7 Oracle Audit Vault and Database Firewallのリリース12.2からリリース20へのアップグレード
Oracle Audit Vault and Database Firewall (Oracle AVDF)リリース12.2を使用している場合は、リリース20にアップグレードしてサポートを維持し、最新の機能およびバグ修正にアクセスできます。
すでにOracle AVDFリリース20を使用している場合は、「Oracle Audit Vault and Database Firewallリリース20へのパッチ適用」を参照して最新のリリース更新を適用してください。
ノート:
この章で使用する更新とアップグレードは交換可能です。7.1 Oracle Audit Vault and Database Firewallのアップグレードについて
Oracle Audit Vault and Database Firewall (Oracle AVDF)リリース12.2をリリース20にアップグレードするには、次のガイドラインに従います。
次の高レベルのプロセスを使用して、Oracle AVDFをアップグレードします。
- My Oracle Supportからファイルをダウンロードします。
- バックアップの作成など、更新前タスクを完了します。
- Audit Vault Serverを更新します。
- Audit Vault Agentおよびホスト・モニター・エージェントが自動的に更新されたことを確認します。
- Database Firewallを更新します。
- 更新が成功したことの確認など、更新後のタスクを完了します。
ノート:
- Oracle AVDFをリリース12.2からリリース20.9以降にアップグレードするには、まずリリース20.8にアップグレードしてから、最新のリリース更新(RU)パッチを適用します。
-
Oracle AVDF 12.2.0.0.0から12.2.0.8.0を使用している場合は、リリース20にアップグレードする前にリリース12.2.0.9.0にアップグレードしてください。
最初のアップグレードを実行する前に、単一のバックアップ操作を実行できます。
- リリース12.2でDatabase Firewallのインライン・ブリッジ・モードをデプロイした場合は、「Database Firewallのインライン・ブリッジを同等のプロキシ構成に変更」の手順に従います。
-
大量のイベント・データがある場合は、イベント・ログ・データ・サイズ合計の約5%の、十分なディスク領域を保持してください。
HDDストレージとSANストレージが両方ある場合は、HDDまたはSANのどちらかに、必要なディスク領域を保持します。各ディスク・グループ(EVENTDATA、SYSTEMDATAおよびRECOVERY)に、20%以上の空き領域が必要です。
7.2 Oracle AVDF 12.2からリリース20.8へのアップグレード
Oracle Audit Vault and Database Firewall (Oracle AVDF)をリリース12.2からリリース20.8にアップグレードするには、次のプロセスに従います。
7.2.1 ファイルのダウンロード
Oracle Audit Vault and Database Firewall (Oracle AVDF)にパッチ適用またはこれをアップグレードするには、My Oracle Supportからファイルをダウンロードする必要があります。
- My Oracle Supportに移動してサインインします。
- 「パッチと更新版」タブをクリックします。
- 「パッチ検索」ボックスを使用してパッチを検索します。
- 左側の「製品またはファミリ(拡張)」リンクをクリックします。
- 「製品」フィールドに、Audit Vault and Database Firewallと入力します。
- 「リリース」フィールドのドロップダウン・リストから最新のOracle AVDFリリースを選択します。
- 「検索」をクリックします。
- 検索結果の「パッチ名」列で、最新のバンドル・パッチのリンクをクリックします。
7.2.2 更新前のタスク
Oracle Audit Vault and Database Firewall (Oracle AVDF)を最新リリースに更新する前に、バックアップの実行などの前提条件タスクを完了します。
ノート:
Audit Vault AgentがWindowsマシンで実行されている場合は、Oracle AVDFを更新する前に、エージェント関連のすべてのディレクトリと開いているファイルを閉じます。7.2.2.1 Windowsでのホスト・モニター・エージェントの移行
Oracle Audit Vault and Database Firewall (Oracle AVDF)リリース12.2で、Windowsでホスト・モニターを使用する場合は、Oracle AVDFリリース20にアップグレードする前に、WindowsでNpcapおよびOpenSSLライブラリを更新します。
次のタスクを実行します。
-
NpcapおよびOpenSSLをインストールした後、
network_device_name_for_hostmonitor
コレクション属性が設定されていることを確認します。手順については、ネットワークの監査証跡の作成に関する項を参照してください。
- Windowsホスト・マシンでのホスト・モニター・エージェントのデプロイ
7.2.2.2 現在のOracle Audit Vault and Database Firewallインストールのバックアップ
Oracle Audit Vault and Database Firewall (Oracle AVDF)を最新リリースに更新する前に、Audit Vault Serverをバックアップします。
詳細は、Audit Vault Serverのバックアップおよびリストアを参照してください。
現在のAudit Vault ServerがOracle VMやVMWareなどの仮想マシン(VM)にインストールされている場合、Oracleでは、更新プロセスを開始する前にVMスナップショットを取得することをお薦めします。
7.2.2.3 ホスト・モニター・エージェントおよびAudit Vault AgentのTLSバージョンの設定
現在のOracle Audit Vault and Database Firewall (Oracle AVDF) 12.2デプロイメントに、AIX上にホスト・モニター・エージェントまたはAudit Vault Agentがあり、Oracle AVDF 20.4以降にアップグレードする場合は、アップグレード前にTLSバージョンをTLS 1.1に設定します。
Oracle AVDF 12.2.0.11.0以前からアップグレードしていて、デフォルト・バージョンのTLS 1.2でホスト・モニター・エージェント(またはAIX上のAudit Vault Agent)をデプロイしている場合、ホスト・モニター・エージェント(またはAIX上のAudit Vault Agent)は自動的にアップグレードされません。
Oracle AVDF 12.2.0.12.0以降の場合、この問題はAIX上のAudit Vault Agentにのみ影響します。
この問題を回避するには、アップグレードする前に次のコマンドを実行します。
ruby /usr/local/dbfw/bin/upgrade/configure_tls_settings.rb 2
関連トピック
7.2.2.4 システムにアラート・キューをパージするための十分な領域があることの確認
システムにアラート・キューをパージするための十分な領域がない場合は、Oracle Audit Vault and Database Firewall (Oracle AVDF)の更新プロセス中にアップグレード前RPMを実行すると、エラーが表示されます。
この問題を回避するには、次のステップを実行します。
-
SSHを使用してAudit Vault Serverにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
-
avsys
ユーザーのロックを解除します。AVSYSユーザーのロック解除を参照してください。
ノート:
このタスクが完了したら、必ずavsys
アカウントを再ロックしてください。 root
に戻ります。-
oracle
ユーザーに切り替えます。su - oracle
-
avsys
ユーザーとしてSQL*Plusを起動します。sqlplus avsys
-
プロンプトにパスワードを入力します。
-
次のSQL問合せを実行します。
declare object_exist exception; pragma exception_init(object_exist, -24002); po dbms_aqadm.aq$_purge_options_t; begin po.block := FALSE; dbms_aqadm.purge_queue_table('AVSYS.AV_ALERT_QT', NULL, po); exception when object_exist then null; end;/
-
root
に戻ります。exit
-
avsys
ユーザーをロックします。AVSYSユーザーのロックを参照してください。
7.2.2.5 手動で取得した既存の表領域の解放
Oracle Audit Vault and Database Firewall (Oracle AVDF)リリース20.1から20.3に更新する場合は、手動で取得したすべての既存の表領域を解放します。この手順は、Oracle AVDFリリース20.4以降に更新する場合は、自動的に実行されます。
次のステップは、AVDF 20.1から20.3にのみ適用されます。
既存の表領域を解放しないと、次の状況が発生する可能性があります。
- 更新が失敗し、エラーが発生する可能性があります。
- 領域を割り当てることができないため、更新後に新しい索引が作成されない場合があります。
表領域を手動で解放するには、次のステップを実行します。
-
Audit Vault Serverコンソールにスーパー管理者としてログインします。
-
「設定」タブをクリックします。
-
左側のナビゲーション・メニューの「アーカイブ中」をクリックします。
-
「取得」サブタブをクリックします。
ページには、取得されたすべての表領域がリストされます。
-
すべての表領域を選択して解放します。
7.2.2.6 ファイルのカスタマイズの保持
Oracle Audit Vault and Database Firewall (Oracle AVDF)リリース20にアップグレードする前に、構成ファイルに適用されたカスタマイズを保持します。
アップグレードによって、システム構成ファイルに加えられたすべてのカスタム変更が消去されます。Oracleでは、アップグレードされたシステムに転送する必要がある変更をすべてバックアップすることをお薦めします。
ファイルのカスタマイズを保持するには:
- 独自のカスタム構成ファイルを作成します。詳細は、Oracle Linuxのドキュメントを参照してください。
- アップグレード・プロセスを実行する前に、ルールをカスタム構成ファイルに移動します。
-
Database FirewallとAudit Vault Serverの間で時刻を同期します。
Database FirewallとAudit Vault Serverのシステム・クロックが同期していない場合は、アップグレード後に証明書エラーが発生する可能性があります。アップグレード後、アプライアンスの診断出力を調べて、すべての項目に緑色の
OK
がマークされていることを確認します。診断の失敗には、赤色のFAILED
がマークされます。- Audit Vault Serverの時間を構成するには、サーバーの日付、時間およびキーボード設定の指定に関する項を参照してください。
- Database Firewallの時刻を構成するには、Oracle Database Firewallでの日付と時刻の設定に関する項を参照してください。
7.2.2.7 ブート・デバイスが2 TB未満であることの確認
ブート・デバイスが2TBを超える場合、Oracle Audit Vault and Database Firewall (Oracle AVDF)のアップグレード・プロセス中にアップグレード前RPMを実行すると、エラーが表示されます。
