9.11 宛先Audit Vault Serverでのすべての監査証跡の開始

Database FirewallとAudit Vault Agentを更新し宛先Audit Vault Serverに移行した後は、宛先Audit Vault Serverですべての監査証跡を開始します。

手順については、Audit Vault Serverでの監査証跡の停止、開始および自動起動を参照してください。

監査証跡の実行が開始されるまでに最長で20分かかる可能性があります。

この時点で、すべての監視および接続が宛先Audit Vault Serverから実行されている必要があります。ソースAudit Vault Serverは、古いデータが含まれているため、廃止にしてかまいません。

6.9.12 ソースAudit Vault Serverと宛先Audit Vault Serverからのレプリケーション・パッチのアンインストール

更新が完了し、データを宛先Audit Vault Serverにレプリケートしたら、ソースAudit Vault Serverと宛先Audit Vault Serverからレプリケーション・パッチをアンインストールできます。

  1. ソースAudit Vault Serverからパッチをアンインストールします。

    リリースのパッチ・バグ番号は、「ソースAudit Vault Serverと宛先Audit Vault Serverのパッチ・バグ番号」を参照してください。

    1. SSHを使用してソースAudit Vault Serverにログインし、rootユーザーに切り替えます。

      SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

    2. oracleユーザーに切り替えます。

      su - oracle

    3. 次のコマンドを実行します。

      /usr/bin/python /var/lib/oracle/avs_source/AVS_source_data_replication.py --unconfigure
  2. プロンプトが表示されたら、スーパー管理者のユーザー名とパスワードを入力します。

  3. rootユーザーとして、そのRPMをアンインストールします。 

    rpm -e $(rpm -qa | grep avs-source)

  4. 宛先Audit Vault Serverからパッチをアンインストールします。

    リリースのパッチ・バグ番号は、「ソースAudit Vault Serverと宛先Audit Vault Serverのパッチ・バグ番号」を参照してください。

    ノート:

    高可用性環境では、プライマリAudit Vault Serverで次の手順を実行します。

    ノート:

    パッチをアンインストールする前に、次のコマンドを実行したことを確認してください:

    /usr/bin/python2 /var/lib/oracle/avs_goldengate/AVS_target_data_replication.py --stop

    詳細は、「宛先Audit Vault Serverでのレプリケーションの停止」の手順を参照してください。

    1. SSHを使用して宛先Audit Vault Serverにログインし、rootユーザーに切り替えます。

      SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

    2. ファイル・システムをアンマウントします。

      /bin/umount /var/lib/oracle/avs_goldengate/avs_goldengate_dep/var/lib/data

    3. oracleユーザーに切り替えます。

      su - oracle

    4. 次のコマンドを実行します。

      /usr/bin/python2 /var/lib/oracle/avs_goldengate/AVS_target_data_replication.py --remove_users_and_uninstall
    5. プロンプトが表示されたら、スーパー管理者のユーザー名とパスワードを入力します。

    6. rootユーザーとして、そのRPMをアンインストールします。 

      rpm -e $(rpm -qa | grep avs-destination)