1. インストレーション・ガイド
  2. インストール後の構成タスク

4 インストール後の構成タスク

Oracle Audit Vault and Database Firewall (Oracle AVDF)のインストール後のタスクについて学習します。

関連項目:

SSHを介してOracle AVDFアプライアンスにログインできない

4.1 Audit Vault Serverのインストール後のタスク

Audit Vault Serverのインストール後に、推奨されている次のンストール後タスクを実行します。

  1. 「Audit Vault Serverの「インストール後の構成」ページへのアクセス」の項で示した手順を完了し、ユーザー名とパスワードを設定します。

  2. Audit Vault Serverのインストール後またはアップグレード後に、非推奨の暗号を削除するパッチ(Deprecated-Cipher-Removal.zip)を適用します。

    ノート:

    このパッチは、Oracle Audit Vault Server 20.1に対して、インストール後またはアップグレード後に適用してください。アップグレードの場合は、このパッチの適用前に、すべてのAudit Vault Agentが20.1にアップグレードされておりホスト・モニター・エージェントが「インストール済」の状態になっていることを確認してください。

  3. DNSおよびNTPシステム・サービス構成を確認します。Oracle Audit Vault Serverサービスの構成または変更を参照してください。
  4. 高可用性を使用する場合は、Audit Vault Serverの回復可能ペアを構成します。「Audit Vault Serverの高可用性の構成」を参照してください。
  5. Oracle Audit Vault and Database Firewallに監視のターゲットを登録します。ターゲット、監査証跡およびデータベース・ファイアウォール・モニタリング・ポイントの構成を参照してください。
  6. 監査証跡を構成する前に、各ターゲットのデータ保存ポリシーを構成します。アーカイブの場所および保存ポリシーの構成を参照してください。

  7. ネイティブ監査収集について各監査証跡を構成します。監査データ収集のためのターゲットの準備を参照してください。

    1. ターゲットがインストールされているマシンまたはターゲットに接続できるマシンにAudit Vault Agentをデプロイします。

      ノート:

      Oracle AVDF 20.9以降では、最大20個のOracle Database表監査証跡に、Audit Vault Agentではなくエージェントレス収集を使用できます。Oracle AVDF 20.10以降では、.sqlauditおよび.xel (拡張イベント)のMicrosoft SQL Serverディレクトリ監査証跡にエージェントレス収集を使用することもできます。エージェントレス収集の監査証跡の合計数が20を超えないようにしてください。エージェントレス収集を使用する監査証跡の追加を参照してください。
    2. ターゲットのネイティブ・データベース監査を有効にします。
    3. ターゲットについて監査証跡を確認し構成します。
    4. 必要な場合は、監査証跡のクリーンアップを構成します。
  8. Oracle Databaseターゲットの場合は、Oracle推奨の監査ポリシーのプロビジョニングについて検討してください。Oracleデータベースの監査ポリシーの作成を参照してください。
    Oracle AVDF 20.12へのパッチ適用後、次のことが必要になります
    1. Oracle権限スクリプトを再実行して、コンテナ・データベース・ターゲットの監査ポリシーの取得を成功させます。詳細は、「Oracle Databaseの設定スクリプト」を参照してください。
    2. 監査ポリシーをプロビジョニングまたは表示する前に、監査ポリシーを取得します。詳細は、「Oracle Databaseの監査ポリシーの取得および変更」を参照してください
  9. アラート・ポリシーを構成することを検討します。アラートの作成を参照してください。

ノート:

  • Audit Vault Serverにより、ターゲットから、イベントのタイムスタンプを含む監査ログが読み取られます。この同期化を行わないと、表面上、イベントが発生前にAudit Vault Serverにアーカイブされ、トリガーするイベントの発生前にアラートが送信されることがあります。
  • Audit Vault Server管理者および監査者のユーザー名とパスワード、ならびにrootユーザーとsupportユーザーのパスワードを設定します。Audit Vault Serverの時間およびドメイン名サービス(DNS)・サーバーも設定できます。

4.2 Database Firewallのインストール後のタスク

Database Firewallのインストール後タスクについて学習します。

Database Firewallのインストール後に、supportユーザーのパスワードを設定します。これは、Database FirewallのLinuxオペレーティング・システム・ユーザー・アカウントです。次のステップを実行して、パスワードを設定します。

  1. インストールの完了後、表示されるコンソールでrootユーザーとしてログインします。

  2. 次のコマンドを実行して、supportユーザーのパスワードを設定します。 

    passwd support

  3. 入力要求が表示されたら、supportユーザーの新しいパスワードを入力します。

  4. 入力要求が表示されたら、パスワードを再入力します。

  5. パスワードが正常に設定されると、次のメッセージがコンソールに表示されます。

    all authentication tokens updated successfully.

