21 Oracle Database Applianceのトラブルシューティング

変更の検証およびOracle Database Applianceの問題のトラブルシューティングに使用できるツールについて理解します。

• DCSエラー・メッセージに関する詳細の表示
  トラブルシューティングのためにDCSエラーの詳細を表示する方法を理解します。
• BUIを使用した診断データの収集
  エラーのトラブルシューティングのために診断データを収集する方法を理解します。
• パッチ適用中のDCSコンポーネント更新時のエラーの解決
  パッチ適用中のDCSコンポーネント更新時のエラーのトラブルシューティング方法を理解します。
• アプライアンスでのコンポーネント情報の表示
  アプライアンスにインストールされているすべてのコンポーネントの詳細およびRPMドリフト情報を表示します。
• ブラウザ・ユーザー・インタフェースへのログイン時のエラー
  ブラウザ・ユーザー・インタフェースへのログインに問題がある場合は、ブラウザまたは資格証明が原因である可能性があります。
• Oracle Database Applianceの再イメージ化時のエラー
  Oracle Database Applianceを再イメージ化するときに発生するエラーのトラブルシューティング方法を理解します。
• 診断を実行するためのOracle Autonomous Health Frameworkの使用
  Oracle Autonomous Health Frameworkは、収集された診断データを収集して分析し、問題がシステムの状態に影響を及ぼす前に事前に特定します。
• ディスク診断ツールの実行
  ディスク診断ツールを使用すると、ディスクの問題の原因を特定するのに役立ちます。
• Oracle Database Applianceハードウェア監視ツールの実行
  Oracle Database Applianceハードウェア監視ツールでは、Oracle Database Applianceサーバーの様々なハードウェア・コンポーネントのステータスが表示されます。
• Oracle Database Applianceの信頼できるSSL証明書の構成
  ブラウザ・ユーザー・インタフェースおよびDCSコントローラは、安全な通信のためにSSLベースのHTTPSプロトコルを使用します。この追加されたセキュリティの影響と、SSL証明書を構成するオプションについて理解します。
• ブラウザ・ユーザー・インタフェースの無効化
  ブラウザ・ユーザー・インタフェースを無効にすることもできます。ブラウザ・ユーザー・インタフェースを無効にすることは、コマンドライン・インタフェースでのみアプライアンスを管理できることを意味します。
• Oracleサポート・サービスのログ・ファイルの準備
  Oracleサポート・サービスからのサポートが必要なシステム障害がある場合は、Oracleが問題の診断をサポートできるように、ログ・レコードを提供する必要がある場合があります。

DCSエラー・メッセージに関する詳細の表示

トラブルシューティングのためにDCSエラーの詳細を表示する方法を理解します。

DCSエラーに関する情報の表示について

DCS操作中のエラーの詳細を表示するには、コマンドdcserr error_codeを使用します。

# /opt/oracle/dcs/bin/dcserr
dcserr <error code>
 
# dcserr 10001
10001, Internal_Error, "Internal error encountered: {0}."
// *Cause: An internal error occurred.
// *Action: Contact Oracle Support Services for assistance.
/
# dcserr 1001
Unknown error code

BUIを使用した診断データの収集

エラーのトラブルシューティングのために診断データを収集する方法を理解します。

診断データの収集について

ブラウザ・ユーザー・インタフェースの「Diagnostics」タブを使用して、デプロイメントおよびインストールされているコンポーネントに関する診断情報を表示します。

「Diagnostic Collection」ページでは、使用可能な診断コレクションを表示できます。「Collect Diagnostic Data」をクリックして、診断収集を開始します。データが収集されたら、収集ファイルのパスをクリックしてファイルをダウンロードします。

「Collect Diagnostics」ページで、診断データ収集のジョブIDを指定します。オプションで、収集のタグと説明を指定します。ジョブIDの詳細が表示されます。「Collect」をクリックして、診断データの収集を開始します。

特定のジョブの「Actions」ドロップダウンから「Collect Diagnostics」を選択して、「Activity」ページから診断を収集することもできます。「Collect」をクリックして、診断データの収集を開始します。

診断収集を削除するには、「Diagnostic Collection」ページで特定の収集を選択し、「Delete」をクリックします。

この診断収集機能は、odaadmcli manage diagcollectコマンドに代わるものではありません。odaadmcli manage diagcollectコマンドを使用して、BUIのこの新機能とは別に、診断収集を有効にすることもできます。odaadmcli manage diagcollectコマンドおよびBUIからの診断収集では、内部でtfactlコマンドが使用されます。BUIからの診断収集は、tfactlによって収集されないDCSメタデータから他のデータを収集し、関連するDCSジョブの失敗の根本原因分析のためのより優れたコンテキストを提供することを目的としています。

パッチ適用中のDCSコンポーネント更新時のエラーの解決

パッチ適用中にDCSコンポーネントを更新するときのエラーのトラブルシューティング方法を理解します。

.

DCSコンポーネントについて

パッチ適用中にodacli update-dcscomponentsコマンドを実行すると、Zookeeper、MySQLおよびDCSコンポーネントを更新する前に、MySQLのインストールの事前チェックが自動的に検証されます。いずれかの事前チェックが失敗した場合、コマンドは事前チェック・レポート・ログ・ファイルの場所/opt/oracle/dcs/log/jobId-dcscomponentsPreCheckReport.logへの参照でエラーになります。事前チェック・レポートを確認し、修正処理を実行してから、odacli update-dcscomponentsコマンドを再実行します。事前チェック・エラーがない場合、パッチ適用プロセスはDCSエージェント、DCS CLI、DCSコントローラなどのZookeeper、MySQLおよびDCSコンポーネントの更新に進みます。

ノート:

odacli update-dcscomponentsコマンドを実行する前に、odacli update-dcsadminコマンドを実行します。

odacli update-dcscomponentsコマンドが正常に完了した場合:

コマンド出力は次のようになります。

# ./odacli update-dcscomponents -v 19.13.0.0.0            
{
  "jobId" : "3ac3667a-fa22-40b6-a832-504a56aa3fdc",
  "status" : "Success",
  "message" : "Update-dcscomponents is successful on all the node(s):DCS-Agent
shutdown is successful. MySQL upgrade is done before. Metadata migration is
successful. Agent rpm upgrade is successful. DCS-CLI rpm upgrade is successful.
DCS-Controller rpm upgrade is succ",
  "reports" : null,
  "createTimestamp" : "February 22, 2021 02:37:37 AM CST",
  "description" : "Update-dcscomponents job completed and is not part of Agent
job list",
  "updatedTime" : "February 22, 2021 02:39:10 AM CST"
}

/opt/oracle/dcs/log/jobId-dcscomponentsPreCheckReport.logの場所にある事前チェック・レポート・ログ・ファイルには、次のものが含まれます。

Pre-check Name: Space check
Status: Success
Comments: Required space 3 GB is available in /opt

Pre-check Name: Port check
Status: Success
Comments: Port 3306 is available for running ODA MySQL

Pre-check Name: ODA MySQL rpm installation dry-run check
Status: Success
Comments: ODA MySQL rpm dry-run passed

Pre-check Name: Check for the existence of MySQL connector/J library
Status: Success
Comments: ODA MySQL connector/J library found

Pre-check Name: Check for the existence of Metadata migration utility
Status: Success
Comments: Metadata migration utility found

odacli update-dcscomponentsコマンドが失敗した場合:

Oracle Database Appliance単一ノード・システムでは、コマンド出力は次のようになります。

# ./odacli update-dcscomponents -v 19.13.0.0.0            

DCS-10008:Failed to update DCScomponents: 19.10.0.0.0
Internal error while patching the DCS components :
DCS-10231:Cannot proceed. Pre-checks for update-dcscomponents failed. Refer to
/opt/oracle/dcs/log/jobId-dcscomponentsPreCheckReport.log
on node 0 for details.

