21 Oracle Database Applianceのトラブルシューティング

変更内容の検証とOracle Database Applianceの問題のトラブルシューティングに使用できるツールについて説明します。

• Oracle Database Applianceエラー相関レポートの表示
  エラー相関レポートの表示方法、およびレポートを解釈してアプライアンスをトラブルシューティングする方法を理解します。
• トラブルシューティングのためのLinuxカーネル・コア・エクストラクタの有効化について
  Linuxカーネル・コア・エクストラクタを管理してアプライアンスをトラブルシューティングする方法を理解します。
• DCSのエラー・メッセージに関する詳細の表示
  トラブル・シューティングのために、DCSのエラーに関する詳細を表示する方法について説明します。
• BUIを使用した診断データの収集
  エラーのトラブルシューティングのために、診断データを収集する方法について説明します。
• パッチの適用中にDCSコンポーネントを更新するときのエラーの解決
  パッチの適用中にDCSコンポーネントを更新するときに発生するエラーのトラブルシューティング方法について説明します。
• アプライアンスのコンポーネント情報の表示
  アプライアンスにインストールされているすべてのコンポーネントの詳細とRPMドリフト情報を表示します。
• ブラウザ・ユーザー・インタフェースへのログイン時のエラー
  ブラウザ・ユーザー・インタフェースへのログインに問題がある場合は、ブラウザまたは資格証明が原因の可能性があります。
• Oracle Database Applianceの再イメージ化時のエラー
  Oracle Database Applianceの再イメージ化時に発生するエラーをトラブルシューティングする方法について説明します。
• Oracle Autonomous Health Frameworkを使用した診断の実行
  Oracle Autonomous Health Frameworkは、収集済の診断データを収集および分析して、システムの状態に影響を与える前に予防的に問題を特定します。
• ディスク診断ツールの実行
  ディスク診断ツールの使用は、ディスクの問題の原因を特定するために役立ちます。
• Oracle Database Applianceハードウェア監視ツールの実行
  Oracle Database Applianceハードウェア監視ツールは、Oracle Database Applianceサーバーの様々なハードウェア・コンポーネントの状態を表示します。
• Oracle Database Applianceの信頼できるSSL証明書の構成
  ブラウザ・ユーザー・インタフェースとDCSコントローラでは、安全な通信のためにSSLベースのHTTPSプロトコルを使用します。この追加されたセキュリティの意味と、SSL証明書を構成するオプションについて理解します。
• ブラウザ・ユーザー・インタフェースの無効化
  ブラウザ・ユーザー・インタフェースは無効にすることもできます。ブラウザ・ユーザー・インタフェースを無効にすると、アプライアンスの管理はコマンドライン・インタフェースでのみできるようになります。
• Oracleサポート・サービス用のログ・ファイルの用意
  Oracleサポート・サービスからのサポートが必要なシステム障害がある場合は、Oracleが問題の診断をサポートできるように、ログ・レコードを提供する必要がある場合があります。

Oracle Database Applianceエラー相関レポートの表示

エラー相関レポートの表示方法、およびレポートを解釈してアプライアンスをトラブルシューティングする方法を理解します。

エラー相関レポートについて

DCSジョブが失敗すると、エラー相関ジョブが自動的に作成され、エラー相関レポートが生成されます。生成されたエラー相関レポートにBUIからアクセスして確認し、考えられるエラー解決方法を調べることができます。

エラー相関レポートには次のものが含まれます。

• ログ・メッセージ: 様々なログ・ファイルからのエラー、例外および警告。
• 失敗したタスク・メッセージ: DCSジョブが失敗したときに表示されたエラー・メッセージ。
• リリース・ノート: 問題の解決に役立つ『Oracle Database Applianceリリース・ノート』の関連する既知の問題。
• ドキュメント: エラーの解決に役立つOracle Database Applianceドキュメント・ライブラリの関連トピック。

エラー相関レポートは、失敗したそれぞれのDCSジョブに対して生成され、BUIからアクセスできます。Oracle Database Appliance高可用性デプロイメントでは、エラー相関レポートに両方のノードのログ・ファイルから導出されたエラー情報が含まれます。

ODACLIコマンドを使用したエラー相関レポートの表示

odacli describe-job -i failed_dcs_job_id --ecrコマンドを実行することで、失敗したDCSジョブのエラー相関レポートを表示できます。出力例については、このガイド内の「odacli describe-job」のトピックを参照してください。

BUIからのエラー相関レポートの表示

BUIの「Activities」ページからエラー相関レポートを表示するには:

1. ブラウザ・ユーザー・インタフェースにログインします。

   https://host-ip-address:7093/mgmt/index.html

2. 「Activity」タブをクリックします。
3. 「Activities」ページで、エラー相関レポートを表示する失敗したDCSジョブの「Failure」または「InternalError」リンクをクリックします。失敗したDCSジョブのみがエラー相関レポートに関連付けられています。
4. 「Actions」メニューをクリックし、「View Error Correlation Report」を選択して、失敗したDCSジョブのエラー相関レポートを表示することもできます。
5. エラー相関レポートには次のタブが含まれます。
   • Log Messages: DCSエージェント、DCS管理、Zookeeper、MySQLおよびOracle FPPのログが表示されます。各セクションを展開して詳細を表示できます。ログがあるコンポーネントのみが表示されます。エラーが見つからない場合は、「Log Messages」セクションにメッセージNo errors or exceptions found in logsが表示されます。
   • Failed Task Messages: タスクが失敗したときに表示された具体的なエラー・メッセージが表示されます。
   • Release Notes: 問題の解決に役立つ『Oracle Database Applianceリリース・ノート』の関連する既知の問題が表示されます。これらの各リンクをクリックして、リリース・ノート・エントリを表示できます。関連する既知の問題が見つからない場合は、メッセージNo matching results were found.が表示されます。
   • Documentation: エラーの解決に役立つOracle Database Applianceドキュメント・ライブラリの関連トピックが表示されます。これらの各リンクをクリックして、Oracle Database Applianceドキュメントのドキュメント・トピックを表示できます。

BUIの「Diagnostics」ページからエラー相関レポートを表示するには:

1. BUIで、「Diagnostics」タブをクリックします。
2. 「Diagnostics」ページで、失敗したジョブの「Collect Diagnostic Data」をクリックします。
3. 「Collect Diagnostics」ページでは、失敗したDCSジョブのエラー相関レポートとジョブ詳細が個別のタブに表示されます。エラー相関レポートをローカル・システムにダウンロードするには、「Report File Name」リンクをクリックします。
4. 「Job details」タブにはジョブのステップが表示され、「Error Correlation Report」には「Log Messages」、「Failed Task Messages」、「Release Notes」および「Documentation」タブが含まれます。

odacli describe-job

トラブルシューティングのためのLinuxカーネル・コア・エクストラクタの有効化について

Linuxカーネル・コア・エクストラクタを管理してアプライアンスをトラブルシューティングする方法を理解します。

Linuxカーネル・コア・エクストラクタについて

Linuxカーネル・パニックは、障害のあるハードウェア、ドライバのクラッシュ、ソフトウェアのバグなどの様々な理由で発生する可能性があります。カーネル・パニックの原因を特定するには、クラッシュしたカーネルのvmcoreを収集して分析することが不可欠です。kdumpサービスを使用して、最初のカーネル・クラッシュ後にvmcoreが収集されます。このプロセスは、メモリーの多いシステムでは低速になり、使用可能な領域が不足しているときには、vmcoreの生成に失敗することがよくあります。Oracle Database Applianceベア・メタル・システムでLinuxカーネル・コア・エクストラクタが有効になっている場合、kdumpカーネルのクラッシュ・ユーティリティによって、vmcoreが生成されずにトラブルシューティングに役立つ情報が収集されます。

Linuxカーネル・コア・エクストラクタのコマンド

生成されたクラッシュ・レポートをリストします。

# /usr/sbin/oled lkce list
Followings are the crash*out found in /var/oled/lkce dir:
/var/oled/lkce/crash_20220307-154542.out

最後の3つを除く既存のすべてのクラッシュ・レポートをパージします。

# /usr/sbin/oled lkce clean
lkce deletes all but last three /var/oled/lkce/crash*out files. do you want to proceed(yes/no)? [no]:

すべてのクラッシュ・レポートをパージします。

# /usr/sbin/oled lkce clean --all
lkce removes all the files in /var/oled/lkce dir. do you want to proceed(yes/no)? [no]:

デフォルトでは、クラッシュ・レポートには次のクラッシュ・コマンドの出力が含まれます。/etc/oled/lkce/crash_cmds_fileに他のクラッシュ・コマンドを追加できます。

#
# This is the input file for crash utility. You can edit this manually
# Add your own list of crash commands one per line.
#
bt
bt -a
bt -FF
dev
kmem -s
foreach bt
log
mod
mount
net
ps -m
ps -S
runq
quit

デフォルトでは、vmcoreの生成は無効になっています。次のようにvmcoreの生成を有効にできます。

# oled lkce configure --vmcore=yes
Restarting kdump service... done!
lkce: set vmcore to yes

Linuxカーネル・コア・エクストラクタのその他のコマンドについては、Linuxカーネル・コア・エクストラクタのヘルプを参照してください。

# oled lkce help
Usage: lkce options
options:
    report report-options -- Generate a report from vmcore
    report-options:
        --vmcore=/path/to/vmcore        - path to vmcore
        [--vmlinux=/path/to/vmlinux]        - path to vmlinux
        [--crash_cmds=cmd1,cmd2,cmd3,..]    - crash commands to include
        [--outfile=/path/to/outfile]        - write output to a file
 
    configure [--default]   -- configure lkce with default values
    configure [--show]  -- show lkce configuration -- default
    configure [config-options]
    config-options:
        [--vmlinux_path=/path/to/vmlinux]   - set vmlinux_path
        [--crash_cmds_file=/path/to/file]   - set crash_cmds_file
        [--kdump_report=yes/no]         - set crash report in kdump kernel
        [--vmcore=yes/no]           - set vmcore generation in kdump kernel
        [--max_out_files=<number>]        - set max_out_files
 
    enable  -- enable lkce in kdump kernel
    disable -- disable lkce in kdump kernel
    status  -- status of lkce
 
    clean [--all]   -- clear crash report files
    list        -- list crash report files

DCSのエラー・メッセージに関する詳細の表示

トラブル・シューティングのために、DCSのエラーに関する詳細を表示する方法について説明します。

DCSのエラーに関する情報の表示について

DCS操作時のエラーの詳細を表示するには、コマンドdcserr error_codeを使用します。

# /opt/oracle/dcs/bin/dcserr
dcserr error_code
 
# dcserr 10001
10001, Internal_Error, "Internal error encountered: {0}."
// *Cause: An internal error occurred.
// *Action: Contact Oracle Support Services for assistance.
/
# dcserr 1001
Unknown error code

ブラウザ・ユーザー・インタフェース(BUI)でDCSエラーの詳細を表示するには、BUIの「Search」ボックスにDCSエラー・コードを入力します。検索結果には、DCSエラー・コードの原因と処置が表示されます。

BUIを使用した診断データの収集

エラーのトラブルシューティングのために、診断データを収集する方法について説明します。

診断データの収集について

ブラウザ・ユーザー・インタフェースの「Diagnostics」タブを使用して、デプロイメントとインストール済コンポーネントに関する診断情報を表示します。

「Diagnostic Collection」ページでは、利用可能な診断のコレクションを表示できます。「Collect Diagnostic Data」をクリックして、診断の収集を開始します。データの収集後に、コレクション・ファイルのパスをクリックしてファイルをダウンロードします。

「Collect Diagnostics」ページで、診断データ収集のジョブIDを指定します。コレクションのタグと説明を必要に応じて指定します。ジョブIDの詳細が表示されます。「Collect」をクリックして、診断データの収集を開始します。

「Activity」ページから診断を収集することもできます。その場合は、特定のジョブの「Actions」ドロップダウンから「Collect Diagnostics」を選択します。「Collect」をクリックして、診断データの収集を開始します。

診断コレクションを削除するには、「Diagnostic Collection」ページで特定のコレクションを選択して、「Delete」をクリックします。

この診断収集機能は、odaadmcli manage diagcollectコマンドの代替にはなりません。odaadmcli manage diagcollectコマンドを使用すると、このBUIの新機能とは無関係に診断収集を有効にすることもできます。odaadmcli manage diagcollectコマンドとBUIからの診断収集では、内部的にtfactlコマンドが使用されます。BUIからの診断収集の目的は、tfactlでは収集されないDCSメタデータから別のデータを収集して、関連するDCSジョブの失敗にかかわる根本原因の分析のための優れたコンテキストを提供することです。

パッチの適用中にDCSコンポーネントを更新するときのエラーの解決

パッチの適用中にDCSコンポーネントを更新するときに発生するエラーのトラブルシューティング方法について説明します。

.