Audit Vault Serverのアップグレード時に、ブート・デバイスが2TBを超えている場合
Audit Vault Serverのアップグレード時にブート・デバイスが2TBを超える場合は、次のステップを実行します。
- すべての証跡とモニタリング・ポイントを停止します。
- すべてのAudit Vault Agentを停止し、すべてのDatabase Firewallサーバーを停止します。
- システムをバックアップします。
- 2TB未満のハード・ディスクが少なくとも1つあるサーバーを選択します。
- リリース12.2で、同じバンドル・バージョンのAudit Vault Serverをインストールします。
- BIOSモードで起動するようにシステムを構成します。
- バックアップからリストアします。同じIPアドレスを使用し、システムが稼働していることを確認します。
- ドキュメント化されているアップグレード・プロセスを使用して、Audit Vault Serverをリリース20にアップグレードします。
リリース12.2.0.1.0より前にAudit Vault Serverに追加されたDatabase Firewallのアップグレードする時に、ブート・デバイスが2TBを超えている場合
-
Database Firewallをリセットします。
- Audit Vault Serverコンソールに管理者としてログインします。
- 「ファイアウォールのリセット」をクリックして、Audit Vault Serverのすべての設定を更新します。
- 2TB未満のハード・ディスクが少なくとも1つあるサーバーを選択します。
- リリース12.2の同じバンドル・パッチ・バージョンのDatabase Firewallをインストールします。
- BIOSモードで起動するようにシステムを構成します。
- Audit Vault Serverコンソールに管理者としてログインします。
- データベース・ファイアウォール・インスタンスを構成します。
- 新しいDatabase FirewallインスタンスでAudit Vault Server証明書およびIPアドレスを指定します。
-
「Database Firewall」タブをクリックします。
新規にインストールされたDatabase Firewallインスタンスのステータスは
停止中
(赤)です。 - 特定のデータベース・ファイアウォール・インスタンスの名前をクリックします。
-
「証明書の更新」をクリックして、ページがロードされるまで待機します。
Database Firewallインスタンスのステータスは
稼働中
(緑色)です。 - 「ファイアウォールのリセット」をクリックします。
- 「OK」をクリックします。
- 「ジョブ」ダイアログ・ボックスで、この操作のステータスを確認します。
- 「設定」タブをクリックします。
- 左側のナビゲーション・メニューの「システム」をクリックします。
-
「モニタリング」セクションで「ジョブ」リンクをクリックします。
ジョブ・タイプは
ファイアウォールのリセット
です。
-
左側の「ジョブの詳細」ページ・アイコンをクリックします。
ジョブが失敗した場合は、「ジョブ・ステータスの詳細」ダイアログ・ボックスにメッセージが表示されます。ジョブが正常に完了すると、完了時間が表示されます。
Oracle AVDF 12.2.0.2.0以降でDatabase Firewallのアップグレード時に、ブート・デバイスが2TBを超えている場合
- 2TB未満のハード・ディスクが少なくとも1つあるサーバーを選択します。
- リリース12.2の同じバンドル・パッチ・バージョンのDatabase Firewallをインストールします。
- BIOSモードで起動するようにシステムを構成します。
- Audit Vault Serverコンソールに管理者としてログインします。
- データベース・ファイアウォール・インスタンスを構成します。
- 新しいDatabase FirewallインスタンスでAudit Vault Server証明書およびIPアドレスを指定します。
-
「Database Firewall」タブをクリックします。
新規にインストールされたDatabase Firewallインスタンスのステータスは
停止中
(赤)です。 - 特定のデータベース・ファイアウォール・インスタンスの名前をクリックします。
-
「証明書の更新」をクリックして、ページがロードされるまで待機します。
Database Firewallインスタンスのステータスは
稼働中
(緑色)です。 - 「ファイアウォールのリセット」をクリックします。
- 「OK」をクリックします。
- 「ジョブ」ダイアログ・ボックスで、この操作のステータスを確認します。
- 「設定」タブをクリックします。
- 左側のナビゲーション・メニューの「システム」をクリックします。
-
「モニタリング」セクションで「ジョブ」リンクをクリックします。
ジョブ・タイプは
ファイアウォールのリセット
です。
-
左側の「ジョブの詳細」ページ・アイコンをクリックします。
ジョブが失敗した場合は、「ジョブ・ステータスの詳細」ダイアログ・ボックスにメッセージが表示されます。ジョブが正常に完了すると、完了時間が表示されます。
7.2.2.8 ブート・パーティションが500 MB以上あることの確認
ブート・パーティションが500MB未満の場合、Oracle Audit Vault and Database Firewall (Oracle AVDF)の更新プロセス中にアップグレード前RPMを実行すると、エラーが表示されます。
Audit Vault Serverのアップグレード時に、ブート・パーティションに十分な領域がない場合
Audit Vault Serverをアップグレードするとき、ブート・パーティションに十分な領域がない場合は、次のステップに従います。
- すべての証跡とモニタリング・ポイントを停止します。
- すべてのAudit Vault Agentを停止し、すべてのDatabase Firewallサーバーを停止します。
- システムをバックアップします。
-
リリース12.2で、同じバンドル・バージョンのAudit Vault Serverをインストールします。
これにより、500 MBの
/boot
パーティションが作成されます。 - バックアップからリストアします。同じIPアドレスを使用し、システムが稼働していることを確認します。
- ドキュメント化されているアップグレード・プロセスを使用して、Audit Vault Serverをリリース20にアップグレードします。
Database Firewallのアップグレード時に、ブート・パーティションに十分な領域がない場合
Database Firewallをアップグレードするとき、ブート・パーティションに十分な領域がない場合は、次のステップに従います。
-
リリース12.2.0.1.0より前にDatabase FirewallがAudit Vaultサーバーに追加された場合は、Database Firewallをリセットします。
- Audit Vault Serverコンソールに管理者としてログインします。
- 「ファイアウォールのリセット」をクリックして、Audit Vault Serverのすべての設定を更新します。
- リリース12.2の同じバンドル・パッチ・バージョンのDatabase Firewallをインストールします。これにより、500 MBの
/boot
パーティションが作成されます。 - Audit Vault Serverコンソールに管理者としてログインします。
- データベース・ファイアウォール・インスタンスを構成します。
- 新しいDatabase FirewallインスタンスでAudit Vault Server証明書およびIPアドレスを指定します。
-
「データベース・ファイアウォール」タブをクリックします。
新規にインストールされたDatabase Firewallインスタンスのステータスは
停止中
(赤)です。 - 特定のデータベース・ファイアウォール・インスタンスの名前をクリックします。
-
「証明書の更新」をクリックして、ページがロードされるまで待機します。
Database Firewallインスタンスのステータスは
稼働中
(緑色)です。 - 「ファイアウォールのリセット」をクリックします。
- 「OK」をクリックします。
- 「ジョブ」ダイアログ・ボックスで、この操作のステータスを確認します。
- 「設定」タブをクリックします。
- 左側のナビゲーション・メニューの「システム」をクリックします。
-
「モニタリング」セクションで「ジョブ」リンクをクリックします。
ジョブ・タイプは
ファイアウォールのリセット
です。
-
左側の「ジョブの詳細」ページ・アイコンをクリックします。
ジョブが失敗した場合は、「ジョブ・ステータスの詳細」ダイアログ・ボックスにメッセージが表示されます。ジョブが正常に完了すると、完了時間が表示されます。
- データベース・ファイアウォール・インスタンスの全体的なヘルス・ステータスを確認します。
- 「Database Firewall」タブをクリックします。
- 特定のインスタンスの名前をクリックします。
- 「診断」セクションの「ヘルス・インジケータ」リンクをクリックします。
-
「証明書」セクションを展開します。
証明書検証の失敗に関するメッセージを確認し、適切なアクションを実行します。
- 「データベース・ファイアウォール・モニタリング」セクションを展開し、すべてのステータスが緑色であることを確認します。
- 「閉じる」をクリックします。
7.2.2.9 SYSユーザーがロック解除され、パスワードが期限切れでないことの確認
sys
パスワードの有効期限が切れているかsys
ユーザーがロックされている場合は、Oracle Audit Vault and Database Firewall (Oracle AVDF)の更新プロセスの間にアップグレード前RPMを実行すると、エラーが表示されます。
この問題を回避するには、プライマリ・システムとスタンバイ・システムでsys
ユーザーを更新します。
- プライマリ・システムとスタンバイ・システムの両方で次のステップを実行します。
-
SSHを使用してAudit Vault Serverにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
root
ユーザーとして、次のコマンドを実行します。systemctl stop monitor
- 実行中の
observerctl
プロセスを確認し、停止します。ps -elf | grep observerctl kill -9 <PID of observerctl>
- 実行中の
dgmgrl
プロセスを確認し、停止します。ps -elf | grep dgmgrl kill -9 <PID of dgmgrl>
-
- プライマリ・システムを更新します。
-
SSHを使用してプライマリAudit Vault Serverにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
-
oracle
ユーザーに切り替えます。su - oracle
-
次のコマンドを入力することでSQL*Plusを起動します。
sqlplus / as sysdba
-
次のコマンドを入力します。
select avsys.secutil.gen_rand_pwd(30) as pwd from dual
ノート:
このパスワードは、プライマリ・システムとスタンバイ・システムの両方で、パスワードが必要となるすべての手順で使用します。 -
次のコマンドを入力します。
alter user sys identified by <password_from_step_1d_above> account unlock;
ALTER SYSTEM SWITCH LOGFILE;
- 終了して
oracle
ユーザーに戻ります。 -
oracle
ユーザーとして、次のコマンドを入力します:mkstore -wrl /var/lib/oracle/dbfw/network/admin/observer/ -modifyCredential DBFWDB_HA2_DGMGRL SYS <password_from_step_1d>