Oracle Database Applianceの高可用性システムでは、コマンド出力は次のようになります。

# ./odacli update-dcscomponents -v 19.13.0.0.0            

Internal error while patching the DCS components :
DCS-10231:Cannot proceed. Pre-checks for update-dcscomponents failed. Refer to
/opt/oracle/dcs/log/jobId-dcscomponentsPreCheckReport.log
on node 0 and /opt/oracle/dcs/log/jobId-dcscomponentsPreCheckReport.log
on node 1 for details.

このコマンドはすべての事前チェックを1つずつ実行し、事前チェックのいずれかがFailedとしてマークされている場合は最後にエラーになります。事前チェックが失敗した場合、エラー・メッセージが事前チェック・レポート・ログの場所への参照とともにコンソールに表示されます。事前チェック・レポート・ログ・ファイルは/opt/oracle/dcs/log/jobId-dcscomponentsPreCheckReport.logにあります。

Pre-check Name: Space check
Status: Failed
Comments: Available space in /opt is 2 GB but minimum required space in /opt is 3 GB 

Pre-check Name: Port check
Status: Success
Comments: Port 3306 is available for running ODA MySQL

Pre-check Name: ODA MySQL rpm installation dry-run check
Status: Success
Comments: ODA MySQL rpm dry-run passed

Pre-check Name: Check for the existence of MySQL connector/J library
Status: Success
Comments: ODA MySQL connector/J library found

Pre-check Name: Check for the existence of Metadata migration utility
Status: Success
Comments: Metadata migration utility found

領域チェック・エラーが原因でodacli update-dcscomponentsコマンドが失敗した場合:

事前チェック・レポート・ログには次が含まれています。

Pre-check Name: Space check
Status: Failed
Comments: Available space in /opt is 2 GB but minimum required space in /opt is 3 GB 

Pre-check Name: Port check
Status: Success
Comments: Port 3306 is available for running ODA MySQL

Pre-check Name: ODA MySQL rpm installation dry-run check
Status: Success
Comments: ODA MySQL rpm dry-run passed

Pre-check Name: Check for the existence of MySQL connector/J library
Status: Success
Comments: ODA MySQL connector/J library found

Pre-check Name: Check for the existence of Metadata migration utility
Status: Success
Comments: Metadata migration utility found

ポート・チェック・エラーが原因でodacli update-dcscomponentsコマンドが失敗した場合:

事前チェック・レポート・ログには次が含まれています。

Pre-check Name: Space check
Status: Success
Comments: Required space 3 GB is available in /opt

Pre-check Name: Port check
Status: Failed
Comments: No port found in the range ( 3306 to 65535 )

Pre-check Name: ODA MySQL rpm installation dry-run check
Status: Success
Comments: ODA MySQL rpm dry-run passed

Pre-check Name: Check for the existence of MySQL connector/J library
Status: Success
Comments: ODA MySQL connector/J library found

Pre-check Name: Check for the existence of Metadata migration utility
Status: Success
Comments: Metadata migration utility found

MySQL RPMインストールのドライラン・チェック・エラーが原因でodacli update-dcscomponentsコマンドが失敗した場合:

事前チェック・レポート・ログには次が含まれています。

Pre-check Name: Space check
Status: Success
Comments: Required space 3 GB is available in /opt

Pre-check Name: Port check
Status: Success
Comments: Port 3306 is available for running ODA MySQL

Pre-check Name: ODA MySQL rpm installation dry-run check
Status: Failed
Comments: ODA MySQL rpm dry-run failed. Failed due to the following error :
Exception details are displayed below

Pre-check Name: Check for the existence of MySQL connector/J library
Status: Success
Comments: ODA MySQL connector/J library found

Pre-check Name: Check for the existence of Metadata migration utility
Status: Success
Comments: Metadata migration utility found

MySQLコネクタ/Jライブラリ・チェック・エラーが原因でodacli update-dcscomponentsコマンドが失敗した場合:

事前チェック・レポート・ログには次が含まれています。

Pre-check Name: Space check
Status: Success
Comments: Required space 3 GB is available in /opt

Pre-check Name: Port check
Status: Success
Comments: Port 3306 is available for running ODA MySQL

Pre-check Name: ODA MySQL rpm installation dry-run check
Status: Success
Comments: ODA MySQL rpm dry-run passed

Pre-check Name: Check for the existence of MySQL connector/J library
Status: Failed
Comments: MySQL connector/J library does not exist. Ensure update-repository with latest serverzip bundles ran first without any issues prior to running update-dcscomponents

Pre-check Name: Check for the existence of Metadata migration utility
Status: Success
Comments: Metadata migration utility found

メタデータ移行ユーティリティのチェック・エラーが原因でodacli update-dcscomponentsコマンドが失敗した場合:

事前チェック・レポート・ログには次が含まれています。

Pre-check Name: Space check
Status: Success
Comments: Required space 3 GB is available in /opt

Pre-check Name: Port check
Status: Success
Comments: Port 3306 is available for running ODA MySQL

Pre-check Name: ODA MySQL rpm installation dry-run check
Status: Success
Comments: ODA MySQL rpm dry-run passed

Pre-check Name: Check for the existence of MySQL connector/J library
Status: Success
Comments: ODA MySQL connector/J library found

Pre-check Name: Check for the existence of Metadata migration utility
Status: Failed
Comments: Metadata migration utility does not exist. Ensure update-repository with latest serverzip bundles ran first without any issues prior to running update-dcscomponents

アプライアンスでのコンポーネント情報の表示

アプライアンスにインストールされているすべてのコンポーネントの詳細およびRPMドリフト情報を表示します。

ブラウザ・ユーザー・インタフェースでの部品表の表示

ブラウザ・ユーザー・インタフェースの「Appliance」タブを使用して、デプロイメントおよびインストールされているコンポーネントに関する情報を表示します。「Advanced Information」タブには、次のコンポーネントに関する情報が表示されます。

• グリッド・インフラストラクチャ・バージョンおよびホーム・ディレクトリ

• データベース・バージョン、ホームの場所およびエディション

• 構成されたデータベースの場所および詳細

• アプライアンスに適用されたすべてのパッチ

• ファームウェアコントローラおよびディスク

• ILOM情報

• BIOSのバージョン

• RPMのリスト

「List of RPMs」セクションで、「Show」をクリックしてから「RPM Drift」をクリックして、アプライアンスにインストールされているRPMと最新のOracle Database Applianceパッチ・バンドル更新リリースに含まれているRPMの違いを表示します。

コンポーネント・レポートを保存するには「Download」をクリックします。このレポートを使用すると、デプロイメントの問題の診断に役立ちます。

コマンドラインからの部品表の表示

部品表は、ベア・メタルおよび仮想化プラットフォームのデプロイメントのコマンドラインから使用することもできます。インストールされたコンポーネントに関する情報は、設定されたスケジュールに従って収集され、ベア・メタル・デプロイメントの場合は/opt/oracle/dcs/Inventory/、仮想化プラットフォームの場合は/opt/oracle/oak/Inventory/ディレクトリに格納されます。ファイルはoda_bom_TimeStamp.jsonという形式で格納されます。コマンドdescribe-systemを使用して、コマンドラインで部品構成表を表示します。コマンド・オプションおよび使用上のノートは、Oracle Databaseコマンドライン・インタフェースの章を参照してください。

例21-1 ベア・メタル・デプロイメントのコマンドラインから部品表を表示するコマンドの例

# odacli describe-system -b
ODA Components Information 
------------------------------
Component Name                Component Details                                            
---------------               ----------------------------------------------------------------------------------------------- 
NODE                          Name : oda1 
                              Domain Name : testdomain.com 
                              Time Stamp : April 21, 2020 6:21:15 AM UTC 