DCSコンポーネントについて

パッチ適用中にodacli update-dcscomponentsコマンドを実行すると、Zookeeper、MySQLおよびDCSコンポーネントを更新する前に、MySQLのインストールについての事前チェックが自動的に検証されます。事前チェックのいずれかが失敗した場合、このコマンドは事前チェック・レポートのログ・ファイルの場所/opt/oracle/dcs/log/jobId-dcscomponentsPreCheckReport.logへの参照でエラーが発生します。事前チェック・レポートを確認し、修正処理を実行してから、odacli update-dcscomponentsコマンドを再実行してください。事前チェックのエラーがない場合は、Zookeeper、MySQLおよびDCSコンポーネント(DCS Agent、DCS CLI、DCSコントローラなど)の更新でパッチ適用プロセスが続行します。

ノート:

odacli update-dcsadminコマンドは、odacli update-dcscomponentsコマンドの前に実行します。

コマンドodacli update-dcscomponentsが正常に完了した場合:

コマンドの出力は次のようになります。

# ./odacli update-dcscomponents -v 19.19.0.0.0            
{
  "jobId" : "3ac3667a-fa22-40b6-a832-504a56aa3fdc",
  "status" : "Success",
  "message" : "Update-dcscomponents is successful on all the node(s):DCS-Agent
shutdown is successful. MySQL upgrade is done before. Metadata migration is
successful. Agent rpm upgrade is successful. DCS-CLI rpm upgrade is successful.
DCS-Controller rpm upgrade is succ",
  "reports" : null,
  "createTimestamp" : "February 22, 2021 02:37:37 AM CST",
  "description" : "Update-dcscomponents job completed and is not part of Agent
job list",
  "updatedTime" : "February 22, 2021 02:39:10 AM CST"
}

事前チェック・レポートのログ・ファイル(場所: /opt/oracle/dcs/log/jobId-dcscomponentsPreCheckReport.log)には、次の内容が含まれています。

Pre-check Name: Space check
Status: Success
Comments: Required space 3 GB is available in /opt

Pre-check Name: Port check
Status: Success
Comments: Port 3306 is available for running ODA MySQL

Pre-check Name: ODA MySQL rpm installation dry-run check
Status: Success
Comments: ODA MySQL rpm dry-run passed

Pre-check Name: Check for the existence of MySQL connector/J library
Status: Success
Comments: ODA MySQL connector/J library found

Pre-check Name: Check for the existence of Metadata migration utility
Status: Success
Comments: Metadata migration utility found

コマンドodacli update-dcscomponentsが失敗した場合:

Oracle Database Appliance単一ノード・システムの場合、コマンド出力は次のようになります。

# ./odacli update-dcscomponents -v 19.19.0.0.0            

DCS-10008:Failed to update DCScomponents: 19.10.0.0.0
Internal error while patching the DCS components :
DCS-10231:Cannot proceed. Pre-checks for update-dcscomponents failed. Refer to
/opt/oracle/dcs/log/jobId-dcscomponentsPreCheckReport.log
on node 0 for details.

Oracle Database Appliance高可用性システムの場合、コマンド出力は次のようになります。

# ./odacli update-dcscomponents -v 19.19.0.0.0            

Internal error while patching the DCS components :
DCS-10231:Cannot proceed. Pre-checks for update-dcscomponents failed. Refer to
/opt/oracle/dcs/log/jobId-dcscomponentsPreCheckReport.log
on node 0 and /opt/oracle/dcs/log/jobId-dcscomponentsPreCheckReport.log
on node 1 for details.

このコマンドは、すべての事前チェックを1つずつ実行して、事前チェックのいずれかが「Failed」としてマークされている場合は最後にエラーが発生します。事前チェックが失敗した場合は、コンソールにエラー・メッセージと事前チェック・レポートのログの場所への参照が表示されます。事前チェック・レポートのログ・ファイルの場所は、/opt/oracle/dcs/log/jobId-dcscomponentsPreCheckReport.logです。

Pre-check Name: Space check
Status: Failed
Comments: Available space in /opt is 2 GB but minimum required space in /opt is 3 GB 

Pre-check Name: Port check
Status: Success
Comments: Port 3306 is available for running ODA MySQL

Pre-check Name: ODA MySQL rpm installation dry-run check
Status: Success
Comments: ODA MySQL rpm dry-run passed

Pre-check Name: Check for the existence of MySQL connector/J library
Status: Success
Comments: ODA MySQL connector/J library found

Pre-check Name: Check for the existence of Metadata migration utility
Status: Success
Comments: Metadata migration utility found

スペース・チェックのエラーのためにコマンドodacli update-dcscomponentsが失敗した場合:

事前チェック・レポートのログには、次の内容が含まれます。

Pre-check Name: Space check
Status: Failed
Comments: Available space in /opt is 2 GB but minimum required space in /opt is 3 GB 

Pre-check Name: Port check
Status: Success
Comments: Port 3306 is available for running ODA MySQL

Pre-check Name: ODA MySQL rpm installation dry-run check
Status: Success
Comments: ODA MySQL rpm dry-run passed

Pre-check Name: Check for the existence of MySQL connector/J library
Status: Success
Comments: ODA MySQL connector/J library found

Pre-check Name: Check for the existence of Metadata migration utility
Status: Success
Comments: Metadata migration utility found

ポート・チェックのエラーのためにコマンドodacli update-dcscomponentsが失敗した場合:

事前チェック・レポートのログには、次の内容が含まれます。

Pre-check Name: Space check
Status: Success
Comments: Required space 3 GB is available in /opt

Pre-check Name: Port check
Status: Failed
Comments: No port found in the range ( 3306 to 65535 )

Pre-check Name: ODA MySQL rpm installation dry-run check
Status: Success
Comments: ODA MySQL rpm dry-run passed

Pre-check Name: Check for the existence of MySQL connector/J library
Status: Success
Comments: ODA MySQL connector/J library found

Pre-check Name: Check for the existence of Metadata migration utility
Status: Success
Comments: Metadata migration utility found

MySQL RPMインストール・ドライラン・チェックのエラーのためにodacli update-dcscomponentsコマンドが失敗した場合:

事前チェック・レポートのログには、次の内容が含まれます。

Pre-check Name: Space check
Status: Success
Comments: Required space 3 GB is available in /opt

Pre-check Name: Port check
Status: Success
Comments: Port 3306 is available for running ODA MySQL

Pre-check Name: ODA MySQL rpm installation dry-run check
Status: Failed
Comments: ODA MySQL rpm dry-run failed. Failed due to the following error :
Exception details are displayed below

Pre-check Name: Check for the existence of MySQL connector/J library
Status: Success
Comments: ODA MySQL connector/J library found

Pre-check Name: Check for the existence of Metadata migration utility
Status: Success
Comments: Metadata migration utility found

MySQL Connector/Jライブラリ・チェックのエラーのためにコマンドodacli update-dcscomponentsが失敗した場合:

事前チェック・レポートのログには、次の内容が含まれます。

Pre-check Name: Space check
Status: Success
Comments: Required space 3 GB is available in /opt

Pre-check Name: Port check
Status: Success
Comments: Port 3306 is available for running ODA MySQL

Pre-check Name: ODA MySQL rpm installation dry-run check
Status: Success
Comments: ODA MySQL rpm dry-run passed

Pre-check Name: Check for the existence of MySQL connector/J library
Status: Failed
Comments: MySQL connector/J library does not exist. Ensure update-repository with latest serverzip bundles ran first without any issues prior to running update-dcscomponents