mkstore -wrl /var/lib/oracle/dbfw/network/admin/observer/ -modifyCredential DBFWDB_HA1_DGMGRL SYS <password_from_step_1d>
mkstore -wrl /var/lib/oracle/dbfw/network/admin/observer/ -modifyCredential DBFWDB_HA1 SYS <password_from_step_1d>
mkstore -wrl /var/lib/oracle/dbfw/network/admin/observer/ -modifyCredential DBFWDB_HA2 SYS <password_from_step_1d>
-
次のコマンドを入力することで、ファイルをスタンバイ・システムに安全にコピーします。
scp /var/lib/oracle/dbfw/dbs/orapwdbfwdb support@<standby IP>:~/
-
-
スタンバイ・システムを更新します。
-
SSHを使用してスタンバイAudit Vault Serverにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
- 新しいファイル権限が元のファイルと同じであることを確認します。
-
oracle
ユーザーに切り替えます。su - oracle
-
次のコマンドを入力します。
mkstore -wrl /var/lib/oracle/dbfw/network/admin/observer/ -modifyCredential DBFWDB_HA2_DGMGRL SYS <password_from_step_1d>
mkstore -wrl /var/lib/oracle/dbfw/network/admin/observer/ -modifyCredential DBFWDB_HA1_DGMGRL SYS <password_from_step_1d>
mkstore -wrl /var/lib/oracle/dbfw/network/admin/observer/ -modifyCredential DBFWDB_HA1 SYS <password_from_step_1d>
mkstore -wrl /var/lib/oracle/dbfw/network/admin/observer/ -modifyCredential DBFWDB_HA2 SYS <password_from_step_1d>
-
-
プライマリ・システムとスタンバイ・システムの両方で、
root
ユーザーとして次のコマンドを入力します:systemctl stop monitor
systemctl stop dbfwlistener
systemctl stop dbfwdb
systemctl start dbfwdb
systemctl start dbfwlistener
systemctl start monitor
-
プライマリ・システムとスタンバイ・システムの両方で、
oracle
ユーザーとして次のコマンドを入力します:/usr/local/dbfw/bin/observerctl --start
7.2.3 Audit Vault Serverの更新
Audit Vault AgentおよびDatabase Firewallを更新する前に、Audit Vault Serverを更新します。
ノート:
この項では、アプライアンスという語はAudit Vault Serverを指します。
7.2.3.1 スタンドアロンAudit Vault Serverの更新
高可用性環境でペアになっていないスタンドアロンAudit Vault Serverを更新するには、次のプロセスに従います。
- すべての監査証跡を停止します。
- アップグレード前RPMを実行します。
- アプライアンスにISOファイルを転送します。
- 更新スクリプトを起動します。
- アプライアンスを再起動します。
ノート:
アプライアンスが再起動すると、更新プロセスが続行されます。Audit Vault Serverでの完了には数時間かかります。この進行中はシステムを再起動しないでください。
更新ノート
-
既存のターゲットで、Oracle Audit Vault and Database Firewall (Oracle AVDF)設定スクリプトを実行してユーザー権限(ストアド・プロシージャ監査など)を設定した場合は、Audit Vault Serverの更新後にそれらの権限を更新するための追加の操作は必要ありません。
Oracle AVDFのリリース・ノートで、設定スクリプトが変更されているかどうかを調べて、その再実行が必要かどうかを確認します。 -
Oracle AVDF 12.2からリリース20.1-20.8に更新すると、パスワード・ハッシュがより安全な標準にアップグレードされます。この変更は、オペレーティング・システムのパスワード(supportおよびroot)に影響します。Audit Vault Serverの更新後にパスワードを変更して、よりセキュアなハッシュを活用してください。
7.2.3.1.1 すべての監査証跡の停止
Audit Vault Serverを更新する前に、すべての監査証跡を停止します。
- Audit Vault Serverコンソールに管理者としてログインします。
- 「ターゲット」タブをクリックします。
- 左側のナビゲーション・メニューの「監査証跡」をクリックします。
- すべての監査証跡を選択します。
- 「中止」をクリックします。
7.2.3.1.2 アップグレード前RPMの実行
アップグレード前RPMを実行して、ファイル・システムに必要な領域があるか確認し、更新のためにシステムを準備します。
ノート:
パッチ適用プロセスでは、アップグレード・プロセスと同じアップグレード前RPMが使用されますが、パッチ適用には完全アップグレードと比較して、タスクのサブセットが小さくなります。
アップグレード前RPMは、次のタスクを実行して、システムを更新用に準備します。
- パッチ・ファイルをアプライアンスにコピーするための十分な領域があるようにアプライアンスの空き領域を再編成し、インストールを開始します。更新後、パッチ・ファイルの領域がファイル・システムに返されます。
- Oracle AVDF 20.9からOracle AVDF 20.10以降への更新から、Audit Vault Agentおよびホスト・モニター・エージェントがAudit Vault Serverの新しいバージョンと互換性があることを検証します。たとえば、エージェント・ホスト・マシンに互換性のあるオペレーティング・システムとJavaバージョンがあることを検証します。
- 更新前に他の前提条件およびプラットフォーム条件が満たされていることを検証します。
- 更新のメインISOファイルを保持するための十分な領域を確保して
/var/dbfw/upgrade
ディレクトリを作成することで、システムの更新準備を整えます。
アップグレード前RPMを実行するには、次のステップに従います。
-
SSHを使用してアプライアンスにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
-
root
ユーザーとしてscreen
コマンドを実行します。screen
コマンドは、ネットワークの切断によって更新が中断されないようにします。セッションが終了したら、root
ユーザーに切り替え、screen -r
コマンドを実行して再開します。 -
root
ディレクトリに変更します。cd /root
-
次のコマンドを実行して、アップグレード前RPMファイルを、ダウンロードした場所からアプライアンスにコピーします。
scp remote_host:/path/to/avdf-pre-upgrade-20.x.0.0.0.zip /root
-
avdf-pre-upgrade-20.x.0.0.0.zip
ファイルのshasumを使用してダウンロードを確認します。sha256sum /root/avdf-pre-upgrade-20.x.0.0.0.zip
-
バンドルを解凍します。
unzip /root/avdf-pre-upgrade-20.x.0.0.0.zip
-
次のコマンドを実行して、
avdf-pre-upgrade-20.x.0.0.0-0_NNNNNN.NNNN.x86_64.rpm
ファイルを実行します:rpm -i /root/avdf-pre-upgrade-20.x.0.0.0-0_NNNNNN.NNNN.x86_64.rpm
次のメッセージが表示されます。
SUCCESS: The upgrade media can now be copied to '/var/dbfw/upgrade'. The upgrade can then be started by running: /usr/bin/avdf-upgrade
7.2.3.1.3 アプライアンスへのISOファイルの転送
更新するアプライアンスにavdf-upgrade-20.x.0.0.0.iso
ファイルを転送します。
-
SSHを使用してアプライアンスにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
-
次のコマンドを使用して、
avdf-upgrade-20.x.0.0.0.iso
ファイルをコピーします。scp remote_host:/path/to/avdf-upgrade-20.x.0.0.0.iso /var/dbfw/upgrade
7.2.3.1.4 更新スクリプトの起動
更新スクリプトは、ISOをマウントし、正しい作業ディレクトリに変更し、更新プロセスを実行し、アップグレード・プロセスの完了後にISOをマウント解除します。
ノート:
コマンドの完了には時間がかかる場合があります。更新を中断しないでください。そうしないと、システムが一貫性のない状態のままになる可能性があります。そのため、ダイレクト・コンソール・ログイン(またはILOM相当)など、信頼性があって中断されないシェルを使用するか、screen
コマンドを使用してネットワーク切断による更新の中断を防止することが重要です。
-
SSHを使用してアプライアンスにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
-
root
ユーザーとしてscreen
コマンドを実行します。screen
コマンドは、ネットワークの切断によって更新が中断されないようにします。セッションが終了したら、root
ユーザーに切り替え、screen -r
コマンドを実行して再開します。 -
次のコマンドを実行して、更新の前に適切なチェックを実行します。
/usr/bin/avdf-upgrade
-
システム・プロンプト、警告および指示に従って更新を続行します。
次のような出力が表示されます。
Please wait while validating SHA256 checksum for /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso Checksum validation successful for /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso Mounting /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images mount: /dev/loop0 is write-protected, mounting read-only Successfully mounted /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images The following messages have important information about the upgrade process. Power loss during upgrade may cause data loss. Do not power off during upgrade. Please review Note ID 2235931.1 for a current list of known issues. The upgrade process is irreversible, please confirm 'y' to continue or 'n' to abort. [y/N]?
