機械翻訳について

20 Oracle Database Applianceのトラブルシューティング

変更の検証およびOracle Database Applianceの問題のトラブルシューティングに使用できるツールについて理解します。

Oracle Database Applianceエラー相関レポートの表示

エラー相関レポートの表示方法およびアプライアンスのトラブルシューティングのためにレポートを解釈する方法を理解します。

エラー相関レポートについて

DCSジョブが失敗すると、エラー相関ジョブが自動的に作成され、エラー相関レポートが生成されます。 生成されたエラー相関レポートにBUIからアクセスして確認し、エラー解決の考えられる方法を調べることができます。

エラー相関レポートには次のものが含まれます:
  • ログ・メッセージ: 様々なログ・ファイルからのエラー、例外および警告。
  • 失敗したタスク・メッセージ: DCSジョブが失敗したときに表示されるエラー・メッセージ。
  • リリース・ノート: 問題の解決に役立つ、Oracle Database Applianceリリース・ノートの関連する既知の問題。
  • ドキュメント: エラーの解決に役立つ、Oracle Database Applianceドキュメント・ライブラリの関連トピック。
エラー相関レポートは、失敗したすべてのDCSジョブについて生成され、BUIからアクセスできます。 Oracle Database Appliance高可用性デプロイメントでは、エラー相関レポートに両方のノードのログ・ファイルから導出されたエラー情報が含まれます。

BUIからのエラー相関レポートの表示

BUIのページからエラー相関レポートを表示するには:
  1. ブラウザ・ユーザー・インタフェースにログインします:
    https://host-ip-address:7093/mgmt/index.html
  2. 「アクティビティ」タブをクリックします。
  3. アクティビティ・ページで、エラー相関レポートを表示する失敗したDCSジョブの「失敗」またはInternalErrorリンクをクリックします。 失敗したDCSジョブのみがエラー相関レポートに関連付けられていることに注意してください。
  4. 「行動」メニューをクリックして「エラー相関レポートの表示」を選択すると、失敗したDCSジョブのエラー相関レポートを表示することもできます。
  5. エラー相関レポートには次のタブがあります:
    • ログ・メッセージ: DCSエージェント、DCS管理者、Zookeeper、MySQLおよびOracle FPPのログを表示します。 各セクションを展開して詳細を表示できます。 ログがあるコンポーネントのみが表示されます。 エラーが見つからない場合は、メッセージNo errors or exceptions found in logsが「ログ・メッセージ」セクションに表示されます。
    • 失敗したタスク・メッセージ: タスクが失敗したときに表示される特定のエラー・メッセージが表示されます。
    • リリース・ノート: 問題の解決に役立つ、Oracle Database Applianceリリース・ノートから関連する既知の問題を表示します。 これらの各リンクをクリックして、リリース・ノート・エントリを表示できます。 関連する既知の問題が見つからない場合は、メッセージNo matching results were found.が表示されます。
    • ドキュメント: エラーの解決に役立つ、Oracle Database Applianceドキュメント・ライブラリの関連トピックを表示します。 これらの各リンクをクリックして、Oracle Database Applianceドキュメントからドキュメント・トピックを表示できます。
BUIのDiagnosticsページからError Correlation Reportを表示するには:
  1. BUIで、「診断」タブをクリックします。
  2. 診断ページで、失敗したジョブの「診断データの収集」をクリックします。
  3. 「収集診断」ページには、失敗したDCSジョブの個別のタブにエラー相関レポートとジョブ詳細が表示されます。
  4. ジョブの詳細タブにはジョブのステップが表示され、エラー相関レポートには「ログ・メッセージ」「失敗したタスク・メッセージ」「リリース・ノート」および「ドキュメント」タブが含まれます。

トラブルシューティングのためのLinuxカーネル・コア・エクストラクタの有効化について

Linux Kernel Core Extractorを管理してアプライアンスをトラブルシューティングする方法を理解します。

Linux Kernel Core Extractorについて

Linuxカーネル・パニックは、障害のあるハードウェア、ドライバのクラッシュ、ソフトウェアのバグなどのさまざまな理由で発生する可能性があります。 カーネル・パニックの原因を特定するには、クラッシュしたカーネルのvmcoreを収集して分析することが不可欠です。 kdumpサービスは、最初のカーネル・クラッシュ後にvmcoreを収集するために使用されます。 このプロセスは、メモリーが大きいシステムでは低速であり、使用可能な領域が十分でないとvmcoreの生成に失敗することがよくあります。 Linux Kernel Core ExtractorがOracle Database Applianceベア・メタル・システムで有効になっている場合、kdumpカーネルのクラッシュ・ユーティリティは、vmcoreを生成せずにトラブルシューティングに役立つ情報を収集します。

Linuxカーネル・コア抽出プログラムのコマンド

生成されたクラッシュ・レポートの一覧表示:
# /usr/sbin/oled lkce list
Followings are the crash*out found in /var/oled/lkce dir:
/var/oled/lkce/crash_20220307-154542.out
最後の3つのクラッシュ・レポートを除くすべてをパージします:
# /usr/sbin/oled lkce clean
lkce deletes all but last three /var/oled/lkce/crash*out files. do you want to proceed(yes/no)? [no]:
すべてのクラッシュ・レポートを削除:
# /usr/sbin/oled lkce clean --all
lkce removes all the files in /var/oled/lkce dir. do you want to proceed(yes/no)? [no]:
デフォルトでは、クラッシュ・レポートには次のクラッシュ・コマンドの出力が含まれます。 他のクラッシュ・コマンドを/etc/oled/lkce/crash_cmds_fileに追加できます。
#
# This is the input file for crash utility. You can edit this manually
# Add your own list of crash commands one per line.
#
bt
bt -a
bt -FF
dev
kmem -s
foreach bt
log
mod
mount
net
ps -m
ps -S
runq
quit
デフォルトでは、vmcoreの生成は無効になっています。 次のようにvmcore生成を有効にできます:
# oled lkce configure --vmcore=yes
Restarting kdump service... done!
lkce: set vmcore to yes
追加のLinuxカーネル・コア抽出プログラム・コマンドについては、Linuxカーネル・コア抽出プログラムのヘルプを参照してください。
# oled lkce help
Usage: lkce options
options:
    report report-options -- Generate a report from vmcore
    report-options:
        --vmcore=/path/to/vmcore        - path to vmcore
        [--vmlinux=/path/to/vmlinux]        - path to vmlinux
        [--crash_cmds=cmd1,cmd2,cmd3,..]    - crash commands to include
        [--outfile=/path/to/outfile]        - write output to a file
 
    configure [--default]   -- configure lkce with default values
    configure [--show]  -- show lkce configuration -- default
    configure [config-options]
    config-options:
        [--vmlinux_path=/path/to/vmlinux]   - set vmlinux_path
        [--crash_cmds_file=/path/to/file]   - set crash_cmds_file
        [--kdump_report=yes/no]         - set crash report in kdump kernel
        [--vmcore=yes/no]           - set vmcore generation in kdump kernel
        [--max_out_files=<number>]        - set max_out_files
 
    enable  -- enable lkce in kdump kernel
    disable -- disable lkce in kdump kernel
    status  -- status of lkce
 
    clean [--all]   -- clear crash report files
    list        -- list crash report files

DCSエラー・メッセージに関する詳細の表示

トラブルシューティングのためにDCSエラーの詳細を表示する方法を理解します。

DCSエラーに関する情報の表示について

DCS操作中のエラーの詳細を表示するには、コマンドdcserr error_codeを使用します。

# /opt/oracle/dcs/bin/dcserr
dcserr error_code
 
# dcserr 10001
10001, Internal_Error, "Internal error encountered: {0}."
// *Cause: An internal error occurred.
// *Action: Contact Oracle Support Services for assistance.
/
# dcserr 1001
Unknown error code

ブラウザ・ユーザー・インタフェース(BUI)でDCSエラーの詳細を表示するには、BUIの検索ボックスでDCSエラー・コードを指定します。 検索結果には、DCSエラー・コードの原因と処理が表示されます。

BUIを使用した診断データの収集

エラーのトラブルシューティングのために診断データを収集する方法を理解します。

診断データの収集について

ブラウザ・ユーザー・インタフェースの「Diagnostics」タブを使用して、デプロイメントおよびインストールされているコンポーネントに関する診断情報を表示します。