Pre-check Name: Check for the existence of Metadata migration utility
Status: Success
Comments: Metadata migration utility found

メタデータ移行ユーティリティ・チェックのエラーのためにコマンドodacli update-dcscomponentsが失敗した場合:

事前チェック・レポートのログには、次の内容が含まれます。

Pre-check Name: Space check
Status: Success
Comments: Required space 3 GB is available in /opt

Pre-check Name: Port check
Status: Success
Comments: Port 3306 is available for running ODA MySQL

Pre-check Name: ODA MySQL rpm installation dry-run check
Status: Success
Comments: ODA MySQL rpm dry-run passed

Pre-check Name: Check for the existence of MySQL connector/J library
Status: Success
Comments: ODA MySQL connector/J library found

Pre-check Name: Check for the existence of Metadata migration utility
Status: Failed
Comments: Metadata migration utility does not exist. Ensure update-repository with latest serverzip bundles ran first without any issues prior to running update-dcscomponents

アプライアンスのコンポーネント情報の表示

アプライアンスにインストールされているすべてのコンポーネントの詳細とRPMドリフト情報を表示します。

ブラウザ・ユーザー・インタフェースでの部品表の収集と表示

ブラウザ・ユーザー・インタフェースにある「Appliance」タブを使用して、デプロイメントおよびインストールされているコンポーネントについて情報を収集し表示します。「Advanced」タブに、次のコンポーネントに関する情報が表示されます。

• Grid Infrastructureのバージョンおよびホーム・ディレクトリ

• データベースのバージョン、ホームの場所およびエディション

• 構成されているデータベースの場所および詳細

• アプライアンスに適用されたすべてのパッチ

• ファームウェア・コントローラおよびディスク

• ILOMの情報

• BIOSのバージョン

• RPMのリスト

「List of RPMs」セクションで、「Show」をクリックしてから「RPM Drift」をクリックし、アプライアンスにインストールされているRPMと最新のOracle Database Applianceパッチ・バンドル更新リリースで出荷されたRPMの違いを表示します。

「Collect Bill of Materials」をクリックして収集を開始し、ジョブを発行します。ジョブIDが表示されます。収集が完了したら、「Refresh」をクリックして情報をリフレッシュします。

コンポーネントのレポートを保存するには、「Download」をクリックします。このレポートは、デプロイメントの問題の診断に役立てるために使用できます。

コマンドラインからの部品表の表示

部品表は、ベア・メタルおよび仮想化プラットフォームのデプロイメントのコマンドラインからも使用できます。インストールされているコンポーネントに関する情報は、設定したスケジュールに従って収集され、ベア・メタル・デプロイメントの場合は/opt/oracle/dcs/Inventory/、仮想化プラットフォームの場合は/opt/oracle/oak/Inventory/ディレクトリに格納されます。このファイルは、oda_bom_TimeStamp.jsonという形式で格納されます。describe-systemコマンドを使用して、コマンドラインで部品構成表を表示します。コマンドのオプションと使用上のノートは、Oracle Databaseコマンドライン・インタフェースについての章を参照してください。

例21-1 ベア・メタル・デプロイメントのコマンドラインから部品表を表示するコマンドの例

# odacli describe-system -b
ODA Components Information 
------------------------------
Component Name                Component Details                                            
---------------               ----------------------------------------------------------------------------------------------- 
NODE                          Name : oda1 
                              Domain Name : testdomain.com 
                              Time Stamp : April 21, 2020 6:21:15 AM UTC 

  
RPMS                          Installed RPMS : abrt-2.1.11-55.0.1.el7.x86_64,
                                               abrt-addon-ccpp-2.1.11-55.0.1.el7.x86_64,
                                               abrt-addon-kerneloops-2.1.11-55.0.1.el7.x86_64,
                                               abrt-addon-pstoreoops-2.1.11-55.0.1.el7.x86_64,
                                               abrt-addon-python-2.1.11-55.0.1.el7.x86_64,
                                               abrt-addon-vmcore-2.1.11-55.0.1.el7.x86_64,
                                               abrt-addon-xorg-2.1.11-55.0.1.el7.x86_64,
                                               abrt-cli-2.1.11-55.0.1.el7.x86_64,
                                               abrt-console-notification-2.1.11-55.0.1.el7.x86_64,
                                               abrt-dbus-2.1.11-55.0.1.el7.x86_64,
                                               abrt-libs-2.1.11-55.0.1.el7.x86_64,
                                               abrt-python-2.1.11-55.0.1.el7.x86_64,
                                               abrt-tui-2.1.11-55.0.1.el7.x86_64,
                                               acl-2.2.51-14.el7.x86_64,
                                               adwaita-cursor-theme-3.28.0-1.el7.noarch,
                                               adwaita-icon-theme-3.28.0-1.el7.noarch,
                                               aic94xx-firmware-30-6.el7.noarch,
                                               aide-0.15.1-13.0.1.el7.x86_64,
                                               alsa-firmware-1.0.28-2.el7.noarch,
                                               alsa-lib-1.1.8-1.el7.x86_64,
                                               alsa-tools-firmware-1.1.0-1.el7.x86_64,
                                               at-3.1.13-24.el7.x86_64,
                                               at-spi2-atk-2.26.2-1.el7.x86_64,
                                               at-spi2-core-2.28.0-1.el7.x86_64,
                                               atk-2.28.1-1.el7.x86_64,
                                               attr-2.4.46-13.el7.x86_64,
                                               audit-2.8.5-4.el7.x86_64,
                                               audit-libs-2.8.5-4.el7.x86_64,
                                               audit-libs-python-2.8.5-4.el7.x86_64,
                                               augeas-libs-1.4.0-9.el7.x86_64,
                                               authconfig-6.2.8-30.el7.x86_64,
                                               autogen-libopts-5.18-5.el7.x86_64,
                                               avahi-libs-0.6.31-19.el7.x86_64,
                                               basesystem-10.0-7.0.1.el7.noarch,
                                               bash-4.2.46-33.el7.x86_64,
                                               bash-completion-2.1-6.el7.noarch,
                                               bc-1.06.95-13.el7.x86_64,
                                               bind-export-libs-9.11.4-9.P2.el7.x86_64,
                                               bind-libs-9.11.4-9.P2.el7.x86_64,
                                               bind-libs-lite-9.11.4-9.P2.el7.x86_64,
                                               bind-license-9.11.4-9.P2.el7.noarch,
                                               bind-utils-9.11.4-9.P2.el7.x86_64,
                                               binutils-2.27-41.base.0.7.el7_7.2.x86_64,
                                               biosdevname-0.7.3-2.el7.x86_64,
                                               blktrace-1.0.5-9.el7.x86_64,
                                               bnxtnvm-1.40.10-1.x86_64,
                                               boost-date-time-1.53.0-27.el7.x86_64,
                                               boost-filesystem-1.53.0-27.el7.x86_64,
                                               boost-iostreams-1.53.0-27.el7.x86_64,
....
....
....