  
RPMS                          Installed RPMS : abrt-2.1.11-55.0.1.el7.x86_64,
                                               abrt-addon-ccpp-2.1.11-55.0.1.el7.x86_64,
                                               abrt-addon-kerneloops-2.1.11-55.0.1.el7.x86_64,
                                               abrt-addon-pstoreoops-2.1.11-55.0.1.el7.x86_64,
                                               abrt-addon-python-2.1.11-55.0.1.el7.x86_64,
                                               abrt-addon-vmcore-2.1.11-55.0.1.el7.x86_64,
                                               abrt-addon-xorg-2.1.11-55.0.1.el7.x86_64,
                                               abrt-cli-2.1.11-55.0.1.el7.x86_64,
                                               abrt-console-notification-2.1.11-55.0.1.el7.x86_64,
                                               abrt-dbus-2.1.11-55.0.1.el7.x86_64,
                                               abrt-libs-2.1.11-55.0.1.el7.x86_64,
                                               abrt-python-2.1.11-55.0.1.el7.x86_64,
                                               abrt-tui-2.1.11-55.0.1.el7.x86_64,
                                               acl-2.2.51-14.el7.x86_64,
                                               adwaita-cursor-theme-3.28.0-1.el7.noarch,
                                               adwaita-icon-theme-3.28.0-1.el7.noarch,
                                               aic94xx-firmware-30-6.el7.noarch,
                                               aide-0.15.1-13.0.1.el7.x86_64,
                                               alsa-firmware-1.0.28-2.el7.noarch,
                                               alsa-lib-1.1.8-1.el7.x86_64,
                                               alsa-tools-firmware-1.1.0-1.el7.x86_64,
                                               at-3.1.13-24.el7.x86_64,
                                               at-spi2-atk-2.26.2-1.el7.x86_64,
                                               at-spi2-core-2.28.0-1.el7.x86_64,
                                               atk-2.28.1-1.el7.x86_64,
                                               attr-2.4.46-13.el7.x86_64,
                                               audit-2.8.5-4.el7.x86_64,
                                               audit-libs-2.8.5-4.el7.x86_64,
                                               audit-libs-python-2.8.5-4.el7.x86_64,
                                               augeas-libs-1.4.0-9.el7.x86_64,
                                               authconfig-6.2.8-30.el7.x86_64,
                                               autogen-libopts-5.18-5.el7.x86_64,
                                               avahi-libs-0.6.31-19.el7.x86_64,
                                               basesystem-10.0-7.0.1.el7.noarch,
                                               bash-4.2.46-33.el7.x86_64,
                                               bash-completion-2.1-6.el7.noarch,
                                               bc-1.06.95-13.el7.x86_64,
                                               bind-export-libs-9.11.4-9.P2.el7.x86_64,
                                               bind-libs-9.11.4-9.P2.el7.x86_64,
                                               bind-libs-lite-9.11.4-9.P2.el7.x86_64,
                                               bind-license-9.11.4-9.P2.el7.noarch,
                                               bind-utils-9.11.4-9.P2.el7.x86_64,
                                               binutils-2.27-41.base.0.7.el7_7.2.x86_64,
                                               biosdevname-0.7.3-2.el7.x86_64,
                                               blktrace-1.0.5-9.el7.x86_64,
                                               bnxtnvm-1.40.10-1.x86_64,
                                               boost-date-time-1.53.0-27.el7.x86_64,
                                               boost-filesystem-1.53.0-27.el7.x86_64,
                                               boost-iostreams-1.53.0-27.el7.x86_64,
....
....
....

例21-2 仮想化プラットフォームのコマンドラインから部品表を表示するコマンドの例

# oakcli describe-system -b

例21-3 格納された場所から部品表レポートを表示するコマンドの例

# ls -la /opt/oracle/dcs/Inventory/
total 264
-rw-r--r-- 1 root root 83550 Apr 26 05:41 oda_bom_2018-04-26_05-41-36.json

ブラウザ・ユーザー・インタフェースへのログイン時のエラー

ブラウザ・ユーザー・インタフェースへのログインに問題がある場合は、ブラウザまたは資格証明が原因である可能性があります。

ノート:

Oracle Database Applianceでは、自己署名証明書を使用します。ブラウザ・ユーザー・インタフェースへのログイン方法は、ブラウザによって決まります。ブラウザとブラウザのバージョンによっては、証明書が自己署名されているために無効である、または信頼されていない、あるいは接続がプライベートでないという警告やエラーが表示されることがあります。エージェントおよびブラウザ・ユーザー・インタフェースの自己署名証明書を受け入れるようにしてください。

ブラウザ・ユーザー・インタフェースにログインするには、次のステップを実行します。

1. ブラウザ・ウィンドウを開きます。
2. 次のURLに移動します: https://ODA-host-ip-address:7093/mgmt/index.html
3. セキュリティ証明書(または証明書)を取得し、セキュリティ例外を確認し、例外を追加します。
4. Oracle Database Applianceの資格証明を使用してログインします。
   oda-adminパスワードをまだ設定していない場合は、システム・セキュリティ要件に準拠するようにデフォルト・パスワードを変更するよう求めるメッセージが表示されます。
5. エージェント・セキュリティ証明書に例外を追加していない場合は、エージェント証明書の受入れに関するメッセージが表示されます。
6. ブラウザで別のタブを使用して、次のURLに移動します: https://ODA-host-ip-address:7070/login
7. セキュリティ証明書(または証明書)を取得し、セキュリティ例外を確認し、例外を追加します。
8. ブラウザ・ユーザー・インタフェースのURLをリフレッシュします: https://ODA-host-ip-address:7093/mgmt/index.html

ノート:

macOS CatalinaやGoogle ChromeなどのブラウザでOracle Database Applianceブラウザ・ユーザー・インタフェースへのログインに問題が発生した場合は、製品の正式サイトの説明に従って回避策を使用する必要がある場合があります。

Oracle Database Applianceの再イメージ化時のエラー

Oracle Database Applianceの再イメージ化時に発生するエラーのトラブルシューティング方法を説明します。

Oracle Database Applianceの再イメージ化に失敗し、ストレージ検出でのエラーやGIルート・スクリプトの実行、ディスク・グループのRECOの作成などの古いヘッダーの問題が発生した場合は、cleanup.plを指定して強制モードを使用します。

# cleanup.pl -f

再イメージ化が正常に行われるようにするには、セキュアな消去ツールを実行して、古いヘッダーをストレージ・ディスクから削除します。OAK/ASMヘッダーが削除されていることを確認します。

# cleanup.pl -erasedata
# cleanup.pl -checkHeader

再イメージ化操作を再試行します。

診断を実行するためのOracle Autonomous Health Frameworkの使用

Oracle Autonomous Health Frameworkは、収集された診断データを収集および分析し、システムの状態に影響する前に問題を事前に特定します。

• Oracle Autonomous Health Frameworkのインストールについて
  Oracle Database Applianceリリース19.13にプロビジョニングまたはパッチ適用すると、Oracle Autonomous Health Frameworkは自動的にインストールされます。
• Oracle ORAchkヘルス・チェック・ツールの使用
  Oracle ORAchkを実行して構成設定を監査し、システムの状態を確認します。
• ブラウザ・ユーザー・インタフェースでのOracle ORAchkヘルス・チェック・ツール・レポートの生成および表示
  ブラウザ・ユーザー・インタフェースを使用して、Oracle ORAchkヘルス・チェック・ツール・レポートを生成します。
• ブラウザ・ユーザー・インタフェースでのデータベース・セキュリティ評価レポートの生成および表示
  ブラウザ・ユーザー・インタフェースを使用して、データベース・セキュリティ評価レポートを生成および表示します。
• Oracle Trace File Analyzer (TFA)コレクタ・コマンドの実行
  tfactlのインストール場所とコマンドのオプションを理解します。
• 診断収集の機密情報のサニタイズ
  Oracle Autonomous Health Frameworkは、適応分類およびリダクション(ACR)を使用して機密データをサニタイズします。
• 適応分類およびリダクション(ACR)の有効化
  Oracle Database Applianceでは、機密データをサニタイズするための適応分類およびリダクション(ACR)がサポートされています。
• Oracle Trace File Analyzer収集の機密情報のサニタイズ
  Oracle Trace File Analyzer診断収集をリダクション(サニタイズまたはマスク)できます。
• Oracle ORAchk出力の機密情報のサニタイズ
  Oracle ORAchk出力をサニタイズできます。