「Diagnostic Collection」ページでは、使用可能な診断コレクションを表示できます。 「Collect Diagnostic Data」をクリックして、診断収集を開始します。 データが収集されたら、収集ファイルのパスをクリックしてファイルをダウンロードします。

「Collect Diagnostics」ページで、診断データ収集のジョブIDを指定します。 オプションで、収集のタグと説明を指定します。 ジョブIDの詳細が表示されます。 「Collect」をクリックして、診断データの収集を開始します。

特定のジョブの「Actions」ドロップダウンから「Collect Diagnostics」を選択して、「Activity」ページから診断を収集することもできます。 「Collect」をクリックして、診断データの収集を開始します。

診断収集を削除するには、「Diagnostic Collection」ページで特定の収集を選択し、「Delete」をクリックします。

この診断収集機能は、odaadmcli manage diagcollectコマンドに代わるものではありません。 odaadmcli manage diagcollectコマンドを使用して、BUIのこの新機能とは別に、診断収集を有効にすることもできます。 odaadmcli manage diagcollectコマンドおよびBUIからの診断収集では、内部でtfactlコマンドが使用されます。 BUIからの診断収集は、tfactlによって収集されないDCSメタデータから他のデータを収集し、関連するDCSジョブの失敗の根本原因分析のためのより優れたコンテキストを提供することを目的としています。

パッチ適用中のDCSコンポーネント更新時のエラーの解決

パッチ適用中にDCSコンポーネントを更新するときのエラーのトラブルシューティング方法を理解します。

.

DCSコンポーネントについて

パッチ適用中にodacli update-dcscomponentsコマンドを実行すると、Zookeeper、MySQLおよびDCSコンポーネントを更新する前に、MySQLのインストールの事前チェックが自動的に検証されます。 いずれかの事前チェックが失敗した場合、コマンドは事前チェック・レポート・ログ・ファイルの場所/opt/oracle/dcs/log/jobId-dcscomponentsPreCheckReport.logへの参照でエラーになります。 事前チェック・レポートを確認し、修正処理を実行してから、odacli update-dcscomponentsコマンドを再実行します。 事前チェック・エラーがない場合、パッチ適用プロセスはDCSエージェント、DCS CLI、DCSコントローラなどのZookeeper、MySQLおよびDCSコンポーネントの更新に進みます。

ノート:

odacli update-dcscomponentsコマンドを実行する前に、odacli update-dcsadminコマンドを実行します。

odacli update-dcscomponentsコマンドが正常に完了した場合:

コマンド出力は次のようになります。

# ./odacli update-dcscomponents -v 19.17.0.0.0            
{
  "jobId" : "3ac3667a-fa22-40b6-a832-504a56aa3fdc",
  "status" : "Success",
  "message" : "Update-dcscomponents is successful on all the node(s):DCS-Agent
shutdown is successful. MySQL upgrade is done before. Metadata migration is
successful. Agent rpm upgrade is successful. DCS-CLI rpm upgrade is successful.
DCS-Controller rpm upgrade is succ",
  "reports" : null,
  "createTimestamp" : "February 22, 2021 02:37:37 AM CST",
  "description" : "Update-dcscomponents job completed and is not part of Agent
job list",
  "updatedTime" : "February 22, 2021 02:39:10 AM CST"
}

/opt/oracle/dcs/log/jobId-dcscomponentsPreCheckReport.logの場所にある事前チェック・レポート・ログ・ファイルには、次のものが含まれます。

Pre-check Name: Space check
Status: Success
Comments: Required space 3 GB is available in /opt

Pre-check Name: Port check
Status: Success
Comments: Port 3306 is available for running ODA MySQL

Pre-check Name: ODA MySQL rpm installation dry-run check
Status: Success
Comments: ODA MySQL rpm dry-run passed

Pre-check Name: Check for the existence of MySQL connector/J library
Status: Success
Comments: ODA MySQL connector/J library found

Pre-check Name: Check for the existence of Metadata migration utility
Status: Success
Comments: Metadata migration utility found

odacli update-dcscomponentsコマンドが失敗した場合:

Oracle Database Appliance単一ノード・システムでは、コマンド出力は次のようになります。

# ./odacli update-dcscomponents -v 19.17.0.0.0            

DCS-10008:Failed to update DCScomponents: 19.10.0.0.0
Internal error while patching the DCS components :
DCS-10231:Cannot proceed. Pre-checks for update-dcscomponents failed. Refer to
/opt/oracle/dcs/log/jobId-dcscomponentsPreCheckReport.log
on node 0 for details.

Oracle Database Applianceの高可用性システムでは、コマンド出力は次のようになります。

# ./odacli update-dcscomponents -v 19.17.0.0.0            

Internal error while patching the DCS components :
DCS-10231:Cannot proceed. Pre-checks for update-dcscomponents failed. Refer to
/opt/oracle/dcs/log/jobId-dcscomponentsPreCheckReport.log
on node 0 and /opt/oracle/dcs/log/jobId-dcscomponentsPreCheckReport.log
on node 1 for details.

このコマンドはすべての事前チェックを1つずつ実行し、事前チェックのいずれかがFailedとしてマークされている場合は最後にエラーになります。 事前チェックが失敗した場合、エラー・メッセージが事前チェック・レポート・ログの場所への参照とともにコンソールに表示されます。 事前チェック・レポート・ログ・ファイルは/opt/oracle/dcs/log/jobId-dcscomponentsPreCheckReport.logにあります。

Pre-check Name: Space check
Status: Failed
Comments: Available space in /opt is 2 GB but minimum required space in /opt is 3 GB 

Pre-check Name: Port check
Status: Success
Comments: Port 3306 is available for running ODA MySQL

Pre-check Name: ODA MySQL rpm installation dry-run check
Status: Success
Comments: ODA MySQL rpm dry-run passed

Pre-check Name: Check for the existence of MySQL connector/J library
Status: Success
Comments: ODA MySQL connector/J library found

Pre-check Name: Check for the existence of Metadata migration utility
Status: Success
Comments: Metadata migration utility found

領域チェック・エラーが原因でodacli update-dcscomponentsコマンドが失敗した場合:

事前チェック・レポート・ログには次が含まれています。

Pre-check Name: Space check
Status: Failed
Comments: Available space in /opt is 2 GB but minimum required space in /opt is 3 GB 

Pre-check Name: Port check
Status: Success
Comments: Port 3306 is available for running ODA MySQL

Pre-check Name: ODA MySQL rpm installation dry-run check
Status: Success
Comments: ODA MySQL rpm dry-run passed

Pre-check Name: Check for the existence of MySQL connector/J library
Status: Success
Comments: ODA MySQL connector/J library found

Pre-check Name: Check for the existence of Metadata migration utility
Status: Success
Comments: Metadata migration utility found

ポート・チェック・エラーが原因でodacli update-dcscomponentsコマンドが失敗した場合:

事前チェック・レポート・ログには次が含まれています。

Pre-check Name: Space check
Status: Success
Comments: Required space 3 GB is available in /opt

Pre-check Name: Port check
Status: Failed
Comments: No port found in the range ( 3306 to 65535 )

Pre-check Name: ODA MySQL rpm installation dry-run check
Status: Success
Comments: ODA MySQL rpm dry-run passed

Pre-check Name: Check for the existence of MySQL connector/J library
Status: Success
Comments: ODA MySQL connector/J library found

Pre-check Name: Check for the existence of Metadata migration utility
Status: Success
Comments: Metadata migration utility found

MySQL RPMインストールのドライラン・チェック・エラーが原因でodacli update-dcscomponentsコマンドが失敗した場合:

事前チェック・レポート・ログには次が含まれています。

Pre-check Name: Space check
Status: Success
Comments: Required space 3 GB is available in /opt

Pre-check Name: Port check
Status: Success
Comments: Port 3306 is available for running ODA MySQL

Pre-check Name: ODA MySQL rpm installation dry-run check
Status: Failed
Comments: ODA MySQL rpm dry-run failed. Failed due to the following error :
Exception details are displayed below

Pre-check Name: Check for the existence of MySQL connector/J library
Status: Success
Comments: ODA MySQL connector/J library found

Pre-check Name: Check for the existence of Metadata migration utility
Status: Success
Comments: Metadata migration utility found

MySQLコネクタ/Jライブラリ・チェック・エラーが原因でodacli update-dcscomponentsコマンドが失敗した場合:

事前チェック・レポート・ログには次が含まれています。

Pre-check Name: Space check
Status: Success
Comments: Required space 3 GB is available in /opt

Pre-check Name: Port check
Status: Success
Comments: Port 3306 is available for running ODA MySQL

Pre-check Name: ODA MySQL rpm installation dry-run check
Status: Success
Comments: ODA MySQL rpm dry-run passed

Pre-check Name: Check for the existence of MySQL connector/J library
Status: Failed
Comments: MySQL connector/J library does not exist. Ensure update-repository with latest serverzip bundles ran first without any issues prior to running update-dcscomponents

Pre-check Name: Check for the existence of Metadata migration utility
Status: Success
Comments: Metadata migration utility found

メタデータ移行ユーティリティのチェック・エラーが原因でodacli update-dcscomponentsコマンドが失敗した場合:

事前チェック・レポート・ログには次が含まれています。

Pre-check Name: Space check
Status: Success
Comments: Required space 3 GB is available in /opt

Pre-check Name: Port check
Status: Success
Comments: Port 3306 is available for running ODA MySQL

Pre-check Name: ODA MySQL rpm installation dry-run check
Status: Success
Comments: ODA MySQL rpm dry-run passed

Pre-check Name: Check for the existence of MySQL connector/J library
Status: Success
Comments: ODA MySQL connector/J library found

Pre-check Name: Check for the existence of Metadata migration utility
Status: Failed
Comments: Metadata migration utility does not exist. Ensure update-repository with latest serverzip bundles ran first without any issues prior to running update-dcscomponents

アプライアンスでのコンポーネント情報の表示

アプライアンスにインストールされているすべてのコンポーネントの詳細およびRPMドリフト情報を表示します。

ブラウザ・ユーザー・インタフェースでの部品表の表示

ブラウザ・ユーザー・インタフェースの「Appliance」タブを使用して、デプロイメントおよびインストールされているコンポーネントに関する情報を表示します。 「Advanced Information」タブには、次のコンポーネントに関する情報が表示されます。

  • グリッド・インフラストラクチャ・バージョンおよびホーム・ディレクトリ

  • データベース・バージョン、ホームの場所およびエディション

  • 構成されたデータベースの場所および詳細

  • アプライアンスに適用されたすべてのパッチ

  • ファームウェアコントローラおよびディスク

  • ILOM情報

  • BIOSのバージョン

  • RPMのリスト

「List of RPMs」セクションで、「Show」をクリックしてから「RPM Drift」をクリックして、アプライアンスにインストールされているRPMと最新のOracle Database Applianceパッチ・バンドル更新リリースに含まれているRPMの違いを表示します。

コンポーネント・レポートを保存するには「Download」をクリックします。 このレポートを使用すると、デプロイメントの問題の診断に役立ちます。

コマンドラインからの部品表の表示

部品表は、ベア・メタルおよび仮想化プラットフォームのデプロイメントのコマンドラインから使用することもできます。 インストールされたコンポーネントに関する情報は、設定されたスケジュールに従って収集され、ベア・メタル・デプロイメントの場合は/opt/oracle/dcs/Inventory/、仮想化プラットフォームの場合は/opt/oracle/oak/Inventory/ディレクトリに格納されます。 ファイルはoda_bom_TimeStamp.jsonという形式で格納されます。 コマンドdescribe-systemを使用して、コマンドラインで部品構成表を表示します。 コマンド・オプションおよび使用上のノートは、Oracle Databaseコマンドライン・インタフェースの章を参照してください。

例20-1 ベア・メタル・デプロイメントのコマンドラインから部品表を表示するコマンドの例

# odacli describe-system -b
ODA Components Information 
------------------------------
Component Name                Component Details                                            
---------------               ----------------------------------------------------------------------------------------------- 
NODE                          Name : oda1 
                              Domain Name : testdomain.com 
                              Time Stamp : April 21, 2020 6:21:15 AM UTC 

  
RPMS                          Installed RPMS : abrt-2.1.11-55.0.1.el7.x86_64,
                                               abrt-addon-ccpp-2.1.11-55.0.1.el7.x86_64,
                                               abrt-addon-kerneloops-2.1.11-55.0.1.el7.x86_64,
                                               abrt-addon-pstoreoops-2.1.11-55.0.1.el7.x86_64,
                                               abrt-addon-python-2.1.11-55.0.1.el7.x86_64,
                                               abrt-addon-vmcore-2.1.11-55.0.1.el7.x86_64,
                                               abrt-addon-xorg-2.1.11-55.0.1.el7.x86_64,
                                               abrt-cli-2.1.11-55.0.1.el7.x86_64,
                                               abrt-console-notification-2.1.11-55.0.1.el7.x86_64,
                                               abrt-dbus-2.1.11-55.0.1.el7.x86_64,
                                               abrt-libs-2.1.11-55.0.1.el7.x86_64,
                                               abrt-python-2.1.11-55.0.1.el7.x86_64,
                                               abrt-tui-2.1.11-55.0.1.el7.x86_64,
                                               acl-2.2.51-14.el7.x86_64,
                                               adwaita-cursor-theme-3.28.0-1.el7.noarch,
                                               adwaita-icon-theme-3.28.0-1.el7.noarch,
                                               aic94xx-firmware-30-6.el7.noarch,
                                               aide-0.15.1-13.0.1.el7.x86_64,
                                               alsa-firmware-1.0.28-2.el7.noarch,
                                               alsa-lib-1.1.8-1.el7.x86_64,
                                               alsa-tools-firmware-1.1.0-1.el7.x86_64,
                                               at-3.1.13-24.el7.x86_64,
                                               at-spi2-atk-2.26.2-1.el7.x86_64,
                                               at-spi2-core-2.28.0-1.el7.x86_64,
                                               atk-2.28.1-1.el7.x86_64,
                                               attr-2.4.46-13.el7.x86_64,
                                               audit-2.8.5-4.el7.x86_64,
                                               audit-libs-2.8.5-4.el7.x86_64,
                                               audit-libs-python-2.8.5-4.el7.x86_64,
                                               augeas-libs-1.4.0-9.el7.x86_64,
                                               authconfig-6.2.8-30.el7.x86_64,
                                               autogen-libopts-5.18-5.el7.x86_64,
                                               avahi-libs-0.6.31-19.el7.x86_64,
                                               basesystem-10.0-7.0.1.el7.noarch,
                                               bash-4.2.46-33.el7.x86_64,
                                               bash-completion-2.1-6.el7.noarch,
                                               bc-1.06.95-13.el7.x86_64,
                                               bind-export-libs-9.11.4-9.P2.el7.x86_64,
                                               bind-libs-9.11.4-9.P2.el7.x86_64,
                                               bind-libs-lite-9.11.4-9.P2.el7.x86_64,
                                               bind-license-9.11.4-9.P2.el7.noarch,
                                               bind-utils-9.11.4-9.P2.el7.x86_64,
                                               binutils-2.27-41.base.0.7.el7_7.2.x86_64,
                                               biosdevname-0.7.3-2.el7.x86_64,
                                               blktrace-1.0.5-9.el7.x86_64,
                                               bnxtnvm-1.40.10-1.x86_64,
                                               boost-date-time-1.53.0-27.el7.x86_64,
                                               boost-filesystem-1.53.0-27.el7.x86_64,
                                               boost-iostreams-1.53.0-27.el7.x86_64,
....
....
....

例20-2 仮想化プラットフォーム・デプロイメントのコマンドラインから部品表を表示するコマンドの例

# oakcli describe-system -b

例20-3 格納された場所から部品表レポートを表示するコマンドの例

# ls -la /opt/oracle/dcs/Inventory/
total 264
-rw-r--r-- 1 root root 83550 Apr 26 05:41 oda_bom_2018-04-26_05-41-36.json

ブラウザ・ユーザー・インタフェースへのログイン時のエラー

ブラウザ・ユーザー・インタフェースへのログインに問題がある場合は、ブラウザまたは資格証明が原因である可能性があります。

ノート:

Oracle Database Applianceでは、自己署名証明書を使用します。 ブラウザ・ユーザー・インタフェースへのログイン方法は、ブラウザによって決まります。 ブラウザとブラウザのバージョンによっては、証明書が自己署名されているために無効である、または信頼されていない、あるいは接続がプライベートでないという警告やエラーが表示されることがあります。 エージェントおよびブラウザ・ユーザー・インタフェースの自己署名証明書を受け入れるようにしてください。

ブラウザ・ユーザー・インタフェースにログインするには、次のステップを実行します。

  1. ブラウザ・ウィンドウを開きます。
  2. 次のURLに移動します: https://ODA-host-ip-address:7093/mgmt/index.html
  3. セキュリティ証明書(または証明書)を取得し、セキュリティ例外を確認し、例外を追加します。
  4. Oracle Database Applianceの資格証明を使用してログインします。
    oda-adminパスワードをまだ設定していない場合は、システム・セキュリティ要件に準拠するようにデフォルト・パスワードを変更するよう求めるメッセージが表示されます。
  5. エージェント・セキュリティ証明書に例外を追加していない場合は、エージェント証明書の受入れに関するメッセージが表示されます。
  6. ブラウザで別のタブを使用して、次のURLに移動します: https://ODA-host-ip-address:7070/login
  7. セキュリティ証明書(または証明書)を取得し、セキュリティ例外を確認し、例外を追加します。
  8. ブラウザ・ユーザー・インタフェースのURLをリフレッシュします: https://ODA-host-ip-address:7093/mgmt/index.html

ノート:

macOS CatalinaやGoogle ChromeなどのブラウザでOracle Database Applianceブラウザ・ユーザー・インタフェースへのログインに問題が発生した場合は、製品の正式サイトの説明に従って回避策を使用する必要がある場合があります。

Oracle Database Applianceの再イメージ化時のエラー

Oracle Database Applianceの再イメージ化時に発生するエラーのトラブルシューティング方法を説明します。

Oracle Database Applianceの再イメージ化に失敗し、ストレージ検出でのエラーやGIルート・スクリプトの実行、ディスク・グループのRECOの作成などの古いヘッダーの問題が発生した場合は、cleanup.plを指定して強制モードを使用します。

# cleanup.pl -f

再イメージ化が正常に行われるようにするには、セキュアな消去ツールを実行して、古いヘッダーをストレージ・ディスクから削除します。 OAK/ASMヘッダーが削除されていることを確認します。

# cleanup.pl -erasedata
# cleanup.pl -checkHeader

再イメージ化操作を再試行します。

診断を実行するためのOracle Autonomous Health Frameworkの使用

Oracle Autonomous Health Frameworkは、収集された診断データを収集および分析し、システムの状態に影響する前に問題を事前に特定します。

Oracle Autonomous Health Frameworkのインストールについて

Oracle Database Applianceリリース19.17にプロビジョニングまたはパッチ適用すると、Oracle Autonomous Health Frameworkは自動的にインストールされます。

アプライアンスをOracle Database Applianceリリース19.17にプロビジョニングまたはパッチ適用すると、Oracle Autonomous Health Frameworkがパス/opt/oracle/dcs/oracle.ahfにインストールされます。

次のコマンドを実行して、Oracle Autonomous Health Frameworkがインストールされていることを確認できます。
[root@oak ~]# rpm -q oracle-ahf
oracle-ahf-193000-########.x86_64

ノート:

Oracle Database Applianceリリース19.17にプロビジョニングまたはパッチを適用すると、Oracle Autonomous Health FrameworkはOracle ORAchkヘルス・チェック・ツールおよびOracle Trace File Analyzerコレクタを自動的に提供します。
Oracle ORAchkヘルス・チェック・ツールは、Oracleソフトウェア・スタックのプロアクティブなヘルス・チェックを実行し、既知の問題をスキャンします。 Oracle ORAchkヘルス・チェック・ツールは、次のカテゴリのOracle RACデプロイメントの重要な構成設定を監査します。
  • オペレーティング・システムのカーネル・パラメータおよびパッケージ
  • Oracle Databaseのデータベース・パラメータおよびその他のデータベース構成設定
  • Oracle Grid Infrastructure (Oracle ClusterwareおよびOracle Automatic Storage Managementを含む)
Oracle ORAchkはシステム全体を認識します。 構成にベスト・プラクティスが付随しているかどうかをチェックします。
Oracle Trace Fileコレクタには、次の主な利点とオプションがあります。
  • 単一ノードから実行する単一コマンドへの、すべてのクラスタ・ノード上のすべてのOracle Grid InfrastructureおよびOracle RACコンポーネントに関する診断データ収集のカプセル化
  • データ・アップロード・サイズを削減するためにデータ収集時に診断ファイルを削減するオプション
  • 一定期間および特定の製品コンポーネント(Oracle ASM、Oracle Database、Oracle Clusterware)に対する診断データ収集を分離するオプション
  • Oracle Database Appliance内の単一ノードに対する収集された診断出力の一元管理(必要な場合)
  • すべてのログ・ファイルおよびトレース・ファイルでの問題を示す状態のオンデマンド・スキャン
  • 問題を示す状態に関するリアルタイム・スキャン・アラート・ログ(たとえば、データベース・アラート・ログ、Oracle ASMアラート・ログおよびOracle Clusterwareアラート・ログなど)

Oracle ORAchkヘルス・チェック・ツールの使用

Oracle ORAchkを実行して構成設定を監査し、システムの状態を確認します。

ノート:

ORAchkを実行する前に、最新バージョンのOracle Autonomous Health Frameworkを確認し、ダウンロードしてインストールします。 Oracle Autonomous Health Frameworkの最新バージョンのダウンロードおよびインストールの詳細は、My Oracle Supportノート2550798.1を参照してください。

新規インストールのためのOracle Database Appliance 19.17ベアメタル・システムでのORAchkの実行

Oracle Database Appliance 19.17にプロビジョニングまたはアップグレードすると、Oracle Autonomous Frameworkを使用してORAchkが/opt/oracle/dcs/oracle.ahfディレクトリにインストールされます。

orachkを実行するには、次のコマンドを使用します。
[root@oak bin]# orachk

すべてのチェックが終了すると、詳細なレポートが利用可能になります。 出力には、HTML形式のレポートの場所と、レポートをアップロードする場合のzipファイルの場所が表示されます。 たとえば、失敗したチェックのみを表示するフィルタを選択し、失敗、警告、情報または合格ステータスのチェックを表示したり、任意の組合せを選択できます。

Oracle Database Appliance評価レポートおよびシステムの状態を確認し、特定された問題のトラブルシューティングを行います。 レポートには、特定の領域に焦点を当てるためのサマリーとフィルタが含まれています。

Oracle Database Appliance 19.17仮想化プラットフォームでのORAchkの実行

Oracle Database Appliance 19.17にプロビジョニングまたはアップグレードすると、Oracle Autonomous Frameworkを使用してORAchkが/opt/oracle.ahfディレクトリにインストールされます。

orachkを実行するには、次のコマンドを使用します。
[root@oak bin]# oakcli orachk

ブラウザ・ユーザー・インタフェースでのOracle ORAchkヘルス・チェック・ツール・レポートの生成および表示

ブラウザ・ユーザー・インタフェースを使用して、Oracle ORAchkヘルス・チェック・ツール・レポートを生成します。

  1. oda-adminユーザー名とパスワードを使用してブラウザ・ユーザー・インタフェースにログインします。
    https://Node0–host-ip-address:7093/mgmt/index.html
  2. 「Monitoring」タブをクリックします。
  3. 「Monitoring」ページの左側のナビゲーション・ペインで、「ORAchk Report」をクリックします。
    「ORAchk Reports」ページに、生成されたすべてのORAchkレポートのリストが表示されます。
  4. 表示するORAchkレポートの「Actions」メニューで、「Actions」をクリックします。
    Oracle Database Appliance評価レポートが表示されます。 これにはデプロイメントの状態の詳細が含まれ、現在のリスク、アクションの推奨事項および追加情報のリンクが一覧表示されます。
  5. オンデマンドORAchkレポートを作成するには: 「ORAchk Reports」ページで、「Create」をクリックし、確認ボックスで「Yes」をクリックします。
    ORAchkレポートを作成するジョブが発行されます。
  6. リンクをクリックすると、ジョブのステータスが表示されます。 ジョブが正常に完了したら、「ORAchk Reports」ページでOracle Database Appliance評価レポートを表示できます。
  7. ORAchkレポートを削除するには: 削除するORAchkレポートの「Actions」メニューで、「Delete」をクリックします。

ブラウザ・ユーザー・インタフェースでのデータベース・セキュリティ評価レポートの生成および表示

ブラウザ・ユーザー・インタフェースを使用して、データベース・セキュリティ評価レポートを生成および表示します。

  1. oda-adminユーザー名とパスワードを使用してブラウザ・ユーザー・インタフェースにログインします。
    https://Node0–host-ip-address:7093/mgmt/index.html
  2. 「セキュリティ」タブをクリックします。
  3. 「Security」ページの左側のナビゲーション・ペインで、「DBSAT Reports」をクリックします。
    「Database Security Assessment Reports」ページに、生成されたすべてのDBSATレポートのリストが表示されます。
  4. 表示するORAchkレポートの「Actions」メニューで、「Actions」をクリックします。
    Oracle Databaseセキュリティ評価レポートが表示されます。 これにはデプロイメントの状態の詳細が含まれ、現在のリスク、アクションの推奨事項および追加情報のリンクが一覧表示されます。
  5. DBSATレポートを作成するには: 「DBSAT Reports」ページで、「Create」をクリックし、確認ボックスで「Yes」をクリックします。
    DBSATレポートを作成するジョブが発行されます。
  6. リンクをクリックすると、ジョブのステータスが表示されます。 ジョブが正常に完了したら、「DBSAT Reports」ページでOracle Database Appliance評価レポートを表示できます。
  7. DBSATレポートを削除するには: 削除するDBSATレポートの「Actions」メニューで、「Delete」をクリックします。

Oracle Trace File Analyzer (TFA)コレクタ・コマンドの実行

tfactlのインストール場所およびコマンドのオプションを理解します。

tfactlを使用した診断情報の収集について

Oracle Database Appliance 19.17にプロビジョニングまたはアップグレードすると、Oracle Trace File Analyzer (TFA)コレクタが/opt/oracle.ahf/bin/tfactlディレクトリにインストールされます。 TFAのコマンドライン・ユーティリティtfactlは、ディレクトリ/opt/oracle.ahf/bin/tfactlから、または単にtfactlと入力して起動できます。

次のコマンド・オプションを使用して、tfactlを実行できます。

 /opt/oracle.ahf/bin/tfactl diagcollect -ips|-oda|-odalite|-dcs|-odabackup|
-odapatching|-odadataguard|-odaprovisioning|-odaconfig|-odasystem|-odastorage|-database|
-asm|-crsclient|-dbclient|-dbwlm|-tns|-rhp|-procinfo|-afd|-crs|-cha|-wls|
-emagent|-oms|-ocm|-emplugins|-em|-acfs|-install|-cfgtools|-os|-ashhtml|-ashtext|
-awrhtml|-awrtext -mask -sanitize

表20-1 tfactlツールのコマンド・オプション

オプション 説明
-h

(オプション)このコマンドのすべてのオプションについて説明します。

-ips

(オプション)このオプションを使用して、指定したコンポーネントの診断ログを表示します。

-oda

(オプション)このオプションを使用して、アプライアンス全体のログを表示します。

-odalite

(オプション)このオプションを使用して、odaliteコンポーネントの診断ログを表示します。

-dcs

(オプション)このオプションを使用して、DCSログ・ファイルを表示します。

-odabackup

(オプション)このオプションを使用して、アプライアンスのバックアップ・コンポーネントの診断ログを表示します。

-odapatching

(オプション)このオプションを使用して、アプライアンスのパッチ適用コンポーネントの診断ログを表示します。

-odadataguard

(オプション)このオプションを使用して、アプライアンスのOracle Data Guardコンポーネントの診断ログを表示します。

-odaprovisioning

(オプション)このオプションを使用して、アプライアンスのプロビジョニング・ログを表示します。

-odaconfig

(オプション)このオプションを使用して、構成関連の診断ログを表示します。

-odasystem

(オプション)このオプションを使用して、システム情報を表示します。

-odastorage

(オプション)このオプションを使用して、アプライアンスのストレージの診断ログを表示します。

-database

(オプション)このオプションを使用して、データベース関連のログ・ファイルを表示します。

-asm

(オプション)このオプションを使用して、アプライアンスの診断ログを表示します。

-crsclient

(オプション)このオプションを使用して、アプライアンスの診断ログを表示します。

-dbclient

(オプション)このオプションを使用して、アプライアンスの診断ログを表示します。

-dbwlm

(オプション)このオプションを使用して、指定したコンポーネントの診断ログを表示します。

-tns

(オプション)このオプションを使用して、TNSの診断ログを表示します。

-rhp

(オプション)このオプションを使用して、高速ホーム・プロビジョニングの診断ログを表示します。

-afd

(オプション)このオプションを使用して、Oracle ASMフィルタ・ドライバの診断ログを表示します。

-crs

(オプション)このオプションを使用して、Oracle Clusterwareの診断ログを表示します。

-cha

(オプション)このオプションを使用して、クラスタ状態モニターの診断ログを表示します。

-wls

(オプション)このオプションを使用して、Oracle WebLogic Serverの診断ログを表示します。

-emagent

(オプション)このオプションを使用して、Oracle Enterprise Managerエージェントの診断ログを表示します。

-oms

(オプション)このオプションを使用して、Oracle Enterprise Manager Management Serviceの診断ログを表示します。

-ocm

(オプション)このオプションを使用して、指定したコンポーネントの診断ログを表示します。

-emplugins

(オプション)このオプションを使用して、Oracle Enterprise Managerプラグインの診断ログを表示します。

-em

(オプション)このオプションを使用して、Oracle Enterprise Managerデプロイメントの診断ログを表示します。

-acfs

(オプション)このオプションを使用して、Oracle ACFSストレージの診断ログを表示します。

-install

(オプション)このオプションを使用して、インストールの診断ログを表示します。

-cfgtools

(オプション)このオプションを使用して、構成ツールの診断ログを表示します。

-os

(オプション)このオプションを使用して、オペレーティング・システムの診断ログを表示します。

-ashhtml

(オプション)このオプションを使用して、指定したコンポーネントの診断ログを表示します。

-ashtext

(オプション)このオプションを使用して、アプライアンスの診断ログを表示します。

-awrhtml

(オプション)このオプションを使用して、アプライアンスの診断ログを表示します。

-awrtext

(オプション)このオプションを使用して、指定したコンポーネントの診断ログを表示します。

-mask

(オプション)このオプションを使用して、ログ・コレクション内の機密データをマスクすることを選択します。

-sanitize

(オプション)このオプションを使用して、ログ・コレクション内の機密データをサニタイズ(リダクション)することを選択します。

使用上のノート

Trace Fileコレクタ(tfactlコマンド)を使用して、Oracle Database Applianceコンポーネントのすべてのログ・ファイルを収集できます。

コマンドodaadmcli manage diagcollectを同様のコマンド・オプションとともに使用して、同じ診断情報を収集することもできます。

-maskおよび-sanitizeオプションの使用方法の詳細は、次のトピックを参照してください。

診断収集の機密情報のサニタイズ

Oracle Autonomous Health Frameworkは、適応分類およびリダクション(ACR)を使用して機密データをサニタイズします。

診断データのコピーを収集した後、Oracle Trace File AnalyzerおよびOracle ORAchkは、適応分類およびリダクション(ACR)を使用して収集内の機密データをサニタイズします。 ACRは機械学習ベースのエンジンを使用して、指定されたファイルのセット内で事前定義されたエンティティ・タイプのセットをリダクションします。 また、ACRは、ファイルおよびディレクトリ名に含まれるエンティティをサニタイズまたはマスクします。 サニタイズでは、機密性の高い値がランダムな文字に置き換えられます。 マスキングでは、機密性の高い値が一連のアスタリスク(*)に置き換えられます。

ACRは現在、次のエンティティ・タイプをサニタイズします。
  • ホスト名
  • IPアドレス
  • MACアドレス
  • Oracle Database名
  • 表領域名
  • サービス名
  • ポート
  • オペレーティング・システムのユーザー名

ACRは、ブロック・ダンプおよびredoダンプに表示されるデータベースのユーザー・データもマスクします。

例20-4 リダクション前のブロック・ダンプ

14A533F40 00000000 00000000 00000000 002C0000 [..............,.] 
14A533F50 35360C02 30352E30 31322E37 380C3938 [..650.507.2189.8] 
14A533F60 31203433 37203332 2C303133 360C0200 [34 123 7310,...6] 

例20-5 リダクション後のブロック・ダンプ

14A533F40 ******** ******** ******** ******** [****************]
14A533F50 ******** ******** ******** ******** [****************]
14A533F60 ******** ******** ******** ******** [****************] 

例20-6 リダクション前のRedoダンプ

col 74: [ 1] 80
col 75: [ 5] c4 0b 19 01 1f
col 76: [ 7] 78 77 06 16 0c 2f 26 

例20-7 リダクション後のRedoダンプ

col 74: [ 1] **
col 75: [ 5] ** ** ** ** **
col 76: [ 7] ** ** ** ** ** ** **

AWR、ASHおよびADDMレポートのSQL文のリテラル値のリダクション

自動ワークロード・リポジトリ(AWR)、アクティブ・セッション履歴(ASH)および自動データベース診断モニター(ADDM)レポートはHTMLファイルであり、ホスト名、データベース名、サービス名などの機密エンティティがHTML表の形式で含まれています。 これらの機密エンティティに加えて、表のバインド変数やリテラル値を含めることができるSQL文も含まれます。 これらのリテラル値は、データベースに格納されている機密性の高い個人情報(PI)である場合があります。 ACRは、このようなレポートを処理して、通常の機密エンティティとSQL文に存在するリテラル値の両方を識別およびリダクションします。

odaadmcliコマンドを使用した機密情報のサニタイズ

odaadmcli manage diagcollectコマンドを使用して、Oracle Database Applianceコンポーネントの診断ログを収集します。 収集中に、ACRを使用して診断ログをリダクション(サニタイズまたはマスク)できます。
odaadmcli manage diagcollect [--dataMask|--dataSanitize]

コマンドの--dataMaskオプションは、すべてのコレクションの機密データをブロックし、たとえば、myhost1*******に置き換えます。 デフォルトはNoneです。 --dataSanitizeオプションは、すべての収集の機密データをランダムな文字に置き換え、たとえば、myhost1orzhmv1に置き換えます。 デフォルトはNoneです。

適応分類およびリダクション(ACR)の有効化

Oracle Database Applianceは、機密データをサニタイズするための適応分類およびリダクション(ACR)をサポートしています。

Oracle Database Applianceは診断データのコピーを収集した後、適応分類およびリダクション(ACR)を使用して収集内の機密データをサニタイズします。 odacli enable-acrおよびodacli disable-acrコマンドを使用して、ローカル・ノードだけでなく、両方のノード間でACRを有効または無効にできます。

関連項目:

Adaptive Classification and Redaction (ACR)用のステージング・サーバーの設定の詳細は、My Oracle Support note 2882798.1を参照してください。

例20-8 ACRの現在のステータスの説明

bash-4.2# odacli describe-acr
Trace File Redaction: Enabled

例20-9 ACRの有効化:

bash-4.2# odacli enable-acr

Job details                                                      
----------------------------------------------------------------
                ID:  12bbf784-610a-40a8-b409-e74c58bc35aa
               Description:  Enable ACR job
                Status:  Created
                Created:  April 8, 2021 3:04:13 AM PDT

例20-10 ACRの無効化

bash-4.2# odacli disable-acr

Job details                                                      
----------------------------------------------------------------
                ID:  1d69f8b3-3989-4192-bbb9-6518e425061a
               Description:  Disable ACR job
                Status:  Created
                Created:  April 8, 2021 3:04:13 AM PDT

例20-11アプライアンスのプロビジョニング中のACRの有効化

アプライアンスのプロビジョニング中にACRを有効にするには、プロビジョニングに使用するJSONファイルにacrオプションを追加します。 JSONファイルのacrEnableフィールドにtrueまたはfalseを指定します。 acrオプションを指定しない場合、ACRは無効になります。

"acr": {
    "acrEnable": true
}

Oracle Trace File Analyzer収集の機密情報のサニタイズ

Oracle Trace File Analyzerの診断収集をリダクション(サニタイズまたはマスク)できます。

自動リダクションの有効化

自動リダクションを有効にするには、次のコマンドを使用します。

tfactl set redact=[mask|sanitize|none] 

コマンドの-maskオプションは、すべてのコレクションの機密データをブロックし、たとえば、myhost1*******に置き換えます。 -sanitizeオプションは、すべての収集の機密データをランダムな文字に置き換え、たとえば、myhost1orzhmv1に置き換えます。 noneオプションは、コレクション内の機密データをマスクまたはサニタイズしません。 デフォルトはnoneです。

オンデマンド・リダクションの有効化

コレクションは、たとえば、tfactl diagcollect -srdc ORA-00600 -maskまたはtfactl diagcollect -srdc ORA-00600 -sanitizeでオンデマンドでリダクションできます。

  1. すべての収集内の機密データをマスクするには:
    tfactl set redact=mask
  2. すべての収集内の機密データをサニタイズするには:
    tfactl set redact=sanitize

例20-12 特定の収集内の機密データのマスクまたはサニタイズ

tfactl diagcollect -srdc ORA-00600 -mask
tfactl diagcollect -srdc ORA-00600 -sanitize

Oracle ORAchk出力の機密情報のサニタイズ

Oracle ORAchk出力をサニタイズできます。

Oracle ORAchk出力をサニタイズするには、-sanitizeオプション(orachk -profile asm -sanitizeなど)を含めます。 既存のログ、HTMLレポートまたはzipファイル(orachk -sanitize file_nameなど)を渡すことによって、ポスト・プロセスをサニタイズすることもできます。

例20-13 特定の収集IDの機密情報のサニタイズ

orachk -sanitize comma_delimited_list_of_collection_IDs

例20-14 相対パスを使用したファイルのサニタイズ

orachk -sanitize new/orachk_node061919_053119_001343.zip 
orachk is sanitizing
/scratch/testuser/may31/new/orachk_node061919_053119_001343.zip. Please wait...

Sanitized collection is:
/scratch/testuser/may31/orachk_aydv061919_053119_001343.zip
orachk -sanitize ../orachk_node061919_053119_001343.zip 
orachk is sanitizing
/scratch/testuser/may31/../orachk_node061919_053119_001343.zip. Please wait...

Sanitized collection is:
/scratch/testuser/may31/orachk_aydv061919_053119_001343.zip

例20-15 Oracle Autonomous Health Frameworkのデバッグ・ログのサニタイズ

orachk -sanitize new/orachk_debug_053119_023653.log
orachk is sanitizing /scratch/testuser/may31/new/orachk_debug_053119_023653.log.
Please wait...

Sanitized collection is: /scratch/testuser/may31/orachk_debug_053119_023653.log

例20-16 完全健全性チェックの実行

orachk -localonly -profile asm -sanitize -silentforce

Detailed report (html) - 
/scratch/testuser/may31/orachk_node061919_053119_04448/orachk_node061919_053119_04448.html

orachk is sanitizing /scratch/testuser/may31/orachk_node061919_053119_04448.
Please wait...

Sanitized collection is: /scratch/testuser/may31/orachk_aydv061919_053119_04448

UPLOAD [if required] - /scratch/testuser/may31/orachk_node061919_053119_04448.zip
サニタイズ値を逆に検索するには、次のコマンドを使用します。
orachk -rmap all|comma_delimited_list_of_element_IDs

orachk -rmapを使用して、Oracle Trace File Analyzerによってサニタイズされた値を検索することもできます。

例20-17 サニタイズされた要素の逆マップの出力


orachk -rmap MF_NK1,fcb63u2

________________________________________________________________________________
| Entity Type | Substituted Entity Name | Original Entity Name |
________________________________________________________________________________
| dbname      | MF_NK1               | HR_DB1            |
| dbname      | fcb63u2              | rac12c2           |
________________________________________________________________________________
orachk -rmap all

ディスク診断ツールの実行

ディスク診断ツールを使用すると、ディスクの問題の原因を特定するのに役立ちます。

このツールにより、ノードごとに14のディスク・チェックのリストが生成されます。 詳細を表示するには、次のコマンドを入力します(nはディスク・リソース名を表します)。

# odaadmcli stordiag n
たとえば、NVMe pd_00の詳細情報を表示するには:
# odaadmcli stordiag pd_00

Oracle Database Applianceハードウェア監視ツールの実行

Oracle Database Applianceハードウェア監視ツールは、Oracle Database Applianceサーバーの様々なハードウェア・コンポーネントのステータスを表示します。

ツールは、トレース・ファイル・アナライザ・コレクタによって実装されます。 ベア・メタル・システムおよび仮想化システムの両方で、このツールを使用します。 Oracle Database Applianceハードウェア監視ツールのレポートは、コマンドを実行したノードのみを対象としています。 出力に表示される情報は、表示するように選択したコンポーネントによって異なります。

ベア・メタル・プラットフォーム

コマンドodaadmcli show -hを実行することで、監視対象コンポーネントの一覧を表示できます

特定のコンポーネントに関する情報を表示するには、コマンド構文odaadmcli show componentを使用します。componentは、問い合せるハードウェア・コンポーネントです。 たとえば、コマンドodaadmcli show powerは、特にOracle Database Appliance電源装置に関する情報を表示します。

# odaadmcli show power

NAME            HEALTH  HEALTH_DETAILS   PART_NO.  	SERIAL_NO.
Power_Supply_0  OK            -          7079395     476856Z+1514CE056G

(Continued)
LOCATION    INPUT_POWER   OUTPUT_POWER   INLET_TEMP         EXHAUST_TEMP
PS0         Present       112 watts      28.000 degree C    34.938 degree C

仮想化プラットフォーム

コマンドoakcli show -hを実行することで、監視対象コンポーネントの一覧を表示できます。

特定のコンポーネントに関する情報を表示するには、コマンド構文oakcli show componentを使用します。componentは、クエリするハードウェア・コンポーネントです。 たとえば、コマンドoakcli show powerは、特にOracle Database Appliance電源装置に関する情報を表示します。

# oakcli show power

NAME            HEALTH HEALTH_DETAILS PART_NO. SERIAL_NO.          
Power Supply_0  OK      -             7047410   476856F+1242CE0020
Power Supply_1  OK     -              7047410   476856F+1242CE004J

(Continued)

LOCATION  INPUT_POWER OUTPUT_POWER INLET_TEMP         EXHAUST_TEMP
PS0       Present     88 watts     31.250 degree C    34.188 degree C
PS1       Present     66 watts     31.250 degree C    34.188 degree C

ノート:

Oracle Database Appliance Serverハードウェア監視ツールは、Oracle Database Appliance仮想化プラットフォーム上でODA_BASEの初期起動中に有効になります。 起動時に、ツールは約5分間、基本統計を収集します。 その際に、「Gathering Statistics…」というメッセージが表示されます。

Oracle Database Applianceの信頼できるSSL証明書の構成

ブラウザ・ユーザー・インタフェースおよびDCSコントローラは、安全な通信のためにSSLベースのHTTPSプロトコルを使用します。 この追加されたセキュリティの影響と、SSL証明書を構成するオプションについて理解します。

ブラウザ・ユーザー・インタフェースでは、管理者がアプライアンスと対話するときに、証明書と暗号化を使用してセキュリティのレイヤーが追加されます。 データの暗号化により、次のことが保証されます。

  • データは悪意のあるサードパーティではなく、目的の受信者に送信されます。
  • サーバーとブラウザ間でデータが交換されるとき、データを傍受したり、データを編集することはできません。

HTTPSを介してブラウザ・ユーザー・インタフェースに接続すると、DCSコントローラによって、アプライアンスの識別情報を確認するための証明書がブラウザに表示されます。 webブラウザは、証明書が信頼できる認証局(CA)のものでないことを検出すると、信頼できないソースが検出されたとみなし、セキュリティ・アラート・メッセージを生成します。 ブラウザ・ユーザー・インタフェースのセキュリティはHTTPSおよびSSLを介して有効化されているが、認証局の信頼できる一致証明書でWeb層が適切に保護されていないため、セキュリティ・アラート・ダイアログ・ボックスが表示されます。 認証局から商用証明書を購入したり、独自の証明書を作成して認証局に登録できます。 ただし、ブラウザによってエラー・メッセージが生成されないように、サーバーとブラウザの証明書は同じ公開証明書鍵と信頼できる証明書を使用する必要があります。

証明書を構成するには、次の3つのオプションがあります。

  • 独自の鍵とJavaキーストアを作成し、認証局(CA)によって署名されていることを確認してから、使用するためにインポートします。
  • 既存のプライバシ強化メール(PEM)形式の鍵および証明書を新しいJavaキーストアにパッケージ化します。
  • 既存のPKCSまたはPFXキーストアをJavaキーストアに変換し、ブラウザ・ユーザー・インタフェース用に構成します。

    ノート:

    Oracle Database Appliance高可用性ハードウェア・モデルでは、両方のノードで構成ステップを実行します。

次のトピックでは、これらのオプションを構成する方法について説明します。

オプション1: 鍵およびJavaキーストアの作成と信頼できる証明書のインポート

鍵および証明書管理ユーティリティであるkeytoolを使用して、キーストアおよび署名リクエストを作成します。

  1. キーストアを作成します。
    keytool -genkeypair -alias your.domain.com -storetype jks -keystore 
    your.domain.com.jks -validity 366 -keyalg RSA -keysize 4096
  2. データを識別するためのプロンプトが表示されます。
    1. What is your first and last name? your.domain.com
    2. What is the name of your organizational unit? yourunit
    3. What is the name of your organization? yourorg
    4. What is the name of your City or Locality? yourcity
    5. What is the name of your State or Province? yourstate
    6. What is the two-letter country code for this unit? US
  3. 証明書署名リクエスト(CSR)を作成します。
    keytool -certreq -alias your.domain.com -file your.domain.com.csr
    -keystore your.domain.com.jks -ext san=dns:your.domain.com
  4. 認証局(CA)の署名証明書をリクエストします。
    1. 前述のステップ1を実行したディレクトリで、ファイルyour.domain.com.csrを見つけます。
    2. ファイルを認証局(CA)に送信します。
      詳細は、CAによって異なります。 通常、webサイトからリクエストを送信します。 次に、CAがお客様に連絡して、アイデンティティを確認します。 CAは署名付き返信ファイルを様々な形式で送信でき、CAはそれらの形式に様々な名前を使用します。 CA応答は、PEM、PKCS#7、またはP7B形式である必要があります。
    3. CAの返信の待機期間がある可能性があります。
  5. CAの返信をインポートします。 CA応答は、1つのPKCSファイルまたはP7Bファイルまたは複数のPEMファイルを提供します。
    1. 前述のステップ1でキーストアを作成したディレクトリにCAのファイルをコピーします。
    2. keytoolを使用して、キーストアから証明書をエクスポートします。
      keytool -exportcert -alias your.domain.com -file /opt/oracle/dcs/conf/keystore-cert.crt 
      -keystore your.domain.name.jks
  6. keytoolを使用して、キーストア証明書とCA返信ファイルをインポートします。
    keytool -importcert -trustcacerts -alias your.domain.com 
    -file /opt/oracle/dcs/conf/keystore-cert.crt  -keystore /opt/oracle/dcs/conf/dcs-ca-certs
    P7Bファイルをインポートするには、次のコマンドを実行します:
    keytool -importcert -alias your.domain.com -file CAreply.p7b -keystore your.domain.name.jks -trustcacerts
    PKCSファイルをインポートするには、次のコマンドを実行します:
    keytool -importcert -trustcacerts -alias your.domain.com -file 
    CAreply.pkcs -keystore /opt/oracle/dcs/conf/dcs-ca-certs

    CAreply.pkcsはCAによって提供されるPKCSファイルの名前で、your.domain.comはサーバーの完全なドメイン名です。

    CAがPEMファイルを送信した場合、ファイルは1つであることがありますが、ほとんどの場合は2つまたは3つあります。 値を置換した後、次の順序でコマンドを使用してファイルをキーストアにインポートします。
    keytool -importcert -alias root -file root.cert.pem -keystore /opt/oracle/dcs/conf/dcs-ca-certs -trustcacerts
    keytool -importcert -alias intermediate -file intermediate.cert.pem /opt/oracle/dcs/conf/dcs-ca-certs -trustcacerts
    keytool -importcert -alias intermediat2 -file intermediat2.cert.pem /opt/oracle/dcs/conf/dcs-ca-certs -trustcacerts
    keytool -importcert -alias your.domain.com -file server.cert.pem /opt/oracle/dcs/conf/dcs-ca-certs -trustcacerts

    root.cert.pemはルート証明書ファイルの名前で、intermediate.cert.pemは中間証明書ファイルの名前です。 ルート・ファイルと中間ファイルは、webブラウザで認識されている広く信頼されているルート証明書にCAの署名をリンクします。 すべてではありませんがほとんどのCAの返信にはルートと中間が含まれます。server.cert.pemはサーバー証明書ファイルの名前です。 このファイルは、ドメイン名を公開鍵およびCAの署名にリンクします。

オプション2: 新しいJavaキーストアでの既存のPEM形式の鍵および証明書のパッケージ化

OpenSSLツールを使用して、PKCSキーストア内のプライバシ強化メール(PEM)ファイルをパッケージ化します。

サーバーのドメインの既存の秘密鍵と証明書がPEM形式である場合、それらをJavaキーストアにインポートするにはOpenSSLツールが必要です。 OpenSSLは、PEMファイルをPKCSキーストアにパッケージ化できます。 Java keytoolは、PKCSキーストアをJavaキーストアに変換できます。
  1. OpenSSLをインストールします。
  2. 秘密鍵、サーバー証明書および中間証明書を1つのディレクトリにコピーします。
  3. 次のように、鍵と証明書をPKCSキーストアにパッケージ化します。
    openssl pkcs12 -export -in server.cert.pem -inkey private.key.pem -certfile 
    intermediate.cert.pem -name "your.domain.com" -out your.domain.com.p12
    server.cert.pemはサーバー証明書ファイルの名前、your.domain.comはサーバーの完全なドメイン名、private.key.pemserver.cert.pemの公開鍵に相当する秘密鍵、intermediate.cert.pemは中間証明書ファイルの名前です。
    生成されたPKCSキーストア・ファイルyour.domain.com.p12をJavaキーストアに変換します。

オプション3: 既存のPKCSまたはPFXキーストアからJavaキーストアへの変換

サーバーのドメインに既存のPKCSまたはPFXキーストアがある場合は、Javaキーストアに変換します。

  1. 次のコマンドを実行します。
    keytool -importkeystore -srckeystore your.domain.com.p12 -srcstoretype PKCS12 
    -destkeystore /opt/oracle/dcs/conf/dcs-ca-certs -deststoretype jks
    your.domain.com.p12は既存のキーストア・ファイルで、your.domain.comはサーバーの完全なドメイン名です。
  2. カスタム・キーストアを使用するためのDCSサーバーの構成のトピックの説明に従って、DCSサーバーを構成します。

カスタム・キーストアを使用するためのDCSサーバーの構成

キーストアをJavaキーストアにパッケージ化または変換した後、キーストアを使用するようにDCSサーバーを構成します。

  1. アプライアンスにログインします。
    ssh -l root oda-host-name
  2. 不明瞭化されたキーストアのパスワードを生成します。
    /opt/oracle/dcs/java/java_version/bin/java -cp /opt/oracle/dcs/bin/dcs-controller-n.n.n.n.n.jar com.oracle.oda.dcs.password.utils.OBFCredentials keystore-password

    たとえば:

    # /opt/oracle/dcs/java/java_version/bin/java -cp /opt/oracle/dcs/bin/dcs-controller-19.17.0.0.0.jar com.oracle.oda.dcs.password.utils.OBFCredentials test OBF:"1z0f1vu91vv11z0f"

    OBFで始まる不明瞭化されたパスワードをコピーします:.

  3. /opt/oracle/dcs/conf/dcs-controller.ymlで次を更新:
    ssl:
          key-store:
            path: file:/opt/oracle/dcs/conf/custom_dcsKey.jks
            type: "JKS"
            password: "obfuscated keystorepassword"
          trust-store:
            path: file:/opt/oracle/dcs/conf/dcs-ca-certs
          key:
            alias: "your.domain.com"
  4. DCSコントローラを再起動します。
    systemctl stop initdcscontroller
    systemctl start initdcscontroller
    DCSコントローラのログ・ファイル/opt/oracle/dcs/log/dcs-controller.logには、次の行が表示されます:
    2022-05-13 04:23:37,266 INFO [main] [] c.o.o.c.DCSControllerSSLConfig: Custom keystore password is set
    2022-05-13 04:23:37,266 INFO [main] [] c.o.o.c.DCSControllerSSLConfig: Custom truststore password is set
  5. ブラウザ・ユーザー・インタフェース(https://oda-host-name:7093/mgmt/index.html)にアクセスします。

カスタム証明書用のDCSエージェントの構成

証明書をキーストアにインポートした後、同じ証明書を使用するようにDCSエージェントを構成します。

  1. DCSエージェント構成ファイルを更新します。
    cd /opt/oracle/dcs/conf
    dcs-agent.ymlファイル内の次のパラメータを更新します:
    ssl:
          key-store:
            path: file:/opt/oracle/dcs/conf/custom_dcsKey.jks
            type: "JKS"
            password: "obfuscated keystorepassword"
          trust-store:
            path: file:/opt/oracle/dcs/conf/dcs-ca-certs
          key:
            alias: "your.domain.com"
  2. DCSエージェントを再起動します。
    systemctl stop initdcsagent
    systemctl start initdcsagent
  3. エージェント(https://oda-host-name:7070)にアクセスします。
  4. CLI証明書を更新します。
    cp -f /opt/oracle/dcs/conf/dcs-ca-certs 
    /opt/oracle/dcs/dcscli/dcs-ca-certs
  5. DCSコマンドライン構成ファイルを更新します。
    [root@]# cd /opt/oracle/dcs/dcscli
    dcscli-adm.confおよびdcscli.confの次のパラメータを更新します。
    TrustStorePath=/opt/oracle/dcs/conf/dcs-ca-certs
    TrustStorePassword=keystore_password

ブラウザ・ユーザー・インタフェースの無効化

ブラウザ・ユーザー・インタフェースを無効にすることもできます。 ブラウザ・ユーザー・インタフェースを無効にすることは、コマンドライン・インタフェースでのみアプライアンスを管理できることを意味します。

  1. アプライアンスにログインします。
    ssh -l root oda-host-name
  2. DCSコントローラを停止します。 高可用性システムの場合、両方のノードでコマンドを実行します。
    systemctl stop initdcscontroller

Oracleサポート・サービス用のログ・ファイルの用意

Oracleサポート・サービスからのサポートが必要なシステム障害がある場合は、Oracleが問題の診断をサポートできるように、ログ・レコードを提供する必要がある場合があります。

アプライアンスの診断情報は、次の方法で収集できます。
  • /opt/oracle/dcs/Inventory/ディレクトリに保存されている部品構成表レポートを使用して、必要に応じてOracle Supportがエラーのトラブルシューティングを行えるようにします。
  • Trace Fileコレクタ(tfactlコマンド)を使用して、Oracle Database Applianceコンポーネントのすべてのログ・ファイルを収集できます。
  • odaadmcli manage diagcollectコマンドを使用して、Oracle Support Servicesに送信する診断ファイルを収集します。
  • /opt/oracle/dcs/da/da_repoディレクトリで使用可能なエラー相関レポートを使用します。

odaadmcli manage diagcollectコマンドは、Oracle Database Applianceに格納されているログ・ファイルの情報を、Oracle Support Servicesで使用する単一のログ・ファイルに統合します。 ファイルの場所は、コマンド出力で指定されます。

例20-18 一定期間のログ・ファイル情報の収集、機密データのマスキング

# odaadmcli manage diagcollect --dataMask --fromTime 2019-08-12 --toTime 2019-08-25
DataMask is set as true
FromTime is set as: 2019-08-12
ToTime is set as: 2019-08-25
TFACTL command is: /opt/oracle/tfa/tfa_home/bin/tfactl
Data mask is set.
Collect data from 2019-08-12
Collect data to 2019-08-25