-
y
を入力して続行します。次のような出力が表示されます。
The Oracle base has been set to /var/lib/oracle Error: ORA-01034: ORACLE not available ORA-27101: shared memory realm does not exist Linux-x86_64 Error: 2: No such file or directory Additional information: 4475 Additional information: 1990413931 The Oracle base has been set to /var/lib/oracle Error: ORA-01034: ORACLE not available ORA-27101: shared memory realm does not exist Linux-x86_64 Error: 2: No such file or directory Additional information: 4475 Additional information: 1990413931 Verifying upgrade preconditions 1/11: Mounting filesystems (1) 2/11: Cleaning yum configuration 3/11: Cleaning old packages and files 4/11: Upgrading kernel 5/11: Upgrading system 6/11: Cleaning platform packages repo 7/11: Adding required platform packages 8/11: Cleaning AVDF packages repo 9/11: Installing AVDF packages 10/11: Setting boot title 11/11: Setting final system status Reboot now to continue the upgrade process. Unmounted /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images
ノート:
前述の出力は、ベース・インストール・レベル、アプライアンス・タイプおよび構成によって異なります。
7.2.3.1.5 アプライアンスの再起動
更新後、アプライアンスを再起動し、更新プロセスを続行します。
-
SSHを使用してアプライアンスにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
-
アプライアンスを再起動します。たとえば:
reboot
ノート:
アプライアンスが再起動すると、更新プロセスが続行されます。Audit Vault Serverで完了するまでに数時間かかり、Database Firewallで完了するまでに数分かかります。この進行中はシステムを再起動しないでください。
-
Database Firewallを更新した場合は、アプライアンスの証明書が再生成されている場合があります。このような場合には、Database Firewallを再登録する必要があります。これを確認するには、次の手順を実行します。
- Audit Vault Serverコンソールに管理者としてログインします。
-
「Database Firewall」タブをクリックします。
左側のナビゲーション・メニューで、「データベース・ファイアウォール」がデフォルトで選択され、構成されたDatabase Firewallインスタンスのリストがページに表示されます。
- 更新後の証明書エラーを示すDatabase Firewallインスタンスを選択します。
- 「ファイアウォールのリセット」をクリックします。
7.2.3.2 高可用性用に構成されたAudit Vault Serverのペアの更新
高可用性環境でAudit Vault Serverのペアを更新するには、このプロセスに従います。
ノート:
両方のAudit Vault Serverの更新が完了するまで、プライマリ・ロールとスタンバイ・ロールを変更しないでください。
次のプロセスに従います。
-
スタンバイAudit Vault Serverを更新します。
- スタンバイAudit Vault Serverを再起動した後、稼働していることを確認してから、プライマリAudit Vault Serverを更新します。
- プライマリAudit Vault Serverの監査証跡を停止します。
-
プライマリAudit Vault Serverを更新します。
プライマリAudit Vault Serverを再起動して稼働していることを確認したら、その他の再起動は不要です。この時点で完全に機能しています。
7.2.3.2.1 スタンバイAudit Vault Serverの更新
高可用性環境でスタンバイAudit Vault Serverを更新するには、この手順を使用します。まず、スタンバイAudit Vault Serverを更新してから、プライマリAudit Vault Serverを更新します。
次のプロセスに従います。
- プライマリAudit Vault Serverでフェイルオーバー・ステータスを確認します。
- アップグレード前RPMを実行します。
- アプライアンスにISOファイルを転送します。
- 更新スクリプトを起動します。
- アプライアンスを再起動します。
ノート:
アプライアンスが再起動すると、更新プロセスが続行されます。Audit Vault Serverでの完了には数時間かかります。この進行中はシステムを再起動しないでください。
7.2.3.2.1.1 プライマリAudit Vault Serverでのフェイルオーバー・ステータスの確認
高可用性環境でアップグレード前RPMを実行する前に、プライマリAudit Vault Serverのフェイルオーバー・ステータスを確認します。フェイルオーバー・ステータスがSTALLED
の場合は、しばらく待ってからステータスを再確認します。ステータスが変更されない場合は、Oracle Supportに連絡してください。
プライマリAudit Vault Serverで次のステップに従います。
-
SSHを使用してプライマリAudit Vault Serverにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
-
oracle
ユーザーに切り替えます。su - oracle
-
次のコマンドを実行します。
/usr/local/dbfw/bin/setup_ha.rb --status
-
出力のフェイルオーバー・ステータスを確認します。
7.2.3.2.1.2 アップグレード前RPMの実行
アップグレード前RPMを実行して、ファイル・システムに必要な領域があるか確認し、更新のためにシステムを準備します。
ノート:
パッチ適用プロセスでは、アップグレード・プロセスと同じアップグレード前RPMが使用されますが、パッチ適用には完全アップグレードと比較して、タスクのサブセットが小さくなります。
アップグレード前RPMは、次のタスクを実行して、システムを更新用に準備します。
- パッチ・ファイルをアプライアンスにコピーするための十分な領域があるようにアプライアンスの空き領域を再編成し、インストールを開始します。更新後、パッチ・ファイルの領域がファイル・システムに返されます。
- Oracle AVDF 20.9からOracle AVDF 20.10以降への更新から、Audit Vault Agentおよびホスト・モニター・エージェントがAudit Vault Serverの新しいバージョンと互換性があることを検証します。たとえば、エージェント・ホスト・マシンに互換性のあるオペレーティング・システムとJavaバージョンがあることを検証します。
- 更新前に他の前提条件およびプラットフォーム条件が満たされていることを検証します。
- 更新のメインISOファイルを保持するための十分な領域を確保して
/var/dbfw/upgrade
ディレクトリを作成することで、システムの更新準備を整えます。
アップグレード前RPMを実行するには、次のステップに従います。
-
SSHを使用してアプライアンスにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
-
root
ユーザーとしてscreen
コマンドを実行します。screen
コマンドは、ネットワークの切断によって更新が中断されないようにします。セッションが終了したら、root
ユーザーに切り替え、screen -r
コマンドを実行して再開します。 -
root
ディレクトリに変更します。cd /root
-
次のコマンドを実行して、アップグレード前RPMファイルを、ダウンロードした場所からアプライアンスにコピーします。
scp remote_host:/path/to/avdf-pre-upgrade-20.x.0.0.0.zip /root
-
avdf-pre-upgrade-20.x.0.0.0.zip
ファイルのshasumを使用してダウンロードを確認します。sha256sum /root/avdf-pre-upgrade-20.x.0.0.0.zip
-
バンドルを解凍します。
unzip /root/avdf-pre-upgrade-20.x.0.0.0.zip
-
次のコマンドを実行して、
avdf-pre-upgrade-20.x.0.0.0-0_NNNNNN.NNNN.x86_64.rpm
ファイルを実行します:rpm -i /root/avdf-pre-upgrade-20.x.0.0.0-0_NNNNNN.NNNN.x86_64.rpm
次のメッセージが表示されます。
SUCCESS: The upgrade media can now be copied to '/var/dbfw/upgrade'. The upgrade can then be started by running: /usr/bin/avdf-upgrade
7.2.3.2.1.3 アプライアンスへのISOファイルの転送
更新するアプライアンスにavdf-upgrade-20.x.0.0.0.iso
ファイルを転送します。
-
SSHを使用してアプライアンスにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
-
次のコマンドを使用して、
avdf-upgrade-20.x.0.0.0.iso
ファイルをコピーします。scp remote_host:/path/to/avdf-upgrade-20.x.0.0.0.iso /var/dbfw/upgrade
7.2.3.2.1.4 更新スクリプトの起動
更新スクリプトは、ISOをマウントし、正しい作業ディレクトリに変更し、更新プロセスを実行し、アップグレード・プロセスの完了後にISOをマウント解除します。
ノート:
コマンドの完了には時間がかかる場合があります。更新を中断しないでください。そうしないと、システムが一貫性のない状態のままになる可能性があります。そのため、ダイレクト・コンソール・ログイン(またはILOM相当)など、信頼性があって中断されないシェルを使用するか、screen
コマンドを使用してネットワーク切断による更新の中断を防止することが重要です。
-
SSHを使用してアプライアンスにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
-
root
ユーザーとしてscreen
コマンドを実行します。screen
コマンドは、ネットワークの切断によって更新が中断されないようにします。セッションが終了したら、root
ユーザーに切り替え、screen -r
コマンドを実行して再開します。 -
次のコマンドを実行して、更新の前に適切なチェックを実行します。
/usr/bin/avdf-upgrade
-
システム・プロンプト、警告および指示に従って更新を続行します。
次のような出力が表示されます。
Please wait while validating SHA256 checksum for /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso Checksum validation successful for /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso Mounting /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images mount: /dev/loop0 is write-protected, mounting read-only Successfully mounted /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images The following messages have important information about the upgrade process. Power loss during upgrade may cause data loss. Do not power off during upgrade. Please review Note ID 2235931.1 for a current list of known issues. The upgrade process is irreversible, please confirm 'y' to continue or 'n' to abort. [y/N]?