Oracle Autonomous Health Frameworkのインストールについて

Oracle Database Applianceリリース19.13にプロビジョニングまたはパッチ適用すると、Oracle Autonomous Health Frameworkは自動的にインストールされます。

アプライアンスをOracle Database Applianceリリース19.13にプロビジョニングまたはパッチ適用すると、Oracle Autonomous Health Frameworkがパス/opt/oracle/dcs/oracle.ahfにインストールされます。

次のコマンドを実行して、Oracle Autonomous Health Frameworkがインストールされていることを確認できます。

[root@oak ~]# rpm -q oracle-ahf
oracle-ahf-193000-########.x86_64

ノート:

Oracle Database Applianceリリース19.13にプロビジョニングまたはパッチを適用すると、Oracle Autonomous Health FrameworkはOracle ORAchkヘルス・チェック・ツールおよびOracle Trace File Analyzerコレクタを自動的に提供します。

Oracle ORAchkヘルス・チェック・ツールは、Oracleソフトウェア・スタックのプロアクティブなヘルス・チェックを実行し、既知の問題をスキャンします。Oracle ORAchkヘルス・チェック・ツールは、次のカテゴリのOracle RACデプロイメントの重要な構成設定を監査します。

• オペレーティング・システムのカーネル・パラメータおよびパッケージ
• Oracle Databaseのデータベース・パラメータおよびその他のデータベース構成設定
• Oracle Grid Infrastructure (Oracle ClusterwareおよびOracle Automatic Storage Managementを含む)

Oracle ORAchkはシステム全体を認識します。構成にベスト・プラクティスが付随しているかどうかをチェックします。

Oracle Trace Fileコレクタには、次の主な利点とオプションがあります。

• 単一ノードから実行する単一コマンドへの、すべてのクラスタ・ノード上のすべてのOracle Grid InfrastructureおよびOracle RACコンポーネントに関する診断データ収集のカプセル化
• データ・アップロード・サイズを削減するためにデータ収集時に診断ファイルを削減するオプション
• 一定期間および特定の製品コンポーネント(Oracle ASM、Oracle Database、Oracle Clusterware)に対する診断データ収集を分離するオプション
• Oracle Database Appliance内の単一ノードに対する収集された診断出力の一元管理(必要な場合)
• すべてのログ・ファイルおよびトレース・ファイルでの問題を示す状態のオンデマンド・スキャン
• 問題を示す状態に関するリアルタイム・スキャン・アラート・ログ(たとえば、データベース・アラート・ログ、Oracle ASMアラート・ログおよびOracle Clusterwareアラート・ログなど)

Oracle ORAchkヘルス・チェック・ツールの使用

Oracle ORAchkを実行して構成設定を監査し、システムの状態を確認します。

ノート:

ORAchkを実行する前に、最新バージョンのOracle Autonomous Health Frameworkを確認し、ダウンロードしてインストールします。Oracle Autonomous Health Frameworkの最新バージョンのダウンロードおよびインストールの詳細は、My Oracle Supportノート2550798.1を参照してください。

新規インストールのためのOracle Database Appliance 19.13ベアメタル・システムでのORAchkの実行

Oracle Database Appliance 19.13にプロビジョニングまたはアップグレードすると、Oracle Autonomous Frameworkを使用してORAchkが/opt/oracle/dcs/oracle.ahfディレクトリにインストールされます。

orachkを実行するには、次のコマンドを使用します。

[root@oak bin]# orachk

すべてのチェックが終了すると、詳細なレポートが利用可能になります。出力には、HTML形式のレポートの場所と、レポートをアップロードする場合のzipファイルの場所が表示されます。たとえば、失敗したチェックのみを表示するフィルタを選択し、失敗、警告、情報または合格ステータスのチェックを表示したり、任意の組合せを選択できます。

Oracle Database Appliance評価レポートおよびシステムの状態を確認し、特定された問題のトラブルシューティングを行います。レポートには、特定の領域に焦点を当てるためのサマリーとフィルタが含まれています。

Oracle Database Appliance 19.13仮想化プラットフォームでのORAchkの実行

Oracle Database Appliance 19.13にプロビジョニングまたはアップグレードすると、Oracle Autonomous Frameworkを使用してORAchkが/opt/oracle.ahfディレクトリにインストールされます。

orachkを実行するには、次のコマンドを使用します。

[root@oak bin]# oakcli orachk

https://support.oracle.com/rs?type=doc&id=2550798.1

ブラウザ・ユーザー・インタフェースでのOracle ORAchkヘルス・チェック・ツール・レポートの生成および表示

ブラウザ・ユーザー・インタフェースを使用して、Oracle ORAchkヘルス・チェック・ツール・レポートを生成します。

1. oda-adminユーザー名とパスワードを使用してブラウザ・ユーザー・インタフェースにログインします。

   https://Node0–host-ip-address:7093/mgmt/index.html

2. 「Monitoring」タブをクリックします。
3. 「Monitoring」ページの左側のナビゲーション・ペインで、「ORAchk Report」をクリックします。
   「ORAchk Reports」ページに、生成されたすべてのORAchkレポートのリストが表示されます。
4. 表示するORAchkレポートの「Actions」メニューで、「Actions」をクリックします。
   Oracle Database Appliance評価レポートが表示されます。これにはデプロイメントの状態の詳細が含まれ、現在のリスク、アクションの推奨事項および追加情報のリンクが一覧表示されます。
5. オンデマンドORAchkレポートを作成するには: 「ORAchk Reports」ページで、「Create」をクリックし、確認ボックスで「Yes」をクリックします。
   ORAchkレポートを作成するジョブが発行されます。
6. リンクをクリックすると、ジョブのステータスが表示されます。ジョブが正常に完了したら、「ORAchk Reports」ページでOracle Database Appliance評価レポートを表示できます。
7. ORAchkレポートを削除するには: 削除するORAchkレポートの「Actions」メニューで、「Delete」をクリックします。

ブラウザ・ユーザー・インタフェースでのデータベース・セキュリティ評価レポートの生成および表示

ブラウザ・ユーザー・インタフェースを使用して、データベース・セキュリティ評価レポートを生成および表示します。

1. oda-adminユーザー名とパスワードを使用してブラウザ・ユーザー・インタフェースにログインします。

   https://Node0–host-ip-address:7093/mgmt/index.html

2. 「セキュリティ」タブをクリックします。
3. 「Security」ページの左側のナビゲーション・ペインで、「DBSAT Reports」をクリックします。
   「Database Security Assessment Reports」ページに、生成されたすべてのDBSATレポートのリストが表示されます。
4. 表示するORAchkレポートの「Actions」メニューで、「Actions」をクリックします。
   Oracle Databaseセキュリティ評価レポートが表示されます。これにはデプロイメントの状態の詳細が含まれ、現在のリスク、アクションの推奨事項および追加情報のリンクが一覧表示されます。
5. DBSATレポートを作成するには: 「DBSAT Reports」ページで、「Create」をクリックし、確認ボックスで「Yes」をクリックします。
   DBSATレポートを作成するジョブが発行されます。
6. リンクをクリックすると、ジョブのステータスが表示されます。ジョブが正常に完了したら、「DBSAT Reports」ページでOracle Database Appliance評価レポートを表示できます。
7. DBSATレポートを削除するには: 削除するDBSATレポートの「Actions」メニューで、「Delete」をクリックします。