例21-2 仮想化プラットフォームのコマンドラインから部品表を表示するコマンドの例

# oakcli describe-system -b

例21-3 格納された場所から部品表レポートを表示するコマンドの例

# ls -la /opt/oracle/dcs/Inventory/
total 264
-rw-r--r-- 1 root root 83550 Apr 26 05:41 oda_bom_2018-04-26_05-41-36.json

ブラウザ・ユーザー・インタフェースへのログイン時のエラー

ブラウザ・ユーザー・インタフェースへのログインに問題がある場合は、ブラウザまたは資格証明が原因の可能性があります。

ノート:

Oracle Database Applianceでは、自己署名証明書を使用します。ブラウザによって、ブラウザ・ユーザー・インタフェースへのログイン方法が異なります。ブラウザとブラウザのバージョンによっては、証明書が無効であるか自己署名されているために信頼できないという警告またはエラーや、接続がプライベートでないという警告またはエラーが表示されることがあります。エージェントとブラウザ・ユーザー・インタフェースの自己署名証明書を受け入れるようにしてください。

次のステップを実行して、ブラウザ・ユーザー・インタフェースにログインします。

1. ブラウザ・ウィンドウを開きます。
2. URL https://ODA-host-ip-address:7093/mgmt/index.htmlに移動します。
3. セキュリティ証明書(または証明書)を取得して、セキュリティ例外を確認し、例外を追加します。
4. Oracle Database Applianceの資格証明を使用して、ログインします。
   まだoda-adminのパスワードを設定していない場合は、デフォルトのパスワードを変更してシステム・セキュリティ要件に準拠するように求めるメッセージが表示されます。
5. エージェント・セキュリティ証明書の例外を追加していない場合は、エージェント証明書の受入れに関するメッセージが表示されます。
6. ブラウザの別のタブを使用して、URL https://ODA-host-ip-address:7070/loginに移動します。
7. セキュリティ証明書(または証明書)を取得して、セキュリティ例外を確認し、例外を追加します。
8. ブラウザ・ユーザー・インタフェースのURLをhttps://ODA-host-ip-address:7093/mgmt/index.htmlに更新します。

ノート:

macOS CatalinaやGoogle ChromeなどのブラウザでOracle Database Applianceブラウザ・ユーザー・インタフェースへのログインに問題が発生した場合は、その製品の正式サイトの説明に従った回避策の使用が必要になることがあります。

Oracle Database Applianceの再イメージ化時のエラー

Oracle Database Applianceの再イメージ化時に発生するエラーのトラブルシューティング方法について説明します。

Oracle Database Applianceの再イメージ化が古いヘッダーの問題(ストレージ検出、GIルート・スクリプトの実行、ディスク・グループのRECOの作成のエラーなど)によって失敗した場合は、cleanup.plで強制モードを使用します。

# cleanup.pl -f

再イメージ化が正常に完了するようにするために、セキュア消去ツールを実行して、ストレージ・ディスクから古いヘッダーを削除します。OAK/ASMヘッダーの削除を確認します。

# cleanup.pl -erasedata
# cleanup.pl -checkHeader

再イメージ化の操作を再試行します。

Oracle Autonomous Health Frameworkを使用した診断の実行

Oracle Autonomous Health Frameworkは、収集済の診断データを収集および分析して、システムの状態に影響を与える前に予防的に問題を特定します。

• Oracle Autonomous Health Frameworkのインストールについて
  Oracle Database Applianceリリース19.19にプロビジョニングまたはパッチ適用すると、Oracle Autonomous Health Frameworkは自動的にインストールされます。
• Oracle ORAchkヘルス・チェック・ツールの使用
  Oracle ORAchkを実行して、構成の設定を監査し、システムの状態を確認します。
• ブラウザ・ユーザー・インタフェースでのOracle ORAchkヘルス・チェック・ツールのレポートの生成と表示
  ブラウザ・ユーザー・インタフェースを使用して、Oracle ORAchkヘルス・チェック・ツールのレポートを生成します。
• ブラウザ・ユーザー・インタフェースでのデータベース・セキュリティ評価レポートの生成と表示
  ブラウザ・ユーザー・インタフェースを使用して、データベース・セキュリティ評価レポートを生成および表示します。
• Oracle Trace File Analyzer (TFA) Collectorのコマンドの実行
  tfactlのインストール場所とコマンドのオプションについて説明します。
• 診断コレクションに含まれる機密情報のサニタイズ
  Oracle Autonomous Health Frameworkは、機密データをサニタイズするためにAdaptive Classification and Redaction (ACR)を使用します。
• Adaptive Classification and Redaction (ACR)の有効化
  Oracle Database Applianceは、機密データのサニタイズのためにAdaptive Classification and Redaction (ACR)をサポートしています。
• Oracle Trace File Analyzerのコレクションに含まれる機密情報のサニタイズ
  Oracle Trace File Analyzerの診断コレクションは、リダクション(サニタイズまたはマスク)できます。
• BUIでのエンティティのリダクションとサニタイズ
  ブラウザ・ユーザー・インタフェースを使用して、トレース・ファイルのリダクションの有効化と無効化、ファイルのリダクション、およびサニタイズされたエンティティの表示と非表示の切替えを行います。
• Oracle ORAchkの出力に含まれる機密情報のサニタイズ
  Oracle ORAchkの出力は、サニタイズできます。

Oracle Autonomous Health Frameworkのインストールについて

Oracle Database Applianceリリース19.19にプロビジョニングまたはパッチ適用すると、Oracle Autonomous Health Frameworkは自動的にインストールされます。

アプライアンスをOracle Database Applianceリリース19.19にプロビジョニングまたはパッチ適用すると、Oracle Autonomous Health Frameworkがパス/opt/oracle/dcs/oracle.ahfにインストールされます。

次のコマンドを実行すると、Oracle Autonomous Health Frameworkがインストールされていることが確認できます。

[root@oak ~]# rpm -q oracle-ahf
oracle-ahf-193000-########.x86_64

ノート:

Oracle Database Applianceリリース19.19にプロビジョニングまたはパッチを適用すると、Oracle Autonomous Health FrameworkはOracle ORAchkヘルス・チェック・ツールおよびOracle Trace File Analyzerコレクタを自動的に提供します。

Oracle ORAchkヘルス・チェック・ツールは、Oracleソフトウェア・スタックに対して予防的なヘルス・チェックを実行して、既知の問題をスキャンします。Oracle ORAchkヘルス・チェック・ツールは、次のようなカテゴリでOracle RACデプロイメント用の重要な構成設定を監査します。

