1. セキュリティ・ガイド
  2. 監査を使用したデータベース・アクティビティの管理
  3. 監査ポリシーの構成

30 監査ポリシーの構成

Oracle Databaseには、アクティビティを監査するための様々な方法が用意されています。

親トピック: 監査を使用したデータベース・アクティビティの監視

30.1 監査ポリシーについて

監査ポリシーは、データベースにおけるユーザー動作の特定の部分を監査できる監査設定の名前付きグループです。

選択した監査ポリシーのタイプに応じて、次のような様々なアクティビティをモニターする監査ポリシーを作成できます。

  • ユーザー・アカウント(SYSDBA管理権限でログインする管理ユーザーを含む)、ロールおよび権限

  • 表の削除やプロシージャの実行などのオブジェクト・アクション

  • アプリケーション・コンテキスト値

  • Oracle Database Real Application Security、Oracle Recovery Manager、Oracle Data Pumpなど、他のOracle Database製品からのアクティビティ。

Oracle Databaseでは、監査ポリシーを作成するために次の3つの方法があります。

  • 一般的に監査されるアクティビティには、事前定義の統合監査ポリシーを使用します。事前定義の監査ポリシーを使用すると、Center for Internet Securityの推奨事項やセキュリティ技術導入ガイドの標準など、特定の業界基準に従うことができます。事前定義のポリシーは、失敗したログインなどの一般的な監査タスクや、Oracle Database Real Application SecurityやOracle Database Vaultなどの他のOracle製品にも使用できます。ほとんどの監査ニーズには事前定義の監査ポリシーで十分ですが、そうでない場合は、カスタム監査ポリシーまたはファイングレイン監査ポリシーを作成できます。
  • より特殊なアクティビティには、カスタム統合監査ポリシーを作成します。このタイプを使用すると、ロールの使用の監査や、表などのオブジェクトに対して実行されたアクションなどの幅広いアクティビティを監査できます。CREATE AUDIT POLICY文を使用して統合監査ポリシーを作成し、AUDIT文を使用して有効にします。CREATE AUDIT POLICY構文は、たとえば、条件を組み込んだり、アプリケーション・コンテキスト値を監査するのに十分な柔軟性があります。
  • より詳細な監査ニーズには、ファイングレイン監査ポリシーを作成します。ファイングレイン監査ポリシーは統合監査ポリシーではありません。DBMS_FGA PL/SQLパッケージを使用して、ファイングレイン監査ポリシーを作成します。このタイプのポリシーを使用すると、条件およびハンドラを作成してPL/SQLコードに含め、たとえば、ユーザーが監査ポリシーに違反した場合に管理者にアラートを送信できます。

親トピック: 監査ポリシーの構成

30.2 監査対象

Oracle Database環境で最も脆弱な領域を監査する必要があります。

監査する一般的なアクティビティには、次のものが含まれます。

  • 失敗したログイン
  • アプリケーションまたは監視ツールの外部からのログイン
  • データ定義言語 - データベース・オブジェクトの作成、削除または変更
  • データ制御言語 - 特にユーザーの作成、ユーザーの変更、権限およびロール付与
  • Oracle Data Pump Importの操作
  • Oracle Database Vaultアクティビティまたはルール違反
  • SYSDBAまたはデータベース管理者のアクティビティ

次の監査では、大量の監査レコードが生成される可能性があることに注意してください。

  • 機密データへのアクセス。必要に応じて、生成される監査レコードの量を減らすために、アプリケーションの外部から機密データにアクセスするように監査ポリシーを変更します
  • アプリケーションの外部からのアクティビティ(特に、データを直接問い合せるパワー・ユーザーからのアクティビティ)

関連トピック

親トピック: 監査ポリシーの構成

30.3 強制的に監査されるアクティビティ

セキュリティ・センシティブな特定のデータベース・アクティビティは常に監査され、このような監査構成は無効化できません。

UNIFIED_AUDIT_TRAILデータ・ディクショナリ・ビューでは、SYSDBASYSBACKUPSYSKMなどの管理ユーザーからのアクティビティを取得します。さらに、SQLファイアウォールのすべての管理アクションが強制的に監査されます。

統合監査証跡を監査する必要はありません。統合監査証跡は、AUDSYSスキーマ内の読取り専用表にあります。したがって、統合監査証跡ビューに対するDMLは許可されません。AUDSYSスキーマからの基礎となるディクショナリ表に対するDMLおよびDDL操作も許可されません。

Oracle DatabaseポリシーORA$MANDATORYは、強制的に監査されたアクティビティが実行されると、UNIFIED_AUDIT_TRAILデータ・ディクショナリ・ビューのUNIFIED_AUDIT_POLICIES列に示されます。強制的に監査されたアクティビティを追跡する統合監査ポリシーが他にもある場合は、ORA$MANDATORYが常に最初にこの列に示されます。

SYSTEM_PRIVILEGE_USED列は、アクティビティに使用された管理権限のタイプを示します。

監査ポリシーの変更など、次の監査関連のアクティビティは強制的に監査されます。

  • CREATE AUDIT POLICY

  • ALTER AUDIT POLICY

  • DROP AUDIT POLICY

  • AUDIT

  • NOAUDIT

  • DBMS_FGA PL/SQLパッケージのEXECUTE

  • DBMS_AUDIT_MGMT PL/SQLパッケージのEXECUTE

  • AUDSYS監査証跡表でのALTER TABLEの試行(この表は監査できません)

  • 管理ユーザーSYSSYSDBASYSOPERSYSASMSYSBACKUPSYSDGおよびSYSKMによるトップ・レベルの文(データベースがオープンするまで)。データベースがオープンされると、Oracle Databaseはシステムの監査構成(AUDIT文のBY句などを使用して適用された構成だけでなく、AUDIT文にBY句がない場合や、EXCEPT句が使用され、これらのユーザーが除外されなかった場合に、すべてのユーザーに対して適用された構成)を使用して、これらのユーザーを監査します。

  • SYS.AUD$およびSYS.FGA_LOG$ディクショナリ表に対してユーザーが発行したすべてのDML文

  • 統合監査内部表のデータまたはメタデータの変更。この表に対するSELECT文はデフォルトで、または強制的に監査されます。

  • Oracle Database Vaultに対して行われるすべての構成変更

  • Oracle Optimizerディクショナリ表内の機密列へのアクセス。DBMS_STATSパッケージによるこれらの表列への内部アクセスでは、必須の監査レコードは生成されないということに注意してください。事前定義されたORA$DICTIONARY_SENS_COL_ACCESS監査ポリシーを使用して、これらの表を監査できます。オプティマイザ・ディクショナリ表を次に示します。

    オプティマイザ・ディクショナリ表
    SYS.HIST_HEAD$ minimummaximumlowvalhival
    SYS.HISTGRM$ endpointepvalue_raw
    SYS.WRI$_OPTSTAT_HISTHEAD_HISTORY minimummaximumlowvalhival
    SYS.WRI$_OPSTAT_HISTGRM_HISTORY endpointepvalue_raw

  • ブロックチェーンおよび不変表に対する次の操作:

    • CREATE TABLE

    • DROP TABLE

    • 失敗したALTER TABLE操作

    • 失敗したDELETE操作

    • 失敗したFLASHBACK TABLE操作

    • 失敗したRENAME操作

    • 失敗したTRUNCATE TABLE操作

    • 失敗したUPDATE操作

関連トピック

親トピック: 監査ポリシーの構成

30.4 すべてのPDBに共通する監査構成

共通監査構成は、すべてのPDBで表示でき、強制されます。

監査構成は、ローカルまたは共通のいずれかです。他のローカルまたは共通現象(ユーザーやロールなど)に適用されるすべてのスコープ指定ルールが、監査構成にも適用されます。

ノート:

監査初期化パラメータは、CDBレベルに存在し、各PDBには存在しません。

PDBでは、次の監査オプションがサポートされます。

  • オブジェクト監査

    オブジェクト監査とは、特定のオブジェクトに対する監査構成のことを指します。共通監査構成に含めることができるのは、共通オブジェクトのみです。ローカル監査構成には、共通オブジェクトを含めることはできません。

  • 監査ポリシー

    監査ポリシーは、ローカルまたは共通のいずれかです。

    • ローカル監査ポリシー

      ローカル監査ポリシーは、1つのPDBに適用されます。ローカル監査ポリシーは、このPDBのみのローカルおよび共通ユーザーに対して実行できます。ローカル監査ポリシーをすべてのコンテナにわたって実行しようとすると、エラーが発生します。

      いかなる場合でも、ローカル監査ポリシーの実行は、ローカル監査フレームワークの一部です。

    • 共通監査ポリシー

      共通監査ポリシーは、すべてのコンテナに対して適用されます。このポリシーには、アクション、システム権限、共通ロールおよび共通オブジェクトのみを含めることができます。共通監査ポリシーは、共通ユーザーに対してのみ適用できます。ローカル・ユーザーに対する共通監査ポリシーをすべてのコンテナにわたって実行しようとすると、エラーが発生します。

共通監査構成は、ルートのSYSスキーマに格納されています。ローカル監査構成は、適用対象のPDBのSYSスキーマに格納されています。

監査証跡は、関連PDBのSYSまたはAUDSYSスキーマに格納されています。オペレーティング・システムおよびPDBのXML監査証跡は、AUDIT_FILE_DEST (非推奨)初期化パラメータで指定されたディレクトリのサブディレクトリに格納されています。

親トピック: 監査ポリシーの構成

30.5 監査タイプの選択

一般的なアクティビティ(SQL文のアクションなど)や一般的に使用される監査アクティビティ、ファイングレイン監査のシナリオを監査できます。

親トピック: 監査ポリシーの構成

30.5.1 一般的に使用されるセキュリティ関連アクティビティの監査

Oracle Databaseには、デフォルトの統合監査ポリシーが用意されており、これらは一般的に使用されるセキュリティ関連の監査用に選択できます。

このタイプの監査を実行する一般的なステップは次のとおりです。
  1. 事前定義の統合監査ポリシーのいずれかを選択します。
  2. AUDIT文を使用してポリシーを有効にし、1人以上のユーザーに監査設定をオプションで適用(または除外)します。
  3. UNIFIED_AUDIT_TRAILビューを問い合せ、生成された監査レコードを検索します。
  4. 監査証跡の内容を定期的にアーカイブして削除します。

関連トピック

親トピック: 監査タイプの選択

30.5.2 SQL文、権限および他の一般アクティビティの監査

SQL文からOracle Label Securityなどの他のOracle Databaseコンポーネントまで、様々なタイプのオブジェクトに対してカスタム監査ポリシーを作成できます。

また、条件を使用するポリシーも作成できます。ただし、特定の列を監査したり、イベント・ハンドラを使用する場合は、ファイングレイン監査を使用する必要があります。

このタイプの監査を実行する一般的なステップは次のとおりです。

  1. ほとんどの場合は、CREATE AUDIT POLICY文を使用して監査ポリシーを作成します。アプリケーション・コンテキスト値を監査する必要がある場合は、AUDIT文を使用します。
  2. 監査ポリシーを作成する場合は、AUDIT文を使用して有効にし、オプションで、SYSDBA管理権限でログインする管理ユーザー(SYSなど)を含む、1人以上のユーザーに監査設定を適用(または除外)します。

    AUDITでは、アクションの成功または失敗(あるいは両方)時に監査レコードを作成することもできます。

  3. UNIFIED_AUDIT_TRAILビューを問い合せ、生成された監査レコードを検索します。
  4. 監査証跡の内容を定期的にアーカイブして削除します。

関連トピック

親トピック: 監査タイプの選択

30.5.3 特定のファイングレイン・アクティビティの監査

個々の列を監査またはイベント・ハンドラを使用する場合は、ファイングレイン監査を使用します。

このタイプの監査では、統合監査ポリシーで使用可能なすべての機能が提供されます。ファイングレイン監査を実行する一般的なステップは次のとおりです。
  1. ファイングレイン監査ポリシーを作成します。
  2. DBMS_FGA PL/SQLパッケージを使用して、ファイングレイン監査ポリシーを構成します。
  3. UNIFIED_AUDIT_TRAILまたはALL_AUDIT_POLICIESビューを問い合せ、生成された監査レコードを検索します。
  4. 監査証跡の内容を定期的にアーカイブして削除します。

関連トピック

親トピック: 監査タイプの選択

30.6 事前定義の統合監査ポリシーを使用したアクティビティの監査

Oracle Databaseには、よく使用されるセキュリティ関連の監査設定を対象とする、事前定義の統合監査ポリシーがあります。

関連トピック

親トピック: 監査ポリシーの構成

30.6.1 事前定義の統合監査ポリシーを使用したアクティビティの監査について

Oracle Databaseには、ほとんどの監査ニーズに対応する一連の事前定義の統合監査ポリシーがあります。

これらの監査ポリシーでは、セキュリティ・インターネット実装ガイドやCenter for Internet Securityの推奨事項によるログイン障害、セキュア・オプションおよび要件の取得など、一般的なシナリオに対処します。また、Oracle Real Application SecurityおよびOracle Database Vaultの事前定義ポリシーも使用できます。より特化された監査ポリシーが必要な場合は、カスタム統合監査ポリシーを作成するか、ファイングレイン監査を使用することができます。

デフォルトでは、これらのポリシーは有効になっていません。これらを有効にするには、AUDIT PL/SQL文を使用します。

事前定義、カスタムおよびファイングレインの中核的なOracle Database監査機能に加えて、次のような他のOracle製品からの監査ソリューションが提供されます。

  • Oracle Data Safeにより、データ機密性の把握、データ・リスクの評価、機密データのマスク、セキュリティ制御の実装とモニター、ユーザー・セキュリティの評価およびユーザー・アクティビティのモニターが可能になります。
  • Audit Vault and Database Firewallでは、OracleおよびOracle以外のデータベース・トラフィックをモニターし、脅威を検出してブロックする他、データベース、オペレーティング・システム、ディレクトリおよびその他のソースからの監査データを統合することでコンプライアンス・レポートを改善します。オンプレミスまたはOracle Cloudにデプロイできます。

関連トピック

親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査

30.6.2 ログオン失敗の事前定義の統合監査ポリシー

ORA_LOGIN_LOGOUT統合監査ポリシーは、失敗したログオンのみを追跡し、その他のログオンは追跡しません。

新規データベースの場合、このポリシーは、完全な統合監査モードと混合モードの両方の監査環境で、デフォルトで有効です。このポリシーは、旧バージョンからアップグレードされたデータベースに対して有効になりませんが、以前のリリースから新規データベースを作成し、そのデータベースを最新リリースにアップグレードした場合はこの限りではありません。なお、LOGON文の統合監査ポリシーを構成した場合は、直接ログインおよびALTER SESSION文とSET CONTAINER文の両方について、監査レコードが生成されます。

ノート:

ユーザーSYSのみが、この事前定義のポリシーを変更または削除できます。

次のCREATE AUDIT POLICY文は、ORA_LOGIN_LOGOUT統合監査ポリシー定義を示しています。 

CREATE AUDIT POLICY ORA_LOGIN_LOGOUT ACTIONS LOGON;

ORA_LOGIN_LOGOUT統合監査ポリシーは、次のように有効にします。 

AUDIT POLICY ORA_LOGIN_LOGOUT WHENEVER NOT SUCCESSFUL;

親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査

30.6.3 セキュア・オプションの事前定義の統合監査ポリシー

ORA_SECURECONFIG統合監査ポリシーには、セキュアな構成監査オプションがすべて用意されています。

新規データベースの場合、このポリシーは、完全な統合監査モードと混合モードの両方の監査環境で、デフォルトで有効です。このポリシーは、旧バージョンからアップグレードされたデータベースに対して有効になりませんが、以前のリリースから新規データベースを作成し、そのデータベースを最新リリースにアップグレードした場合はこの限りではありません。

ノート:

ユーザーSYSのみが、この事前定義のポリシーを変更または削除できます。

次のCREATE AUDIT POLICY文は、ORA_SECURECONFIG統合監査ポリシー定義を示しています。 

CREATE AUDIT POLICY ORA_SECURECONFIG
 PRIVILEGES ALTER ANY TABLE, CREATE ANY TABLE, DROP ANY TABLE,
            CREATE ANY PROCEDURE, DROP ANY PROCEDURE, ALTER ANY PROCEDURE,
            GRANT ANY PRIVILEGE, GRANT ANY OBJECT PRIVILEGE, GRANT ANY ROLE,
            AUDIT SYSTEM, CREATE EXTERNAL JOB, CREATE ANY JOB,
            CREATE ANY LIBRARY,
            EXEMPT ACCESS POLICY,
            CREATE USER, DROP USER,
            ALTER DATABASE, ALTER SYSTEM,
            CREATE PUBLIC SYNONYM, DROP PUBLIC SYNONYM,
            CREATE SQL TRANSLATION PROFILE, CREATE ANY SQL TRANSLATION
PROFILE,
            DROP ANY SQL TRANSLATION PROFILE, ALTER ANY SQL TRANSLATION
PROFILE,
            TRANSLATE ANY SQL,
            EXEMPT REDACTION POLICY,  
            PURGE DBA_RECYCLEBIN, LOGMINING,
            ADMINISTER KEY MANAGEMENT, BECOME USER
 ACTIONS    ALTER USER, CREATE ROLE, ALTER ROLE, DROP ROLE,
            SET ROLE, CREATE PROFILE, ALTER PROFILE,
            DROP PROFILE, CREATE DATABASE LINK,
            ALTER DATABASE LINK, DROP DATABASE LINK,
            CREATE DIRECTORY, DROP DIRECTORY,
            CREATE PLUGGABLE DATABASE,  
            DROP PLUGGABLE DATABASE,
            ALTER PLUGGABLE DATABASE,
            EXECUTE ON DBMS_RLS,
            ALTER DATABASE DICTIONARY;

親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査

30.6.4 Oracle Databaseパラメータ変更の事前定義の統合監査ポリシー

ORA_DATABASE_PARAMETERポリシーでは、よく使用されるOracle Databaseのパラメータ設定を監査します。

ノート:

ユーザーSYSのみが、この事前定義のポリシーを変更または削除できます。

次のCREATE AUDIT POLICY文は、ORA_DATABASE_PARAMETER統合監査ポリシー定義を示しています。デフォルトでは、このポリシーは有効になっていません。 

CREATE AUDIT POLICY ORA_DATABASE_PARAMETER
 ACTIONS ALTER DATABASE, ALTER SYSTEM, CREATE SPFILE;

親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査

30.6.5 ユーザー・アカウントおよび権限管理の事前定義の統合監査ポリシー

ORA_ACCOUNT_MGMTポリシーでは、よく使用されるユーザー・アカウントおよび権限の設定を監査します。

ノート:

ユーザーSYSのみが、この事前定義のポリシーを変更または削除できます。

次のCREATE AUDIT POLICY文は、ORA_ACCOUNT_MGMT統合監査ポリシー定義を示しています。デフォルトでは、このポリシーは有効になっていません。 

CREATE AUDIT POLICY ORA_ACCOUNT_MGMT
 ACTIONS CREATE USER, ALTER USER, DROP USER, CREATE ROLE, DROP ROLE,
  ALTER ROLE, SET ROLE, GRANT, REVOKE;

親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査

30.6.6 Center for Internet Securityで推奨される事前定義の統合監査ポリシー

ORA_CIS_RECOMMENDATIONSポリシーは、Center for Internet Security (CIS)で推奨される監査を実行します。

ノート:

ユーザーSYSのみが、この事前定義のポリシーを変更または削除できます。

次のCREATE AUDIT POLICY文は、ORA_CIS_RECOMMENDATIONS統合監査ポリシー定義を示しています。デフォルトでは、このポリシーは有効になっていません。 

CREATE AUDIT POLICY ORA_CIS_RECOMMENDATIONS
PRIVILEGES SELECT ANY DICTIONARY, ALTER SYSTEM
ACTIONS CREATE USER, ALTER USER, DROP USER,
        CREATE ROLE, DROP ROLE, ALTER ROLE,
        GRANT, REVOKE, CREATE DATABASE LINK,
        ALTER DATABASE LINK, DROP DATABASE LINK,
        CREATE PROFILE, ALTER PROFILE, DROP PROFILE,
        CREATE SYNONYM, DROP SYNONYM,
        CREATE PROCEDURE, DROP PROCEDURE,
        ALTER PROCEDURE, ALTER SYNONYM, CREATE FUNCTION,
        CREATE PACKAGE, CREATE PACKAGE BODY,
        ALTER FUNCTION, ALTER PACKAGE, ALTER SYSTEM,
        ALTER PACKAGE BODY, DROP FUNCTION,
        DROP PACKAGE, DROP PACKAGE BODY,
        CREATE TRIGGER, ALTER TRIGGER,
        DROP TRIGGER;

関連トピック

親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査

30.6.7 セキュリティ技術導入ガイドの事前定義された統合監査ポリシー

事前定義された統合監査ポリシーを使用して、セキュリティ技術導入ガイド(STIG)の監査要件を実装できます。

親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査

30.6.7.1 STIG推奨の事前定義の統合監査ポリシー

ORA_STIG_RECOMMENDATIONSポリシーは、セキュリティ技術導入ガイド(STIG)で推奨される監査を実行します。

ノート:

ユーザーSYSのみが、この事前定義のポリシーを変更または削除できます。

次のCREATE AUDIT POLICY文は、ORA_STIG_RECOMMENDATIONS統合監査ポリシー定義を示しています。デフォルトでは、このポリシーは有効になっていません。 

CREATE AUDIT POLICY ORA_STIG_RECOMMENDATIONS
PRIVILEGES ALTER SESSION
ACTIONS CREATE FUNCTION, ALTER FUNCTION, DROP FUNCTION,
	CREATE PACKAGE, ALTER PACKAGE, DROP PACKAGE,
	CREATE PROCEDURE, ALTER PROCEDURE, DROP PROCEDURE,
	CREATE TRIGGER, ALTER TRIGGER, DROP TRIGGER,
	CREATE PACKAGE BODY, ALTER PACKAGE BODY,
	DROP PACKAGE BODY,
	CREATE TYPE, ALTER TYPE, DROP TYPE,
	CREATE TYPE BODY, ALTER TYPE BODY, DROP TYPE BODY,
	CREATE LIBRARY, ALTER LIBRARY, DROP LIBRARY,
	CREATE JAVA, ALTER JAVA, DROP JAVA,
	CREATE OPERATOR, ALTER OPERATOR, DROP OPERATOR,
	CREATE TABLE, ALTER TABLE, DROP TABLE,
	CREATE VIEW, ALTER VIEW, DROP VIEW,
	CREATE MATERIALIZED VIEW, ALTER MATERIALIZED VIEW,
	DROP MATERIALIZED VIEW,
	CREATE ASSEMBLY, ALTER ASSEMBLY, DROP ASSEMBLY,
	CREATE SYNONYM, ALTER SYNONYM, DROP SYNONYM,
	CREATE USER, ALTER USER, DROP USER,
	GRANT, REVOKE,
	CREATE ROLE, ALTER ROLE, DROP ROLE, SET ROLE,
	CREATE PROFILE, ALTER PROFILE, DROP PROFILE,
	CREATE LOCKDOWN PROFILE, ALTER LOCKDOWN PROFILE,
	DROP LOCKDOWN PROFILE,
	ALTER SYSTEM, ALTER DATABASE, ALTER PLUGGABLE DATABASE,
	CREATE SPFILE, ALTER DATABASE DICTIONARY,
	ADMINISTER KEY MANAGEMENT,
	EXECUTE ON DBMS_JOB, EXECUTE ON DBMS_RLS,
	EXECUTE ON DBMS_REDACT, EXECUTE ON DBMS_TSDP_MANAGE,
	EXECUTE ON DBMS_TSDP_PROTECT,
	EXECUTE ON DBMS_NETWORK_ACL_ADMIN,
	EXECUTE ON DBMS_SCHEDULER
ACTIONS COMPONENT = OLS ALL';

STIGコンプライアンスの場合、すべてのユーザーに対してORA_STIG_RECOMMENDATIONS統合監査ポリシーを有効にします。 

AUDIT POLICY ORA_STIG_RECOMMENDATIONS;
30.6.7.2 すべてのトップ・レベル・アクションの事前定義の統合監査ポリシー

ORA_ALL_TOPLEVEL_ACTIONSポリシーは、権限を持つユーザーのすべてのトップ・レベル・アクションの監査を実行します。

ノート:

ユーザーSYSのみが、この事前定義のポリシーを変更または削除できます。

次のCREATE AUDIT POLICY文は、ORA_ALL_TOPLEVEL_ACTIONS統合監査ポリシー定義を示しています。デフォルトでは、このポリシーは有効になっていません。 

CREATE AUDIT POLICY ORA_ALL_TOPLEVEL_ACTIONS
        ACTIONS ALL ONLY TOPLEVEL;

STIGコンプライアンスの場合、すべてのOracle定義およびサイト固有の特権ユーザーに対してORA_ALL_TOPLEVEL_ACTIONS統合監査ポリシーを有効にします。たとえば、次の文は、Oracle定義の特権ユーザーSYSとサイト定義の特権ユーザーSITEADMINを監査します。 

AUDIT POLICY ORA_ALL_TOPLEVEL_ACTIONS BY SYS, SITEADMIN;
30.6.7.3 ログオンおよびログオフの事前定義の統合監査ポリシー

ORA_LOGON_LOGOFFポリシーは、ログオンおよびログオフ操作を追跡します。

ノート:

ユーザーSYSのみが、この事前定義のポリシーを変更または削除できます。

このポリシーは、Center for Internet Security (CIS)と技術導入のセキュリティ・ガイド(STIG)の両方の要件に必要です。

次のCREATE AUDIT POLICY文は、ORA_LOGON_LOGOFF統合監査ポリシー定義を示しています。デフォルトでは、このポリシーは有効になっていません。 

CREATE AUDIT POLICY ORA_LOGON_LOGOFF
        ACTIONS LOGON, LOGOFF;

CISおよびSTIGコンプライアンスの場合、すべてのユーザーに対してORA_LOGON_LOGOFF統合監査ポリシーを有効にします。 

AUDIT POLICY ORA_LOGON_LOGOFF;

30.6.8 ORA_DICTIONARY機密列問合せの事前定義済統合監査ポリシー

ORA$DICTIONARY_SENS_COL_ACCESS事前定義監査ポリシーは、Oracle Optimizerディクショナリ表の機密列を監査します。

この事前定義済ポリシーは、Oracle Optimizerディクショナリ表の機密列へのアクセスを制御します。有効にすると、このポリシーによって、これらの表の機密列へのアクセスの監査が有効になります。無効にすると、このポリシーではこれらの表への監査アクセスは有効になりません。表が大きすぎると、表へのアクセスによってパフォーマンスの問題が発生する可能性があります。

次の表があります。

オプティマイザ・ディクショナリ表
SYS.HIST_HEAD$ minimummaximumlowvalhival
SYS.HISTGRM$ endpointepvalue_raw
SYS.WRI$_OPTSTAT_HISTHEAD_HISTORY minimummaximumlowvalhival
SYS.WRI$_OPSTAT_HISTGRM_HISTORY endpointepvalue_raw

このポリシーは削除できません。有効化または無効化のみ可能です。このオプションはデフォルトでは有効になっています。

親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査

30.6.9 Oracle Database Real Application Securityの事前定義の監査ポリシー

事前定義の統合監査ポリシーをOracle Database Real Application Securityのイベントに使用できます。

関連トピック

親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査

30.6.9.1 システム管理者操作の事前定義の統合監査ポリシー

ORA_RAS_POLICY_MGMTの事前定義の統合監査ポリシーでは、アプリケーション・ユーザー、ロールおよびポリシーのOracle Real Application Securityのすべて管理アクションのポリシーを監査します。

ノート:

ユーザーSYSのみが、この事前定義のポリシーを変更または削除できます。

次のCREATE AUDIT POLICY文は、ORA_RAS_POLICY_MGMT統合監査ポリシー定義を示しています。デフォルトでは、このポリシーは有効になっていません。 

CREATE AUDIT POLICY ORA_RAS_POLICY_MGMT
 ACTIONS COMPONENT=XS
  CREATE USER, UPDATE USER, DELETE USER, 
  CREATE ROLE, UPDATE ROLE, DELETE ROLE, GRANT ROLE, REVOKE ROLE, 
  ADD PROXY, REMOVE PROXY, 
  SET USER PASSWORD, SET USER VERIFIER, SET USER PROFILE,
  CREATE ROLESET, UPDATE ROLESET, DELETE ROLESET,
  CREATE SECURITY CLASS, UPDATE SECURITY CLASS, DELETE SECURITY CLASS, 
  CREATE NAMESPACE TEMPLATE, UPDATE NAMESPACE TEMPLATE, DELETE NAMESPACE TEMPLATE,
  CREATE ACL, UPDATE ACL, DELETE ACL, 
  CREATE DATA SECURITY, UPDATE DATA SECURITY, DELETE DATA SECURITY, 
  ENABLE DATA SECURITY, DISABLE DATA SECURITY, 
  ADD GLOBAL CALLBACK, DELETE GLOBAL CALLBACK, ENABLE GLOBAL CALLBACK;

STIGコンプライアンスの場合、すべてのユーザーに対してORA_RAS_POLICY_MGMT統合監査ポリシーを有効にします。 

AUDIT POLICY ORA_RAS_POLICY_MGMT;
30.6.9.2 セッション操作の事前定義の統合監査ポリシー

ORA_RAS_SESSION_MGMTの事前定義の統合監査ポリシーでは、Oracle Real Application Securityのすべてのランタイム・セッション・アクションおよびネームスペース・アクションのポリシーを監査します。

ノート:

ユーザーSYSのみが、この事前定義のポリシーを変更または削除できます。

次のCREATE AUDIT POLICY文は、ORA_RAS_SESSION_MGMT統合監査ポリシー定義を示しています。デフォルトでは、このポリシーは有効になっていません。 

CREATE AUDIT POLICY ORA_RAS_SESSION_MGMT
 ACTIONS COMPONENT=XS 
  CREATE SESSION, DESTROY SESSION, 
  ENABLE ROLE, DISABLE ROLE, 
  SET COOKIE, SET INACTIVE TIMEOUT, 
  SWITCH USER, ASSIGN USER,
  CREATE SESSION NAMESPACE, DELETE SESSION NAMESPACE,
  CREATE NAMESPACE ATTRIBUTE, GET NAMESPACE ATTRIBUTE, SET NAMESPACE ATTRIBUTE,
  DELETE NAMESPACE ATTRIBUTE;

STIGコンプライアンスの場合、失敗した操作に対してORA_RAS_SESSION_MGMTを有効にします。 

AUDIT POLICY ORA_RAS_SESSION_MGMT WHENEVER NOT SUCCESSFUL;

30.6.10 DVSYSおよびLBACSYSスキーマに対するOracle Database Vaultの事前定義の統合監査ポリシー

事前定義のORA_DV_SCHEMA_CHANGES (旧名ORA_DV_AUDPOL)統合監査ポリシーは、Oracle Database VaultのDVSYSおよびLBACSYSの各スキーマ・オブジェクトを監査します。

ORA_DV_SCHEMA_CHANGESポリシーは、Oracle Database VaultのDVSYS (DVFを含む)スキーマ・オブジェクトと、Oracle Label SecurityのLBACSYSスキーマ・オブジェクトに対して実行されるすべてのアクションを監査します。DVFスキーマのF$*ファクタ・ファンクションに関するアクションは取得しません。デフォルトでは、このポリシーは有効です。

ノート:

ユーザーSYSのみが、この事前定義のポリシーを変更または削除できます。

このポリシーの完全な定義を表示するには、policy_nameORA_DV_SCHEMA_CHANGESAUDIT_UNIFIED_POLICIESデータ・ディクショナリ・ビューを問い合せます。

関連トピック

親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査

30.6.11 デフォルト・レルムおよびコマンド・ルールに対するOracle Database Vaultの事前定義の統合監査ポリシー

事前定義の統合監査ポリシーORA_DV_DEFAULT_PROTECTION (以前はORA_DV_AUDPOL2と呼ばれていました)は、Oracle Database Vaultのデフォルト・レルムおよびコマンド・ルールを監査します。

ORA_DV_DEFAULT_PROTECTIONポリシーは、Oracle Database Vaultで提供されるデフォルトのレルムおよびコマンド・ルールの監査設定を構成します。デフォルトでは、このポリシーは有効です。

ノート:

ユーザーSYSのみが、この事前定義のポリシーを変更または削除できます。

このポリシーの完全な定義を表示するには、policy_nameORA_DV_DEFAULT_PROTECTIONAUDIT_UNIFIED_POLICIESデータ・ディクショナリ・ビューを問い合せます。

関連トピック

親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査

30.6.12 LBACSYSオブジェクト用のOracle Label Securityの事前定義済統合監査ポリシー

ORA_OLS_SCHEMA_CHANGES事前定義の統合監査ポリシーは、Oracle Label Security LBACSYSユーザーが所有するオブジェクトを監査します。

Oracle Database Vaultが使用されていない場合は、この監査ポリシーを使用できます。ORA_DV_SCHEMA_CHANGES事前定義済統合監査ポリシーがすでに有効になっている場合、このポリシーを有効にする必要はありません。Oracle Database Vaultをアンインストールすると、ORA_DV_SCHEMA_CHANGESが削除されます。LBACSYSスキーマ・オブジェクトが引き続き監査されるように、ORA_DV_SCHEMA_CHANGESが有効になっている場合、Oracle Database Vaultのアンインストール中にORA_OLS_SCHEMA_CHANGESが有効になります。

ノート:

ユーザーSYSのみが、この事前定義のポリシーを変更または削除できます。

このポリシーの完全な定義を表示するには、policy_nameORA_OLS_SCHEMA_CHANGESAUDIT_UNIFIED_POLICIESデータ・ディクショナリ・ビューを問い合せます。

関連トピック

親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査

30.7 一般的な監査データ・ディクショナリ・ビュー

Oracle Databaseには、監査で使用するための様々なタイプのデータ・ディクショナリ・ビューおよび動的ビューが用意されています。

表31-20に、すべてのタイプの監査に共通するビューを示します。

ヒント:

監査ポリシーに関するエラー情報を検索するには、トレース・ファイルを確認します。USER_DUMP_DEST初期化パラメータは、トレース・ファイルの位置を示します。

表30-1 一般的な監査データ・ディクショナリ・ビュー

ビュー 説明

CDB_UNIFIED_AUDIT_TRAIL

UNIFIED_AUDIT_TRAILビューと同様、監査レコードを表示しますが、マルチテナント環境のすべてのPDBからの監査レコードを表示します。このビューは、CDBルートのみで使用可能で、そこから問い合せる必要があります。

UNIFIED_AUDIT_TRAIL

すべての監査レコードが表示されます。

V$OPTION

統合監査のPARAMETER列を問い合せて、統合監査が有効かどうかを確認できます。

V$XML_AUDIT_TRAIL

XML形式のファイルに書き込まれた標準監査、ファイングレイン監査、SYS監査および必須監査のレコードが表示されます。

関連トピック

親トピック: 監査ポリシーの構成