-
y
を入力して続行します。次のような出力が表示されます。
The Oracle base has been set to /var/lib/oracle Error: ORA-01034: ORACLE not available ORA-27101: shared memory realm does not exist Linux-x86_64 Error: 2: No such file or directory Additional information: 4475 Additional information: 1990413931 The Oracle base has been set to /var/lib/oracle Error: ORA-01034: ORACLE not available ORA-27101: shared memory realm does not exist Linux-x86_64 Error: 2: No such file or directory Additional information: 4475 Additional information: 1990413931 Verifying upgrade preconditions 1/11: Mounting filesystems (1) 2/11: Cleaning yum configuration 3/11: Cleaning old packages and files 4/11: Upgrading kernel 5/11: Upgrading system 6/11: Cleaning platform packages repo 7/11: Adding required platform packages 8/11: Cleaning AVDF packages repo 9/11: Installing AVDF packages 10/11: Setting boot title 11/11: Setting final system status Reboot now to continue the upgrade process. Unmounted /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images
ノート:
前述の出力は、ベース・インストール・レベル、アプライアンス・タイプおよび構成によって異なります。
7.2.3.2.1.5 アプライアンスの再起動
更新後、アプライアンスを再起動し、更新プロセスを続行します。
-
SSHを使用してアプライアンスにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
-
アプライアンスを再起動します。たとえば:
reboot
ノート:
アプライアンスが再起動すると、更新プロセスが続行されます。Audit Vault Serverで完了するまでに数時間かかり、Database Firewallで完了するまでに数分かかります。この進行中はシステムを再起動しないでください。
-
Database Firewallを更新した場合は、アプライアンスの証明書が再生成されている場合があります。このような場合には、Database Firewallを再登録する必要があります。これを確認するには、次の手順を実行します。
- Audit Vault Serverコンソールに管理者としてログインします。
-
「Database Firewall」タブをクリックします。
左側のナビゲーション・メニューで、「データベース・ファイアウォール」がデフォルトで選択され、構成されたDatabase Firewallインスタンスのリストがページに表示されます。
- 更新後の証明書エラーを示すDatabase Firewallインスタンスを選択します。
- 「ファイアウォールのリセット」をクリックします。
7.2.4 Audit Vault Agentおよびホスト・モニター・エージェントが自動的に更新されたことの確認
Audit Vault Agentおよびホスト・モニター・エージェントは、Audit Vault Serverを更新すると自動的に更新されます。ただし、状況によっては手動による更新が必要な場合があります。
ノート:
Audit Vault Agentの自動更新プロセスの間は、そのステータスは到達不能
です。実行中
状態に戻るまでに45分ほどかかることがあります。
次の状況では、Audit Vault Agentを手動で更新する必要があります。
-
Windowsホストでは、Audit Vault Agentが自動更新されるのは、それをWindowsサービスとして登録してあり、このサービスを、そのエージェントを最初にインストールしたOSユーザーの資格証明を使用するように設定した場合のみです。詳細は、WindowsでAudit Vault Agentをサービスとして開始する場合の追加要件を参照してください。
コマンドラインからエージェントを起動した場合、Audit Vault Agentは自動的に更新されません。このような場合は、エージェントを手動で更新します。たとえば:
<agent_home>\bin\agentctl.bat stop
Audit Vault Serverコンソールから新しい
agent.jar
をダウンロードし、既存のエージェントのagent_home
からjava -jar agent.jar
を使用してそれを解凍します。次のコマンドを実行します。<agent_home>\bin\agentctl.bat start
既存の
agent_home
ディレクトリを削除しないでください。 - 高可用性のためにAudit Vault Serverを構成する際に、指定したスタンバイAudit Vault Serverのエージェントがペアリングの前にデプロイされた場合、ペアリング後にエージェントを手動でダウンロードして再度デプロイします。
7.2.5 Database Firewallを更新します
すべてのAudit Vault Serverを更新したら、Database Firewallを更新します。
高可用性(回復可能なペア)用に構成されたDatabase Firewallを更新する場合は、プライマリとスタンバイの両方のDatabase Firewallを更新します。まず、スタンバイDatabase Firewallインスタンスを更新します。更新後にスタンバイ・インスタンスを再起動します。既存のスタンバイ・インスタンスがプライマリ・インスタンスになるように、高可用性環境でプライマリおよびスタンバイのDatabase Firewallインスタンスのロールを入れ替えます。スタンバイ(以前のプライマリ) Database Firewallインスタンスを更新します。
スタンドアロンDatabase Firewallインスタンスの場合は、すべてのインスタンスを個別に更新します。
ノート:
-
Oracle Audit Vault and Database Firewall (Oracle AVDF)リリース20.3以降への更新後、一部のDatabase Firewallモニタリング・ポイントのステータスが
停止中
になることがあります。更新前に作成されたDatabase Firewallポリシーが、新しい形式に移行中です。この操作には数分かかります。Audit Vault Serverコンソールの「ジョブ」ダイアログ・ボックスに移動し、
Firewall post-upgrade actions
ジョブのステータスを確認します。バックグラウンド・ジョブが失敗した場合は、Audit Vault Serverコンソールのみを使用してDatabase Firewallポリシーをデプロイします。Database Firewallのモニタリング・ポイントのステータスが稼働中
に変更されたことを確認します。それ以外の場合は、モニタリング・ポイントを起動します。 -
Database Firewallが更新されるまで、次の操作は実行できません。
- Database Firewallのポリシーのデプロイメント
- 新しい構成または構成変更
-
この項では、アプライアンスという用語はDatabase Firewallを指します。
7.2.5.1 スタンドアロンDatabase Firewallの更新
高可用性環境でペアになっていないスタンドアロンDatabase Firewallを更新するには、次の手順を使用します。
次のプロセスに従います。
- すべてのDatabase Firewallモニタリング・ポイントを停止します。
- アップグレード前RPMを実行します。
- アプライアンスにISOファイルを転送します。
- 更新スクリプトを起動します。
- アプライアンスを再起動します。
ノート:
アプライアンスが再起動すると、更新プロセスが続行されます。Database Firewallでの完了には数分かかります。この進行中はシステムを再起動しないでください。
7.2.5.1.1 すべてのDatabase Firewallモニタリング・ポイントの停止
Database Firewallを更新する前に、すべてのモニタリング・ポイントを停止します。
- Audit Vault Serverコンソールに管理者としてログインします。
- 「Database Firewall」タブをクリックします。
- 左側のナビゲーション・メニューで「データベース・ファイアウォール・モニタリング」をクリックします。
- すべてのモニタリング・ポイントを選択します。
- 「中止」をクリックします。
7.2.5.1.2 アップグレード前RPMの実行
アップグレード前RPMを実行して、ファイル・システムに必要な領域があるか確認し、更新のためにシステムを準備します。
ノート:
パッチ適用プロセスでは、アップグレード・プロセスと同じアップグレード前RPMが使用されますが、パッチ適用には完全アップグレードと比較して、タスクのサブセットが小さくなります。
アップグレード前RPMは、次のタスクを実行して、システムを更新用に準備します。
- パッチ・ファイルをアプライアンスにコピーするための十分な領域があるようにアプライアンスの空き領域を再編成し、インストールを開始します。更新後、パッチ・ファイルの領域がファイル・システムに返されます。
- Oracle AVDF 20.9からOracle AVDF 20.10以降への更新から、Audit Vault Agentおよびホスト・モニター・エージェントがAudit Vault Serverの新しいバージョンと互換性があることを検証します。たとえば、エージェント・ホスト・マシンに互換性のあるオペレーティング・システムとJavaバージョンがあることを検証します。
- 更新前に他の前提条件およびプラットフォーム条件が満たされていることを検証します。
- 更新のメインISOファイルを保持するための十分な領域を確保して
/var/dbfw/upgrade
ディレクトリを作成することで、システムの更新準備を整えます。
アップグレード前RPMを実行するには、次のステップに従います。
-
SSHを使用してアプライアンスにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
-
root
ユーザーとしてscreen
コマンドを実行します。screen
コマンドは、ネットワークの切断によって更新が中断されないようにします。セッションが終了したら、root
ユーザーに切り替え、screen -r
コマンドを実行して再開します。 -
root
ディレクトリに変更します。cd /root
-
次のコマンドを実行して、アップグレード前RPMファイルを、ダウンロードした場所からアプライアンスにコピーします。
scp remote_host:/path/to/avdf-pre-upgrade-20.x.0.0.0.zip /root
-
avdf-pre-upgrade-20.x.0.0.0.zip
ファイルのshasumを使用してダウンロードを確認します。sha256sum /root/avdf-pre-upgrade-20.x.0.0.0.zip
-
バンドルを解凍します。
unzip /root/avdf-pre-upgrade-20.x.0.0.0.zip
-
次のコマンドを実行して、
avdf-pre-upgrade-20.x.0.0.0-0_NNNNNN.NNNN.x86_64.rpm
ファイルを実行します:rpm -i /root/avdf-pre-upgrade-20.x.0.0.0-0_NNNNNN.NNNN.x86_64.rpm
次のメッセージが表示されます。
SUCCESS: The upgrade media can now be copied to '/var/dbfw/upgrade'. The upgrade can then be started by running: /usr/bin/avdf-upgrade
7.2.5.1.3 アプライアンスへのISOファイルの転送
更新するアプライアンスにavdf-upgrade-20.x.0.0.0.iso
ファイルを転送します。
-
SSHを使用してアプライアンスにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
-
次のコマンドを使用して、
avdf-upgrade-20.x.0.0.0.iso
ファイルをコピーします。scp remote_host:/path/to/avdf-upgrade-20.x.0.0.0.iso /var/dbfw/upgrade
7.2.5.1.4 更新スクリプトの起動
更新スクリプトは、ISOをマウントし、正しい作業ディレクトリに変更し、更新プロセスを実行し、アップグレード・プロセスの完了後にISOをマウント解除します。
ノート:
コマンドの完了には時間がかかる場合があります。更新を中断しないでください。そうしないと、システムが一貫性のない状態のままになる可能性があります。そのため、ダイレクト・コンソール・ログイン(またはILOM相当)など、信頼性があって中断されないシェルを使用するか、screen
コマンドを使用してネットワーク切断による更新の中断を防止することが重要です。
-
SSHを使用してアプライアンスにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
-
root
ユーザーとしてscreen
コマンドを実行します。screen
コマンドは、ネットワークの切断によって更新が中断されないようにします。セッションが終了したら、root
ユーザーに切り替え、screen -r
コマンドを実行して再開します。 -
次のコマンドを実行して、更新の前に適切なチェックを実行します。
/usr/bin/avdf-upgrade
-
システム・プロンプト、警告および指示に従って更新を続行します。
次のような出力が表示されます。
Please wait while validating SHA256 checksum for /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso Checksum validation successful for /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso Mounting /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images mount: /dev/loop0 is write-protected, mounting read-only Successfully mounted /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images The following messages have important information about the upgrade process. Power loss during upgrade may cause data loss. Do not power off during upgrade. Please review Note ID 2235931.1 for a current list of known issues. The upgrade process is irreversible, please confirm 'y' to continue or 'n' to abort. [y/N]?
-
y
を入力して続行します。次のような出力が表示されます。
The Oracle base has been set to /var/lib/oracle Error: ORA-01034: ORACLE not available ORA-27101: shared memory realm does not exist Linux-x86_64 Error: 2: No such file or directory Additional information: 4475 Additional information: 1990413931 The Oracle base has been set to /var/lib/oracle Error: ORA-01034: ORACLE not available ORA-27101: shared memory realm does not exist Linux-x86_64 Error: 2: No such file or directory Additional information: 4475 Additional information: 1990413931 Verifying upgrade preconditions 1/11: Mounting filesystems (1) 2/11: Cleaning yum configuration 3/11: Cleaning old packages and files 4/11: Upgrading kernel 5/11: Upgrading system 6/11: Cleaning platform packages repo 7/11: Adding required platform packages 8/11: Cleaning AVDF packages repo 9/11: Installing AVDF packages 10/11: Setting boot title 11/11: Setting final system status Reboot now to continue the upgrade process. Unmounted /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images
ノート:
前述の出力は、ベース・インストール・レベル、アプライアンス・タイプおよび構成によって異なります。
7.2.5.1.5 アプライアンスの再起動
更新後、アプライアンスを再起動し、更新プロセスを続行します。
-
SSHを使用してアプライアンスにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
-
アプライアンスを再起動します。たとえば:
reboot
ノート:
アプライアンスが再起動すると、更新プロセスが続行されます。Audit Vault Serverで完了するまでに数時間かかり、Database Firewallで完了するまでに数分かかります。この進行中はシステムを再起動しないでください。
-
Database Firewallを更新した場合は、アプライアンスの証明書が再生成されている場合があります。このような場合には、Database Firewallを再登録する必要があります。これを確認するには、次の手順を実行します。
- Audit Vault Serverコンソールに管理者としてログインします。
-
「Database Firewall」タブをクリックします。
左側のナビゲーション・メニューで、「データベース・ファイアウォール」がデフォルトで選択され、構成されたDatabase Firewallインスタンスのリストがページに表示されます。
- 更新後の証明書エラーを示すDatabase Firewallインスタンスを選択します。
- 「ファイアウォールのリセット」をクリックします。
7.2.5.2 高可用性用に構成されたDatabase Firewallのペアの更新
高可用性環境でDatabase Firewallのペアを更新するには、この手順を使用します。
次のプロセスに従います。
- スタンバイDatabase Firewallを更新します。
- スタンバイDatabase Firewallが完全に再起動されたら、スタンバイDatabase FirewallがプライマリDatabase Firewallになるように入れ替えます。
- 元のプライマリ(現在のスタンバイ) Database Firewallを更新します。
- (オプション)元のプライマリDatabase Firewallが完全に再起動したら、元のプライマリ・ロールとスタンバイ・ロールに戻るようにDatabase Firewallを入れ替えます。
7.2.5.2.1 スタンバイDatabase Firewallの更新
高可用性環境でスタンバイDatabase Firewallを更新するには、この手順を使用します。最初にスタンバイDatabase Firewallを更新してから、このDatabase FirewallがプライマリDatabase Firewallになるように入れ替えます。次に、元のプライマリ(現在のスタンバイ)Database Firewallを更新します。
次のプロセスに従います。
- すべてのDatabase Firewallモニタリング・ポイントを停止します。
- アップグレード前RPMを実行します。
- アプライアンスにISOファイルを転送します。
- 更新スクリプトを起動します。
- アプライアンスを再起動します。
ノート:
アプライアンスが再起動すると、更新プロセスが続行されます。Database Firewallでの完了には数分かかります。この進行中はシステムを再起動しないでください。
7.2.5.2.1.1 すべてのDatabase Firewallモニタリング・ポイントの停止
Database Firewallを更新する前に、すべてのモニタリング・ポイントを停止します。
- Audit Vault Serverコンソールに管理者としてログインします。
- 「Database Firewall」タブをクリックします。
- 左側のナビゲーション・メニューで「データベース・ファイアウォール・モニタリング」をクリックします。
- すべてのモニタリング・ポイントを選択します。
- 「中止」をクリックします。
7.2.5.2.1.2 アップグレード前RPMの実行
アップグレード前RPMを実行して、ファイル・システムに必要な領域があるか確認し、更新のためにシステムを準備します。
ノート:
パッチ適用プロセスでは、アップグレード・プロセスと同じアップグレード前RPMが使用されますが、パッチ適用には完全アップグレードと比較して、タスクのサブセットが小さくなります。
アップグレード前RPMは、次のタスクを実行して、システムを更新用に準備します。
- パッチ・ファイルをアプライアンスにコピーするための十分な領域があるようにアプライアンスの空き領域を再編成し、インストールを開始します。更新後、パッチ・ファイルの領域がファイル・システムに返されます。
- Oracle AVDF 20.9からOracle AVDF 20.10以降への更新から、Audit Vault Agentおよびホスト・モニター・エージェントがAudit Vault Serverの新しいバージョンと互換性があることを検証します。たとえば、エージェント・ホスト・マシンに互換性のあるオペレーティング・システムとJavaバージョンがあることを検証します。
- 更新前に他の前提条件およびプラットフォーム条件が満たされていることを検証します。
- 更新のメインISOファイルを保持するための十分な領域を確保して
/var/dbfw/upgrade
ディレクトリを作成することで、システムの更新準備を整えます。
アップグレード前RPMを実行するには、次のステップに従います。
-
SSHを使用してアプライアンスにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
-
root
ユーザーとしてscreen
コマンドを実行します。screen
コマンドは、ネットワークの切断によって更新が中断されないようにします。セッションが終了したら、root
ユーザーに切り替え、screen -r
コマンドを実行して再開します。 -
root
ディレクトリに変更します。cd /root
-
次のコマンドを実行して、アップグレード前RPMファイルを、ダウンロードした場所からアプライアンスにコピーします。
scp remote_host:/path/to/avdf-pre-upgrade-20.x.0.0.0.zip /root
-
avdf-pre-upgrade-20.x.0.0.0.zip
ファイルのshasumを使用してダウンロードを確認します。sha256sum /root/avdf-pre-upgrade-20.x.0.0.0.zip
-
バンドルを解凍します。
unzip /root/avdf-pre-upgrade-20.x.0.0.0.zip
-
次のコマンドを実行して、
avdf-pre-upgrade-20.x.0.0.0-0_NNNNNN.NNNN.x86_64.rpm
ファイルを実行します:rpm -i /root/avdf-pre-upgrade-20.x.0.0.0-0_NNNNNN.NNNN.x86_64.rpm
次のメッセージが表示されます。
SUCCESS: The upgrade media can now be copied to '/var/dbfw/upgrade'. The upgrade can then be started by running: /usr/bin/avdf-upgrade
7.2.5.2.1.3 アプライアンスへのISOファイルの転送
更新するアプライアンスにavdf-upgrade-20.x.0.0.0.iso
ファイルを転送します。
-
SSHを使用してアプライアンスにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
-
次のコマンドを使用して、
avdf-upgrade-20.x.0.0.0.iso
ファイルをコピーします。scp remote_host:/path/to/avdf-upgrade-20.x.0.0.0.iso /var/dbfw/upgrade
7.2.5.2.1.4 更新スクリプトの起動
更新スクリプトは、ISOをマウントし、正しい作業ディレクトリに変更し、更新プロセスを実行し、アップグレード・プロセスの完了後にISOをマウント解除します。
ノート:
コマンドの完了には時間がかかる場合があります。更新を中断しないでください。そうしないと、システムが一貫性のない状態のままになる可能性があります。そのため、ダイレクト・コンソール・ログイン(またはILOM相当)など、信頼性があって中断されないシェルを使用するか、screen
コマンドを使用してネットワーク切断による更新の中断を防止することが重要です。
-
SSHを使用してアプライアンスにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
-
root
ユーザーとしてscreen
コマンドを実行します。screen
コマンドは、ネットワークの切断によって更新が中断されないようにします。セッションが終了したら、root
ユーザーに切り替え、screen -r
コマンドを実行して再開します。 -
次のコマンドを実行して、更新の前に適切なチェックを実行します。
/usr/bin/avdf-upgrade
-
システム・プロンプト、警告および指示に従って更新を続行します。
次のような出力が表示されます。
Please wait while validating SHA256 checksum for /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso Checksum validation successful for /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso Mounting /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images mount: /dev/loop0 is write-protected, mounting read-only Successfully mounted /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images The following messages have important information about the upgrade process. Power loss during upgrade may cause data loss. Do not power off during upgrade. Please review Note ID 2235931.1 for a current list of known issues. The upgrade process is irreversible, please confirm 'y' to continue or 'n' to abort. [y/N]?