• オペレーティング・システムのカーネル・パラメータおよびパッケージ
• Oracle Databaseデータベース・パラメータおよびその他のデータベース構成の設定
• Oracle Grid Infrastructure (Oracle ClusterwareおよびOracle Automatic Storage Managementを含む)

Oracle ORAchkは常にシステム全体に対して機能します。構成にベスト・プラクティスが付随しているかどうかをチェックします。

Oracle Trace File Collectorの主な利点とオプションは次のとおりです。

• 単一ノードから実行する単一コマンドへの、すべてのクラスタ・ノード上のすべてのOracle Grid InfrastructureおよびOracle RACコンポーネントに関する診断データ収集のカプセル化
• データ・アップロード・サイズを削減するためにデータ収集時に診断ファイルを削減するオプション
• 一定期間および特定の製品コンポーネント(Oracle ASM、Oracle DatabaseまたはOracle Clusterware)に対する診断データ収集を分離するオプション
• Oracle Database Appliance内の単一ノードに対する収集された診断出力の一元管理(必要な場合)
• すべてのログ・ファイルおよびトレース・ファイルでの問題を示す状態のオンデマンド・スキャン
• 問題を示す状態に関するリアルタイム・スキャン・アラート・ログ(たとえば、データベース・アラート・ログ、Oracle ASMアラート・ログおよびOracle Clusterwareアラート・ログなど)

Oracle ORAchkヘルス・チェック・ツールの使用

Oracle ORAchkを実行して、構成の設定を監査し、システムの状態を確認します。

ノート:

ORAchkの実行前に、最新バージョンのOracle Autonomous Health Frameworkについて確認し、ダウンロードしてインストールします。最新バージョンのOracle Autonomous Health Frameworkのダウンロードとインストールの詳細は、My Oracle Supportノート2550798.1を参照してください。

新規インストールのためのOracle Database Appliance 19.19ベアメタル・システムでのORAchkの実行

Oracle Database Appliance 19.19にプロビジョニングまたはアップグレードすると、Oracle Autonomous Frameworkを使用してORAchkが/opt/oracle/dcs/oracle.ahfディレクトリにインストールされます。

orachkを実行するには、次のコマンドを使用します。

[root@oak bin]# orachk

すべてのチェックが完了すると、詳細なレポートが使用できるようになります。この出力にはレポートの場所がHTML形式で表示されます。また、レポートをアップロードするためのzipファイルの場所が表示されます。たとえば、失敗したチェックのみを表示するフィルタ、ステータスが「Fail」、「Warning」、「Info」または「Pass」のチェックあるいは任意の組合せ表示するフィルタを選択できます。

Oracle Database Applianceの評価レポートとシステムの状態を確認して、特定された問題をトラブルシューティングします。このレポートには、サマリーと特定の領域に焦点を合わせるためのフィルタが含まれています。

Oracle Database Appliance 19.19仮想化プラットフォームでのORAchkの実行

Oracle Database Appliance 19.19にプロビジョニングまたはアップグレードすると、Oracle Autonomous Frameworkを使用してORAchkが/opt/oracle.ahfディレクトリにインストールされます。

orachkを実行するには、次のコマンドを使用します。

[root@oak bin]# oakcli orachk

https://support.oracle.com/rs?type=doc&id=2550798.1

ブラウザ・ユーザー・インタフェースでのOracle ORAchkヘルス・チェック・ツールのレポートの生成と表示

ブラウザ・ユーザー・インタフェースを使用して、Oracle ORAchkヘルス・チェック・ツールのレポートを生成します。

1. oda-adminのユーザー名とパスワードで、ブラウザ・ユーザー・インタフェースにログインします。

   https://Node0–host-ip-address:7093/mgmt/index.html

2. 「Monitoring」タブをクリックします。
3. 「Monitoring」ページの左側のナビゲーション・ペインで、「ORAchk Report」をクリックします。
   「ORAchk Reports」ページに、すべての生成されたORAchkレポートのリストが表示されます。
4. 表示するORAchkレポートの「Actions」メニューで、「View」をクリックします。
   Oracle Database Appliance評価レポートが表示されます。これには、デプロイメントの状態の詳細と、現在のリスク、処置の推奨事項および追加情報のリンクがリストされます。
5. オンデマンドのORAchkレポートを作成するには: 「ORAchk Reports」ページで、「Create」をクリックして、確認ボックスの「Yes」をクリックします。
   ORAchkレポートを作成するためのジョブが発行されます。
6. このジョブのステータスは、リンクをクリックして表示します。ジョブが正常に完了すると、「ORAchk Reports」ページでOracle Database Appliance評価レポートを表示できます。
7. ORAchkレポートを削除するには: 削除するORAchkレポートの「Actions」メニューで、「Delete」をクリックします。

ブラウザ・ユーザー・インタフェースでのデータベース・セキュリティ評価レポートの生成と表示

ブラウザ・ユーザー・インタフェースを使用して、データベース・セキュリティ評価レポートを生成および表示します。

1. oda-adminのユーザー名とパスワードで、ブラウザ・ユーザー・インタフェースにログインします。

   https://Node0–host-ip-address:7093/mgmt/index.html

2. 「セキュリティ」タブをクリックします。
3. 「Security」ページの左側のナビゲーション・ペインで、「DBSAT Reports」をクリックします。
   「Database Security Assessment Reports」ページに、すべての生成されたDBSATレポートのリストが表示されます。
4. 表示するORAchkレポートの「Actions」メニューで、「View」をクリックします。
   Oracle Databaseセキュリティ評価レポートが表示されます。これには、デプロイメントの状態の詳細と、現在のリスク、処置の推奨事項および追加情報のリンクがリストされます。
5. DBSATレポートを作成するには: 「DBSAT Reports」ページで、「Create」をクリックして、確認ボックスの「Yes」をクリックします。
   DBSATレポートを作成するためのジョブが発行されます。
6. このジョブのステータスは、リンクをクリックして表示します。ジョブが正常に完了すると、「DBSAT Reports」ページでOracle Database Appliance評価レポートを表示できます。
7. DBSATレポートを削除するには: 削除するDBSATレポートの「Actions」メニューで、「Delete」をクリックします。

Oracle Trace File Analyzer (TFA) Collectorのコマンドの実行

tfactlのインストール場所とコマンドのオプションについて説明します。

tfactlを使用した診断情報の収集について

Oracle Database Appliance 19.19にプロビジョニングまたはアップグレードすると、Oracle Trace File Analyzer (TFA)コレクタが/opt/oracle.ahf/bin/tfactlディレクトリにインストールされます。TFAのコマンドライン・ユーティリティtfactlは、ディレクトリ/opt/oracle.ahf/bin/tfactlから、または単にtfactlと入力して起動できます。

tfactlは、次のコマンド・オプションを使用して実行できます。

 /opt/oracle.ahf/bin/tfactl diagcollect -ips|-oda|-odalite|-dcs|-odabackup|
-odapatching|-odadataguard|-odaprovisioning|-odaconfig|-odasystem|-odastorage|-database|
-asm|-crsclient|-dbclient|-dbwlm|-tns|-rhp|-procinfo|-afd|-crs|-cha|-wls|
-emagent|-oms|-ocm|-emplugins|-em|-acfs|-install|-cfgtools|-os|-ashhtml|-ashtext|
-awrhtml|-awrtext -mask -sanitize

表21-1 tfactlツールのコマンド・オプション

オプション	説明
-h	(オプション)このコマンドのすべてのオプションの説明を示します。
-ips	(オプション)このオプションは、指定したコンポーネントの診断ログを表示する場合に使用します。
-oda	(オプション)このオプションは、アプライアンス全体のログを表示する場合に使用します。
-odalite	(オプション)このオプションは、odaliteコンポーネントの診断ログを表示する場合に使用します。
-dcs	(オプション)このオプションは、DCSログ・ファイルを表示する場合に使用します。
-odabackup	(オプション)このオプションは、アプライアンスのバックアップ・コンポーネントの診断ログを表示する場合に使用します。
-odapatching	(オプション)このオプションは、アプライアンスのパッチ適用コンポーネントの診断ログを表示する場合に使用します。
-odadataguard	(オプション)このオプションは、アプライアンスのOracle Data Guardコンポーネントの診断ログを表示する場合に使用します。
-odaprovisioning	(オプション)このオプションは、アプライアンスのプロビジョニング・ログを表示する場合に使用します。
-odaconfig	(オプション)このオプションは、構成関連の診断ログを表示する場合に使用します。
-odasystem	(オプション)このオプションは、システム情報を表示する場合に使用します。
-odastorage	(オプション)このオプションは、アプライアンス・ストレージの診断ログを表示する場合に使用します。
-database	(オプション)このオプションは、データベース関連のログ・ファイルを表示する場合に使用します。
-asm	(オプション)このオプションは、アプライアンスの診断ログを表示する場合に使用します。
-crsclient	(オプション)このオプションは、アプライアンスの診断ログを表示する場合に使用します。
-dbclient	(オプション)このオプションは、アプライアンスの診断ログを表示する場合に使用します。
-dbwlm	(オプション)このオプションは、指定したコンポーネントの診断ログを表示する場合に使用します。
-tns	(オプション)このオプションは、TNSの診断ログを表示する場合に使用します。
-rhp	(オプション)このオプションは、高速ホーム・プロビジョニングの診断ログを表示する場合に使用します。
-afd	(オプション)このオプションは、Oracle ASMフィルタ・ドライバの診断ログを表示する場合に使用します。
-crs	(オプション)このオプションは、Oracle Clusterwareの診断ログを表示する場合に使用します。
-cha	(オプション)このオプションは、クラスタ・ヘルス・モニターの診断ログを表示する場合に使用します。
-wls	(オプション)このオプションは、Oracle WebLogic Serverの診断ログを表示する場合に使用します。
-emagent	(オプション)このオプションは、Oracle Enterprise Managerエージェントの診断ログを表示する場合に使用します。
-oms	(オプション)このオプションは、Oracle Enterprise Manager管理サービスの診断ログを表示する場合に使用します。
-ocm	(オプション)このオプションは、指定したコンポーネントの診断ログを表示する場合に使用します。
-emplugins	(オプション)このオプションは、Oracle Enterprise Managerプラグインの診断ログを表示する場合に使用します。
-em	(オプション)このオプションは、Oracle Enterprise Managerデプロイメントの診断ログを表示する場合に使用します。
-acfs	(オプション)このオプションは、Oracle ACFSストレージの診断ログを表示する場合に使用します。
-install	(オプション)このオプションは、インストールの診断ログを表示する場合に使用します。
-cfgtools	(オプション)このオプションは、構成ツールの診断ログを表示する場合に使用します。
-os	(オプション)このオプションは、オペレーティング・システムの診断ログを表示する場合に使用します。
-ashhtml	(オプション)このオプションは、指定したコンポーネントの診断ログを表示する場合に使用します。
-ashtext	(オプション)このオプションは、アプライアンスの診断ログを表示する場合に使用します。
-awrhtml	(オプション)このオプションは、アプライアンスの診断ログを表示する場合に使用します。
-awrtext	(オプション)このオプションは、指定したコンポーネントの診断ログを表示する場合に使用します。
-mask	(オプション)このオプションは、ログ・コレクション内の機密データをマスクする場合に使用します。
-sanitize	(オプション)このオプションは、ログ・コレクション内の機密データをサニタイズ(リダクション)する場合に使用します。

使用上のノート

Trace File Collector (tfactlコマンド)を使用すると、Oracle Database Applianceコンポーネントについてのすべてのログ・ファイルを収集できます。

コマンドodaadmcli manage diagcollectに同様のコマンド・オプションを指定して使用すると、同じ診断情報を収集することもできます。

-maskオプションと-sanitizeオプションの使用方法の詳細は、次のトピックを参照してください。

診断コレクションに含まれる機密情報のサニタイズ

Oracle Autonomous Health Frameworkは、機密データをサニタイズするためにAdaptive Classification and Redaction (ACR)を使用します。

診断データのコピーの収集後に、Oracle Trace File AnalyzerおよびOracle ORAchkは、コレクション内の機密データをサニタイズするためにAdaptive Classification and Redaction (ACR)を使用します。ACRは機械学習ベースのエンジンを使用して、指定されたファイルのセット内で事前定義済のエンティティ・タイプのセットをリダクションします。また、ACRは、ファイルとディレクトリ名に含まれるエンティティをサニタイズまたはマスクします。サニタイズにより、機密性がある値はランダムな文字に置換されます。マスク処理では、機密性のある値が連続するアスタリスク("*")に置換されます。

現時点では、ACRは次のエンティティ・タイプをサニタイズします。

• ホスト名
• IPアドレス
• MACアドレス
• Oracle Databaseの名前
• 表領域名
• サービス名
• ポート
• オペレーティング・システムのユーザー名

さらに、ACRはブロックおよびREDOのダンプに表示されるデータベースのユーザー・データもマスクします。

例21-4 リダクション前のブロック・ダンプ

14A533F40 00000000 00000000 00000000 002C0000 [..............,.] 
14A533F50 35360C02 30352E30 31322E37 380C3938 [..650.507.2189.8] 
14A533F60 31203433 37203332 2C303133 360C0200 [34 123 7310,...6] 

例21-5 リダクション後のブロック・ダンプ

14A533F40 ******** ******** ******** ******** [****************]
14A533F50 ******** ******** ******** ******** [****************]
14A533F60 ******** ******** ******** ******** [****************] 