Oracle Trace File Analyzer (TFA)コレクタ・コマンドの実行

tfactlのインストール場所およびコマンドのオプションを理解します。

tfactlを使用した診断情報の収集について

Oracle Database Appliance 19.13にプロビジョニングまたはアップグレードすると、Oracle Trace File Analyzer (TFA)コレクタが/opt/oracle.ahf/bin/tfactlディレクトリにインストールされます。TFAのコマンドライン・ユーティリティtfactlは、ディレクトリ/opt/oracle.ahf/bin/tfactlから、または単にtfactlと入力して起動できます。

次のコマンド・オプションを使用して、tfactlを実行できます。

 /opt/oracle.ahf/bin/tfactl diagcollect -ips|-oda|-odalite|-dcs|-odabackup|
-odapatching|-odadataguard|-odaprovisioning|-odaconfig|-odasystem|-odastorage|-database|
-asm|-crsclient|-dbclient|-dbwlm|-tns|-rhp|-procinfo|-afd|-crs|-cha|-wls|
-emagent|-oms|-ocm|-emplugins|-em|-acfs|-install|-cfgtools|-os|-ashhtml|-ashtext|
-awrhtml|-awrtext -mask -sanitize

表21-1 tfactlツールのコマンド・オプション

オプション	説明
-h	(オプション)このコマンドのすべてのオプションについて説明します。
-ips	(オプション)このオプションを使用して、指定したコンポーネントの診断ログを表示します。
-oda	(オプション)このオプションを使用して、アプライアンス全体のログを表示します。
-odalite	(オプション)このオプションを使用して、odaliteコンポーネントの診断ログを表示します。
-dcs	(オプション)このオプションを使用して、DCSログ・ファイルを表示します。
-odabackup	(オプション)このオプションを使用して、アプライアンスのバックアップ・コンポーネントの診断ログを表示します。
-odapatching	(オプション)このオプションを使用して、アプライアンスのパッチ適用コンポーネントの診断ログを表示します。
-odadataguard	(オプション)このオプションを使用して、アプライアンスのOracle Data Guardコンポーネントの診断ログを表示します。
-odaprovisioning	(オプション)このオプションを使用して、アプライアンスのプロビジョニング・ログを表示します。
-odaconfig	(オプション)このオプションを使用して、構成関連の診断ログを表示します。
-odasystem	(オプション)このオプションを使用して、システム情報を表示します。
-odastorage	(オプション)このオプションを使用して、アプライアンスのストレージの診断ログを表示します。
-database	(オプション)このオプションを使用して、データベース関連のログ・ファイルを表示します。
-asm	(オプション)このオプションを使用して、アプライアンスの診断ログを表示します。
-crsclient	(オプション)このオプションを使用して、アプライアンスの診断ログを表示します。
-dbclient	(オプション)このオプションを使用して、アプライアンスの診断ログを表示します。
-dbwlm	(オプション)このオプションを使用して、指定したコンポーネントの診断ログを表示します。
-tns	(オプション)このオプションを使用して、TNSの診断ログを表示します。
-rhp	(オプション)このオプションを使用して、高速ホーム・プロビジョニングの診断ログを表示します。
-afd	(オプション)このオプションを使用して、Oracle ASMフィルタ・ドライバの診断ログを表示します。
-crs	(オプション)このオプションを使用して、Oracle Clusterwareの診断ログを表示します。
-cha	(オプション)このオプションを使用して、クラスタ状態モニターの診断ログを表示します。
-wls	(オプション)このオプションを使用して、Oracle WebLogic Serverの診断ログを表示します。
-emagent	(オプション)このオプションを使用して、Oracle Enterprise Managerエージェントの診断ログを表示します。
-oms	(オプション)このオプションを使用して、Oracle Enterprise Manager Management Serviceの診断ログを表示します。
-ocm	(オプション)このオプションを使用して、指定したコンポーネントの診断ログを表示します。
-emplugins	(オプション)このオプションを使用して、Oracle Enterprise Managerプラグインの診断ログを表示します。
-em	(オプション)このオプションを使用して、Oracle Enterprise Managerデプロイメントの診断ログを表示します。
-acfs	(オプション)このオプションを使用して、Oracle ACFSストレージの診断ログを表示します。
-install	(オプション)このオプションを使用して、インストールの診断ログを表示します。
-cfgtools	(オプション)このオプションを使用して、構成ツールの診断ログを表示します。
-os	(オプション)このオプションを使用して、オペレーティング・システムの診断ログを表示します。
-ashhtml	(オプション)このオプションを使用して、指定したコンポーネントの診断ログを表示します。
-ashtext	(オプション)このオプションを使用して、アプライアンスの診断ログを表示します。
-awrhtml	(オプション)このオプションを使用して、アプライアンスの診断ログを表示します。
-awrtext	(オプション)このオプションを使用して、指定したコンポーネントの診断ログを表示します。
-mask	(オプション)このオプションを使用して、ログ・コレクション内の機密データをマスクすることを選択します。
-sanitize	(オプション)このオプションを使用して、ログ・コレクション内の機密データをサニタイズ(リダクション)することを選択します。

使用上のノート

Trace Fileコレクタ(tfactlコマンド)を使用して、Oracle Database Applianceコンポーネントのすべてのログ・ファイルを収集できます。

コマンドodaadmcli manage diagcollectを同様のコマンド・オプションとともに使用して、同じ診断情報を収集することもできます。

-maskおよび-sanitizeオプションの使用方法の詳細は、次のトピックを参照してください。

診断収集の機密情報のサニタイズ

Oracle Autonomous Health Frameworkは、適応分類およびリダクション(ACR)を使用して機密データをサニタイズします。

診断データのコピーを収集した後、Oracle Trace File AnalyzerおよびOracle ORAchkは、適応分類およびリダクション(ACR)を使用して収集内の機密データをサニタイズします。ACRは機械学習ベースのエンジンを使用して、指定されたファイルのセット内で事前定義されたエンティティ・タイプのセットをリダクションします。また、ACRは、ファイルおよびディレクトリ名に含まれるエンティティをサニタイズまたはマスクします。サニタイズでは、機密性の高い値がランダムな文字に置き換えられます。マスキングでは、機密性の高い値が一連のアスタリスク(*)に置き換えられます。

ACRは現在、次のエンティティ・タイプをサニタイズします。

• ホスト名
• IPアドレス
• MACアドレス
• Oracle Database名
• 表領域名
• サービス名
• ポート
• オペレーティング・システムのユーザー名

ACRは、ブロック・ダンプおよびredoダンプに表示されるデータベースのユーザー・データもマスクします。

例21-4 リダクション前のブロック・ダンプ

14A533F40 00000000 00000000 00000000 002C0000 [..............,.] 
14A533F50 35360C02 30352E30 31322E37 380C3938 [..650.507.2189.8] 
14A533F60 31203433 37203332 2C303133 360C0200 [34 123 7310,...6] 

例21-5 リダクション後のブロック・ダンプ

14A533F40 ******** ******** ******** ******** [****************]
14A533F50 ******** ******** ******** ******** [****************]
14A533F60 ******** ******** ******** ******** [****************] 

例21-6 リダクション前のRedoダンプ

col 74: [ 1] 80
col 75: [ 5] c4 0b 19 01 1f
col 76: [ 7] 78 77 06 16 0c 2f 26 

例21-7 リダクション後のRedoダンプ

col 74: [ 1] **
col 75: [ 5] ** ** ** ** **
col 76: [ 7] ** ** ** ** ** ** **

AWR、ASHおよびADDMレポートのSQL文のリテラル値のリダクション

自動ワークロード・リポジトリ(AWR)、アクティブ・セッション履歴(ASH)および自動データベース診断モニター(ADDM)レポートはHTMLファイルであり、ホスト名、データベース名、サービス名などの機密エンティティがHTML表の形式で含まれています。これらの機密エンティティに加えて、表のバインド変数やリテラル値を含めることができるSQL文も含まれます。これらのリテラル値は、データベースに格納されている機密性の高い個人情報(PI)である場合があります。ACRは、このようなレポートを処理して、通常の機密エンティティとSQL文に存在するリテラル値の両方を識別およびリダクションします。

odaadmcliコマンドを使用した機密情報のサニタイズ

odaadmcli manage diagcollectコマンドを使用して、Oracle Database Applianceコンポーネントの診断ログを収集します。収集中に、ACRを使用して診断ログをリダクション(サニタイズまたはマスク)できます。

odaadmcli manage diagcollect [--dataMask|--dataSanitize]

