2 Oracle Audit Vault and Database Firewallのインストール前の要件
Oracle Audit Vault and Database Firewall (Oracle AVDF)をインストールする前にシステムが満たす必要がある要件について学習します。
2.1 Oracle AVDFデプロイメント・チェックリスト
Oracle Audit Vault and Database Firewallのインストールの前提条件またはデプロイメント・チェックリスト。
- 製品互換性マトリクスおよびOracle Audit Vault and Database Firewallのハードウェア要件の項に記載されているハードウェア要件を満たしていることを確認してください。
- ハードウェアに十分な容量が確保されるように、My Oracle SupportドキュメントID 2092683.1に記載されているサイズ設定要件を確認しそれに従ってください。ターゲットのスケールが拡大されるたびにサイズ設定を確認します。
- Oracle AVDFでの高可用性を確認、計画およびデプロイします。
- 「ブート・パーティションが500MB以上あることの確認」を確認して解決します。
- Audit Vault Agentの要件のガイドラインに従います。
- 「ホスト・モニター・エージェントの要件」のガイドラインに従います。
- Audit Vault Serverのインストール後のタスクのガイドラインに従います。
- データベース・ファイアウォールのインストール後のタスクのガイドラインに従います。
2.2 Oracle Audit Vault and Database Firewallのハードウェア要件
各Audit Vault Serverと各Database Firewallを、それ固有の専用のx86 64ビット・サーバーまたは仮想マシン(VM)にインストールします。
注意:
他のアクティビティに使用されるサーバーまたはVMにAudit Vault ServerやDatabase Firewallをインストールしないでください。これは、そのインストール・プロセスによってサーバーがフォーマットされて、既存のデータやオペレーティング・システムが削除されるためです。サポートされているすべてのハードウェアおよび仮想化プラットフォームについては、「プラットフォームのサポート」を参照してください。
2.2.1 メモリーと領域の要件
Oracle Audit Vault and Database Firewallの最小メモリー要件について学習します。
各x86 64ビット・サーバーで必要なメモリーは次のとおりです。
-
Audit Vault Server: 8GB注1
ノート:
- システム・メモリーの削減は、インストール後のAudit Vault Serverではサポートされていません。ただし、AVDFの再起動を実行すれば、AVDFからの制限なくシステム・メモリーを増やせる場合があります。
- Oracle AVDF 20.1の場合、Audit Vault Serverにより、HugePagesを使用して埋込みOracle Database用のメモリーが管理されます。
-
データベース・ファイアウォール: 8 GB
2.2.2 ディスク領域要件
Oracle Audit Vault and Database Firewall (Oracle AVDF)の最小ディスク領域要件について学習します。
各x86 64ビット・サーバーには、次の最小ディスク領域を持つ単一ローカル・ハード・ドライブが必要です。
-
Audit Vault Server: 370GB
-
データベース・ファイアウォール: 220 GB
ノート:
-
Oracle AVDFは、アプライアンスのローカル・ディスク・ストレージにインストールする必要があります。SANストレージは、デフォルトのストレージおよびブート・デバイスとしてサポートされていません。
- Audit Vault Severの追加ディスクのサイズは最初のディスクより大きい必要があります。
- Oracle Audit Vault and Database Firewallリリース20では、BIOSとUEFIの両方のブート・モードがサポートされています。ブート・ディスクが2TBを超えるシステムの場合、Oracle AVDFではUEFIモードでの起動のみがサポートされます。
- フレッシュ・インストールごとに4PBを超えるディスクをプロビジョニングすることは、適切ではありません。4PB以下のディスクによって、各物理ディスクのディスク・グループごとに1つのみのディスク・パーティションが割り当てられるようになります。
- アプライアンス・ハードウェア仕様は、Oracle Audit Vault and Database Firewallのサイズ設定のアドバイス(My Oracle Support Doc ID 2092683.1)を参照してください。
ファイル・システム・レイアウト
インストーラは、インストールまたはアップグレードの完了を許可する前に多くの条件をチェックします。特定のディレクトリに対するメモリーの割当てと領域チェックは重要な側面です。
少なくとも8 GBのメモリーが必要です。システムのメモリーの量が少ない(たとえば4 GB)場合は、アップグレード・プロセスを強制的に完了させることができます。ただし、Oracle Audit Vault and Database Firewallインストールでメモリーを拡張することは困難です。Oracle Audit Vault and Database Firewallは、使用しているシステムのメモリーをアップグレードするリマインダを毎日送信します。
ここでは、最低限の領域チェックを示しています。これを下回ると、アップグレードが失敗する可能性が高くなります。
| ファイル・システム | 領域チェック |
|---|---|
|
|
100 MB |
|
|
200 MB |
|
|
7.5 GB |
|
|
31GB (Audit Vault Server) |
|
|
2 GB |
|
|
1.4 GB |
|
|
100 MB |
|
|
100 MB |
|
|
5 GB |
|
|
1 GB |
2.2.3 ネットワーク・インタフェース・カード
X 86 64ビット・サーバーごとに推奨されるネットワーク・インタフェース・カード(NIC)の数について学習します。
次のコンポーネントをインストールする各x86 64ビット・サーバーに、次の数のネットワーク・インタフェース・カード(NIC)を搭載することをお薦めします。
Oracle AVDFでは、Niagaraカードはサポートされていません。
表2-1 AVDFアプライアンスに推奨されるネットワーク・インタフェース・カード(NIC)の数
| AVDFアプライアンス | 推奨されるNICの最小数 |
|---|---|
| Audit Vault Server | 1 |
| モニタリング(帯域外)モードでデプロイされたデータベース・ファイアウォール | 2 |
| モニタリング(ホスト・モニター)モードでデプロイされたデータベース・ファイアウォール | 2 |
| ネットワーク分離を使用しないモニタリング/ブロック(プロキシ)モードでデプロイされたデータベース・ファイアウォール。 | 1 |
| ネットワーク分離を使用するモニタリング/ブロック(プロキシ)モードでデプロイされたデータベース・ファイアウォール。 | 3
1つは管理用のNIC、2つはクライアントおよびデータベースのネットワーク接続用のNIC。 |
2.2.4 Oracle AVDFのファイバ・チャネル・ベース・マルチパス
Oracle AVDFのマルチパスのサポートについて学習します。
Oracle Audit Vault and Database Firewall 20.1以降では、マルチパスによるファイバ・チャネル・ベース・ストレージをサポートしています。マルチパスの冗長パスにより、パフォーマンスが向上し、動的ロードバランシング、トラフィック・シェーピング、自動パス管理、動的再構成などの機能を利用できるようになります。ディスクへの接続は、2つのファイバ・チャネル・ポートを通じて確立されます。
次に、Oracle AVDFのマルチパスの重要な側面を示します。
- ISCSIストレージではサポートされません。
- デバイスxvd*は、サポートしていません。
- マルチパスは、Audit Vault Serverインストールでのみサポートされます。
- マルチパスは、Database Firewallインストールではサポートされません。
- リムーバブル・ブロック・デバイスはサポートしていません。インストールの失敗につながる可能性があるため、システム内のリムーバブル・ブロック・デバイスについて確認します。
ノート:
システム内にリムーバブル・ブロック・デバイスが存在していると、Audit Vault Serverのインストール時に次のエラーが発生することがあります。
ERROR: Failed to check if the disk is in multipath
Traceback (most recent call last):
File "/run/install/repo/partitions.py", line 386, in <module>
main()
File "/run/install/repo/partitions.py", line 372, in main
write_partition_table( None )
File "/run/install/repo/partitions.py", line 322, in write_partition_table
part_table = generate_partition_table_data(dev_list)
File "/run/install/repo/partitions.py", line 243, in generate_partition_table_data
raise RuntimeError("No disks detected")
RuntimeError: No disks detected
2.3 Oracle Audit Vault and Database Firewallのソフトウェア要件
Oracle Audit Vault and Database Firewallのソフトウェア要件について学習します。
2.3.1 Java SE要件
Audit Vault Server管理者が使用するAVCLIコマンド・ライン・ユーティリティおよびavpackユーティリティ(ソフトウェア開発キットの一部)にはJava SEバージョン8または11が必要です。
Java 8は、Oracle AVDF 20.9で非推奨となり、将来のリリースでサポートが終了します。
2.3.2 ブラウザ要件
Oracle Audit Vault and Database Firewall (Oracle AVDF)のブラウザ要件について学習します。
ノート:
サポートされるブラウザの詳細は、「サポートされるブラウザ」の項を参照してください。2.4 Audit Vault ServerのVMwareへのインストール
Audit Vault ServerをVMwareにインストールする際の重要な前提条件。
- VMX構成パラメータdisk.EnableUUIDは、
TRUEに設定する必要があります。これは、ディスクを適切にマウントできるようにするために実行する必要があります。このように設定しないと、Audit Vault ServerのVMwareへのインストールは失敗します。 - EFIブートを使用するように仮想マシンを設定する必要があります。VMwareの一部のバージョンでは、これは、「VMオプション」タブを選択してから、「起動オプション」を展開し、「ファームウェア」フィールドで
「EFI」を選択することによって実行されます。セキュアなブートを無効にする必要があります。UEFIセキュア・ブートを有効にするチェック・ボックスを選択しないでください。
ノート:
このEFIブート設定は、特にディスク・サイズが2TBを超える場合にAudit Vault Serverのフレッシュ・インストールにのみ必要です。この設定はアップグレードに必要ありません。2.5 Oracle Audit Vault and Database Firewallのインストールに必要な権限
Oracle Audit Vault and Database Firewall (Oracle AVDF)のインストールに必要な権限について学習します。
すべてのユーザーは、Oracle Audit Vault and Database Firewallをインストールできます。インストールを完了するために管理権限は必要ありません。
2.6 Audit Vault Agentの要件
Audit Vault Agentの要件について学習します。
ノート:
Oracle AVDF 20.9以降では、最大20個のOracle Database表監査証跡に、Audit Vault Agentではなくエージェントレス収集を使用できます。Oracle AVDF 20.10以降では、.sqlauditおよび.xel (拡張イベント)のMicrosoft SQL Serverディレクトリ監査証跡にエージェントレス収集を使用することもできます。エージェントレス収集の監査証跡の合計数が20を超えないようにしてください。エージェントレス収集を使用する監査証跡の追加を参照してください。
Audit Vault Agentをインストールする場合の推奨される前提条件
- システム要件を満たしていることを確認します。製品互換性マトリクスを参照してください。
-
次のJava要件を満たしていることを確認します。
- サポートされているバージョンのJavaをAudit Vault Agentにインストールします。Audit Vault Agent: サポートおよびテストされるJava Runtime Environmentを参照してください。
- 最新のJavaパッチを適用していること。
- Audit Vault Agentをインストールする前に、JRE/JDKディレクトリを指すように
JAVA_HOMEを設定し、パスを設定していること。
- Audit Vault Agentがデプロイされるホスト・マシンに、512 MB以上のRAMあることを確認します。
- OSベンダーから入手できるOpenSSLライブラリ用の最新のセキュリティ・パッチを、ホスト・マシンの特定のOSバージョンに適用します。
-
Audit Vault Agentをデプロイするホスト・マシンがAudit Vault Serverに接続できることを確認します。
高可用性環境では、プライマリとスタンバイの両方のAudit Vault Serverに接続できる必要があります。
- 2つのAudit Vault Serverポート(デフォルトでは1521および1522)がAudit Vault Agentとの通信用に構成されていることを確認します。
- Audit Vault Serverとエージェントがデプロイされるホスト・マシンとの間のネットワークでネットワーク・アドレス変換(NAT)を使用する場合は、ホスト・マシンのIPアドレスがAudit Vault Serverから解決可能であることを確認します。
-
エージェントをインストールするために必要なOS権限をユーザーが持っていることを確認します。
ディレクトリ監査証跡の場合、ユーザーは監査証跡の場所にアクセスできる必要があります。エージェントをインストールするために必要なOS権限は、「Audit Vault Agentのデプロイについて」を参照してください。
-
Audit Vault Agentホーム・ディレクトリがアクセス保護されていることを確認します。
エージェント・ホーム・ディレクトリに対する書込み権限または実行権限を持っている必要があるのは、エージェント・ユーザーのみです。
- Audit Vault Agentホスト・マシン・システム設定がアクセス保護され、悪意のあるユーザーが変更できないようになっていることを確認します。
-
Audit Vault Agentおよびターゲットのシステム時刻が同期されていることを確認します。
これらは異なるタイムゾーンである可能性があります。これら2つのシステム間の時間差は(タイムゾーンの変換を考慮して) 2秒以下にする必要があります。
WindowsでAudit Vault Agentをサービスとして開始する場合の追加要件
Oracle AVDF 20.4以前のリリースでは、次のいずれかの前提条件に準拠します。
-
Visual Studio 2012更新プログラム4のVisual C++再頒布可能パッケージを、Microsoft社からWindowsホスト・マシンにインストールします。
msvcr110.dllファイルがC:\Windows\System32ディレクトリにあることを確認します。 msvcr110.dllファイルが存在しない場合は、<Agent Home>/binおよび<Agent Home>/bin/mswin-x86-64ディレクトリに追加します。
Oracle AVDF 20.6以降のリリースでは、次のいずれかの前提条件に準拠します。
-
Visual Studio 2017のVisual C++再頒布可能パッケージを、Microsoft社からWindowsホスト・マシンにインストールします。
vcruntime140.dllファイルがC:\Windows\System32ディレクトリにあることを確認します。 vcruntime140.dllファイルが存在しない場合は、<Agent Home>/binおよび<Agent Home>/bin/mswin-x86-64ディレクトリに追加します。
ノート:
Oracle AVDF 20.5では、WindowsでAudit Vault Agentをサービスとして開始する場合に既知の問題があります。詳細は、Oracle AVDF 20.5のWindowsでAudit Vault Agentをサービスとして開始する際のエラーを参照してください。この問題は、Oracle AVDF 20.6以降では解決されています。2.7 ホスト・モニター・エージェントの要件
ホスト・モニター・エージェントは、プラットフォームに応じてインストールの要件が異なります。
Windowsプラットフォームにホスト・モニター・エージェントをインストールするには、次の要件に従います。
- Audit Vault Agentがデータベース・サーバー・マシンで実行されていることを確認します。
-
Oracle Audit Vault and Database Firewall (Oracle AVDF)リリースのNpcapインストール要件に従います。
Windowsでのホスト・モニタリングでは、ネットワーク・トラフィックを取得するためにNpcapが必要です。
-
Oracle AVDFリリース20.6以降の場合、Npcapは、エージェントのインストールとともに自動的にインストールされます。
Npcapをインストールすると、Windowsホスト・マシンからNpcapまたはWinPcapの既存のインストールが削除されます。
-
Oracle AVDFリリース20.5の場合、Npcapは、エージェント・ソフトウェア(
agent.jar)ファイルとともに自動的にダウンロードされます。Agent_Home\hmディレクトリにあるNpcapインストーラ・ファイルを使用します。 -
Oracle AVDFリリース20.4以前の場合、Npcapは、Oracle Software Delivery Cloudの
avdf20-utility.zipバンドルからインストールします。これは、Oracle AVDFのインストール可能ファイルの一部です。Npcapをインストールするときに、WinPcap-API-compatibleオプションを選択します。
-
- 最新バージョンのOpenSSL (1.1.1g以降)ライブラリをインストールします。
WindowsプラットフォームではOpenSSL 1.1.1以前がOracle AVDF 20.11で非推奨となり、将来のリリースでサポートが終了します。問題を回避するには、OpenSSL 3.0.13以降に移行する必要があります。
- Windowsターゲット・マシンに、Microsoft社から提供されるVisual Studio 2015のVisual C++再頒布可能パッケージの最新アップデート(
MSVCRT.dll (*)以降)がインストールされていることを確認します。 -
ネットワーク・ファイアウォールが存在する場合は、ポート範囲2050 - 5200で通信を許可します。
これは、データベース・サーバーとDatabase Firewall間の通信に必要です。
Linux、Unix、AIXまたはSolarisプラットフォームにホスト・モニター・エージェントをインストールするには、次の要件に従います。
- Audit Vault Agentがデータベース・サーバー・マシンで実行されていることを確認します。
-
オペレーティング・システム・ベンダーから次のパッケージの最新バージョンが、特定のオペレーティング・システム・バージョン用にデータベース・サーバー・マシンにインストールされていることを確認します。
- Libcap (Linuxホストのみ)
- LibPcap
- OpenSSL
-
AIXデータベース・サーバーに
gmakeがインストールされていることを確認します。その他のUNIXデータベース・サーバー・タイプ(Linux、UNIXまたはSolaris)の場合、
makeがインストールされていることを確認します。これは、ホスト・モニター・エージェントが正常に実行されるようにするために必要です。 -
ネットワーク・ファイアウォールが存在する場合は、ポート範囲2050 - 5200で通信を許可します。
これは、データベース・サーバーとDatabase Firewall間の通信に必要です。
-
IBM AIX on Power Systems (64ビット)の場合は、入出力完了ポート(IOCP)設定が
デフォルトではavailableであることを確認します。definedに設定されています。 -
ホスト・モニター・エージェントのインストール場所のパスにあるすべてのディレクトリでは、rootディレクトリから権限ビットとして755を持っていることを確認します。
ホスト・モニター・エージェントをrootが所有する場所にインストールする必要があるため、これは必須です。
- rootユーザーによってホスト・モニター・エージェントがインストールされていることを確認します。
関連項目:
ホスト監視の手順および前提条件については、ホスト監視の有効化および使用。
脚注
脚注1:このガイドでは、1 GBは2の30乗バイトまたは10進表記の1,073,741,824バイトを表します。