-
y
を入力して続行します。次のような出力が表示されます。
The Oracle base has been set to /var/lib/oracle Error: ORA-01034: ORACLE not available ORA-27101: shared memory realm does not exist Linux-x86_64 Error: 2: No such file or directory Additional information: 4475 Additional information: 1990413931 The Oracle base has been set to /var/lib/oracle Error: ORA-01034: ORACLE not available ORA-27101: shared memory realm does not exist Linux-x86_64 Error: 2: No such file or directory Additional information: 4475 Additional information: 1990413931 Verifying upgrade preconditions 1/11: Mounting filesystems (1) 2/11: Cleaning yum configuration 3/11: Cleaning old packages and files 4/11: Upgrading kernel 5/11: Upgrading system 6/11: Cleaning platform packages repo 7/11: Adding required platform packages 8/11: Cleaning AVDF packages repo 9/11: Installing AVDF packages 10/11: Setting boot title 11/11: Setting final system status Reboot now to continue the upgrade process. Unmounted /var/dbfw/upgrade/avdf-upgrade-20.x.0.0.0.iso on /images
ノート:
前述の出力は、ベース・インストール・レベル、アプライアンス・タイプおよび構成によって異なります。
7.2.5.2.1.5 アプライアンスの再起動
更新後、アプライアンスを再起動し、更新プロセスを続行します。
-
SSHを使用してアプライアンスにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
-
アプライアンスを再起動します。たとえば:
reboot
ノート:
アプライアンスが再起動すると、更新プロセスが続行されます。Audit Vault Serverで完了するまでに数時間かかり、Database Firewallで完了するまでに数分かかります。この進行中はシステムを再起動しないでください。
-
Database Firewallを更新した場合は、アプライアンスの証明書が再生成されている場合があります。このような場合には、Database Firewallを再登録する必要があります。これを確認するには、次の手順を実行します。
- Audit Vault Serverコンソールに管理者としてログインします。
-
「Database Firewall」タブをクリックします。
左側のナビゲーション・メニューで、「データベース・ファイアウォール」がデフォルトで選択され、構成されたDatabase Firewallインスタンスのリストがページに表示されます。
- 更新後の証明書エラーを示すDatabase Firewallインスタンスを選択します。
- 「ファイアウォールのリセット」をクリックします。
7.2.5.2.2 スタンバイDatabase FirewallとプライマリDatabase Firewallの入替え
スタンバイDatabase Firewallを更新したら、スタンバイDatabase FirewallがプライマリDatabase Firewallになるように入れ替えます。両方の更新後に、Database Firewallを入れ替えて元のロールに戻すこともできます。
- Audit Vault Serverコンソールに管理者としてログインします。
- 「Database Firewall」タブをクリックします。
- 左側のナビゲーション・メニューの「高可用性」をクリックします。
- Database Firewallインスタンスの回復可能なペアを選択します。
-
「スワップ」をクリックします。
7.2.6 更新後のタスク
Oracle Audit Vault and Database Firewall (Oracle AVDF)を更新したら、次のタスクを実行して更新プロセスを確認し、必要な機能を有効化し、残りの問題を解決します。
ノート:
- Audit Vault Serverをリリース20.1から20.3に更新する場合は、更新後に
Deprecated-Cipher-Removal.zip
パッチを適用します。 - Audit Vault Serverをリリース20.4以降に更新する場合、
Deprecated-Cipher-Removal.zip
パッチは、更新中にTLSレベルを減らす場合にのみ適用します。
7.2.6.1 更新プロセスの確認
次のステップを使用して、更新プロセスが成功したことを確認します。
Audit Vault Serverの正常な更新
- 問題なくAudit Vault Serverコンソールを開くことができることを確認します。
- 管理者および監査者として、問題なくAudit Vault Serverコンソールにログインできることを確認します。
- 問題なくSSHを介してAudit Vault Serverに接続できることを確認します。
- Audit Vault Serverコンソールに管理者としてログインし、次の項目を確認します。
- 「設定」タブをクリックして、左側のナビゲーション・メニューにある「システム」をクリックします。
- 「Audit Vault Serverバージョン」フィールドに正しいバージョンのAudit Vault Serverが表示されていることを確認します。
- 「稼働時間」の値を確認します。
- 「データベース・ファイアウォール・ログ収集」に緑色の上向き矢印が表示されていることを確認します。
- 「バックグラウンド・ジョブ」に緑色の上向き矢印が表示されていることを確認します。
- 「高可用性ステータス」の値を確認します。
Audit Vault Agentの正常な更新
- Audit Vault Serverコンソールに管理者としてログインします。
- 「エージェント」タブをクリックします。
- すべてのAudit Vault Agentのステータスが
実行中
であることを確認します。 - 「エージェントの詳細」列に、各Audit Vault Agentの正しいバージョンが表示されていることを確認します。
Database Firewallの正常な更新
- Audit Vault Serverコンソールに管理者としてログインします。
- 「Database Firewall」タブをクリックします。
- すべてのDatabase Firewallのステータスが
稼働中
であることを確認します。 - 「バージョン」列に各Database Firewallの正しいバージョンが表示されていることを確認します。
- 「名前」列で、特定のDatabase Firewallのリンクをクリックします。
- 「ファイアウォール・バージョン」フィールドにも正しいバージョンが表示されていることを確認します。
- 「診断」セクションの「ヘルス・インジケータ」リンクをクリックし、すべてのヘルス・インジケータに緑色のマークが付いている必要があることを確認します。
- ダイアログ・ボックスを閉じます。
- 左側のナビゲーション・メニューで「データベース・ファイアウォール・モニタリング」をクリックします。
- すべてのモニタリング・ポイントのステータスが
稼働中
であることを確認します。
更新失敗
次の症状は、更新が失敗したことを示しています。
- Audit Vault Serverコンソールを開けません。
- Audit Vault Server (またはターミナル)へのSSH接続に、更新が失敗したことを示すエラーが表示されます。
ノート:
また、システム診断で現在のステータスを確認し、システム・ログでエラーがないか確認します。7.2.6.2 アップグレード後のTLSセキュリティ強化
以前のOracle Audit Vault and Database Firewall (Oracle AVDF) 12.2デプロイメントに、AIX上にホスト・モニター・エージェントまたはAudit Vault Agentがあり、Oracle AVDF 20.4以降にアップグレードした場合は、アップグレード前にTLSバージョンをTLS 1.1に設定します。アップグレード後、TLSレベルをリセットする必要があります。
アップグレード前にTLSバージョンをTLS 1.1に設定した場合(次のトピックを参照)、アップグレード・プロセスではTLSレベルがレベル4に自動的に設定されません。
更新プロセスが完了した後(すべてのエージェントを含む)、OracleではTLSレベルをレベル4に設定することをお薦めします。詳細は、トランスポート層セキュリティのレベルの設定に関する項を参照してください。
7.2.6.3 アップグレード後のエージェント・ユーザー・セキュリティの強化
Oracle AVDF 20.9以降に更新する場合は、すべてのエージェントが更新された後にエージェント・ユーザー権限の制限が厳しくなります。
-
すべてのエージェントが更新されたことを確認してください。
「更新プロセスの確認」を参照してください。
- My Oracle Supportから
revoke_privileges.sql
スクリプト(パッチ番号35303191)をダウンロードします。 -
SSHを使用してAudit Vault Serverにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
-
avsys
ユーザーのロックを解除します。AVSYSユーザーのロック解除を参照してください。
ノート:
このタスクが完了したら、必ずavsys
アカウントを再ロックしてください。 - ダウンロードした
revoke_privileges.sql
スクリプトをAudit Vault Server (たとえば、/tmp
)に転送します。 -
avsys
ユーザーとしてSQL*Plusを起動します。sqlplus avsys
-
プロンプトにパスワードを入力します。
-
revoke_privileges.sql
スクリプトを実行します。@<path to revoke_privileges.sql>
たとえば、ファイルを
/tmp
にコピーした場合は、@/tmp/revoke_privileges.sql
と入力します。 -
root
に戻ります。exit
-
avsys
ユーザーをロックします。AVSYSユーザーのロックを参照してください。
7.2.6.4 アップグレード後の新しいクラスタ・セットへの既存のSQLクラスタの追加
Oracle Audit Vault and Database Firewall (Oracle AVDF)リリース20へのアップグレード後、新しいDatabase Firewallポリシーの作成時に、リリース12.2の既存のSQLクラスタを新しいクラスタ・セットに追加することはできません。
この問題を解決するには、Oracle AVDFリリース20へのアップグレード直後にpopulate_cluster_job.sql
スクリプトを実行します。このスクリプトによりイベント・ログ表の問題を解決し、20.1へのアップグレード前に生成したクラスタに基づいたクラスタ・セットを作成できます。
ノート:
この問題は、Oracle AVDF 20.1でのみ発生します。これは以降のリリースで解決されます。- ARUまたはMy Oracle Supportから
populate_cluster_job.sql
スクリプトをダウンロードします。 -
(オプション)Database Firewallのモニタリング・ポイントおよびその他のトラフィックを停止します。
これは必須ではありませんが、これを実行するとスクリプトの実行が速くなります。
-
SSHを使用してAudit Vault Serverにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
-
avsys
ユーザーのロックを解除します。AVSYSユーザーのロック解除を参照してください。
ノート:
このタスクが完了したら、必ずavsys
アカウントを再ロックしてください。 root
に戻ります。-
oracle
ユーザーに切り替えます。su - oracle
-
avsys
ユーザーとしてSQL*Plusを起動します。sqlplus avsys
-
プロンプトにパスワードを入力します。
-
次のスクリプトを実行します。
@<file path of the populate_cluster_job.sql script>
スクリプトは、バックグラウンドで実行されます。スクリプトの実行時間は、トラフィックに基づき、時間がかかることがあります。
-
ジョブのステータスをチェックします。
- Audit Vault Serverコンソールに管理者としてログインします。
- 「設定」タブをクリックします。
- 左側のナビゲーション・メニューの「システム」をクリックします。
-
「ジョブ」をクリックします。
ジョブ・タイプのステータスはRetrieve_clustersです。
- スクリプトが失敗した場合は、前述のステップを繰り返してスクリプトを再度実行します。
-
root
に戻ります。exit
-
avsys
ユーザーをロックします。AVSYSユーザーのロックを参照してください。
7.2.6.5 Database Firewallのインライン・ブリッジを同等のプロキシ構成に変更
Database Firewallのインライン・ブリッジ・デプロイメント・モードは、Oracle AVDFリリース20でサポートされていません。リリース12.2でDatabase Firewallのインライン・ブリッジ・モードがデプロイされている場合は、構成を同等のプロキシ・モードに更新する必要があります。リリース12.2で非推奨の通知が発行されました。
Oracle Audit Vault and Database Firewall (Oracle AVDF)リリース20では、元はトラフィック・ソース(ブリッジ)によって提供されていたネットワーク分離を維持するために構成を変更する必要があります。ネットワーク・インタフェース・カード(NIC)と接続されているコンポーネントの順序は判別できません。
ノート:
すべてのターゲットに単一のプロキシ・ポートが必要です。単一のプロキシ・ポートを複数のターゲット・データベースに使用することはできません。必要に応じてトラフィック・プロキシ・ポートを追加します。次の条件を満たす場合は、このタスクを完了します。
- 現在のDatabase FirewallがOracle AVDFリリース12.2にあります。
- Database Firewallが、現在、モニタリング(DAM)モードまたはブロッキング(DPE)モードでデプロイされ、1つ以上のトラフィック・ソースがブリッジとして構成されています。
- 既存のネットワーク・セグメントを保守する必要があります。
- インタフェースはモニタリングのみで使用します。
- デフォルトのブリッジ・デバイスは、モニタリング・ポイント・サービスを作成するために作成または再利用されます。
構成を同等のプロキシ・モードに更新するには:
7.2.6.6 既存のアーカイブの場所への管理者アクセスの有効化
Oracle Audit Vault and Database Firewallの更新後、アーカイブの場所に次の新しい動作が適用されます。
- 新しいアーカイブ場所は、それらを作成した管理者ロールを持つユーザーが所有します。
- スーパー管理者ロールを持つユーザーは、すべてのアーカイブの場所を表示できます。
- スーパー管理者ロールを持つユーザーのみが、既存のアーカイブの場所にアクセスできます。
管理者ロールを持つ通常のユーザーに既存のアーカイブの場所へのアクセス権を付与するには、アーカイブの場所ごとに次の手順を実行します。
-
SSHを使用してAudit Vault Serverにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
-
avsys
ユーザーのロックを解除します。AVSYSユーザーのロック解除を参照してください。
ノート:
このタスクが完了したら、必ずavsys
アカウントを再ロックしてください。 root
に戻ります。-
avsys
ユーザーとしてSQL*Plusを起動します。sqlplus avsys
-
プロンプトにパスワードを入力します。
-
次のコマンドを実行します:
update avsys.archive_host set created_by=<adminuser> where name=<archive location name>; commit; exit;
-
root
に戻ります。exit
-
avsys
ユーザーをロックします。AVSYSユーザーのロックを参照してください。
7.2.6.7 高可用性のためのアーカイブ機能の有効化
Audit Vault Serverが高可用性環境にデプロイされている場合は、更新後にアーカイブを有効にすることが必要になる場合があります。
ネットワーク・ファイル・システム(NFS)の場所とアーカイブ済データ・ファイルがある場合、すべてのデータ・ファイルがそれぞれのNFSの場所で使用できることを確認してください。アップグレード・プロセスの完了後、アーカイブが無効になるため、有効にする必要があります。
- Oracle Audit Vault and Database Firewall (Oracle AVDF)リリース20.1以降では、NFSサーバー・バージョンv3およびv4のアーカイブおよび取得機能がサポートされています。
- リリース20.3以前では、NFS v3のみがサポートされていません。Oracle AVDFリリース20.4以降でサポートされています。
- NFSサーバーがv3とv4の両方をサポートしていて、アーカイブまたは取得を許可している場合、アクションは必要ありません。
-
対象の環境でアーカイブまたは取得にNFS v4のみを使用できる場合は、次のステップを使用して、
_SHOWMOUNT_DISABLED
パラメータをTRUE
に設定します。-
SSHを使用してAudit Vault Serverにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
-
oracle
ユーザーに切り替えます。su - oracle
-
ユーザー名またはパスワードなしでSQL*Plusを起動します。
sqlplus /nolog
-
SQL*Plusで、次のコマンドを実行します。
connect <super administrator>
-
必要な場合にはパスワードを入力します。
-
次のコマンドを実行します。
exec avsys.adm.add_config_param('_SHOWMOUNT_DISABLED','TRUE');
-
-
SSHを使用してプライマリAudit Vault Serverにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
-
oracle
ユーザーに切り替えます。su - oracle
-
Audit Vault Serverコンソールを使用して、新しいNFSの場所を作成します。
これらの新しい場所では、プライマリAudit Vault ServerとセカンダリAudit Vault Serverの両方に新しくマウントされたNFSポイントが考慮されます。アーカイブする必要なデータ・ファイルをすべて格納するために、新しく作成するNFSの場所に十分な領域があることを確認してください。
-
ユーザー名またはパスワードなしでSQL*Plusを起動します。
sqlplus /nolog
-
SQL*Plusで次のコマンドを実行します。
connect super administrator
-
必要な場合にはパスワードを入力します。
-
次のコマンドを実行して、アーカイブ機能を有効にします。
exec management.ar.run_hailm_job('<NFS location name defined>');
このコマンドはバックグラウンド・ジョブを開始します。「ジョブ」ページでステータスを表示できます。ジョブの名前は
HAILM POST UPGRADE JOB
です。この機能を有効にすると、すべてのアーカイブ済データ・ファイルが新しいNFSの場所に移動され、ジョブが正常に完了するとアーカイブが有効になります。
7.2.6.8 Oracle Audit Vault and Database Firewallからの未使用のカーネルのクリア
使用していないカーネルをOracle Audit Vault and Database Firewall (Oracle AVDF)からクリアする手順は、My Oracle Support Doc ID 2458154.1を参照してください。
7.2.6.9 高可用性のためのOracle AVDF 20.7以降への更新後のオブザーバ・ステータスの確認
高可用性環境でOracle AVDFリリース20.5または20.6からリリース20.7以降にアップグレードした後、Oracle Data Guardオブザーバに問題が発生することがあります。Audit Vault Serverでは、高可用性の管理にOracle Data Guardが使用されます。
Oracle Data Guardオブザーバのステータスを確認するには:
-
SSHを使用してスタンバイAudit Vault Serverにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
-
oracle
ユーザーに切り替えます。su - oracle
-
次のコマンドを実行します:
dgmgrl /
show observer
出力には、プライマリおよびスタンバイの両方のAudit Vault Serverで実行されているオブザーバのステータスと最後のping間隔が表示されます。両方のオブザーバの最後のping間隔に具体的な期間が秒単位で示されている必要があります。
-
次の例に示すように、前のステップの出力に両方のオブザーバについて特定の期間が表示されない場合は、残りのステップを完了して問題を解決してください。
Host Name: <host name> Last Ping to Primary: (unknown) Last Ping to Target: (unknown)
-
SSHを使用してスタンバイAudit Vault Serverにログインし、
root
ユーザーに切り替えます。SSHを使用したOracle AVDFアプライアンスへのログインを参照してください。
-
oracle
ユーザーに切り替えます。su - oracle
-
次のコマンドを実行します。
/usr/local/dbfw/bin/observerctl --stop
- 1分間待機します。
-
次のコマンドを実行します:
dgmgrl /
show observer
- 両方のオブザーバの最後のping間隔に特定の期間が秒単位で示されていることを確認します。
-
7.2.6.10 Audit Vault Serverのバックアップの構成
Audit Vault Serverのバックアップ構成ファイルはリリース固有であり、作成されたリリースと同じリリースで動作します。Oracleでは、Oracle Audit Vault and Database Firewall (Oracle AVDF)の更新後にバックアップ操作の前に、avbackup config
コマンドを実行して新しい構成ファイルを作成することをお薦めします。
7.2.7 更新が失敗した場合のデータベースのリカバリ
更新前にOracle Audit Vault and Database Firewall (Oracle AVDF)をバックアップし、Audit Vault Serverのフラッシュ・リカバリ領域に十分な領域がある場合は、Oracle Supportのガイダンスのもとで、更新に失敗した後にデータベースをリカバリできます。
データベースのリカバリを可能にするには、フラッシュ・リカバリ領域に次の空き領域が必要です。
20GBまたはAudit Vault Serverデータベースに格納されているデータ量の150%のどちらか大きい方
フラッシュ・リカバリ領域の監視の詳細は、『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。
7.3 Oracle AVDF 20.8へのパッチ適用による最新リリース更新の適用
Oracle AVDFをリリース12.2からリリース20.9以降にアップグレードするには、まずリリース20.8にアップグレードしてから、最新のリリース更新(RU)パッチを適用します。
手順については、「Oracle Audit Vault and Database Firewallリリース20へのパッチ適用」を参照してください。