4.3 Audit Vault Serverの「インストール後の構成」ページへのアクセス

Audit Vault Serverの「インストール後の構成」ページにアクセスします。

Audit Vault Serverの「インストール後の構成」ページにアクセスするには:

  1. ブラウザを使用して、Audit Vault Serverコンソールに移動します。使用しているブラウザのバージョンがTLS 1.2プロトコルをサポートしていることを確認してください。詳細は、「サポートされるブラウザ」を参照してください。
    https://ip_address

    ip_addressには、Audit Vault ServerのIPアドレスを使用します。Audit Vault Serverまたはデータベース・ファイアウォールのインストールを参照してください。

    Webサイトのセキュリティ証明書に関する問題を示すメッセージが表示されることがあります。これは、自己署名証明書が原因です。「このサイトの閲覧を続行する」(または、これと類似の)リンクをクリックします。このメッセージを回避するために、後で資格証明リクエストを生成できます。これは、考えられる理由の1つです。ただし、その他の理由で、ブラウザが安全でないWebサイトについてのプロンプトを表示することもあります。十分な注意を払って確認してから、正しいWebサイトに接続してください。

    『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。

  2. rootのパスワードの入力を求めるプロンプトが表示されます。
  3. 「ログイン」をクリックします。「インストール後の構成」ページが表示されます。

    「インストール後の構成」ページ(Oracle AVDFリリース20.1から20.7)

    install_config.pngの説明が続きます
    図install_config.pngの説明

    「インストール後の構成」ページ(Oracle AVDFリリース20.8以降):

    20_8_post_install_config.jpgの説明が続きます
    図20_8_post_install_config.jpgの説明
  4. このページでは、ユーザー名とパスワード(必須)、時間およびDNSサーバーを設定する必要があります。

4.4 Audit Vault Serverユーザーのユーザー名およびパスワードの設定

Oracle Audit Vault and Database Firewall (Oracle AVDF)のユーザー名およびパスワードを設定します。

「インストール後の構成」ページで、次のOracle Audit Vault and Database Firewallユーザーのユーザー名とパスワードを設定します。

  • スーパー管理者
  • スーパー監査者
  • リポジトリ暗号化のキーストア
  • サポート
  • ルート

rootユーザーのパスワードはインストール中にすでに設定されているため、この画面で変更するかどうかはオプションです。

関連項目:

各ユーザーの説明は、「職務の分離」を参照してください。

ノート:

ルート・ユーザーおよびサポート・ユーザーは、マニュアルに記載されている場合またはカスタマ・サポートの担当者に指示された場合以外は使用しないでください。

4.4.1 管理者および監査者のユーザー名について

Oracle Audit Vault and Database Firewall (Oracle AVDF)をインストールした後に管理者および監査者のユーザー・アカウントを作成することをお薦めします。

管理者および監査者のユーザー名は、次のルールに従って付ける必要があります。

  • 最初の文字は英字にする必要があります。
  • 長さは1から30文字までです。
  • 残りの文字は、英数字またはアンダースコア(_)、ドル記号($)、番号記号(#)のいずれかです。

ノート:

管理者および監査者のユーザー名は大文字に変換されます(つまり、小文字の英字が大文字の英字に置き換わります)。また、Audit Vault Serverは引用符付きのユーザー名をサポートしません。

関連項目:

各ユーザー・アカウントの説明は、「職務の分離」を参照してください。

4.4.2 パスワードの要件

Audit Vault and Database Firewall (Oracle AVDF)ユーザー・アカウントのパスワード管理ガイドラインを設定します。

たとえば、定期的に(120日ごとなど)パスワードを変更することや、簡単に推測されないパスワードを作成することをユーザーに要求します。

次の各項では、Oracle Audit Vault and Database Firewallのパスワードの最小要件について説明します。

Unicode文字を含むパスワードの要件

パスワードにUnicode文字(アクセント記号が付いた英語以外の文字)が含まれる場合、パスワードの要件は次のとおりです。

  • 8文字以上30文字以下にします。

英語のみ(ASCII)のパスワードの要件

英語のみのASCII印刷可能文字を使用する場合、Oracle Audit Vault and Database Firewallでは次のパスワードが必要です。

  • 8文字以上30文字以下にします。

  • 次のうち少なくとも1つを含めます。

    • 小文字: a-z。

    • 大文字: A-Z。

    • 数値: 0-9。

    • 句読点記号: カンマ(,)、ピリオド(.)、プラス記号(+)、コロン(:)、感嘆符(!)およびアンダースコア(_)

  • 二重引用符(")、バック・スペースまたは制御文字は含めません。

パスワードについてのその他の推奨事項は次のとおりです。

  • ユーザー名と同じにならないようにします。

  • Oracleの予約語は使用できません。

  • わかりやすい語(welcome、account、database、userなど)は使用しないでください。

  • 連続する文字が含まれないようにします。

関連項目:

4.4.3 Audit Vault Serverユーザーのパスワードの設定

Audit Vault Serverユーザーのパスワードを設定するステップ。

Audit Vault Server管理者、監査者、ルートおよびサポート・ユーザーのパスワードを設定するには、次の手順を実行します。

  1. Audit Vault Serverの「インストール後の構成」ページにアクセスします。
  2. 「ユーザー設定」の下で次の手順を実行します。

    • 「スーパー管理者」フィールドに、管理ユーザー名を入力します。

    • 「スーパー管理者」フィールドの下で、管理者の「スーパー管理者のパスワード」を入力し、「パスワードの再入力」フィールドでパスワードを確定します。

    • 「ユーザー名の検証」をクリックします。

      入力した管理者ユーザー名が検証されます。この名前が有効な場合は使用でき、そうでない場合は有効な名前を入力する必要があります。

    • 「スーパー監査者」フィールドに、スーパー監査者のユーザー名を入力します。

    • 「スーパー監査者」フィールドの下で、監査者の「スーパー監査者のパスワード」を入力し、「パスワードの再入力」フィールドでパスワードを確定します。

    • 「ユーザー名の検証」をクリックします。

      入力した監査者ユーザー名が検証されます。この名前が有効な場合は使用でき、そうでない場合は有効な名前を入力する必要があります。

  3. 「リポジトリ暗号化」の下で、「キーストア・パスワード」を入力してから再入力します。

    Oracle Audit Vault and Database Firewall 12.2以降の新規の完全インストールでは、Audit Vault Serverのリポジトリ内の監査イベント・データはOracle Database Transparent Data Encryption (TDE)を使用して自動的に暗号化されます。TDEマスター・キーをリセットするには、リポジトリ暗号化のキーストア・パスワードが必要です。

  4. 「Rootパスワード」の下の「Rootパスワード」および「新規パスワードの再入力」のラベルが付いたフィールドで、ルートのパスワードを入力します。
  5. 「Supportユーザー・パスワード」の下の「Supportユーザー・パスワード」および「新規パスワードの再入力」のラベルが付いたフィールドで、サポート・ユーザーのパスワードを入力します。

4.5 Audit Vault Server時間の設定(強く推奨)

Audit Vault Server時間を設定するステップ。

Audit Vault Server時間を設定するには:

  1. Audit Vault Serverの「インストール後の構成」ページにアクセスします。

  2. 「時間設定」セクションを展開します。

  3. 「手動で設定」または「NTPを使用」を選択します。

    ノート:

    「NTPを使用」を選択することを強くお薦めします。さらに、Audit Vault Serverによって出されたアラートのタイムスタンプに関する混乱を避けるために、ターゲット上でNTPサービスを使用することもお薦めします。

  4. ステップ3「NTPを使用」を選択した場合、「サーバー1のアドレス」「サーバー2のアドレス」および「サーバー3のアドレス」の各フィールドで、次のステップを実行します。

    1. 優先するタイム・サーバーのIPアドレスまたは名前を入力します。

      名前を入力する場合は、「システム・サービス」ページで指定したDNSサーバーが名前解決のために使用されます。

    2. 「サーバーのテスト」をクリックします。

      指定されたサーバーから時間が表示されます。

  5. ステップ3「手動で設定」を選択した場合、「日付」フィールドに現在のローカルの日時を設定します。

  6. 「保存」をクリックするか、Audit Vault ServerのDNSサーバーの設定に進みます。

関連項目:

NTPサーバーを使用して手動でAudit Vault Server時間を変更した後、AVSコンソールにアクセスできません

4.6 Audit Vault ServerのDNSサーバーの設定(推奨)

Audit Vault ServerのDNSサーバーを設定するステップ。

Audit Vault Serverで使用される可能性のあるホスト名は、Audit Vault ServerのDNSサーバーを使用して解決されます。

ノート:

ネットワークにDNSサーバーがある場合のみ、Audit Vault ServerのDNSサーバー値を設定します。そうしないと、システム・パフォーマンスが損われます。

Audit Vault ServerのDNSサーバーを設定するには:

  1. ネットワーク上の最大3つのDNSサーバーのIPアドレスを、「サーバー1」「サーバー2」および「サーバー3」のフィールドに入力します。

    DNSサーバーがない場合は、フィールドを空白のままにします。

  2. 「保存」をクリックします。

4.7 ネットワーク設定および構成

Oracle Audit Vault and Database Firewallを、DNSを介したアクセスについて設定または構成できます。

ホスト名はアクセスに使用するFQDNと一致する必要があります。

関連項目: