A Oracle Audit Vault and Database Firewallのトラブルシューティング
Oracle Audit Vault and Database Firewallでは、デプロイメントまたはインストール・プロセスで予想される問題に対するトラブルシューティングのアドバイスが提供されます。
A.1 サービス・リクエスト申請時に参考のために提供する情報
サービス・リクエストを申請するときに参考のために提供する次の情報リストを確認します。
ノート:
診断データ(特にトレース・ファイル)には、多くの場合、機密情報が含まれています。適切に保護し、必要な情報のみ収集および送信してください。- Oracle AVDFのバージョン(インストール済バンドル・パッチを含む)
- 仮想化が使用されているかどうか。その場合は、どれであるか。
- Audit Vault ServerおよびDatabase Firewallアプライアンスに使用できる物理メモリーはどのくらいか。
- 初期インストールで使用可能だったディスク領域量。
- SANストレージを追加したかどうかと、その場合のディスク領域量。
- 使用しているハードウェアのブランドおよびモデルに関連する詳細情報を提供します。この情報を提供する必要があるのは、インストール・メディアからのブートに関して特定の問題がある場合です。
- セキュア・ターゲット・データベースのホストOSおよびバージョン。この情報を提供する必要があるのは、エージェントの互換性の問題をチェックする場合です。
- セキュア・ターゲット・データベースのブランド(Oracle、MySQL、SQL Serverなど)。
- セキュア・ターゲット・データベースのバージョン(PSUおよびその他の個別パッチを含む)。
- セキュア・ターゲット・データベースのalert.logファイルをアップロードします。
- Oracleセキュア・ターゲット・データベースからの、次の出力内容を提供します:
show parameter audit
opatch lsinventory -patch -detail
- 統合監査が構成されているかどうか(一部のバージョンのOracleデータベースの場合のみ)
- 構成中の監査証跡タイプ、およびすべての関連属性
- Audit Vault Serverの詳細な診断情報。Oracle Audit Vault Serverの詳細診断レポートのダウンロードを参照してください
- Oracle Supportからリクエストされた場合、Oracle Trace File Analyzerからの診断情報。Oracle Trace File Analyzer (TFA)の使用を参照してください。
- Database Firewallに関する情報:
- Database Firewallの詳細な診断情報。Database Firewallのステータスおよび診断レポートの表示を参照してください
- Database Firewallアプライアンスに取り付けられているネットワーク・インタフェース・カードの数。
- 強制ポイントでデフォルト・パスワード列挙(DPE)またはデータベース・アクティビティ監視(DAM)が使用されているかどうか。その場合は、それがブリッジ、スパンまたはプロキシのどれであるか。
- VLANタグ付けを使用するかどうか。VLANのサポートには制限があります。
- インストールの問題については、インストールに関連する診断ファイル。「インストールの失敗をデバッグするためのログの収集」を参照してください。
サポートに連絡する前に、監査証跡トランザクション・ログが次のガイドラインに従っている必要があります:
- ユーザー設定スクリプトを、引数
REDO_COLL
を指定して実行する必要があります - セキュア・ターゲット・データベースが、
ARCHIVELOG
を使用して構成されている必要があります - Streams推奨パッチがセキュア・ターゲット・データベースに適用されている必要があります: Streams推奨パッチ(ドキュメントID 437838.1)
global_name
が完全修飾されている必要があります(select global_name from global_name;)- パラメータ
global_names = true
の使用をお薦めします - 取得側または適用側でエラーが発生した場合は、Streams関連の問題が発生した場合と同様に、それぞれのalert.logファイルを確認してください(avログには、この監査証跡タイプについての限られた情報のみが示されます)
関連トピック
A.2 Audit Vault Serverをリリース20.1から20.3にインストールする際のエラー
Audit Vault Server 20.1、20.2または20.3のインストール時に表示されるエラーを解決する方法を学習します。
問題
Audit Vault Serverのインストール中にエラーが表示されます。これは、Oracle AVDFリリース20.1から20.3でのみ表示されます。
解決策
Audit Vault Serverインストーラ(ISO)ファイルは、Oracle AVDFリリース20.1から20.3の3つの部分またはファイルに分割されます。インストールを続行する前に、3つのISOファイルを連結して、1つのAudit Vault Server 20.x ISO (avdf-install.ISO
)を取得する必要があります。
詳細は、「Oracle AVDFソフトウェアのダウンロードおよび検証」を参照してください。
Oracle AVDF 20.4以降、Audit Vault Server ISOファイルは1つで、連結する必要はありません。
A.3 Oracle AVDFに追加されたストレージ上の競合するデータ
Oracle Audit Vault and Database Firewall (Oracle AVDF)への追加前に競合する既存のデータをストレージから削除する方法について説明します。
問題
既存のファイル・システム、論理ボリューム・マネージャ(LVM)またはデバイス・マッパーのメタデータが、Oracle AVDFの機能と競合している場合があります。これにより、パッチ適用、アップグレードまたはインストールに失敗する可能性があります。
現象
既存のLVMまたはその他のデバイス・マッパーのメタデータが原因で発生する現象としては次のことがありますが、これらのみではありません:
vg_root
ボリューム・グループが2つある。- パッチ適用、アップグレードまたはインストールの間にハード・ドライブ・デバイスを使用できなくなる。これにより、入力または出力のエラーが発生し、最終的にパッチ適用、アップグレードまたはインストールに失敗する可能性があります。
解決策
注意:
これにより、ドライブからデータが消去されます。- Oracle Linuxダウンロードから最新のOracle Linux 8 ISOイメージをダウンロードします。
-
レスキュー・モードでブートします。
-
ご使用のアプライアンスにOracle Linux 8 ISOをロードし、ブートします。
インストール・メニューに次のオプションが表示されます:
Install Oracle Linux 8.x.x Test this media & install Oracle Linux 8.x.x Troubleshooting
-
[↓]を押して「トラブルシューティング」を選択し、[Enter]を押します。
トラブルシューティング・メニューに次のオプションが表示されます:
Install Oracle Linux 8.x.x in basic graphics mode Rescue a Oracle Linux system
-
[↓]を押してOracle Linuxシステムのレスキューを選択し、[Enter]を押します。
レスキュー・メニューに次のオプションが表示されます:
1) Continue 2) Read-only mount 3) Skip to shell 4) Quit (Reboot)
- 3 (シェルにスキップ)を入力し、[Enter]を押します。
- もう一度[Enter]を押してシェル・プロンプトを開きます。
-
-
接続されているストレージを検出するには、シェル・プロンプトで
lsblk
コマンドを入力します。たとえば:
sh-4.4# lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT loop0 7:0 0 745.4M 1 loop loop1 7:1 0 4G 1 loop ├─live-rw 253:0 0 4G 0 dm / └─live-base 253:1 0 4G 1 dm loop2 7:2 0 32G 0 loop └─live-rw 253:0 0 4G 0 dm / sda 8:0 0 256G 0 disk └─sda1 8:1 0 256G 0 part sr0 11:0 1 11.2G 0 rom /run/install/repo sr1 11:1 1 1024M 0 rom
-
ドライブを消去するには、シェル・プロンプトで
wipefs
コマンドを入力します。オプションをすべて含むリストを表示するには、
wipefs --help
と入力します。たとえば、
/dev/sda
ドライブを消去するには、次のコマンドを入力します:sh-4.4# wipefs --all /dev/sda
コマンド出力で、変更内容が一覧表示されます。たとえば:
/dev/sda: 2 bytes were erased at offset 0x000001fe (dos): 55 aa /dev/sda: calling ioctl to re-read partition table: Success
-
安全に電源を切断するには、シェル・プロンプトで
sync
コマンドを入力し、続けてpoweroff
を入力します。sh-4.4# sync sh-4.4# poweroff
- ドライブを消去したら、ISOを取り出し、インストールを再開します。
A.4 Audit Vault ServerをVMwareにインストールする際のEFI関連エラー
Audit Vault ServerをVMwareにインストールする際のEFI関連エラーを解決する方法を学習します。
問題
Audit Vault ServerをVMwareにインストールしようとすると、次のエラーが発生する可能性があります。
EFI Virtual disk (0.0) … unsuccessful.
EFI VMware Virtual SATA CDROM Drive (0.0) … unsuccessful.
EFI Network …
解決策
Audit Vault ServerをVMwareにインストールする際に従う必要がある重要な前提条件があります。
-
VMX構成パラメータdisk.EnableUUIDは、
TRUE
に設定する必要があります。これは、ディスクを適切にマウントできるようにするために実行する必要があります。このように設定しないと、Audit Vault ServerのVMwareへのインストールは失敗します。 -
EFIブートを使用するように仮想マシンを設定する必要があります。VMwareの一部のバージョンでは、これは、「VMオプション」タブを選択してから、「起動オプション」を展開し、「ファームウェア」フィールドで
「EFI」
を選択することによって実行されます。セキュアなブートを無効にする必要があります。UEFIセキュア・ブートを有効にするチェック・ボックスを選択しないでください。このEFIブート設定は、特にディスク・サイズが2TBを超える場合にAudit Vault Serverのフレッシュ・インストールにのみ必要です。この設定はアップグレードに必要ありません。
ノート:
詳細は、Audit Vault ServerのVMwareへのインストールを参照してください。A.5 Audit Vault Serverコンソールにアクセスできない
Audit Vault Serverのユーザー・インタフェースまたはコンソールにアクセスできない場合の回避策について説明します。
問題
Audit Vault Serverコンソールにアクセスできません。
解決策
この問題がいつ発生するかに応じて、実行できる2つの処置があります。
-
Audit Vault Serverのインストール直後に問題が発生する。
この場合は、インストールが正常に完了していない可能性があります。再度インストールを実行します。
-
システムはすでに実行中で、その後に問題が発生する。
この場合は、ディスクがフルでないこと、および次のコマンドを使用して、Oracle Audit Vault Serverデータベースが実行されていることを確認します。
/etc/init.d/dbfwdb status
データベースを再起動するには、
root
として次のコマンドを実行します。/etc/init.d/dbfwdb start
データベースの再起動に問題がある場合は、Oracleサポートに連絡してください。
A.6 インストールの失敗をデバッグするためのログの収集
Oracle Audit Vault and Database Firewallのインストール時の問題をデバッグするためのログを収集できます。
A.6.1 ベース・オペレーティング・システムのインストールに関する問題のログの収集
ベース・オペレーティング・システムのインストール中に発生する障害(再起動前または再起動後)のログを収集するには、次のステップを使用します。
再起動前のインストールの失敗をデバッグするためのログの収集
- インストール中またはアップグレード中の、
.iso
ファイルのマウント後に、[Tab]を押して通常のブート・プロセスを中断します。 - ログを収集するには、インストーラをコマンドライン・アクセスで実行する必要があります。コマンドライン・アクセスを有効にするには、起動オプションから
noshell
を削除します。 -
障害が発生したら、次のいずれかのキーボード・ショートカットを使用してコマンドラインにアクセスします:
- Oracle AVDF 20.9 (Oracle Linux 8)以降では、[Ctrl]を押しながら[B]を押し、次に[2]を押します。
- Oracle AVDF 20.1から20.8 (Oracle Linux 7)をインストールしている場合は、[Alt]を押しながら[→]を押します。
-
次のコマンドのいずれかを実行して収集ツールを起動します:
-
Oracle AVDF 20.9 (Oracle Linux 8)以降では、次のコマンドを使用します:
/usr/libexec/platform-python /run/install/repo/collect_diagnostics.py
Oracle AVDF 20.1から20.8 (Oracle Linux 7)の場合は、次のコマンドを使用します:
python /run/install/repo/collect_diagnostics.py
-
- 診断ファイルを収集する手順に従います。
再起動後のインストールの失敗をデバッグするためのログの収集
- 以前に設定したパスワードを使用して、コンソールで
root
としてログインするか、SSHを使用します。 -
次のコマンドのいずれかを実行して収集ツールを起動します:
-
Oracle AVDF 20.9 (Oracle Linux 8)以降では、次のコマンドを使用します:
/usr/libexec/platform-python /media/avdf-install/collect_diagnostics.py
-
Oracle AVDF 20.1から20.8 (Oracle Linux 7)の場合は、次のコマンドを使用します:
python /media/avdf-install/collect_diagnostics.py
-
- 診断ファイルを収集する手順に従います。
分析用のログ・ファイルの転送
再起動前または再起動後の障害のログを収集する手順を実行した後、収集ツールによって次の場所にログ・ファイルまたは診断ファイルが作成されている必要があります。
/root/install-diagnostics.tgz
-
プロンプトの指示に従って、分析のためにログ・ファイルを転送します。次のコマンドを使用します。
scp /root/install-diagnostics.tgz <user>@<Ip address>:<Path>
-
次のステップおよびコマンドを実行してネットワークを構成することもできます。
ip addr add <IP address>/<sub net> dev <interface>
ip link set <interface> up
ip route add default via <gateway>
- ログ・ファイルにある情報を使用して問題を分析し、問題に対処した後でインストールを再試行します。
A.6.2 Oracle AVDFのインストールに関する問題のログの収集
Oracle AVDFのインストール時に発生する障害のログを収集するには、次のステップを使用します。
- インストール開始画面で、[Tab]を押します(さらに"noshell"という語を削除します)。
- [Enter]を押して、インストールを開始します。
-
インストールが開始されたら、[Ctrl]を押しながら[B]を押した後、[2]を押します。
インストールが失敗した場合でも、ログイン画面が表示されます。
- tarまたはGzipを使用して、次のログを収集します。
/var/log
/var/lib/oracle/diag
/var/lib/oracle/oraInventory/logs
/tmp
-
次の構成ファイルを収集します。
/etc/sysconfig/avdf
/var/lib/avdf/system_history.yaml
/usr/local/dbfw/etc/dbfw.conf
-
次のコマンドから出力を収集します。
su root
rpm -qa avs
ls -lrt /var/log/installation-*
ls -lrt /var/log/upgrade-*
df -h
du -sh /var/lib/oracle/19.7.0.0.0
du -sh /var/lib/oracle/19.7.0.0.0/grid
cat /proc/meminfo
-
次のコマンドから出力を収集します。
su root
hostname
cd /var/lib/oracle/diag
ls -lrt
cd crs
ls -lrt
hostname
cd <hostname>
ls -lrt
cd crs
ls -lrt
A.7 ゲートウェイに到達できないエラー
インストール時に入力された不正なゲートウェイの詳細を修正する方法について説明します。
問題
Audit Vault ServerまたはDatabase Firewallのインストール中に不正または無効なゲートウェイ詳細が入力されました。次のエラー・メッセージが表示されることがあります。
Gateway is not reachable from host
解決策
ゲートウェイの詳細は、次のステップにより修正できます。
- RootユーザーとしてTerminal-1にログインします。または、Terminal-1は
Ctrl+Alt+Right Arrow Key
を押してアクセスできます。 - 次のコマンドを実行してdbfw.confファイルにアクセスし、開きます。
vi /usr/local/dbfw/etc/dbfw.conf
- GATEWAYフィールドに、既存の値を上書きして正しい値を設定します。
- 保存してファイルを閉じます。
- 次のコマンドを実行して、変更された値を適用します。
/usr/local/dbfw/bin/priv/configure-networking
Ctrl+Alt+Left Arrow Key
を押してアプライアンス画面に戻ります。
ノート:
インストール中に入力したネットワーク設定は、インストーラまたはアプライアンス画面でIP設定の変更オプションを選択することで変更できます。A.8 Oracle Enterprise Manager Cloud Controlを使用したOracle AVDFの構成または管理に関する問題
Oracle Enterprise Manager Cloud Controlを使用したOracle AVDFの構成または管理に関する問題を解決する方法を学習します。
問題
Oracle Enterprise Manager Cloud Controlを使用してOracle AVDFを構成または管理できません。
解決策
Oracle AVDFプラグインは、Oracle AVDFコンポーネントを管理および監視する管理者用のOracle Enterprise Manager Cloud Control内のインタフェースです。Oracle EMプラグインの構成時に問題が発生した場合は、『System Monitoring Plug-inユーザーズ・ガイドfor Audit Vault and Database Firewall』を参照してください。
サポートされているバージョンのOracle Enterprise ManagerとOracle AVDF 20を確認するには、「Oracle Enterprise Managerとの互換性」を参照してください。
A.9 IPアドレスの入力後にインストールの進行が停止する
インストールの進行が停止したときの対処方法を説明します。
問題
Audit Vault Serverのインストール時に、IPアドレスを入力するとインストールの進行が停止します。
解決策
- 「Oracle AVDFのインストールに関する問題のログの収集」の手順に従って、Oracle AVDF 20のインストールに関する問題のログをデバッグおよび収集します。
- サービス・リクエスト(SR)を出し、収集した診断情報をSRに添付します。
A.10 インストール後タスクの間の「シグナルなし」エラー
「シグナルなし」エラーが表示されたときの対処方法を説明します。
問題
インストール中に、緑色の画面で「シグナルなし」エラーが表示され、インストールが完了するまでに時間がかかります。
解決策
- 画面のコンテンツをキャプチャします。
- 「Oracle AVDFのインストールに関する問題のログの収集」の手順に従って、Oracle AVDF 20のインストールに関する問題のログをデバッグおよび収集します。
- サービス・リクエスト(SR)を出し、画面キャプチャと収集した診断情報をSRに添付します。
A.11 アップグレード前RPMの警告
Oracle Audit Vault and Database Firewall (Oracle AVDF)のパッチ適用またはアップグレード中に、アップグレード前RPMに、更新を続行する前に解決する必要がある問題を示す警告が表示されます。
A.11.1 RPMアップグレードに失敗する
RPMアップグレードに失敗する場合は、トラブルシューティングのアドバイスを確認します。
問題
RPMアップグレードが次のエラーで失敗します。
error: %post(dbfw-mgmtsvr-###) scriptlet failed, exit status 1
解決策
-
少なくとも10MBの空き容量が
/tmp
にあることを確認します。 -
新しいRPMを削除します。
rpm -e dbfw-mgmtsvr-###
-
アップグレードを再試行します。
A.11.2 メモリー不足によるアップグレード前RPMの障害
メモリー不足によるアップグレード前RPMの障害を解決する方法を学習します。
問題
アップグレード前RPMをインストールすると、システムが安全な状態に置かれ、複数のチェックが実行されて、Audit Vault ServerおよびDatabase Firewallを安全かつ正常にインストールまたはアップグレードするためにアプライアンス上の空き領域が再編成されます。
次のエラーが表示されることがあります。
AVDF::Installer::Upgrade::InvalidPreconditions
Recommended memory is x.yy GB; system only has xx.yy MB available
ERROR:
AVDF::Installer::Upgrade::InvalidPreconditions
Verifying pre-upgrade conditions failed.
解決策
この問題を解決するには、次のステップを実行します。
-
次のコマンドを実行して、アップグレード前RPMの正確なバージョンを確認します。
rpm -qa |grep avdf-pre*
-
次のコマンドを実行して、アップグレード前RPMをアンインストールおよび削除します。
rpm -e {rpm name}
-
ホスト・マシンの電源をオフにします。
-
推奨に従ってメモリーを増やします。
-
ホスト・マシンの電源をオンにします。
-
アップグレード前RPMを再インストールします。
-
メモリーに関連する警告が解決されていることを必ず確認します。
-
Oracle AVDFのドキュメントに従って、アップグレードを続行します。
A.11.3 アップグレード前RPMによってレポートされた/var/lib/oracleファイル・システムの領域不足エラー
アップグレード前RPMによってレポートされた/var/lib/oracle
(lv_oracle)
ファイル・システムでの領域不足エラーの問題を修正する方法を学習します。
問題
アップグレード前RPMの実行時にエラーまたは問題が表示されます。/var/lib/oracle
(lv_oracle)
ファイル・システムに十分な領域がありません。
解決策
/var/lib/oracle
ファイル・システムには、アップグレードを実行するために最低31 GBの空き領域が必要です。
次のステップに従って、/var/lib/oracle
の領域をクリアし、アップグレード・プロセスを続行します。
-
gridユーザーとして次のコマンドを実行します。
/usr/bin/find /var/lib/oracle/grid/rdbms/audit -name '*.aud' -mtime +1 -delete
このプロセスは、完了するまでに最大1時間かかる場合があります。
-
別の端末を作成します。
-
gridユーザーとして次のコマンドを実行し、
trc
およびtrm
ファイルを削除します。rm /var/lib/oracle/diag/asm/+asm/+ASM/trace/*.tr[cm]
-
rootユーザーとして、
/var/lib/oracle/upgrade_iso_file
ディレクトリが存在するかどうかを確認します。ISOファイルが存在する場合は削除します。 -
rootユーザーとして、これらのファイルが存在する場合に確認して削除します。
rm /var/lib/oracle/software/database.tar.xz
rm /var/lib/oracle/dbfw/av/grid[12].zip
-
oracleユーザーとして次のコマンドを実行し、
trc
およびtrm
ファイルを削除します。rm /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb/trace/*.tr[cm]
-
Audit Vault Serverコンソールから診断ログをクリアします。このプロセスにより、追加領域を解放することもできます。いずれかのコンポーネントが
「デバッグ」
に設定されている場合は、「警告」
に設定します。ノート:
診断ログのクリアに関する項
A.11.4 アップグレード前RPMによってレポートされた/ファイル・システムの領域不足エラー
アップグレード前RPMによってレポートされた、/
ファイル・システムでの領域不足エラーの問題を修正する方法を説明します。
問題
/
ファイル・システムの領域が不足しています。
Checking upgrade preconditions
This upgrade requires at least 2.35GiB free on / (actual: 2.29GiB)
AVDF::Installer::Upgrade::InvalidPreconditions
Precondition: 'space-check.rb'
Result: 'Please follow the instructions in the Administrator's Guide to add storage, then retry.
Summary: AVDF::Installer::Upgrade::InvalidPreconditions
System is not ready for upgrade.
解決策
vg_root
の空き領域を使用して/
を拡張します。lvextend --resizefs -L+2.35G /dev/vg_root/lv_ol8root
A.11.5 Oracle AVDFのアップグレード中にアップグレード前RPMで特定のプロセスを停止できない
Oracle AVDFのアップグレード中にアップグレード前RPMによって示される警告またはエラーを修正する方法を学習します。
問題
アップグレード前RPMは、アップグレードに必要なチェックを実行して、アプライアンスをアップグレード用に準備します。アプライアンス上で実行されている特定のプロセスが、その時点で停止します。場合によっては、一部のプロセスをアップグレード前RPMで停止できないことがあります。次のエラーまたは警告が発生します。
Not all processes were stopped
target is busy
解決策
次のステップに従います。
- アップグレード前RPMでは、まだ実行中の特定のプロセスを見つけるために可能な方法または解決策が示されています。手順に従って、特定のプロセスを停止します。
- アップグレード前RPMをアンインストールします。
- アップグレード前RPMを再インストールします。
- アップグレードの手順を実行します。
A.11.6 アップグレード前RPMが「オブザーバを停止できません」と表示されて失敗する
アップグレード前RPMでの「オブザーバを停止できません」という警告を解決する方法を説明します。
問題
アップグレード前RPMが、「オブザーバを停止できません」という警告が表示されて失敗します。
オブザーバの起動時に、メッセージおよびデバッグ・ファイルに、次のいずれかのエラーが示されます。
「DGMGRL:ORA-28000: アカウントがロックされています。」または「DGMGRL:ORA-28001: パスワードが期限切れです」
解決策
これは、sys
パスワードの有効期限が切れているか、sys
ユーザーがロックされている場合に発生することがあります。この問題を解決するには、プライマリ・システムとスタンバイ・システムでsys
ユーザーを更新します。手順は、「SYSユーザーがロック解除され、パスワードが期限切れでないことの確認」を参照してください。
A.11.7 アップグレード前RPMチェック: アラート・キュー領域の警告
アップグレード前RPMでは、アップグレード中にアラート・キューをパージするための十分な領域がシステムにない場合に警告が表示されます。
次の警告が表示されます。
The system does not have sufficient space to purge alert queue. Refer to Installation Guide on how to resolve this.
この問題を解決するには、「システムにアラート・キューをパージするための十分な領域があることの確認」の手順を参照してください。
A.11.8 アップグレード前RPMチェック: ブート・デバイスが2 TB超過
アップグレード前RPMは、ブート・デバイスが2TBを超えた場合に警告します。その場合、アップグレード・プロセスは失敗することがあります。アップグレードする前に、ブート・デバイスが2TB未満であることを確認します。
この問題を解決するには、「ブート・デバイスが2TB未満であることの確認」の手順を参照してください。
A.11.9 アップグレード前RPMチェック: ブート・パーティション領域の警告
アップグレード前RPMでは、ブート・パーティションに十分な領域がない場合は警告が表示され、その場合はアップグレード・プロセスが失敗する可能性があります。アップグレードする前に、ブート・パーティションに少なくとも500MBが含まれていることを確認してください。
この問題を解決するには、「ブート・パーティションが500MB以上あることの確認」の手順を参照してください。
A.11.10 アップグレード前RPMチェック: レガシーの暗号化の警告
現在のOracle Audit Vault and Database Firewall (Oracle AVDF) 12.2デプロイメントに、AIX上にホスト・モニター・エージェントまたはAudit Vault Agentがあり、Oracle AVDF 20.4以降にアップグレードする場合、アップグレード前RPMにTLSおよび暗号化に関する警告が表示されます。
この問題を解決するには、アップグレードの前後にコマンドを実行する必要があります。
Oracle AVDF 12.2.0.11.0以前からのアップグレード
Oracle AVDF 12.2.0.11.0以前からアップグレードする場合、アップグレード前RPMに次の警告が表示されます。警告の指示に従って問題を解決してください。
ご使用の環境にホスト・モニター・エージェント(またはAIX上のAudit Vault Agent)をデプロイした場合は、デフォルト・バージョンのTLS 1.2ではなくTLS 1.1を暗号化に使用する必要があります。それ以外の場合、ホスト・モニター・エージェント(またはAIX上のAudit Vault Agent)は自動的にアップグレードされません。暗号化にTLS 1.1を使用する場合は、アップグレードを続行する前に次のコマンドを実行します。
ruby /usr/local/dbfw/bin/upgrade/configure_tls_settings.rb 2
Audit Vault Serverとエージェントのアップグレード後に、rootユーザーとして次のコマンドを実行します。
/usr/local/dbfw/bin/priv/configure-networking --agent-tls-cipher-level 4
プロンプトにのみ表示されている場合は、アップグレード後に次のコマンドを実行します。
/usr/local/dbfw/bin/priv/send_agent_update_signal.sh
詳細は、『Oracle AVDFインストレーション・ガイド』の「アップグレード前のRPMレガシー暗号化チェック警告」および「アップグレード後のTLSセキュリティ強化」の項を参照してください。
Oracle AVDF 12.2.0.12.0以降からのアップグレード
Oracle AVDF 12.2.0.12.0以降からアップグレードする場合、アップグレード前RPMに次の警告が表示されます。警告の指示に従って問題を解決してください。
ご使用の環境のAIXにAudit Vault Agentをデプロイした場合は、デフォルト・バージョンのTLS 1.2ではなくTLS 1.1を暗号化に使用する必要があります。それ以外の場合、AIX上のエージェントは自動的にアップグレードされません。暗号化にTLS 1.1を使用する場合は、アップグレードを続行する前に次のコマンドを実行します。
ruby /usr/local/dbfw/bin/upgrade/configure_tls_settings.rb 2
Audit Vault Serverとエージェントのアップグレード後に、rootユーザーとして次のコマンドを実行します。
/usr/local/dbfw/bin/priv/configure-networking --agent-tls-cipher-level 4
プロンプトにのみ表示されている場合は、アップグレード後に次のコマンドを実行します。
/usr/local/dbfw/bin/priv/send_agent_update_signal.sh
詳細は、『Oracle AVDFインストレーション・ガイド』の「アップグレード前のRPMレガシー暗号化チェック警告」および「アップグレード後のTLSセキュリティ強化」の項を参照してください。
A.11.11 アップグレード前RPMで「すべてのプロセスが停止されませんでした」というエラーが発生する
問題
「すべてのプロセスが停止されませんでした: 7378,7379」という警告が表示されてアップグレード前RPMが失敗します。
たとえば:
rpm -ivh --force avdf-pre-upgrade-20.x.0.0.0-0_NNNNNN.NNNN.x86_64.rpm
Preparing... ########################################### [100%]
1:avdf-pre-upgrade ########################################### [100%]
Checking upgrade preconditions
/bin/df: '/var/dbfw/upgrade': No such file or directory
/bin/df: no file systems processed
Shutting down services.
Traceback (most recent call last):
3: from /usr/local/dbfw/bin/pre_upgrade.rb:642:in '<main>'
2: from /usr/local/dbfw/bin/pre_upgrade.rb:614:in 'process_command_line'
1: from /usr/local/dbfw/bin/pre_upgrade.rb:503:in 'post_install'
/usr/local/dbfw/lib/ruby/upgrade/common.rb:621:in 'stop_nonroot_processes':
Not all processes were stopped: 7378,7379
原因
この問題は、アイドル状態のSSHセッション、ビジー状態のデバイス、または開かれている一時ファイルが原因である可能性があります。
解決策
-
root
ユーザーとしてそのRPMをアンインストールします。-
SSHを使用してAudit Vault Serverにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
-
次のいずれかのコマンドを使用してアップグレード前RPMをアンインストールします:
rpm -e avdf-pre-upgrade
rpm -e avdf-pre-upgrade --noscripts
-
-
アップグレード前RPMのリストを確認します。
-
次のコマンドを入力します。
rpm -qa |grep avdf-pre-upgrade
avdf-pre-upgrade
RPMのエントリがないことを確認します。STANDALONE
システムである場合は、Audit Vault Serverを再起動します。
-
-
他のSSHセッション、ビジー状態のデバイスまたは開かれている一時ファイルがないか確認します。
-
support
ユーザーが所有する他のSSHセッションがないことを確認します。これを行うには、アイドル状態のnotty (no tty) というSSHセッションを特定し、それらの停止を試みます。
次のコマンドを使用して、
sshd: support@notty
のpid
を確認します。ps -ef |grep support
ps -ef |grep notty
たとえば:
support 2480 2427 0 18:31 ? 00:00:00 sshd: support@notty support 2481 2480 0 18:31 ? 00:00:00 -bash kill -9 2481 kill -9 2480
- システム内の
support@notty
プロセスをもう一度確認します。 -
システムにビジー状態のデバイスや開かれている一時ファイルがないことを確認します。これを行うには、
/tmp
および/usr/local/dbfw/tmp
に対してlsof
を実行します。たとえば:
lsof /usr/local/dbfw/tmp lsof /tmp
ノート:
パッチ適用またはアップグレード・プロセスの開始時にログが開かれていないことを確認します。
-
-
root
ユーザーとして、アップグレード前RPMのインストールを試みます。-
SSHを使用してAudit Vault Serverにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
-
次のコマンドを入力します。
rpm -i /root/avdf-pre-upgrade-20.x.0.0.0-0_NNNNNN.NNNN.x86_64.rpm
-
A.11.12 アップグレード前RPMチェック: エージェント失敗チェック - アップグレードの前提条件
Oracle AVDF 20.9以降では、アップグレード前RPMによって、Audit Vault Agentおよびホスト・モニター・エージェントの構成がOracle AVDF 20.10以降と互換性があることが検証されます。
問題
agent_prereq_checks_failure_report.txt
レポートは、Audit Vault Agentまたはホスト・モニター・エージェントがOracle AVDF 20.10以降に更新するための前提条件を満たしていないことを示します。エージェントの成功および失敗のレポートは次の場所にあります。
- 成功レポート:
/opt/avdf/report/agent_prereq_checks_success_report.txt
- 失敗レポート:
/opt/avdf/report/agent_prereq_checks_failure_report.txt
次の例は、失敗メッセージを示しています。
Agent/HM Validation Failure statuses are as below :
------------------------------------------------------------------
Agent Name : agent-linux
Agent Validation Status : FAILURE
Agent Failure Checks : Upgrade Prerequisites check jar build with latest version. Please check the minimum java version required. - <Exception Message>
Agent Checks Warning Messages :
Validated at : 2022-12-02 09:11:24.774880
解決策
レポートに示されている問題を解決します。たとえば、Audit Vault Agentマシンを、サポートされている最小Javaバージョンに更新します。
失敗チェック・スクリプトを個別に再実行して、問題が解決されたことを確認できます。これらのスクリプトをroot
ユーザーとして実行します。
/usr/bin/python3 /usr/local/dbfw/bin/upgrade/pre_upgrade_validate_agent.py standalone
/usr/bin/python3 /usr/local/dbfw/bin/upgrade/pre_upgrade_download_agent_validation_status.py standalone
A.12 FIPSを有効にしてOracle AVDFを更新するとSSHが無効になる
FIPSモードを有効にしてOracle AVDFを更新した後にSSHが無効になった場合は、FIPSに準拠するようにSSHキーを更新します。
問題
FIPSモードが有効な状態でOracle AVDFをリリース20.9に更新すると、SSHが無効になります。
解決策
FIPS 140-2を有効にする前に、SSHキーがFIPSに準拠していることを確認してください。SSHキーがFIPSに準拠していない場合は、FIPSを有効にした後にアプライアンスとのSSH接続が失われる可能性があります。
Oracle Cloud Infrastructure (OCI)上のOracle AVDFの場合は、FIPSモードを有効にする前に、opc
ユーザーの、FIPS準拠のキーが/home/opc/.ssh/authorized_keys
に登録されていることを確認してください。
この問題を解決するには、次のステップを実行します。
-
Audit Vault Serverコンソールにログインし、FIPSモードを無効にします。
-
SSHを使用してアプライアンスに再度ログインし、
~/.SSH/authorized_keys
で、SSH対応ユーザーのユーザー・キーを確認し、FIPSに準拠するように更新します。FIPSモードを有効または無効にした後、コンソールが使用可能になるまでに数分かかることがあります。
-
FIPSモードを有効にします。
A.13 アップグレード前RPMのアンインストール時におけるSSH接続のタイムアウト
問題
アップグレード前RPMをアンインストールすると、SSH接続がタイムアウトします。
原因
デフォルトのSSH接続タイムアウトは10分で、アップグレード前RPMのアンインストールには10分以上かかる場合があります。
解決策
アップグレード前RPMをアンインストールする前に、screen
コマンドを実行します。screen
コマンドを使用すると、ネットワーク切断によってパッチ適用またはアップグレードが中断されることがなくなります。
セッションが終了したら、root
ユーザーに切り替え、screen -r
コマンドを実行して再開します。
A.14 rootパスワードの入力後にインストールが一時停止する
問題
Oracle AVDF 20.5のインストーラを起動すると、いくつかのパッケージがインストールされ、rootパスワードの変更を求めるプロンプトが表示されます。新しいrootパスワードを入力すると、インストーラはただちにいくつかのマウント解除コマンドを表示し、インストールの開始画面に戻ります。インストールは続行できません。
原因
インストールが完了する前にISOファイルが削除されました。
解決策
新しいrootパスワードを入力し、インストールの開始画面に戻ったら、次の手順を実行します。
- CDドライブからISO CDを取り外して、マシンを再起動します。
- ログインするよう求められたら、
ROOT
としてログインします。 - ISOファイルを求められたら、メディアからISOファイルを追加します。
A.15 Oracle AVDF 20.3へのアップグレード時にELMIG_POPULATE_CLUSTERS_202
およびELMIG_CONVERT_HASH_202
がdba_objects
表でINVALID
としてレポートされる
オブジェクトが無効であっても、これはシステム操作に影響を与えず、無視できます。
問題
Oracle AVDF 20.3にアップグレードする場合、オブジェクトELMIG_POPULATE_CLUSTERS_202
およびELMIG_CONVERT_HASH_202
はdba_objects
表でINVALID
としてレポートされます。
ELMIG_POPULATE_CLUSTERS_202
およびELMIG_CONVERT_HASH_202
オブジェクトとなります。
elect object_name from dba_objects where status = ‘INVALID’;
OBJECT_NAME
解決策
これはシステム操作には影響せず、無視できます。
A.16 Oracle AVDFのインストール時にSDAF1
をフォーマットしようとするとエラーが発生する
問題
Audit Vault Serverのインストール中に、次のエラーが発生します。
Error: An error occurred trying to format sdaf1. This problem is serious, and the install cannot continue. Press to reboot your system.
原因
サーバーにSAN接続があります。
解決策
SAN接続を無効にします。Audit Vault Serverのインストールが完了するまで、ISCSIデバイスを接続しないでください。
A.17 Audit Vault Agentの起動時の失敗: OAV-10: DBへの接続の解放に失敗しました
問題
Audit Vault Agentのインストール時に、./agentctl start -k
を実行したらOAV-10: DBへの接続の解放に失敗しました
というエラーが発生しました。データベースからAudit Vault Serverへの接続に失敗しました。
原因
JAVA_HOME
に正しくない場所が使用され、agentctl
でそのパスにある別のJavaが取得されました。その接続は、データベース・ホームに存在するJavaでは機能しないため失敗しました。
解決策
JAVA_HOME
の適切な場所を設定してください。JAVA_HOME=/usr/java/jdk1.8.0_361
export PATH=$JAVA_HOME/bin:$PATH
A.18 upgrade_apex
ステップでAVDF 20.4へのアップグレードが失敗する
AVDF 20.4へのアップグレード時に、upgrade_apex
ステップでODF-10001: Internal error: FAILED migration: upgrade_apex (as oracle)
エラーが発生します。
問題
/var/log/messages
にはERROR - ODF-10001: Internal error: FAILED migration: upgrade_apex (as oracle) (applied change)
が含まれ、/var/log/debug
には次の情報が記録されます
upgrade_apex: error: cannot create /var/lib/oracle/dbfw/apex/images/computer.gif
upgrade_apex: Permission denied
upgrade_apex: error: cannot create /var/lib/oracle/dbfw/apex/images/phone_support.gif
upgrade_apex: Permission denied
root
ユーザーで次のコマンドを実行した場合:
/opt/avdf/bin/privmigutl –status
結果は次のようになります
System state - recovery
Migration set 'AVS' - failed
Last migration 'Upgrading apex20' - failed
解決策
-
SSHを使用してAudit Vault Serverにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
- 次のコマンドを実行します。
chown -R oracle:oinstall /var/lib/oracle/dbfw/apex/images
-
oracle
ユーザーに切り替えます。su - oracle
- 次のスクリプトを実行します。
/usr/local/dbfw/etc/privileged-migrations/upgrade_apex
- 次を実行します
echo $?
結果が2の場合は、スクリプトが正常に完了しています。
-
SSHを使用してAudit Vault Serverにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
- 次を実行して、アップグレード・プロセスを再開します。
/opt/avdf/bin/privmigutl --resume --confirm
Oracle AVDFサーバーへのssh接続が信頼でき、このコマンドの実行中に終了しないことを確認してください。
$ORACLE_HOME/apex/images
フォルダとその内容にoracle:oinstall
権限があるかどうかを確認し、ない場合はこれらに権限を付与します。