コマンドの--dataMaskオプションは、すべてのコレクションの機密データをブロックし、たとえば、myhost1を*******に置き換えます。デフォルトはNoneです。--dataSanitizeオプションは、すべての収集の機密データをランダムな文字に置き換え、たとえば、myhost1をorzhmv1に置き換えます。デフォルトはNoneです。

適応分類およびリダクション(ACR)の有効化

Oracle Database Applianceは、機密データをサニタイズするための適応分類およびリダクション(ACR)をサポートしています。

Oracle Database Applianceは診断データのコピーを収集した後、適応分類およびリダクション(ACR)を使用して収集内の機密データをサニタイズします。odacli enable-acrおよびodacli disable-acrコマンドを使用して、ローカル・ノードだけでなく、両方のノード間でACRを有効または無効にできます。

例21-8 ACRの現在のステータスの説明

bash-4.2# odacli describe-acr
Trace File Redaction: Enabled

例21-9 ACRの有効化:

bash-4.2# odacli enable-acr

Job details                                                      
----------------------------------------------------------------
                ID:  12bbf784-610a-40a8-b409-e74c58bc35aa
               Description:  Enable ACR job
                Status:  Created
                Created:  April 8, 2021 3:04:13 AM PDT

例21-10 ACRの無効化

bash-4.2# odacli disable-acr

Job details                                                      
----------------------------------------------------------------
                ID:  1d69f8b3-3989-4192-bbb9-6518e425061a
               Description:  Disable ACR job
                Status:  Created
                Created:  April 8, 2021 3:04:13 AM PDT

例21-11アプライアンスのプロビジョニング中のACRの有効化

アプライアンスのプロビジョニング中にACRを有効にするには、プロビジョニングに使用するJSONファイルにacrオプションを追加します。JSONファイルのacrEnableフィールドにtrueまたはfalseを指定します。acrオプションを指定しない場合、ACRは無効になります。

"acr": {
    "acrEnable": true
}

Oracle Trace File Analyzer収集の機密情報のサニタイズ

Oracle Trace File Analyzerの診断収集をリダクション(サニタイズまたはマスク)できます。

自動リダクションの有効化

自動リダクションを有効にするには、次のコマンドを使用します。

tfactl set redact=[mask|sanitize|none] 

コマンドの-maskオプションは、すべてのコレクションの機密データをブロックし、たとえば、myhost1を*******に置き換えます。-sanitizeオプションは、すべての収集の機密データをランダムな文字に置き換え、たとえば、myhost1をorzhmv1に置き換えます。noneオプションは、コレクション内の機密データをマスクまたはサニタイズしません。デフォルトはnoneです。

オンデマンド・リダクションの有効化

コレクションは、たとえば、tfactl diagcollect -srdc ORA-00600 -maskまたはtfactl diagcollect -srdc ORA-00600 -sanitizeでオンデマンドでリダクションできます。

1. すべての収集内の機密データをマスクするには:

   tfactl set redact=mask

2. すべての収集内の機密データをサニタイズするには:

   tfactl set redact=sanitize

例21-12 特定の収集内の機密データのマスクまたはサニタイズ

tfactl diagcollect -srdc ORA-00600 -mask
tfactl diagcollect -srdc ORA-00600 -sanitize

Oracle ORAchk出力の機密情報のサニタイズ

Oracle ORAchk出力をサニタイズできます。

Oracle ORAchk出力をサニタイズするには、-sanitizeオプション(orachk -profile asm -sanitizeなど)を含めます。既存のログ、HTMLレポートまたはzipファイル(orachk -sanitize file_nameなど)を渡すことによって、ポスト・プロセスをサニタイズすることもできます。

例21-13 特定の収集IDの機密情報のサニタイズ

orachk -sanitize comma_delimited_list_of_collection_IDs

例21-14 相対パスを使用したファイルのサニタイズ

orachk -sanitize new/orachk_node061919_053119_001343.zip 
orachk is sanitizing
/scratch/testuser/may31/new/orachk_node061919_053119_001343.zip. Please wait...

Sanitized collection is:
/scratch/testuser/may31/orachk_aydv061919_053119_001343.zip
orachk -sanitize ../orachk_node061919_053119_001343.zip 
orachk is sanitizing
/scratch/testuser/may31/../orachk_node061919_053119_001343.zip. Please wait...

Sanitized collection is:
/scratch/testuser/may31/orachk_aydv061919_053119_001343.zip

例21-15 Oracle Autonomous Health Frameworkのデバッグ・ログのサニタイズ

orachk -sanitize new/orachk_debug_053119_023653.log
orachk is sanitizing /scratch/testuser/may31/new/orachk_debug_053119_023653.log.
Please wait...

Sanitized collection is: /scratch/testuser/may31/orachk_debug_053119_023653.log

例21-16 完全健全性チェックの実行

orachk -localonly -profile asm -sanitize -silentforce

Detailed report (html) - 
/scratch/testuser/may31/orachk_node061919_053119_04448/orachk_node061919_053119_04448.html

orachk is sanitizing /scratch/testuser/may31/orachk_node061919_053119_04448.
Please wait...

Sanitized collection is: /scratch/testuser/may31/orachk_aydv061919_053119_04448

UPLOAD [if required] - /scratch/testuser/may31/orachk_node061919_053119_04448.zip

サニタイズ値を逆に検索するには、次のコマンドを使用します。

orachk -rmap all|comma_delimited_list_of_element_IDs

orachk -rmapを使用して、Oracle Trace File Analyzerによってサニタイズされた値を検索することもできます。

例21-17 サニタイズされた要素の逆マップの出力

orachk -rmap MF_NK1,fcb63u2

________________________________________________________________________________
| Entity Type | Substituted Entity Name | Original Entity Name |
________________________________________________________________________________
| dbname      | MF_NK1               | HR_DB1            |
| dbname      | fcb63u2              | rac12c2           |
________________________________________________________________________________
orachk -rmap all

ディスク診断ツールの実行

ディスク診断ツールを使用すると、ディスクの問題の原因を特定するのに役立ちます。

このツールにより、ノードごとに14のディスク・チェックのリストが生成されます。詳細を表示するには、次のコマンドを入力します(nはディスク・リソース名を表します)。

# odaadmcli stordiag n

たとえば、NVMe pd_00の詳細情報を表示するには:

# odaadmcli stordiag pd_00

Oracle Database Applianceハードウェア監視ツールの実行

Oracle Database Applianceハードウェア監視ツールは、Oracle Database Applianceサーバーの様々なハードウェア・コンポーネントのステータスを表示します。

ツールは、トレース・ファイル・アナライザ・コレクタによって実装されます。ベア・メタル・システムおよび仮想化システムの両方で、このツールを使用します。Oracle Database Applianceハードウェア監視ツールのレポートは、コマンドを実行したノードのみを対象としています。出力に表示される情報は、表示するように選択したコンポーネントによって異なります。

ベア・メタル・プラットフォーム

コマンドodaadmcli show -hを実行することで、監視対象コンポーネントの一覧を表示できます

特定のコンポーネントに関する情報を表示するには、コマンド構文odaadmcli show componentを使用します。componentは、問い合せるハードウェア・コンポーネントです。たとえば、コマンドodaadmcli show powerは、特にOracle Database Appliance電源装置に関する情報を表示します。

# odaadmcli show power

NAME            HEALTH  HEALTH_DETAILS   PART_NO.  	SERIAL_NO.
Power_Supply_0  OK            -          7079395     476856Z+1514CE056G

(Continued)
LOCATION    INPUT_POWER   OUTPUT_POWER   INLET_TEMP         EXHAUST_TEMP
PS0         Present       112 watts      28.000 degree C    34.938 degree C

仮想化プラットフォーム

コマンドoakcli show -hを実行することで、監視対象コンポーネントの一覧を表示できます。

特定のコンポーネントに関する情報を表示するには、コマンド構文oakcli show componentを使用します。componentは、クエリするハードウェア・コンポーネントです。たとえば、コマンドoakcli show powerは、特にOracle Database Appliance電源装置に関する情報を表示します。

# oakcli show power

NAME            HEALTH HEALTH_DETAILS PART_NO. SERIAL_NO.          
Power Supply_0  OK      -             7047410   476856F+1242CE0020
Power Supply_1  OK     -              7047410   476856F+1242CE004J

(Continued)

LOCATION  INPUT_POWER OUTPUT_POWER INLET_TEMP         EXHAUST_TEMP
PS0       Present     88 watts     31.250 degree C    34.188 degree C
PS1       Present     66 watts     31.250 degree C    34.188 degree C

ノート:

Oracle Database Appliance Serverハードウェア監視ツールは、Oracle Database Appliance仮想化プラットフォーム上でODA_BASEの初期起動中に有効になります。起動時に、ツールは約5分間、基本統計を収集します。その際に、「Gathering Statistics…」というメッセージが表示されます。

Oracle Database Applianceの信頼できるSSL証明書の構成

ブラウザ・ユーザー・インタフェースおよびDCSコントローラは、安全な通信のためにSSLベースのHTTPSプロトコルを使用します。この追加されたセキュリティの影響と、SSL証明書を構成するオプションについて理解します。

ブラウザ・ユーザー・インタフェースでは、管理者がアプライアンスと対話するときに、証明書と暗号化を使用してセキュリティのレイヤーが追加されます。データの暗号化により、次のことが保証されます。

• データは悪意のあるサードパーティではなく、目的の受信者に送信されます。
• サーバーとブラウザ間でデータが交換されるとき、データを傍受したり、データを編集することはできません。

HTTPSを介してブラウザ・ユーザー・インタフェースに接続すると、DCSコントローラによって、アプライアンスの識別情報を確認するための証明書がブラウザに表示されます。webブラウザは、証明書が信頼できる認証局(CA)のものでないことを検出すると、信頼できないソースが検出されたとみなし、セキュリティ・アラート・メッセージを生成します。ブラウザ・ユーザー・インタフェースのセキュリティはHTTPSおよびSSLを介して有効化されているが、認証局の信頼できる一致証明書でWeb層が適切に保護されていないため、セキュリティ・アラート・ダイアログ・ボックスが表示されます。認証局から商用証明書を購入したり、独自の証明書を作成して認証局に登録できます。ただし、ブラウザによってエラー・メッセージが生成されないように、サーバーとブラウザの証明書は同じ公開証明書鍵と信頼できる証明書を使用する必要があります。

証明書を構成するには、次の3つのオプションがあります。

• 独自の鍵とJavaキーストアを作成し、認証局(CA)によって署名されていることを確認してから、使用するためにインポートします。
• 既存のプライバシ強化メール(PEM)形式の鍵および証明書を新しいJavaキーストアにパッケージ化します。
• 既存のPKCSまたはPFXキーストアをJavaキーストアに変換し、ブラウザ・ユーザー・インタフェース用に構成します。

  ノート:

  Oracle Database Appliance高可用性ハードウェア・モデルでは、両方のノードで構成ステップを実行します。

次のトピックでは、これらのオプションを構成する方法について説明します。

• オプション1: 鍵およびJavaキーストアの作成と信頼できる証明書のインポート
  鍵および証明書管理ユーティリティであるkeytoolを使用して、キーストアおよび署名リクエストを作成します。
• オプション2: 新しいJavaキーストアでの既存のPEM形式の鍵および証明書のパッケージ化
  OpenSSLツールを使用して、PKCSキーストアのプライバシ強化メール(PEM)ファイルをパッケージ化します。
• オプション3: 既存のPKCSまたはPFXキーストアからJavaキーストアへの変換
  サーバーのドメインに既存のPKCSまたはPFXキーストアがある場合は、Javaキーストアに変換します。
• カスタム・キーストアを使用するためのDCSサーバーの構成
  キーストアをJavaキーストアにパッケージ化または変換した後、キーストアを使用するようにDCSサーバーを構成します。
• カスタム証明書用のDCSエージェントの構成
  証明書をキーストアにインポートした後、同じ証明書を使用するようにDCSエージェントを構成します。

オプション1: 鍵およびJavaキーストアの作成と信頼できる証明書のインポート

鍵および証明書管理ユーティリティであるkeytoolを使用して、キーストアおよび署名リクエストを作成します。

1. キーストアを作成します。

   keytool -genkeypair -alias your.domain.com -storetype jks -keystore 
   your.domain.com.jks -validity 366 -keyalg RSA -keysize 4096

2. データを識別するためのプロンプトが表示されます。

   1. What is your first and last name? your.domain.com
   2. What is the name of your organizational unit? yourunit
   3. What is the name of your organization? yourorg
   4. What is the name of your City or Locality? yourcity
   5. What is the name of your State or Province? yourstate
   6. What is the two-letter country code for this unit? US

3. 証明書署名リクエスト(CSR)を作成します。

   keytool -certreq -alias your.domain.com -file your.domain.com.csr
   -keystore your.domain.com.jks -ext san=dns:your.domain.com

4. 認証局(CA)の署名証明書をリクエストします。
   1. 前述のステップ1を実行したディレクトリで、ファイルyour.domain.com.csrを見つけます。
   2. ファイルを認証局(CA)に送信します。
      詳細は、CAによって異なります。通常、Webサイトからリクエストを送信すると、CAから連絡があり、本人確認が行われます。CAは署名付き返信ファイルを様々な形式で送信でき、CAはそれらの形式に様々な名前を使用します。CAの返信はPEMまたはPKCS#7形式である必要があります。
   3. CAの返信の待機期間がある可能性があります。
5. CAの返信をインポートします。CAの返信では、1つのPKCSファイルまたは複数のPEMファイルが提供されます。
   1. 前述のステップ1でキーストアを作成したディレクトリにCAのファイルをコピーします。
   2. keytoolを使用して、キーストアから証明書をエクスポートします。

      keytool -exportcert -alias your.domain.com -file /opt/oracle/dcs/conf/keystore-cert.crt 
      -keystore your.domain.name.jks

6. keytoolを使用して、キーストア証明書とCA返信ファイルをインポートします。

   keytool -importcert -trustcacerts -alias your.domain.com 
   -file /opt/oracle/dcs/conf/keystore-cert.crt  -keystore /opt/oracle/dcs/conf/dcs-ca-certs

   PKCSファイルをインポートするには、次のコマンドを実行します。

   keytool -importcert -trustcacerts -alias your.domain.com -file 
   CAreply.pkcs -keystore /opt/oracle/dcs/conf/dcs-ca-certs

   CAreply.pkcsはCAによって提供されるPKCSファイルの名前で、your.domain.comはサーバーの完全なドメイン名です。

   CAがPEMファイルを送信した場合、ファイルは1つであることがありますが、ほとんどの場合は2つまたは3つあります。値を置換した後、次の順序でコマンドを使用してファイルをキーストアにインポートします。

   keytool -importcert -alias root -file root.cert.pem -keystore /opt/oracle/dcs/conf/dcs-ca-certs -trustcacerts
   keytool -importcert -alias intermediate -file intermediate.cert.pem /opt/oracle/dcs/conf/dcs-ca-certs -trustcacerts
   keytool -importcert -alias intermediat2 -file intermediat2.cert.pem /opt/oracle/dcs/conf/dcs-ca-certs -trustcacerts
   keytool -importcert -alias your.domain.com -file server.cert.pem /opt/oracle/dcs/conf/dcs-ca-certs -trustcacerts

   root.cert.pemはルート証明書ファイルの名前で、intermediate.cert.pemは中間証明書ファイルの名前です。ルート・ファイルと中間ファイルは、webブラウザで認識されている広く信頼されているルート証明書にCAの署名をリンクします。すべてではありませんがほとんどのCAの返信にはルートと中間が含まれます。server.cert.pemはサーバー証明書ファイルの名前です。このファイルは、ドメイン名を公開鍵およびCAの署名にリンクします。

オプション2: 新しいJavaキーストアでの既存のPEM形式の鍵および証明書のパッケージ化

OpenSSLツールを使用して、PKCSキーストア内のプライバシ強化メール(PEM)ファイルをパッケージ化します。

サーバーのドメインの既存の秘密鍵と証明書がPEM形式である場合、それらをJavaキーストアにインポートするにはOpenSSLツールが必要です。OpenSSLは、PEMファイルをPKCSキーストアにパッケージ化できます。Java keytoolは、PKCSキーストアをJavaキーストアに変換できます。

1. OpenSSLをインストールします。
2. 秘密鍵、サーバー証明書および中間証明書を1つのディレクトリにコピーします。
3. 次のように、鍵と証明書をPKCSキーストアにパッケージ化します。

   openssl pkcs12 -export -in server.cert.pem -inkey private.key.pem -certfile 
   intermediate.cert.pem -name "your.domain.com" -out your.domain.com.p12

   server.cert.pemはサーバー証明書ファイルの名前、your.domain.comはサーバーの完全なドメイン名、private.key.pemはserver.cert.pemの公開鍵に相当する秘密鍵、intermediate.cert.pemは中間証明書ファイルの名前です。
   生成されたPKCSキーストア・ファイルyour.domain.com.p12をJavaキーストアに変換します。

オプション3: 既存のPKCSまたはPFXキーストアからJavaキーストアへの変換

サーバーのドメインに既存のPKCSまたはPFXキーストアがある場合は、Javaキーストアに変換します。

1. 次のコマンドを実行します。

   keytool -importkeystore -srckeystore your.domain.com.p12 -srcstoretype PKCS12 
   -destkeystore /opt/oracle/dcs/conf/dcs-ca-certs -deststoretype jks

   your.domain.com.p12は既存のキーストア・ファイルで、your.domain.comはサーバーの完全なドメイン名です。
2. カスタム・キーストアを使用するためのDCSサーバーの構成のトピックの説明に従って、DCSサーバーを構成します。

カスタム・キーストアを使用するためのDCSサーバーの構成

キーストアをJavaキーストアにパッケージ化または変換した後、キーストアを使用するようにDCSサーバーを構成します。

1. アプライアンスにログインします。

   ssh -l root oda-host-name

2. 不明瞭化されたキーストアのパスワードを生成します。

   java -cp /opt/oracle/dcs/bin/dcs-controller-n.n.n.-SNAPSHOT.jar
    org.eclipse.jetty.util.security.Password keystore-password

   次に例を示します。

   [root@oda]# java -cp /opt/oracle/dcs/bin/dcs-controller-2.4.18-SNAPSHOT.jar 
   org.eclipse.jetty.util.security.Password test
   12:46:33.858 [main] DEBUG org.eclipse.jetty.util.log 
   - Logging to Logger[org.eclipse.jetty.util.log] via org.eclipse.jetty.util.log.Slf4jLog
   12:46:33.867 [main] INFO org.eclipse.jetty.util.log 
   - Logging initialized @239ms to org.eclipse.jetty.util.log.Slf4jLog
   test
   OBF:1z0f1vu91vv11z0f
   MD5:098f6bcd4621d373cade4e832627b4f6
   [root@scaoda7s001 conf]#

   OBF:で始まるパスワードをコピーします。

3. DCSコントローラ構成ファイルを更新します。

   cd /opt/oracle/dcs/conf

   dcs-controller.jsonの次のパラメータを更新します。

   "keyStorePath": "keystore-directory-path/your.domain.com.jks"      
    "trustStorePath": /opt/oracle/dcs/conf/dcs-ca-certs
    "keyStorePassword": "obfuscated keystorepassword"
    "certAlias": "your.domain.com"

4. DCSコントローラを再起動します。

   systemctl stop initdcscontroller
   systemctl start initdcscontroller

5. ブラウザ・ユーザー・インタフェース(https://oda-host-name:7093/mgmt/index.html)にアクセスします。

カスタム証明書用のDCSエージェントの構成

証明書をキーストアにインポートした後、同じ証明書を使用するようにDCSエージェントを構成します。

1. DCSエージェント構成ファイルを更新します。

   cd /opt/oracle/dcs/conf

   dcs-agent.jsonファイルの次のパラメータを更新します。

   "keyStorePath": "keystore-directory-path/your.domain.com.jks"      
    "trustStorePath": /opt/oracle/dcs/conf/dcs-ca-certs
    "keyStorePassword": "obfuscated keystorepassword"
    "certAlias": "your.domain.com"

2. DCSエージェントを再起動します。

   systemctl stop initdcsagent
   systemctl start initdcsagent

3. エージェント(https://oda-host-name:7070)にアクセスします。
4. CLI証明書を更新します。

   cp -f /opt/oracle/dcs/conf/dcs-ca-certs 
   /opt/oracle/dcs/dcscli/dcs-ca-certs

5. DCSコマンドライン構成ファイルを更新します。

   [root@]# cd /opt/oracle/dcs/dcscli

   dcscli-adm.confおよびdcscli.confの次のパラメータを更新します。

   TrustStorePath=/opt/oracle/dcs/conf/dcs-ca-certs
   TrustStorePassword=keystore_password

ブラウザ・ユーザー・インタフェースの無効化

ブラウザ・ユーザー・インタフェースを無効にすることもできます。ブラウザ・ユーザー・インタフェースを無効にすることは、コマンドライン・インタフェースでのみアプライアンスを管理できることを意味します。

1. アプライアンスにログインします。

   ssh -l root oda-host-name

2. DCSコントローラを停止します。高可用性システムの場合、両方のノードでコマンドを実行します。

   systemctl stop initdcscontroller

Oracleサポート・サービス用のログ・ファイルの用意

Oracleサポート・サービスからのサポートが必要なシステム障害がある場合は、Oracleが問題の診断をサポートできるように、ログ・レコードを提供する必要がある場合があります。

アプライアンスの診断情報は、次の方法で収集できます。

• /opt/oracle/dcs/Inventory/ディレクトリに保存されている部品構成表レポートを使用して、必要に応じてOracle Supportがエラーのトラブルシューティングを行えるようにします。
• Trace Fileコレクタ(tfactlコマンド)を使用して、Oracle Database Applianceコンポーネントのすべてのログ・ファイルを収集できます。
• odaadmcli manage diagcollectコマンドを使用して、Oracle Support Servicesに送信する診断ファイルを収集します。

odaadmcli manage diagcollectコマンドは、Oracle Database Applianceに格納されているログ・ファイルの情報を、Oracle Support Servicesで使用する単一のログ・ファイルに統合します。ファイルの場所は、コマンド出力で指定されます。

例21-18 一定期間のログ・ファイル情報の収集、機密データのマスキング

# odaadmcli manage diagcollect --dataMask --fromTime 2019-08-12 --toTime 2019-08-25
DataMask is set as true
FromTime is set as: 2019-08-12
ToTime is set as: 2019-08-25
TFACTL command is: /opt/oracle/tfa/tfa_home/bin/tfactl
Data mask is set.
Collect data from 2019-08-12
Collect data to 2019-08-25