1. インストレーション・ガイド
  2. Oracle Audit Vault and Database Firewallのリリース12.2からリリース20へのアップグレード

7 Oracle Audit Vault and Database Firewallのリリース12.2からリリース20へのアップグレード

Oracle Audit Vault and Database Firewall (Oracle AVDF)リリース12.2を使用している場合は、リリース20にアップグレードしてサポートを維持し、最新の機能およびバグ修正にアクセスできます。

すでにOracle AVDFリリース20を使用している場合は、「Oracle Audit Vault and Database Firewallリリース20へのパッチ適用」を参照して最新のリリース更新を適用してください。

ノート:

この章で使用する更新アップグレードは交換可能です。

7.1 Oracle Audit Vault and Database Firewallのアップグレードについて

Oracle Audit Vault and Database Firewall (Oracle AVDF)リリース12.2をリリース20にアップグレードするには、次のガイドラインに従います。

次の高レベルのプロセスを使用して、Oracle AVDFをアップグレードします。

  1. My Oracle Supportからファイルをダウンロードします。
  2. バックアップの作成など、更新前タスクを完了します。
  3. Audit Vault Serverを更新します。
  4. Audit Vault Agentおよびホスト・モニター・エージェントが自動的に更新されたことを確認します。
  5. Database Firewallを更新します。
  6. 更新が成功したことの確認など、更新後のタスクを完了します。

ノート:

  • Oracle AVDFをリリース12.2からリリース20.9以降にアップグレードするには、まずリリース20.8にアップグレードしてから、最新のリリース更新(RU)パッチを適用します。

  • Oracle AVDF 12.2.0.0.0から12.2.0.8.0を使用している場合は、リリース20にアップグレードする前にリリース12.2.0.9.0にアップグレードしてください。

    最初のアップグレードを実行する前に、単一のバックアップ操作を実行できます。

  • リリース12.2でDatabase Firewallのインライン・ブリッジ・モードをデプロイした場合は、「Database Firewallのインライン・ブリッジを同等のプロキシ構成に変更」の手順に従います。

  • 大量のイベント・データがある場合は、イベント・ログ・データ・サイズ合計の約5%の、十分なディスク領域を保持してください。

    HDDストレージとSANストレージが両方ある場合は、HDDまたはSANのどちらかに、必要なディスク領域を保持します。各ディスク・グループ(EVENTDATA、SYSTEMDATAおよびRECOVERY)に、20%以上の空き領域が必要です。

7.2 Oracle AVDF 12.2からリリース20.8へのアップグレード

Oracle Audit Vault and Database Firewall (Oracle AVDF)をリリース12.2からリリース20.8にアップグレードするには、次のプロセスに従います。

7.2.1 ファイルのダウンロード

Oracle Audit Vault and Database Firewall (Oracle AVDF)にパッチ適用またはこれをアップグレードするには、My Oracle Supportからファイルをダウンロードする必要があります。

  1. My Oracle Supportに移動してサインインします。
  2. 「パッチと更新版」タブをクリックします。
  3. 「パッチ検索」ボックスを使用してパッチを検索します。
    1. 左側の「製品またはファミリ(拡張)」リンクをクリックします。
    2. 「製品」フィールドに、Audit Vault and Database Firewallと入力します。
    3. 「リリース」フィールドのドロップダウン・リストから最新のOracle AVDFリリースを選択します。
    4. 「検索」をクリックします。
  4. 検索結果の「パッチ名」列で、最新のバンドル・パッチのリンクをクリックします。

7.2.2 更新前のタスク

Oracle Audit Vault and Database Firewall (Oracle AVDF)を最新リリースに更新する前に、バックアップの実行などの前提条件タスクを完了します。

ノート:

Audit Vault AgentがWindowsマシンで実行されている場合は、Oracle AVDFを更新する前に、エージェント関連のすべてのディレクトリと開いているファイルを閉じます。
7.2.2.1 Windowsでのホスト・モニター・エージェントの移行

Oracle Audit Vault and Database Firewall (Oracle AVDF)リリース12.2で、Windowsでホスト・モニターを使用する場合は、Oracle AVDFリリース20にアップグレードする前に、WindowsでNpcapおよびOpenSSLライブラリを更新します。

次のタスクを実行します。

7.2.2.2 現在のOracle Audit Vault and Database Firewallインストールのバックアップ

Oracle Audit Vault and Database Firewall (Oracle AVDF)を最新リリースに更新する前に、Audit Vault Serverをバックアップします。

詳細は、Audit Vault Serverのバックアップおよびリストアを参照してください。

現在のAudit Vault ServerがOracle VMやVMWareなどの仮想マシン(VM)にインストールされている場合、Oracleでは、更新プロセスを開始する前にVMスナップショットを取得することをお薦めします。

7.2.2.3 ホスト・モニター・エージェントおよびAudit Vault AgentのTLSバージョンの設定

現在のOracle Audit Vault and Database Firewall (Oracle AVDF) 12.2デプロイメントに、AIX上にホスト・モニター・エージェントまたはAudit Vault Agentがあり、Oracle AVDF 20.4以降にアップグレードする場合は、アップグレード前にTLSバージョンをTLS 1.1に設定します。

Oracle AVDF 12.2.0.11.0以前からアップグレードしていて、デフォルト・バージョンのTLS 1.2でホスト・モニター・エージェント(またはAIX上のAudit Vault Agent)をデプロイしている場合、ホスト・モニター・エージェント(またはAIX上のAudit Vault Agent)は自動的にアップグレードされません。

Oracle AVDF 12.2.0.12.0以降の場合、この問題はAIX上のAudit Vault Agentにのみ影響します。

この問題を回避するには、アップグレードする前に次のコマンドを実行します。

ruby /usr/local/dbfw/bin/upgrade/configure_tls_settings.rb 2

ノート:

アップグレード後に、TLSレベルをレベル4に設定します。詳細は、「アップグレード後のTLSセキュリティ強化」を参照してください。
7.2.2.4 システムにアラート・キューをパージするための十分な領域があることの確認

システムにアラート・キューをパージするための十分な領域がない場合は、Oracle Audit Vault and Database Firewall (Oracle AVDF)の更新プロセス中にアップグレード前RPMを実行すると、エラーが表示されます。

この問題を回避するには、次のステップを実行します。

  1. SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. avsysユーザーのロックを解除します。

    AVSYSユーザーのロック解除を参照してください。

    ノート:

    このタスクが完了したら、必ずavsysアカウントを再ロックしてください。
  3. rootに戻ります。

  4. oracleユーザーに切り替えます。

    su - oracle

  5. avsysユーザーとしてSQL*Plusを起動します。 

    sqlplus avsys

  6. プロンプトにパスワードを入力します。

  7. 次のSQL問合せを実行します。

    declare object_exist exception; pragma exception_init(object_exist, -24002); po dbms_aqadm.aq$_purge_options_t;
begin po.block := FALSE; dbms_aqadm.purge_queue_table('AVSYS.AV_ALERT_QT', NULL, po);
exception when object_exist then null; end;/

  8. rootに戻ります。 

    exit

  9. avsysユーザーをロックします。

    AVSYSユーザーのロックを参照してください。

7.2.2.5 手動で取得した既存の表領域の解放

Oracle Audit Vault and Database Firewall (Oracle AVDF)リリース20.1から20.3に更新する場合は、手動で取得したすべての既存の表領域を解放します。この手順は、Oracle AVDFリリース20.4以降に更新する場合は、自動的に実行されます。

次のステップは、AVDF 20.1から20.3にのみ適用されます。

既存の表領域を解放しないと、次の状況が発生する可能性があります。

  • 更新が失敗し、エラーが発生する可能性があります。
  • 領域を割り当てることができないため、更新後に新しい索引が作成されない場合があります。

表領域を手動で解放するには、次のステップを実行します。

  1. Audit Vault Serverコンソールにスーパー管理者としてログインします。

  2. 「設定」タブをクリックします。

  3. 左側のナビゲーション・メニューの「アーカイブ中」をクリックします。

  4. 「取得」サブタブをクリックします。

    ページには、取得されたすべての表領域がリストされます。

  5. すべての表領域を選択して解放します。

7.2.2.6 ファイルのカスタマイズの保持

Oracle Audit Vault and Database Firewall (Oracle AVDF)リリース20にアップグレードする前に、構成ファイルに適用されたカスタマイズを保持します。

アップグレードによって、システム構成ファイルに加えられたすべてのカスタム変更が消去されます。Oracleでは、アップグレードされたシステムに転送する必要がある変更をすべてバックアップすることをお薦めします。

ファイルのカスタマイズを保持するには:

  • 独自のカスタム構成ファイルを作成します。詳細は、Oracle Linuxのドキュメントを参照してください。
  • アップグレード・プロセスを実行する前に、ルールをカスタム構成ファイルに移動します。

  • Database FirewallとAudit Vault Serverの間で時刻を同期します。

    Database FirewallとAudit Vault Serverのシステム・クロックが同期していない場合は、アップグレード後に証明書エラーが発生する可能性があります。アップグレード後、アプライアンスの診断出力を調べて、すべての項目に緑色のOKがマークされていることを確認します。診断の失敗には、赤色のFAILEDがマークされます。

  • Database Firewallの時刻を構成するには、Oracle Database Firewallでの日付と時刻の設定に関する項を参照してください。
7.2.2.7 ブート・デバイスが2 TB未満であることの確認

ブート・デバイスが2TBを超える場合、Oracle Audit Vault and Database Firewall (Oracle AVDF)のアップグレード・プロセス中にアップグレード前RPMを実行すると、エラーが表示されます。

Audit Vault Serverのアップグレード時に、ブート・デバイスが2TBを超えている場合

Audit Vault Serverのアップグレード時にブート・デバイスが2TBを超える場合は、次のステップを実行します。

  1. すべての証跡とモニタリング・ポイントを停止します。
  2. すべてのAudit Vault Agentを停止し、すべてのDatabase Firewallサーバーを停止します。
  3. システムをバックアップします。
  4. 2TB未満のハード・ディスクが少なくとも1つあるサーバーを選択します。
  5. リリース12.2で、同じバンドル・バージョンのAudit Vault Serverをインストールします。
  6. BIOSモードで起動するようにシステムを構成します。
  7. バックアップからリストアします。同じIPアドレスを使用し、システムが稼働していることを確認します。
  8. ドキュメント化されているアップグレード・プロセスを使用して、Audit Vault Serverをリリース20にアップグレードします。

リリース12.2.0.1.0より前にAudit Vault Serverに追加されたDatabase Firewallのアップグレードする時に、ブート・デバイスが2TBを超えている場合

  1. Database Firewallをリセットします。

    1. Audit Vault Serverコンソールに管理者としてログインします。
    2. 「ファイアウォールのリセット」をクリックして、Audit Vault Serverのすべての設定を更新します。
  2. 2TB未満のハード・ディスクが少なくとも1つあるサーバーを選択します。
  3. リリース12.2の同じバンドル・パッチ・バージョンのDatabase Firewallをインストールします。
  4. BIOSモードで起動するようにシステムを構成します。
  5. Audit Vault Serverコンソールに管理者としてログインします。
  6. データベース・ファイアウォール・インスタンスを構成します。
  7. 新しいDatabase FirewallインスタンスでAudit Vault Server証明書およびIPアドレスを指定します。

  8. 「Database Firewall」タブをクリックします。

    新規にインストールされたDatabase Firewallインスタンスのステータスは停止中(赤)です。

  9. 特定のデータベース・ファイアウォール・インスタンスの名前をクリックします。

  10. 「証明書の更新」をクリックして、ページがロードされるまで待機します。

    Database Firewallインスタンスのステータスは稼働中(緑色)です。

  11. 「ファイアウォールのリセット」をクリックします。
  12. 「OK」をクリックします。
  13. 「ジョブ」ダイアログ・ボックスで、この操作のステータスを確認します。
    1. 「設定」タブをクリックします。
    2. 左側のナビゲーション・メニューの「システム」をクリックします。

    3. 「モニタリング」セクションで「ジョブ」リンクをクリックします。

      ジョブ・タイプはファイアウォールのリセットです。

  14. 左側の「ジョブの詳細」ページ・アイコンをクリックします。

    ジョブが失敗した場合は、「ジョブ・ステータスの詳細」ダイアログ・ボックスにメッセージが表示されます。ジョブが正常に完了すると、完了時間が表示されます。

Oracle AVDF 12.2.0.2.0以降でDatabase Firewallのアップグレード時に、ブート・デバイスが2TBを超えている場合

  1. 2TB未満のハード・ディスクが少なくとも1つあるサーバーを選択します。
  2. リリース12.2の同じバンドル・パッチ・バージョンのDatabase Firewallをインストールします。
  3. BIOSモードで起動するようにシステムを構成します。
  4. Audit Vault Serverコンソールに管理者としてログインします。
  5. データベース・ファイアウォール・インスタンスを構成します。
  6. 新しいDatabase FirewallインスタンスでAudit Vault Server証明書およびIPアドレスを指定します。

  7. 「Database Firewall」タブをクリックします。

    新規にインストールされたDatabase Firewallインスタンスのステータスは停止中(赤)です。

  8. 特定のデータベース・ファイアウォール・インスタンスの名前をクリックします。

  9. 「証明書の更新」をクリックして、ページがロードされるまで待機します。

    Database Firewallインスタンスのステータスは稼働中(緑色)です。

  10. 「ファイアウォールのリセット」をクリックします。
  11. 「OK」をクリックします。
  12. 「ジョブ」ダイアログ・ボックスで、この操作のステータスを確認します。
    1. 「設定」タブをクリックします。
    2. 左側のナビゲーション・メニューの「システム」をクリックします。

    3. 「モニタリング」セクションで「ジョブ」リンクをクリックします。

      ジョブ・タイプはファイアウォールのリセットです。

  13. 左側の「ジョブの詳細」ページ・アイコンをクリックします。

    ジョブが失敗した場合は、「ジョブ・ステータスの詳細」ダイアログ・ボックスにメッセージが表示されます。ジョブが正常に完了すると、完了時間が表示されます。

7.2.2.8 ブート・パーティションが500 MB以上あることの確認

ブート・パーティションが500MB未満の場合、Oracle Audit Vault and Database Firewall (Oracle AVDF)の更新プロセス中にアップグレード前RPMを実行すると、エラーが表示されます。

Audit Vault Serverのアップグレード時に、ブート・パーティションに十分な領域がない場合

Audit Vault Serverをアップグレードするとき、ブート・パーティションに十分な領域がない場合は、次のステップに従います。

  1. すべての証跡とモニタリング・ポイントを停止します。
  2. すべてのAudit Vault Agentを停止し、すべてのDatabase Firewallサーバーを停止します。
  3. システムをバックアップします。

  4. リリース12.2で、同じバンドル・バージョンのAudit Vault Serverをインストールします。

    これにより、500 MBの/bootパーティションが作成されます。

  5. バックアップからリストアします。同じIPアドレスを使用し、システムが稼働していることを確認します。
  6. ドキュメント化されているアップグレード・プロセスを使用して、Audit Vault Serverをリリース20にアップグレードします。

Database Firewallのアップグレード時に、ブート・パーティションに十分な領域がない場合

Database Firewallをアップグレードするとき、ブート・パーティションに十分な領域がない場合は、次のステップに従います。

  1. リリース12.2.0.1.0より前にDatabase FirewallがAudit Vaultサーバーに追加された場合は、Database Firewallをリセットします。

    1. Audit Vault Serverコンソールに管理者としてログインします。
    2. 「ファイアウォールのリセット」をクリックして、Audit Vault Serverのすべての設定を更新します。
  2. リリース12.2の同じバンドル・パッチ・バージョンのDatabase Firewallをインストールします。これにより、500 MBの/bootパーティションが作成されます。
  3. Audit Vault Serverコンソールに管理者としてログインします。
  4. データベース・ファイアウォール・インスタンスを構成します。
  5. 新しいDatabase FirewallインスタンスでAudit Vault Server証明書およびIPアドレスを指定します。

  6. 「データベース・ファイアウォール」タブをクリックします。

    新規にインストールされたDatabase Firewallインスタンスのステータスは停止中(赤)です。

  7. 特定のデータベース・ファイアウォール・インスタンスの名前をクリックします。

  8. 「証明書の更新」をクリックして、ページがロードされるまで待機します。

    Database Firewallインスタンスのステータスは稼働中(緑色)です。

  9. 「ファイアウォールのリセット」をクリックします。
  10. 「OK」をクリックします。
  11. 「ジョブ」ダイアログ・ボックスで、この操作のステータスを確認します。
    1. 「設定」タブをクリックします。
    2. 左側のナビゲーション・メニューの「システム」をクリックします。

    3. 「モニタリング」セクションで「ジョブ」リンクをクリックします。

      ジョブ・タイプはファイアウォールのリセットです。

  12. 左側の「ジョブの詳細」ページ・アイコンをクリックします。

    ジョブが失敗した場合は、「ジョブ・ステータスの詳細」ダイアログ・ボックスにメッセージが表示されます。ジョブが正常に完了すると、完了時間が表示されます。

  13. データベース・ファイアウォール・インスタンスの全体的なヘルス・ステータスを確認します。
    1. 「Database Firewall」タブをクリックします。
    2. 特定のインスタンスの名前をクリックします。
    3. 「診断」セクションの「ヘルス・インジケータ」リンクをクリックします。

  14. 「証明書」セクションを展開します。

    証明書検証の失敗に関するメッセージを確認し、適切なアクションを実行します。

  15. 「データベース・ファイアウォール・モニタリング」セクションを展開し、すべてのステータスが緑色であることを確認します。
  16. 「閉じる」をクリックします。
7.2.2.9 SYSユーザーがロック解除され、パスワードが期限切れでないことの確認

sysパスワードの有効期限が切れているかsysユーザーがロックされている場合は、Oracle Audit Vault and Database Firewall (Oracle AVDF)の更新プロセスの間にアップグレード前RPMを実行すると、エラーが表示されます。

この問題を回避するには、プライマリ・システムとスタンバイ・システムでsysユーザーを更新します。

  1. プライマリ・システムとスタンバイ・システムの両方で次のステップを実行します。

    1. SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

      SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

    2. rootユーザーとして、次のコマンドを実行します。
      systemctl stop monitor
    3. 実行中のobserverctlプロセスを確認し、停止します。
      ps -elf | grep observerctl
kill -9 <PID of observerctl>
    4. 実行中のdgmgrlプロセスを確認し、停止します。
      ps -elf | grep dgmgrl
kill -9 <PID of dgmgrl>
  2. プライマリ・システムを更新します。

    1. SSHを使用してプライマリAudit Vault Serverにログインし、rootユーザーに切り替えます。

      SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

    2. oracleユーザーに切り替えます。

      su - oracle

    3. 次のコマンドを入力することでSQL*Plusを起動します。

      sqlplus / as sysdba

    4. 次のコマンドを入力します。

      select avsys.secutil.gen_rand_pwd(30) as pwd from dual

      ノート:

      このパスワードは、プライマリ・システムとスタンバイ・システムの両方で、パスワードが必要となるすべての手順で使用します。

    5. 次のコマンドを入力します。

      alter user sys identified by <password_from_step_1d_above> account unlock;
      ALTER SYSTEM SWITCH LOGFILE;
    6. 終了してoracleユーザーに戻ります。

    7. oracleユーザーとして、次のコマンドを入力します: 

       mkstore -wrl /var/lib/oracle/dbfw/network/admin/observer/ -modifyCredential DBFWDB_HA2_DGMGRL SYS <password_from_step_1d>
      mkstore -wrl /var/lib/oracle/dbfw/network/admin/observer/ -modifyCredential DBFWDB_HA1_DGMGRL SYS <password_from_step_1d>
      mkstore -wrl /var/lib/oracle/dbfw/network/admin/observer/ -modifyCredential DBFWDB_HA1 SYS <password_from_step_1d>
      mkstore -wrl /var/lib/oracle/dbfw/network/admin/observer/ -modifyCredential DBFWDB_HA2 SYS <password_from_step_1d>

    8. 次のコマンドを入力することで、ファイルをスタンバイ・システムに安全にコピーします。

      scp /var/lib/oracle/dbfw/dbs/orapwdbfwdb support@<standby IP>:~/

  3. スタンバイ・システムを更新します。

    1. SSHを使用してスタンバイAudit Vault Serverにログインし、rootユーザーに切り替えます。

      SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

    2. 新しいファイル権限が元のファイルと同じであることを確認します。

    3. oracleユーザーに切り替えます。

      su - oracle

    4. 次のコマンドを入力します。

      mkstore -wrl /var/lib/oracle/dbfw/network/admin/observer/ -modifyCredential DBFWDB_HA2_DGMGRL SYS <password_from_step_1d>
      mkstore -wrl /var/lib/oracle/dbfw/network/admin/observer/ -modifyCredential DBFWDB_HA1_DGMGRL SYS <password_from_step_1d>
      mkstore -wrl /var/lib/oracle/dbfw/network/admin/observer/ -modifyCredential DBFWDB_HA1 SYS <password_from_step_1d>
      mkstore -wrl /var/lib/oracle/dbfw/network/admin/observer/ -modifyCredential DBFWDB_HA2 SYS <password_from_step_1d>

  4. プライマリ・システムとスタンバイ・システムの両方で、rootユーザーとして次のコマンドを入力します: 

    systemctl stop monitor
    systemctl stop dbfwlistener
    systemctl stop dbfwdb
    systemctl start dbfwdb
    systemctl start dbfwlistener
    systemctl start monitor

  5. プライマリ・システムとスタンバイ・システムの両方で、oracleユーザーとして次のコマンドを入力します: 

    /usr/local/dbfw/bin/observerctl --start

7.2.3 Audit Vault Serverの更新

Audit Vault AgentおよびDatabase Firewallを更新する前に、Audit Vault Serverを更新します。

ノート:

この項では、アプライアンスという語はAudit Vault Serverを指します。

7.2.3.1 スタンドアロンAudit Vault Serverの更新

高可用性環境でペアになっていないスタンドアロンAudit Vault Serverを更新するには、次のプロセスに従います。

  1. すべての監査証跡を停止します。
  2. アップグレード前RPMを実行します。
  3. アプライアンスにISOファイルを転送します。
  4. 更新スクリプトを起動します。
  5. アプライアンスを再起動します。

ノート:

アプライアンスが再起動すると、更新プロセスが続行されます。Audit Vault Serverでの完了には数時間かかります。この進行中はシステムを再起動しないでください。

更新ノート

  • 既存のターゲットで、Oracle Audit Vault and Database Firewall (Oracle AVDF)設定スクリプトを実行してユーザー権限(ストアド・プロシージャ監査など)を設定した場合は、Audit Vault Serverの更新後にそれらの権限を更新するための追加の操作は必要ありません。

    Oracle AVDFのリリース・ノートで、設定スクリプトが変更されているかどうかを調べて、その再実行が必要かどうかを確認します。

  • Oracle AVDF 12.2からリリース20.1-20.8に更新すると、パスワード・ハッシュがより安全な標準にアップグレードされます。この変更は、オペレーティング・システムのパスワード(supportおよびroot)に影響します。Audit Vault Serverの更新後にパスワードを変更して、よりセキュアなハッシュを活用してください。

7.2.3.1.1 すべての監査証跡の停止

Audit Vault Serverを更新する前に、すべての監査証跡を停止します。

  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. 「ターゲット」タブをクリックします。
  3. 左側のナビゲーション・メニューの「監査証跡」をクリックします。
  4. すべての監査証跡を選択します。
  5. 「中止」をクリックします。
7.2.3.1.2 アップグレード前RPMの実行

アップグレード前RPMを実行して、ファイル・システムに必要な領域があるか確認し、更新のためにシステムを準備します。

ノート:

パッチ適用プロセスでは、アップグレード・プロセスと同じアップグレード前RPMが使用されますが、パッチ適用には完全アップグレードと比較して、タスクのサブセットが小さくなります。

アップグレード前RPMは、次のタスクを実行して、システムを更新用に準備します。

  • パッチ・ファイルをアプライアンスにコピーするための十分な領域があるようにアプライアンスの空き領域を再編成し、インストールを開始します。更新後、パッチ・ファイルの領域がファイル・システムに返されます。
  • Oracle AVDF 20.9からOracle AVDF 20.10以降への更新から、Audit Vault Agentおよびホスト・モニター・エージェントがAudit Vault Serverの新しいバージョンと互換性があることを検証します。たとえば、エージェント・ホスト・マシンに互換性のあるオペレーティング・システムとJavaバージョンがあることを検証します。
  • 更新前に他の前提条件およびプラットフォーム条件が満たされていることを検証します。
  • 更新のメインISOファイルを保持するための十分な領域を確保して/var/dbfw/upgradeディレクトリを作成することで、システムの更新準備を整えます。

アップグレード前RPMを実行するには、次のステップに従います。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. rootユーザーとしてscreenコマンドを実行します。

    screenコマンドは、ネットワークの切断によって更新が中断されないようにします。セッションが終了したら、rootユーザーに切り替え、screen -rコマンドを実行して再開します。

  3. rootディレクトリに変更します。 

    cd /root

  4. 次のコマンドを実行して、アップグレード前RPMファイルを、ダウンロードした場所からアプライアンスにコピーします。

    scp remote_host:/path/to/avdf-pre-upgrade-20.x.0.0.0.zip /root

  5. avdf-pre-upgrade-20.x.0.0.0.zipファイルのshasumを使用してダウンロードを確認します。 

    sha256sum /root/avdf-pre-upgrade-20.x.0.0.0.zip

  6. バンドルを解凍します。

    unzip /root/avdf-pre-upgrade-20.x.0.0.0.zip

  7. 次のコマンドを実行して、avdf-pre-upgrade-20.x.0.0.0-0_NNNNNN.NNNN.x86_64.rpmファイルを実行します: 

    rpm -i /root/avdf-pre-upgrade-20.x.0.0.0-0_NNNNNN.NNNN.x86_64.rpm

    次のメッセージが表示されます。

    SUCCESS: The upgrade media can now be copied to '/var/dbfw/upgrade'.
The upgrade can then be started by running: /usr/bin/avdf-upgrade
7.2.3.1.3 アプライアンスへのISOファイルの転送

更新するアプライアンスにavdf-upgrade-20.x.0.0.0.isoファイルを転送します。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. 次のコマンドを使用して、avdf-upgrade-20.x.0.0.0.isoファイルをコピーします。 

    scp remote_host:/path/to/avdf-upgrade-20.x.0.0.0.iso /var/dbfw/upgrade
7.2.3.1.4 更新スクリプトの起動

更新スクリプトは、ISOをマウントし、正しい作業ディレクトリに変更し、更新プロセスを実行し、アップグレード・プロセスの完了後にISOをマウント解除します。

ノート:

コマンドの完了には時間がかかる場合があります。更新を中断しないでください。そうしないと、システムが一貫性のない状態のままになる可能性があります。そのため、ダイレクト・コンソール・ログイン(またはILOM相当)など、信頼性があって中断されないシェルを使用するか、screenコマンドを使用してネットワーク切断による更新の中断を防止することが重要です。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. rootユーザーとしてscreenコマンドを実行します。

    screenコマンドは、ネットワークの切断によって更新が中断されないようにします。セッションが終了したら、rootユーザーに切り替え、screen -rコマンドを実行して再開します。

  3. 次のコマンドを実行して、更新の前に適切なチェックを実行します。

    /usr/bin/avdf-upgrade

  4. システム・プロンプト、警告および指示に従って更新を続行します。

    次のような出力が表示されます。

    Please wait while validating SHA256 checksum for /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso 
Checksum validation successful for /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso 
Mounting /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images 
mount: /dev/loop0 is write-protected, mounting read-only 
Successfully mounted /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images 

The following messages have important information about the upgrade process. 

Power loss during upgrade may cause data loss. Do not power off during upgrade. Please review Note ID 2235931.1 for a current list of known issues. 

The upgrade process is irreversible, please confirm 'y' to continue or 'n' to abort. [y/N]?

  5. yを入力して続行します。

    次のような出力が表示されます。

    The Oracle base has been set to /var/lib/oracle 
Error: ORA-01034: ORACLE not available 
ORA-27101: shared memory realm does not exist 
Linux-x86_64 Error: 2: No such file or directory 
Additional information: 4475 
Additional information: 1990413931 
The Oracle base has been set to /var/lib/oracle 
Error: ORA-01034: ORACLE not available 
ORA-27101: shared memory realm does not exist 
Linux-x86_64 Error: 2: No such file or directory 
Additional information: 4475 
Additional information: 1990413931 
Verifying upgrade preconditions 
1/11: Mounting filesystems (1) 
2/11: Cleaning yum configuration 
3/11: Cleaning old packages and files 
4/11: Upgrading kernel 
5/11: Upgrading system 
6/11: Cleaning platform packages repo 
7/11: Adding required platform packages 
8/11: Cleaning AVDF packages repo 
9/11: Installing AVDF packages 
10/11: Setting boot title 
11/11: Setting final system status 
Reboot now to continue the upgrade process. 
Unmounted /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images

    ノート:

    前述の出力は、ベース・インストール・レベル、アプライアンス・タイプおよび構成によって異なります。
7.2.3.1.5 アプライアンスの再起動

更新後、アプライアンスを再起動し、更新プロセスを続行します。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. アプライアンスを再起動します。たとえば:

    reboot

    ノート:

    アプライアンスが再起動すると、更新プロセスが続行されます。Audit Vault Serverで完了するまでに数時間かかり、Database Firewallで完了するまでに数分かかります。この進行中はシステムを再起動しないでください。

  3. Database Firewallを更新した場合は、アプライアンスの証明書が再生成されている場合があります。このような場合には、Database Firewallを再登録する必要があります。これを確認するには、次の手順を実行します。

    1. Audit Vault Serverコンソールに管理者としてログインします。

    2. 「Database Firewall」タブをクリックします。

      左側のナビゲーション・メニューで、「データベース・ファイアウォール」がデフォルトで選択され、構成されたDatabase Firewallインスタンスのリストがページに表示されます。

    3. 更新後の証明書エラーを示すDatabase Firewallインスタンスを選択します。
    4. 「ファイアウォールのリセット」をクリックします。

    関連項目:

    Audit Vault ServerでのDatabase Firewallの登録
7.2.3.2 高可用性用に構成されたAudit Vault Serverのペアの更新

高可用性環境でAudit Vault Serverのペアを更新するには、このプロセスに従います。

ノート:

両方のAudit Vault Serverの更新が完了するまで、プライマリ・ロールとスタンバイ・ロールを変更しないでください。

次のプロセスに従います。

  1. スタンバイAudit Vault Serverを更新します。

  2. スタンバイAudit Vault Serverを再起動した後、稼働していることを確認してから、プライマリAudit Vault Serverを更新します。
  3. プライマリAudit Vault Serverの監査証跡を停止します。

  4. プライマリAudit Vault Serverを更新します。

    プライマリAudit Vault Serverを再起動して稼働していることを確認したら、その他の再起動は不要です。この時点で完全に機能しています。

7.2.3.2.1 スタンバイAudit Vault Serverの更新

高可用性環境でスタンバイAudit Vault Serverを更新するには、この手順を使用します。まず、スタンバイAudit Vault Serverを更新してから、プライマリAudit Vault Serverを更新します。

次のプロセスに従います。

  1. プライマリAudit Vault Serverでフェイルオーバー・ステータスを確認します。
  2. アップグレード前RPMを実行します。
  3. アプライアンスにISOファイルを転送します。
  4. 更新スクリプトを起動します。
  5. アプライアンスを再起動します。

ノート:

アプライアンスが再起動すると、更新プロセスが続行されます。Audit Vault Serverでの完了には数時間かかります。この進行中はシステムを再起動しないでください。

7.2.3.2.1.1 プライマリAudit Vault Serverでのフェイルオーバー・ステータスの確認

高可用性環境でアップグレード前RPMを実行する前に、プライマリAudit Vault Serverのフェイルオーバー・ステータスを確認します。フェイルオーバー・ステータスがSTALLEDの場合は、しばらく待ってからステータスを再確認します。ステータスが変更されない場合は、Oracle Supportに連絡してください。

プライマリAudit Vault Serverで次のステップに従います。

  1. SSHを使用してプライマリAudit Vault Serverにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. oracleユーザーに切り替えます。

    su - oracle

  3. 次のコマンドを実行します。

    /usr/local/dbfw/bin/setup_ha.rb --status

  4. 出力のフェイルオーバー・ステータスを確認します。

7.2.3.2.1.2 アップグレード前RPMの実行

アップグレード前RPMを実行して、ファイル・システムに必要な領域があるか確認し、更新のためにシステムを準備します。

ノート:

パッチ適用プロセスでは、アップグレード・プロセスと同じアップグレード前RPMが使用されますが、パッチ適用には完全アップグレードと比較して、タスクのサブセットが小さくなります。

アップグレード前RPMは、次のタスクを実行して、システムを更新用に準備します。

  • パッチ・ファイルをアプライアンスにコピーするための十分な領域があるようにアプライアンスの空き領域を再編成し、インストールを開始します。更新後、パッチ・ファイルの領域がファイル・システムに返されます。
  • Oracle AVDF 20.9からOracle AVDF 20.10以降への更新から、Audit Vault Agentおよびホスト・モニター・エージェントがAudit Vault Serverの新しいバージョンと互換性があることを検証します。たとえば、エージェント・ホスト・マシンに互換性のあるオペレーティング・システムとJavaバージョンがあることを検証します。
  • 更新前に他の前提条件およびプラットフォーム条件が満たされていることを検証します。
  • 更新のメインISOファイルを保持するための十分な領域を確保して/var/dbfw/upgradeディレクトリを作成することで、システムの更新準備を整えます。

アップグレード前RPMを実行するには、次のステップに従います。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. rootユーザーとしてscreenコマンドを実行します。

    screenコマンドは、ネットワークの切断によって更新が中断されないようにします。セッションが終了したら、rootユーザーに切り替え、screen -rコマンドを実行して再開します。

  3. rootディレクトリに変更します。 

    cd /root

  4. 次のコマンドを実行して、アップグレード前RPMファイルを、ダウンロードした場所からアプライアンスにコピーします。

    scp remote_host:/path/to/avdf-pre-upgrade-20.x.0.0.0.zip /root

  5. avdf-pre-upgrade-20.x.0.0.0.zipファイルのshasumを使用してダウンロードを確認します。 

    sha256sum /root/avdf-pre-upgrade-20.x.0.0.0.zip

  6. バンドルを解凍します。

    unzip /root/avdf-pre-upgrade-20.x.0.0.0.zip

  7. 次のコマンドを実行して、avdf-pre-upgrade-20.x.0.0.0-0_NNNNNN.NNNN.x86_64.rpmファイルを実行します: 

    rpm -i /root/avdf-pre-upgrade-20.x.0.0.0-0_NNNNNN.NNNN.x86_64.rpm

    次のメッセージが表示されます。

    SUCCESS: The upgrade media can now be copied to '/var/dbfw/upgrade'.
The upgrade can then be started by running: /usr/bin/avdf-upgrade
7.2.3.2.1.3 アプライアンスへのISOファイルの転送

更新するアプライアンスにavdf-upgrade-20.x.0.0.0.isoファイルを転送します。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. 次のコマンドを使用して、avdf-upgrade-20.x.0.0.0.isoファイルをコピーします。 

    scp remote_host:/path/to/avdf-upgrade-20.x.0.0.0.iso /var/dbfw/upgrade
7.2.3.2.1.4 更新スクリプトの起動

更新スクリプトは、ISOをマウントし、正しい作業ディレクトリに変更し、更新プロセスを実行し、アップグレード・プロセスの完了後にISOをマウント解除します。

ノート:

コマンドの完了には時間がかかる場合があります。更新を中断しないでください。そうしないと、システムが一貫性のない状態のままになる可能性があります。そのため、ダイレクト・コンソール・ログイン(またはILOM相当)など、信頼性があって中断されないシェルを使用するか、screenコマンドを使用してネットワーク切断による更新の中断を防止することが重要です。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. rootユーザーとしてscreenコマンドを実行します。

    screenコマンドは、ネットワークの切断によって更新が中断されないようにします。セッションが終了したら、rootユーザーに切り替え、screen -rコマンドを実行して再開します。

  3. 次のコマンドを実行して、更新の前に適切なチェックを実行します。

    /usr/bin/avdf-upgrade

  4. システム・プロンプト、警告および指示に従って更新を続行します。

    次のような出力が表示されます。

    Please wait while validating SHA256 checksum for /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso 
Checksum validation successful for /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso 
Mounting /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images 
mount: /dev/loop0 is write-protected, mounting read-only 
Successfully mounted /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images 

The following messages have important information about the upgrade process. 

Power loss during upgrade may cause data loss. Do not power off during upgrade. Please review Note ID 2235931.1 for a current list of known issues. 

The upgrade process is irreversible, please confirm 'y' to continue or 'n' to abort. [y/N]?

  5. yを入力して続行します。

    次のような出力が表示されます。

    The Oracle base has been set to /var/lib/oracle 
Error: ORA-01034: ORACLE not available 
ORA-27101: shared memory realm does not exist 
Linux-x86_64 Error: 2: No such file or directory 
Additional information: 4475 
Additional information: 1990413931 
The Oracle base has been set to /var/lib/oracle 
Error: ORA-01034: ORACLE not available 
ORA-27101: shared memory realm does not exist 
Linux-x86_64 Error: 2: No such file or directory 
Additional information: 4475 
Additional information: 1990413931 
Verifying upgrade preconditions 
1/11: Mounting filesystems (1) 
2/11: Cleaning yum configuration 
3/11: Cleaning old packages and files 
4/11: Upgrading kernel 
5/11: Upgrading system 
6/11: Cleaning platform packages repo 
7/11: Adding required platform packages 
8/11: Cleaning AVDF packages repo 
9/11: Installing AVDF packages 
10/11: Setting boot title 
11/11: Setting final system status 
Reboot now to continue the upgrade process. 
Unmounted /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images

    ノート:

    前述の出力は、ベース・インストール・レベル、アプライアンス・タイプおよび構成によって異なります。
7.2.3.2.1.5 アプライアンスの再起動

更新後、アプライアンスを再起動し、更新プロセスを続行します。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. アプライアンスを再起動します。たとえば:

    reboot

    ノート:

    アプライアンスが再起動すると、更新プロセスが続行されます。Audit Vault Serverで完了するまでに数時間かかり、Database Firewallで完了するまでに数分かかります。この進行中はシステムを再起動しないでください。

  3. Database Firewallを更新した場合は、アプライアンスの証明書が再生成されている場合があります。このような場合には、Database Firewallを再登録する必要があります。これを確認するには、次の手順を実行します。

    1. Audit Vault Serverコンソールに管理者としてログインします。

    2. 「Database Firewall」タブをクリックします。

      左側のナビゲーション・メニューで、「データベース・ファイアウォール」がデフォルトで選択され、構成されたDatabase Firewallインスタンスのリストがページに表示されます。

    3. 更新後の証明書エラーを示すDatabase Firewallインスタンスを選択します。
    4. 「ファイアウォールのリセット」をクリックします。

    関連項目:

    Audit Vault ServerでのDatabase Firewallの登録
7.2.3.2.2 すべての監査証跡の停止

Audit Vault Serverを更新する前に、すべての監査証跡を停止します。

  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. 「ターゲット」タブをクリックします。
  3. 左側のナビゲーション・メニューの「監査証跡」をクリックします。
  4. すべての監査証跡を選択します。
  5. 「中止」をクリックします。
7.2.3.2.3 プライマリAudit Vault Serverの更新

高可用性環境でプライマリAudit Vault Serverを更新するには、スタンバイAudit Vault Serverの更新に使用したプロセスと同じプロセスに従います。

7.2.4 Audit Vault Agentおよびホスト・モニター・エージェントが自動的に更新されたことの確認

Audit Vault Agentおよびホスト・モニター・エージェントは、Audit Vault Serverを更新すると自動的に更新されます。ただし、状況によっては手動による更新が必要な場合があります。

ノート:

Audit Vault Agentの自動更新プロセスの間は、そのステータスは到達不能です。実行中状態に戻るまでに45分ほどかかることがあります。

次の状況では、Audit Vault Agentを手動で更新する必要があります。

  • Windowsホストでは、Audit Vault Agentが自動更新されるのは、それをWindowsサービスとして登録してあり、このサービスを、そのエージェントを最初にインストールしたOSユーザーの資格証明を使用するように設定した場合のみです。詳細は、WindowsでAudit Vault Agentをサービスとして開始する場合の追加要件を参照してください。

    コマンドラインからエージェントを起動した場合、Audit Vault Agentは自動的に更新されません。このような場合は、エージェントを手動で更新します。たとえば:

    <agent_home>\bin\agentctl.bat stop

    Audit Vault Serverコンソールから新しいagent.jarをダウンロードし、既存のエージェントのagent_homeからjava -jar agent.jarを使用してそれを解凍します。次のコマンドを実行します。 

    <agent_home>\bin\agentctl.bat start

    既存のagent_homeディレクトリを削除しないでください。

  • 高可用性のためにAudit Vault Serverを構成する際に、指定したスタンバイAudit Vault Serverのエージェントがペアリングの前にデプロイされた場合、ペアリング後にエージェントを手動でダウンロードして再度デプロイします。

7.2.5 Database Firewallを更新します

すべてのAudit Vault Serverを更新したら、Database Firewallを更新します。

高可用性(回復可能なペア)用に構成されたDatabase Firewallを更新する場合は、プライマリとスタンバイの両方のDatabase Firewallを更新します。まず、スタンバイDatabase Firewallインスタンスを更新します。更新後にスタンバイ・インスタンスを再起動します。既存のスタンバイ・インスタンスがプライマリ・インスタンスになるように、高可用性環境でプライマリおよびスタンバイのDatabase Firewallインスタンスのロールを入れ替えます。スタンバイ(以前のプライマリ) Database Firewallインスタンスを更新します。

スタンドアロンDatabase Firewallインスタンスの場合は、すべてのインスタンスを個別に更新します。

ノート:

  • Oracle Audit Vault and Database Firewall (Oracle AVDF)リリース20.3以降への更新後、一部のDatabase Firewallモニタリング・ポイントのステータスが停止中になることがあります。

    更新前に作成されたDatabase Firewallポリシーが、新しい形式に移行中です。この操作には数分かかります。Audit Vault Serverコンソールの「ジョブ」ダイアログ・ボックスに移動し、Firewall post-upgrade actionsジョブのステータスを確認します。バックグラウンド・ジョブが失敗した場合は、Audit Vault Serverコンソールのみを使用してDatabase Firewallポリシーをデプロイします。Database Firewallのモニタリング・ポイントのステータスが稼働中に変更されたことを確認します。それ以外の場合は、モニタリング・ポイントを起動します。

  • Database Firewallが更新されるまで、次の操作は実行できません。

    • Database Firewallのポリシーのデプロイメント
    • 新しい構成または構成変更

  • この項では、アプライアンスという用語はDatabase Firewallを指します。

7.2.5.1 スタンドアロンDatabase Firewallの更新

高可用性環境でペアになっていないスタンドアロンDatabase Firewallを更新するには、次の手順を使用します。

次のプロセスに従います。

  1. すべてのDatabase Firewallモニタリング・ポイントを停止します。
  2. アップグレード前RPMを実行します。
  3. アプライアンスにISOファイルを転送します。
  4. 更新スクリプトを起動します。
  5. アプライアンスを再起動します。

ノート:

アプライアンスが再起動すると、更新プロセスが続行されます。Database Firewallでの完了には数分かかります。この進行中はシステムを再起動しないでください。

7.2.5.1.1 すべてのDatabase Firewallモニタリング・ポイントの停止

Database Firewallを更新する前に、すべてのモニタリング・ポイントを停止します。

  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. 「Database Firewall」タブをクリックします。
  3. 左側のナビゲーション・メニューで「データベース・ファイアウォール・モニタリング」をクリックします。
  4. すべてのモニタリング・ポイントを選択します。
  5. 「中止」をクリックします。
7.2.5.1.2 アップグレード前RPMの実行

アップグレード前RPMを実行して、ファイル・システムに必要な領域があるか確認し、更新のためにシステムを準備します。

ノート:

パッチ適用プロセスでは、アップグレード・プロセスと同じアップグレード前RPMが使用されますが、パッチ適用には完全アップグレードと比較して、タスクのサブセットが小さくなります。

アップグレード前RPMは、次のタスクを実行して、システムを更新用に準備します。

  • パッチ・ファイルをアプライアンスにコピーするための十分な領域があるようにアプライアンスの空き領域を再編成し、インストールを開始します。更新後、パッチ・ファイルの領域がファイル・システムに返されます。
  • Oracle AVDF 20.9からOracle AVDF 20.10以降への更新から、Audit Vault Agentおよびホスト・モニター・エージェントがAudit Vault Serverの新しいバージョンと互換性があることを検証します。たとえば、エージェント・ホスト・マシンに互換性のあるオペレーティング・システムとJavaバージョンがあることを検証します。
  • 更新前に他の前提条件およびプラットフォーム条件が満たされていることを検証します。
  • 更新のメインISOファイルを保持するための十分な領域を確保して/var/dbfw/upgradeディレクトリを作成することで、システムの更新準備を整えます。

アップグレード前RPMを実行するには、次のステップに従います。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. rootユーザーとしてscreenコマンドを実行します。

    screenコマンドは、ネットワークの切断によって更新が中断されないようにします。セッションが終了したら、rootユーザーに切り替え、screen -rコマンドを実行して再開します。

  3. rootディレクトリに変更します。 

    cd /root

  4. 次のコマンドを実行して、アップグレード前RPMファイルを、ダウンロードした場所からアプライアンスにコピーします。

    scp remote_host:/path/to/avdf-pre-upgrade-20.x.0.0.0.zip /root

  5. avdf-pre-upgrade-20.x.0.0.0.zipファイルのshasumを使用してダウンロードを確認します。 

    sha256sum /root/avdf-pre-upgrade-20.x.0.0.0.zip

  6. バンドルを解凍します。

    unzip /root/avdf-pre-upgrade-20.x.0.0.0.zip

  7. 次のコマンドを実行して、avdf-pre-upgrade-20.x.0.0.0-0_NNNNNN.NNNN.x86_64.rpmファイルを実行します: 

    rpm -i /root/avdf-pre-upgrade-20.x.0.0.0-0_NNNNNN.NNNN.x86_64.rpm

    次のメッセージが表示されます。

    SUCCESS: The upgrade media can now be copied to '/var/dbfw/upgrade'.
The upgrade can then be started by running: /usr/bin/avdf-upgrade
7.2.5.1.3 アプライアンスへのISOファイルの転送

更新するアプライアンスにavdf-upgrade-20.x.0.0.0.isoファイルを転送します。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. 次のコマンドを使用して、avdf-upgrade-20.x.0.0.0.isoファイルをコピーします。 

    scp remote_host:/path/to/avdf-upgrade-20.x.0.0.0.iso /var/dbfw/upgrade
7.2.5.1.4 更新スクリプトの起動

更新スクリプトは、ISOをマウントし、正しい作業ディレクトリに変更し、更新プロセスを実行し、アップグレード・プロセスの完了後にISOをマウント解除します。

ノート:

コマンドの完了には時間がかかる場合があります。更新を中断しないでください。そうしないと、システムが一貫性のない状態のままになる可能性があります。そのため、ダイレクト・コンソール・ログイン(またはILOM相当)など、信頼性があって中断されないシェルを使用するか、screenコマンドを使用してネットワーク切断による更新の中断を防止することが重要です。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. rootユーザーとしてscreenコマンドを実行します。

    screenコマンドは、ネットワークの切断によって更新が中断されないようにします。セッションが終了したら、rootユーザーに切り替え、screen -rコマンドを実行して再開します。

  3. 次のコマンドを実行して、更新の前に適切なチェックを実行します。

    /usr/bin/avdf-upgrade

  4. システム・プロンプト、警告および指示に従って更新を続行します。

    次のような出力が表示されます。

    Please wait while validating SHA256 checksum for /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso 
Checksum validation successful for /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso 
Mounting /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images 
mount: /dev/loop0 is write-protected, mounting read-only 
Successfully mounted /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images 

The following messages have important information about the upgrade process. 

Power loss during upgrade may cause data loss. Do not power off during upgrade. Please review Note ID 2235931.1 for a current list of known issues. 

The upgrade process is irreversible, please confirm 'y' to continue or 'n' to abort. [y/N]?

  5. yを入力して続行します。

    次のような出力が表示されます。

    The Oracle base has been set to /var/lib/oracle 
Error: ORA-01034: ORACLE not available 
ORA-27101: shared memory realm does not exist 
Linux-x86_64 Error: 2: No such file or directory 
Additional information: 4475 
Additional information: 1990413931 
The Oracle base has been set to /var/lib/oracle 
Error: ORA-01034: ORACLE not available 
ORA-27101: shared memory realm does not exist 
Linux-x86_64 Error: 2: No such file or directory 
Additional information: 4475 
Additional information: 1990413931 
Verifying upgrade preconditions 
1/11: Mounting filesystems (1) 
2/11: Cleaning yum configuration 
3/11: Cleaning old packages and files 
4/11: Upgrading kernel 
5/11: Upgrading system 
6/11: Cleaning platform packages repo 
7/11: Adding required platform packages 
8/11: Cleaning AVDF packages repo 
9/11: Installing AVDF packages 
10/11: Setting boot title 
11/11: Setting final system status 
Reboot now to continue the upgrade process. 
Unmounted /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images

    ノート:

    前述の出力は、ベース・インストール・レベル、アプライアンス・タイプおよび構成によって異なります。
7.2.5.1.5 アプライアンスの再起動

更新後、アプライアンスを再起動し、更新プロセスを続行します。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. アプライアンスを再起動します。たとえば:

    reboot

    ノート:

    アプライアンスが再起動すると、更新プロセスが続行されます。Audit Vault Serverで完了するまでに数時間かかり、Database Firewallで完了するまでに数分かかります。この進行中はシステムを再起動しないでください。

  3. Database Firewallを更新した場合は、アプライアンスの証明書が再生成されている場合があります。このような場合には、Database Firewallを再登録する必要があります。これを確認するには、次の手順を実行します。

    1. Audit Vault Serverコンソールに管理者としてログインします。

    2. 「Database Firewall」タブをクリックします。

      左側のナビゲーション・メニューで、「データベース・ファイアウォール」がデフォルトで選択され、構成されたDatabase Firewallインスタンスのリストがページに表示されます。

    3. 更新後の証明書エラーを示すDatabase Firewallインスタンスを選択します。
    4. 「ファイアウォールのリセット」をクリックします。

    関連項目:

    Audit Vault ServerでのDatabase Firewallの登録
7.2.5.2 高可用性用に構成されたDatabase Firewallのペアの更新

高可用性環境でDatabase Firewallのペアを更新するには、この手順を使用します。

次のプロセスに従います。

  1. スタンバイDatabase Firewallを更新します。
  2. スタンバイDatabase Firewallが完全に再起動されたら、スタンバイDatabase FirewallがプライマリDatabase Firewallになるように入れ替えます。
  3. 元のプライマリ(現在のスタンバイ) Database Firewallを更新します。
  4. (オプション)元のプライマリDatabase Firewallが完全に再起動したら、元のプライマリ・ロールとスタンバイ・ロールに戻るようにDatabase Firewallを入れ替えます。
7.2.5.2.1 スタンバイDatabase Firewallの更新

高可用性環境でスタンバイDatabase Firewallを更新するには、この手順を使用します。最初にスタンバイDatabase Firewallを更新してから、このDatabase FirewallがプライマリDatabase Firewallになるように入れ替えます。次に、元のプライマリ(現在のスタンバイ)Database Firewallを更新します。

次のプロセスに従います。

  1. すべてのDatabase Firewallモニタリング・ポイントを停止します。
  2. アップグレード前RPMを実行します。
  3. アプライアンスにISOファイルを転送します。
  4. 更新スクリプトを起動します。
  5. アプライアンスを再起動します。

ノート:

アプライアンスが再起動すると、更新プロセスが続行されます。Database Firewallでの完了には数分かかります。この進行中はシステムを再起動しないでください。

7.2.5.2.1.1 すべてのDatabase Firewallモニタリング・ポイントの停止

Database Firewallを更新する前に、すべてのモニタリング・ポイントを停止します。

  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. 「Database Firewall」タブをクリックします。
  3. 左側のナビゲーション・メニューで「データベース・ファイアウォール・モニタリング」をクリックします。
  4. すべてのモニタリング・ポイントを選択します。
  5. 「中止」をクリックします。
7.2.5.2.1.2 アップグレード前RPMの実行

アップグレード前RPMを実行して、ファイル・システムに必要な領域があるか確認し、更新のためにシステムを準備します。

ノート:

パッチ適用プロセスでは、アップグレード・プロセスと同じアップグレード前RPMが使用されますが、パッチ適用には完全アップグレードと比較して、タスクのサブセットが小さくなります。

アップグレード前RPMは、次のタスクを実行して、システムを更新用に準備します。

  • パッチ・ファイルをアプライアンスにコピーするための十分な領域があるようにアプライアンスの空き領域を再編成し、インストールを開始します。更新後、パッチ・ファイルの領域がファイル・システムに返されます。
  • Oracle AVDF 20.9からOracle AVDF 20.10以降への更新から、Audit Vault Agentおよびホスト・モニター・エージェントがAudit Vault Serverの新しいバージョンと互換性があることを検証します。たとえば、エージェント・ホスト・マシンに互換性のあるオペレーティング・システムとJavaバージョンがあることを検証します。
  • 更新前に他の前提条件およびプラットフォーム条件が満たされていることを検証します。
  • 更新のメインISOファイルを保持するための十分な領域を確保して/var/dbfw/upgradeディレクトリを作成することで、システムの更新準備を整えます。

アップグレード前RPMを実行するには、次のステップに従います。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. rootユーザーとしてscreenコマンドを実行します。

    screenコマンドは、ネットワークの切断によって更新が中断されないようにします。セッションが終了したら、rootユーザーに切り替え、screen -rコマンドを実行して再開します。

  3. rootディレクトリに変更します。 

    cd /root

  4. 次のコマンドを実行して、アップグレード前RPMファイルを、ダウンロードした場所からアプライアンスにコピーします。

    scp remote_host:/path/to/avdf-pre-upgrade-20.x.0.0.0.zip /root

  5. avdf-pre-upgrade-20.x.0.0.0.zipファイルのshasumを使用してダウンロードを確認します。 

    sha256sum /root/avdf-pre-upgrade-20.x.0.0.0.zip

  6. バンドルを解凍します。

    unzip /root/avdf-pre-upgrade-20.x.0.0.0.zip

  7. 次のコマンドを実行して、avdf-pre-upgrade-20.x.0.0.0-0_NNNNNN.NNNN.x86_64.rpmファイルを実行します: 

    rpm -i /root/avdf-pre-upgrade-20.x.0.0.0-0_NNNNNN.NNNN.x86_64.rpm

    次のメッセージが表示されます。

    SUCCESS: The upgrade media can now be copied to '/var/dbfw/upgrade'.
The upgrade can then be started by running: /usr/bin/avdf-upgrade
7.2.5.2.1.3 アプライアンスへのISOファイルの転送

更新するアプライアンスにavdf-upgrade-20.x.0.0.0.isoファイルを転送します。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. 次のコマンドを使用して、avdf-upgrade-20.x.0.0.0.isoファイルをコピーします。 

    scp remote_host:/path/to/avdf-upgrade-20.x.0.0.0.iso /var/dbfw/upgrade
7.2.5.2.1.4 更新スクリプトの起動

更新スクリプトは、ISOをマウントし、正しい作業ディレクトリに変更し、更新プロセスを実行し、アップグレード・プロセスの完了後にISOをマウント解除します。

ノート:

コマンドの完了には時間がかかる場合があります。更新を中断しないでください。そうしないと、システムが一貫性のない状態のままになる可能性があります。そのため、ダイレクト・コンソール・ログイン(またはILOM相当)など、信頼性があって中断されないシェルを使用するか、screenコマンドを使用してネットワーク切断による更新の中断を防止することが重要です。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. rootユーザーとしてscreenコマンドを実行します。

    screenコマンドは、ネットワークの切断によって更新が中断されないようにします。セッションが終了したら、rootユーザーに切り替え、screen -rコマンドを実行して再開します。

  3. 次のコマンドを実行して、更新の前に適切なチェックを実行します。

    /usr/bin/avdf-upgrade

  4. システム・プロンプト、警告および指示に従って更新を続行します。

    次のような出力が表示されます。

    Please wait while validating SHA256 checksum for /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso 
Checksum validation successful for /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso 
Mounting /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images 
mount: /dev/loop0 is write-protected, mounting read-only 
Successfully mounted /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images 

The following messages have important information about the upgrade process. 

Power loss during upgrade may cause data loss. Do not power off during upgrade. Please review Note ID 2235931.1 for a current list of known issues. 

The upgrade process is irreversible, please confirm 'y' to continue or 'n' to abort. [y/N]?

  5. yを入力して続行します。

    次のような出力が表示されます。

    The Oracle base has been set to /var/lib/oracle 
Error: ORA-01034: ORACLE not available 
ORA-27101: shared memory realm does not exist 
Linux-x86_64 Error: 2: No such file or directory 
Additional information: 4475 
Additional information: 1990413931 
The Oracle base has been set to /var/lib/oracle 
Error: ORA-01034: ORACLE not available 
ORA-27101: shared memory realm does not exist 
Linux-x86_64 Error: 2: No such file or directory 
Additional information: 4475 
Additional information: 1990413931 
Verifying upgrade preconditions 
1/11: Mounting filesystems (1) 
2/11: Cleaning yum configuration 
3/11: Cleaning old packages and files 
4/11: Upgrading kernel 
5/11: Upgrading system 
6/11: Cleaning platform packages repo 
7/11: Adding required platform packages 
8/11: Cleaning AVDF packages repo 
9/11: Installing AVDF packages 
10/11: Setting boot title 
11/11: Setting final system status 
Reboot now to continue the upgrade process. 
Unmounted /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images

    ノート:

    前述の出力は、ベース・インストール・レベル、アプライアンス・タイプおよび構成によって異なります。
7.2.5.2.1.5 アプライアンスの再起動

更新後、アプライアンスを再起動し、更新プロセスを続行します。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. アプライアンスを再起動します。たとえば:

    reboot

    ノート:

    アプライアンスが再起動すると、更新プロセスが続行されます。Audit Vault Serverで完了するまでに数時間かかり、Database Firewallで完了するまでに数分かかります。この進行中はシステムを再起動しないでください。

  3. Database Firewallを更新した場合は、アプライアンスの証明書が再生成されている場合があります。このような場合には、Database Firewallを再登録する必要があります。これを確認するには、次の手順を実行します。

    1. Audit Vault Serverコンソールに管理者としてログインします。

    2. 「Database Firewall」タブをクリックします。

      左側のナビゲーション・メニューで、「データベース・ファイアウォール」がデフォルトで選択され、構成されたDatabase Firewallインスタンスのリストがページに表示されます。

    3. 更新後の証明書エラーを示すDatabase Firewallインスタンスを選択します。
    4. 「ファイアウォールのリセット」をクリックします。

    関連項目:

    Audit Vault ServerでのDatabase Firewallの登録
7.2.5.2.2 スタンバイDatabase FirewallとプライマリDatabase Firewallの入替え

スタンバイDatabase Firewallを更新したら、スタンバイDatabase FirewallがプライマリDatabase Firewallになるように入れ替えます。両方の更新後に、Database Firewallを入れ替えて元のロールに戻すこともできます。

  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. 「Database Firewall」タブをクリックします。
  3. 左側のナビゲーション・メニューの「高可用性」をクリックします。
  4. Database Firewallインスタンスの回復可能なペアを選択します。

  5. 「スワップ」をクリックします。

7.2.5.2.3 元のプライマリ(現在のスタンバイ) Database Firewallの更新

高可用性環境で元のプライマリ(現在のスタンバイ)Database Firewallを更新するには、元のスタンバイDatabase Firewallの更新に使用したプロセスと同じプロセスに従います。

7.2.6 更新後のタスク

Oracle Audit Vault and Database Firewall (Oracle AVDF)を更新したら、次のタスクを実行して更新プロセスを確認し、必要な機能を有効化し、残りの問題を解決します。

ノート:

  • Audit Vault Serverをリリース20.1から20.3に更新する場合は、更新後にDeprecated-Cipher-Removal.zipパッチを適用します。
  • Audit Vault Serverをリリース20.4以降に更新する場合、Deprecated-Cipher-Removal.zipパッチは、更新中にTLSレベルを減らす場合にのみ適用します。

関連項目:

SSHを介してOracle AVDFアプライアンスにログインできない
7.2.6.1 更新プロセスの確認

次のステップを使用して、更新プロセスが成功したことを確認します。

Audit Vault Serverの正常な更新

  1. 問題なくAudit Vault Serverコンソールを開くことができることを確認します。
  2. 管理者および監査者として、問題なくAudit Vault Serverコンソールにログインできることを確認します。
  3. 問題なくSSHを介してAudit Vault Serverに接続できることを確認します。
  4. Audit Vault Serverコンソールに管理者としてログインし、次の項目を確認します。
    1. 「設定」タブをクリックして、左側のナビゲーション・メニューにある「システム」をクリックします。
    2. 「Audit Vault Serverバージョン」フィールドに正しいバージョンのAudit Vault Serverが表示されていることを確認します。
    3. 「稼働時間」の値を確認します。
    4. 「データベース・ファイアウォール・ログ収集」に緑色の上向き矢印が表示されていることを確認します。
    5. 「バックグラウンド・ジョブ」に緑色の上向き矢印が表示されていることを確認します。
    6. 「高可用性ステータス」の値を確認します。

Audit Vault Agentの正常な更新

  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. 「エージェント」タブをクリックします。
  3. すべてのAudit Vault Agentのステータスが実行中であることを確認します。
  4. 「エージェントの詳細」列に、各Audit Vault Agentの正しいバージョンが表示されていることを確認します。

Database Firewallの正常な更新

  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. 「Database Firewall」タブをクリックします。
  3. すべてのDatabase Firewallのステータスが稼働中であることを確認します。
  4. 「バージョン」列に各Database Firewallの正しいバージョンが表示されていることを確認します。
  5. 「名前」列で、特定のDatabase Firewallのリンクをクリックします。
  6. 「ファイアウォール・バージョン」フィールドにも正しいバージョンが表示されていることを確認します。
  7. 「診断」セクションの「ヘルス・インジケータ」リンクをクリックし、すべてのヘルス・インジケータに緑色のマークが付いている必要があることを確認します。
  8. ダイアログ・ボックスを閉じます。
  9. 左側のナビゲーション・メニューで「データベース・ファイアウォール・モニタリング」をクリックします。
  10. すべてのモニタリング・ポイントのステータスが稼働中であることを確認します。

更新失敗

次の症状は、更新が失敗したことを示しています。

  • Audit Vault Serverコンソールを開けません。
  • Audit Vault Server (またはターミナル)へのSSH接続に、更新が失敗したことを示すエラーが表示されます。

ノート:

また、システム診断で現在のステータスを確認し、システム・ログでエラーがないか確認します。
7.2.6.2 アップグレード後のTLSセキュリティ強化

以前のOracle Audit Vault and Database Firewall (Oracle AVDF) 12.2デプロイメントに、AIX上にホスト・モニター・エージェントまたはAudit Vault Agentがあり、Oracle AVDF 20.4以降にアップグレードした場合は、アップグレード前にTLSバージョンをTLS 1.1に設定します。アップグレード後、TLSレベルをリセットする必要があります。

アップグレード前にTLSバージョンをTLS 1.1に設定した場合(次のトピックを参照)、アップグレード・プロセスではTLSレベルがレベル4に自動的に設定されません。

更新プロセスが完了した後(すべてのエージェントを含む)、OracleではTLSレベルをレベル4に設定することをお薦めします。詳細は、トランスポート層セキュリティのレベルの設定に関する項を参照してください。

7.2.6.3 アップグレード後のエージェント・ユーザー・セキュリティの強化

Oracle AVDF 20.9以降に更新する場合は、すべてのエージェントが更新された後にエージェント・ユーザー権限の制限が厳しくなります。

  1. すべてのエージェントが更新されたことを確認してください。

    「更新プロセスの確認」を参照してください。

  2. My Oracle Supportからrevoke_privileges.sqlスクリプト(パッチ番号35303191)をダウンロードします。

  3. SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  4. avsysユーザーのロックを解除します。

    AVSYSユーザーのロック解除を参照してください。

    ノート:

    このタスクが完了したら、必ずavsysアカウントを再ロックしてください。
  5. ダウンロードしたrevoke_privileges.sqlスクリプトをAudit Vault Server (たとえば、/tmp)に転送します。

  6. avsysユーザーとしてSQL*Plusを起動します。 

    sqlplus avsys

  7. プロンプトにパスワードを入力します。

  8. revoke_privileges.sqlスクリプトを実行します。 

    @<path to revoke_privileges.sql>

    たとえば、ファイルを/tmpにコピーした場合は、@/tmp/revoke_privileges.sqlと入力します。

  9. rootに戻ります。 

    exit

  10. avsysユーザーをロックします。

    AVSYSユーザーのロックを参照してください。

7.2.6.4 アップグレード後の新しいクラスタ・セットへの既存のSQLクラスタの追加

Oracle Audit Vault and Database Firewall (Oracle AVDF)リリース20へのアップグレード後、新しいDatabase Firewallポリシーの作成時に、リリース12.2の既存のSQLクラスタを新しいクラスタ・セットに追加することはできません。

この問題を解決するには、Oracle AVDFリリース20へのアップグレード直後にpopulate_cluster_job.sqlスクリプトを実行します。このスクリプトによりイベント・ログ表の問題を解決し、20.1へのアップグレード前に生成したクラスタに基づいたクラスタ・セットを作成できます。

ノート:

この問題は、Oracle AVDF 20.1でのみ発生します。これは以降のリリースで解決されます。
  1. ARUまたはMy Oracle Supportからpopulate_cluster_job.sqlスクリプトをダウンロードします。

  2. (オプション)Database Firewallのモニタリング・ポイントおよびその他のトラフィックを停止します。

    これは必須ではありませんが、これを実行するとスクリプトの実行が速くなります。

    「Database Firewallモニタリング・ポイントの開始、停止または削除」を参照してください。

  3. SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  4. avsysユーザーのロックを解除します。

    AVSYSユーザーのロック解除を参照してください。

    ノート:

    このタスクが完了したら、必ずavsysアカウントを再ロックしてください。
  5. rootに戻ります。

  6. oracleユーザーに切り替えます。

    su - oracle

  7. avsysユーザーとしてSQL*Plusを起動します。 

    sqlplus avsys

  8. プロンプトにパスワードを入力します。

  9. 次のスクリプトを実行します。

    @<file path of the populate_cluster_job.sql script>

    スクリプトは、バックグラウンドで実行されます。スクリプトの実行時間は、トラフィックに基づき、時間がかかることがあります。

  10. ジョブのステータスをチェックします。

    1. Audit Vault Serverコンソールに管理者としてログインします。
    2. 「設定」タブをクリックします。
    3. 左側のナビゲーション・メニューの「システム」をクリックします。

    4. 「ジョブ」をクリックします。

      ジョブ・タイプのステータスはRetrieve_clustersです。

    5. スクリプトが失敗した場合は、前述のステップを繰り返してスクリプトを再度実行します。

  11. rootに戻ります。 

    exit

  12. avsysユーザーをロックします。

    AVSYSユーザーのロックを参照してください。

7.2.6.5 Database Firewallのインライン・ブリッジを同等のプロキシ構成に変更

Database Firewallのインライン・ブリッジ・デプロイメント・モードは、Oracle AVDFリリース20でサポートされていません。リリース12.2でDatabase Firewallのインライン・ブリッジ・モードがデプロイされている場合は、構成を同等のプロキシ・モードに更新する必要があります。リリース12.2で非推奨の通知が発行されました。

Oracle Audit Vault and Database Firewall (Oracle AVDF)リリース20では、元はトラフィック・ソース(ブリッジ)によって提供されていたネットワーク分離を維持するために構成を変更する必要があります。ネットワーク・インタフェース・カード(NIC)と接続されているコンポーネントの順序は判別できません。

ノート:

すべてのターゲットに単一のプロキシ・ポートが必要です。単一のプロキシ・ポートを複数のターゲット・データベースに使用することはできません。必要に応じてトラフィック・プロキシ・ポートを追加します。

次の条件を満たす場合は、このタスクを完了します。

  • 現在のDatabase FirewallがOracle AVDFリリース12.2にあります。
  • Database Firewallが、現在、モニタリング(DAM)モードまたはブロッキング(DPE)モードでデプロイされ、1つ以上のトラフィック・ソースがブリッジとして構成されています。
  • 既存のネットワーク・セグメントを保守する必要があります。
  • インタフェースはモニタリングのみで使用します。
  • デフォルトのブリッジ・デバイスは、モニタリング・ポイント・サービスを作成するために作成または再利用されます。

構成を同等のプロキシ・モードに更新するには:

  1. Oracle AVDFリリース20へのアップグレードを完了します。

    アップグレード後、NICにはオリジナルのブリッジ構成があります。

  2. Audit Vault Serverコンソールにログインして、データベース・ファイアウォールのネットワーク構成の現在のステータスを確認します。

    使用可能なデータベース・ファイアウォール構成情報からは、トラフィック・ソースによって使用される2つのインタフェースのネットワーク接続が不明です。

  3. pingなどのツールを使用して、ネットワーク・セグメントおよびプラグインしたインタフェースの情報を特定します。
  4. 2つのNICのうち、どのNICがクライアント側のNICであるかを判断し、メモして、デバイスに有効なIPアドレスがあり、稼働していることを確認します。

    ノート:

    このインタフェースの有効なプロキシ・ポートを必ず追加してください。デフォルトのポート番号が自動的に作成されます。
  5. 2つのNICのうちどちらがデータベース対応NICであるかを判断し、メモして、デバイスに有効なIPアドレスがあり、稼働していることを確認します。
  6. 必要なデータを収集し、Database Firewall構成を確認した後、データベース側デバイスからターゲット・アドレスにpingを実行します。
  7. 一度に1つのNICを有効にし、アプライアンスからターゲット・アドレスへのpingを試行します。

    1つ目のインタフェースで情報が見つからない場合は、2つ目を確認してください。ターゲット・アドレスが使用可能でない場合は、ローカル・ゲートウェイへのpingを試行します。通常、このアプローチはクライアントに向かうものになります。

    ネットワークに関するその他の変更が加えられていない場合、ネットワーク・マスクは同じままです。

    NICを有効にして変更を組み込むと、dbfw.confファイル内のNET_SERVICE_MAPの設定は次のようになります。 

    NET_SERVICE_MAP="{"enp0s9":{"ip4":{"address":"192.0.2.21/24","gateway":"","enabled":true}},"enp0s10":{"ip4":{"address":"192.0.2.20/24","gateway":"","enabled":true}}}"
  8. 次のように、NET_SERVICE_MAPにルートを追加します。

    ルートは、プロキシがクライアントとデータベースの間でトラフィックを送信できるようにするために必要です。

    NET_SERVICE_MAP="{"enp0s9":{"ip4":{"address":"192.0.2.21/24","gateway":"","enabled":true},'route':{'ip4route':['192.0.2.4/22 192.0.2.21',...]}},...}

    ルーティングには、次のような、クライアントの一般的な範囲が必要です。

    ip route add 192.0.2.21/24 via 192.0.2.20 dev enp0s10

    ターゲットのルーティング範囲は次のとおりです。

    ip route add 192.0.2.4 via 192.0.2.21 dev enp0s9
  9. 次のコマンドを実行して、すべての設定を適用します。
    configure-networking
  10. データベースとのクライアント接続をテストします。
7.2.6.6 既存のアーカイブの場所への管理者アクセスの有効化

Oracle Audit Vault and Database Firewallの更新後、アーカイブの場所に次の新しい動作が適用されます。

  • 新しいアーカイブ場所は、それらを作成した管理者ロールを持つユーザーが所有します。
  • スーパー管理者ロールを持つユーザーは、すべてのアーカイブの場所を表示できます。
  • スーパー管理者ロールを持つユーザーのみが、既存のアーカイブの場所にアクセスできます。

管理者ロールを持つ通常のユーザーに既存のアーカイブの場所へのアクセス権を付与するには、アーカイブの場所ごとに次の手順を実行します。

  1. SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. avsysユーザーのロックを解除します。

    AVSYSユーザーのロック解除を参照してください。

    ノート:

    このタスクが完了したら、必ずavsysアカウントを再ロックしてください。
  3. rootに戻ります。

  4. avsysユーザーとしてSQL*Plusを起動します。 

    sqlplus avsys

  5. プロンプトにパスワードを入力します。

  6. 次のコマンドを実行します:

    update avsys.archive_host set created_by=<adminuser> where name=<archive location name>;
commit;
exit;

  7. rootに戻ります。 

    exit

  8. avsysユーザーをロックします。

    AVSYSユーザーのロックを参照してください。

7.2.6.7 高可用性のためのアーカイブ機能の有効化

Audit Vault Serverが高可用性環境にデプロイされている場合は、更新後にアーカイブを有効にすることが必要になる場合があります。

ネットワーク・ファイル・システム(NFS)の場所とアーカイブ済データ・ファイルがある場合、すべてのデータ・ファイルがそれぞれのNFSの場所で使用できることを確認してください。アップグレード・プロセスの完了後、アーカイブが無効になるため、有効にする必要があります。

  • Oracle Audit Vault and Database Firewall (Oracle AVDF)リリース20.1以降では、NFSサーバー・バージョンv3およびv4のアーカイブおよび取得機能がサポートされています。
  • リリース20.3以前では、NFS v3のみがサポートされていません。Oracle AVDFリリース20.4以降でサポートされています。
  • NFSサーバーがv3とv4の両方をサポートしていて、アーカイブまたは取得を許可している場合、アクションは必要ありません。

  • 対象の環境でアーカイブまたは取得にNFS v4のみを使用できる場合は、次のステップを使用して、_SHOWMOUNT_DISABLEDパラメータをTRUEに設定します。

    1. SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

      SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

    2. oracleユーザーに切り替えます。

      su - oracle

    3. ユーザー名またはパスワードなしでSQL*Plusを起動します。

      sqlplus /nolog

    4. SQL*Plusで、次のコマンドを実行します。

      connect <super administrator>

    5. 必要な場合にはパスワードを入力します。

    6. 次のコマンドを実行します。

      exec avsys.adm.add_config_param('_SHOWMOUNT_DISABLED','TRUE');

  1. SSHを使用してプライマリAudit Vault Serverにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. oracleユーザーに切り替えます。

    su - oracle

  3. Audit Vault Serverコンソールを使用して、新しいNFSの場所を作成します。

    これらの新しい場所では、プライマリAudit Vault ServerとセカンダリAudit Vault Serverの両方に新しくマウントされたNFSポイントが考慮されます。アーカイブする必要なデータ・ファイルをすべて格納するために、新しく作成するNFSの場所に十分な領域があることを確認してください。

  4. ユーザー名またはパスワードなしでSQL*Plusを起動します。

    sqlplus /nolog

  5. SQL*Plusで次のコマンドを実行します。

    connect super administrator

  6. 必要な場合にはパスワードを入力します。

  7. 次のコマンドを実行して、アーカイブ機能を有効にします。

    exec management.ar.run_hailm_job('<NFS location name defined>');

    このコマンドはバックグラウンド・ジョブを開始します。「ジョブ」ページでステータスを表示できます。ジョブの名前はHAILM POST UPGRADE JOBです。

    この機能を有効にすると、すべてのアーカイブ済データ・ファイルが新しいNFSの場所に移動され、ジョブが正常に完了するとアーカイブが有効になります。

7.2.6.8 Oracle Audit Vault and Database Firewallからの未使用のカーネルのクリア

使用していないカーネルをOracle Audit Vault and Database Firewall (Oracle AVDF)からクリアする手順は、My Oracle Support Doc ID 2458154.1を参照してください。

7.2.6.9 高可用性のためのOracle AVDF 20.7以降への更新後のオブザーバ・ステータスの確認

高可用性環境でOracle AVDFリリース20.5または20.6からリリース20.7以降にアップグレードした後、Oracle Data Guardオブザーバに問題が発生することがあります。Audit Vault Serverでは、高可用性の管理にOracle Data Guardが使用されます。

Oracle Data Guardオブザーバのステータスを確認するには:

  1. SSHを使用してスタンバイAudit Vault Serverにログインし、rootユーザーに切り替えます。

    SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

  2. oracleユーザーに切り替えます。

    su - oracle

  3. 次のコマンドを実行します:

    dgmgrl /
    show observer

    出力には、プライマリおよびスタンバイの両方のAudit Vault Serverで実行されているオブザーバのステータスと最後のping間隔が表示されます。両方のオブザーバの最後のping間隔に具体的な期間が秒単位で示されている必要があります。

  4. 次の例に示すように、前のステップの出力に両方のオブザーバについて特定の期間が表示されない場合は、残りのステップを完了して問題を解決してください。

    
Host Name:                   <host name>
Last Ping to Primary:        (unknown)
Last Ping to Target:         (unknown)

    1. SSHを使用してスタンバイAudit Vault Serverにログインし、rootユーザーに切り替えます。

      SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。

    2. oracleユーザーに切り替えます。

      su - oracle

    3. 次のコマンドを実行します。

      /usr/local/dbfw/bin/observerctl --stop
    4. 1分間待機します。

    5. 次のコマンドを実行します:

      dgmgrl /
      show observer
    6. 両方のオブザーバの最後のping間隔に特定の期間が秒単位で示されていることを確認します。
7.2.6.10 Audit Vault Serverのバックアップの構成

Audit Vault Serverのバックアップ構成ファイルはリリース固有であり、作成されたリリースと同じリリースで動作します。Oracleでは、Oracle Audit Vault and Database Firewall (Oracle AVDF)の更新後にバックアップ操作の前に、avbackup configコマンドを実行して新しい構成ファイルを作成することをお薦めします。

7.2.6.11 メンテナンス・ジョブのスケジュール

Oracle Audit Vault and Database Firewall (Oracle AVDF)は、システムが適切および効率的に機能するように、いくつかのジョブをAudit Vault Serverで実行します。

これらのジョブは、夜間など、Audit Vault Serverの使用率が低い期間に実行することをお薦めします。これらのジョブは、タイムゾーンに基づいてスケジュールできます。
  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. 「設定」タブをクリックします。
  3. 左側のナビゲーション・メニューの「システム」をクリックします。
  4. 「構成」セクションで、リリースに応じて次のいずれかのリンクをクリックします。
    Oracle AVDFリリース リンク
    20.1および20.2 管理
    20.3以降 メンテナンス
  5. 新しいメンテナンス・ジョブをスケジュールするには、開始時間を時間と分で入力します。
    ここで指定する時間は、ブラウザに表示される時間です。
  6. 「タイムアウト(時間)」フィールドに、メンテナンス・ジョブの期間を時間数で入力します。

    指定した期間にジョブが完了しない場合、ジョブはタイムアウトします。

    ノート:

    ジョブは、毎日指定された開始時間に実行されます。繰返し頻度は変更できません。
  7. 「保存」をクリックします。
7.2.6.12 ネイティブ・ネットワーク暗号化の復号化のためのネイティブ・ネットワーク暗号化ユーザーへの権限の追加

Audit Vault Serverをリリース12.2からリリース20にアップグレードしており、ネイティブ・ネットワーク暗号化の復号化のためにターゲット・データベースでネイティブ・ネットワーク暗号化ユーザーがすでに作成されている場合は、ネイティブ・ネットワーク暗号化ユーザーに追加の権限を付与する必要があります。

  1. ターゲット・データベースに、管理権限があるユーザーとしてログインします。
  2. 次のコマンドを実行します。
    grant select on V_$SESSION to <NNE_USER>

    <NNE_USER>は、ネイティブ・ネットワーク暗号化の復号化のためにターゲット・データベース上で構成されているユーザーです。

7.2.7 更新が失敗した場合のデータベースのリカバリ

更新前にOracle Audit Vault and Database Firewall (Oracle AVDF)をバックアップし、Audit Vault Serverのフラッシュ・リカバリ領域に十分な領域がある場合は、Oracle Supportのガイダンスのもとで、更新に失敗した後にデータベースをリカバリできます。

データベースのリカバリを可能にするには、フラッシュ・リカバリ領域に次の空き領域が必要です。

20GBまたはAudit Vault Serverデータベースに格納されているデータ量の150%のどちらか大きい方

フラッシュ・リカバリ領域の監視の詳細は、『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。

7.3 Oracle AVDF 20.8へのパッチ適用による最新リリース更新の適用

Oracle AVDFをリリース12.2からリリース20.9以降にアップグレードするには、まずリリース20.8にアップグレードしてから、最新のリリース更新(RU)パッチを適用します。

手順については、「Oracle Audit Vault and Database Firewallリリース20へのパッチ適用」を参照してください。