例21-6 リダクション前のRedoダンプ

col 74: [ 1] 80
col 75: [ 5] c4 0b 19 01 1f
col 76: [ 7] 78 77 06 16 0c 2f 26 

例21-7 リダクション後のRedoダンプ

col 74: [ 1] **
col 75: [ 5] ** ** ** ** **
col 76: [ 7] ** ** ** ** ** ** **

AWR、ASHおよびADDMレポートのSQL文に含まれるリテラル値のリダクション

自動ワークロード・リポジトリ(AWR)、アクティブ・セッション履歴(ASH)および自動データベース診断モニター(ADDM)のレポートは、HTMLファイルです。このファイルには、ホスト名、データベース名、サービス名などの機密エンティティがHTMLの表形式で含まれます。こうした機密のエンティティに加えて、バインド変数や表のリテラル値を含んでいる可能性のあるSQL文も含まれます。そのようなリテラル値は、データベースに格納されている機密の個人情報(PI)である可能性があります。ACRは、このようなレポートを処理し、SQL文に存在する通常の機密エンティティとリテラル値の両方を識別してリダクションします。

odaadmcliコマンドを使用した機密情報のサニタイズ

odaadmcli manage diagcollectコマンドを使用して、Oracle Database Applianceコンポーネントの診断ログを収集します。収集時に、ACRは診断ログをリダクション(サニタイズまたはマスク)するために使用できます。

odaadmcli manage diagcollect [--dataMask|--dataSanitize]

このコマンドでは、--dataMaskオプションによってすべてのコレクションに含まれる機密データがブロックされます。たとえば、myhost1は*******に置換されます。デフォルトはNoneです。--dataSanitizeオプションにより、すべてのコレクションに含まれる機密データがランダムな文字に置換されます。たとえば、myhost1はorzhmv1に置換されます。デフォルトはNoneです。

Adaptive Classification and Redaction (ACR)の有効化

Oracle Database Applianceは、機密データのサニタイズのためにAdaptive Classification and Redaction (ACR)をサポートしています。

診断データのコピーの収集後に、Oracle Database Applianceは、コレクション内の機密データをサニタイズするためにAdaptive Classification and Redaction (ACR)を使用します。odacli enable-acrコマンドとodacli disable-acrコマンドを使用すると、ローカル・ノードだけでなく、両方のノードでACRを有効化または無効化できます。

関連項目:

Adaptive Classification and Redaction (ACR)のステージング・サーバーの設定の詳細は、My Oracle Supportノート2882798.1を参照してください。

例21-8 ACRの現在のステータスの説明

bash-4.2# odacli describe-acr
Trace File Redaction: Enabled

例21-9 ACRの有効化:

bash-4.2# odacli enable-acr

Job details                                                      
----------------------------------------------------------------
                ID:  12bbf784-610a-40a8-b409-e74c58bc35aa
               Description:  Enable ACR job
                Status:  Created
                Created:  April 8, 2021 3:04:13 AM PDT

例21-10 ACRの無効化

bash-4.2# odacli disable-acr

Job details                                                      
----------------------------------------------------------------
                ID:  1d69f8b3-3989-4192-bbb9-6518e425061a
               Description:  Disable ACR job
                Status:  Created
                Created:  April 8, 2021 3:04:13 AM PDT

例21-11アプライアンスのプロビジョニング中のACRの有効化

アプライアンスのプロビジョニング時にACRを有効化するには、プロビジョニングに使用するJSONファイルにacrオプションを追加します。JSONファイルのacrEnableフィールドに、trueまたはfalseを指定します。acrオプションが指定されていない場合は、ACRが無効になります。

"acr": {
    "acrEnable": true
}

Oracle Trace File Analyzerのコレクションに含まれる機密情報のサニタイズ

Oracle Trace File Analyzerの診断コレクションは、リダクション(サニタイズまたはマスク)できます。

自動リダクションの有効化

次のコマンドを使用して、自動リダクションを有効にします。

tfactl set redact=[mask|sanitize|none] 

このコマンドでは、-maskオプションによってすべてのコレクションに含まれる機密データがブロックされます。たとえば、myhost1は*******に置換されます。-sanitizeオプションにより、すべてのコレクションに含まれる機密データがランダムな文字に置換されます。たとえば、myhost1はorzhmv1に置換されます。noneオプションでは、コレクション内の機密データはマスクまたはサニタイズされません。デフォルトはnoneです。

オンデマンド・リダクションの有効化

コレクションは、オンデマンドでリダクションできます。たとえば、tfactl diagcollect -srdc ORA-00600 -mask or tfactl diagcollect -srdc ORA-00600 -sanitizeのようにします。

1. すべてのコレクション内の機密データをマスクするには:

   tfactl set redact=mask

2. すべてのコレクション内の機密データをサニタイズするには:

   tfactl set redact=sanitize

例21-12 特定の収集内の機密データのマスクまたはサニタイズ

tfactl diagcollect -srdc ORA-00600 -mask
tfactl diagcollect -srdc ORA-00600 -sanitize

BUIでのエンティティのリダクションとサニタイズ

ブラウザ・ユーザー・インタフェースを使用して、トレース・ファイルのリダクションの有効化と無効化、ファイルのリダクション、およびサニタイズされたエンティティの表示と非表示の切替えを行います。

1. oda-adminユーザー名とパスワードを使用してブラウザ・ユーザー・インタフェースにログインします。

   https://Node0–host-ip-address:7093/mgmt/index.html

2. 「セキュリティ」タブをクリックします。
3. 「Security」ページの左側のナビゲーション・ペインで、「Trace File Redaction」をクリックします。
4. 「Trace File Redaction Status」タブをクリックします。
   現在のACRステータスが表示されます。
5. 現在のACRステータスに基づいてACRステータスを有効または無効にできます。たとえば、ACRステータスが無効になっている場合は、「Enable」をクリックしてACRを有効にします。ACRステータスを変更するジョブが発行されます。
6. 「Refresh Status」をクリックして、ACRステータスの表示をリフレッシュします。
7. 「Redact Files」タブをクリックします。
8. リダクションするファイルの「Input File Path」を指定します。このファイルは、.tar、.gzまたは.zipファイル形式である必要があります。
9. 「Redaction Mode」に「Sanitize」または「Mask」を選択します。
10. 「Redact」をクリックします。ファイルをリダクションするジョブが発行されます。
11. 「Show Sanitized Entities」タブをクリックします。
12. 「List of sanitized entities」を指定し、「Show」をクリックします。サニタイズされたエンティティのリストが表示されます。

Oracle ORAchkの出力に含まれる機密情報のサニタイズ

Oracle ORAchkの出力はサニタイズできます。

Oracle ORAchkの出力をサニタイズするには、-sanitizeオプションを指定します(例: orachk -profile asm -sanitize)。また、既存のログ、HTMLレポートまたはzipファイルを渡すことで(例: orachk -sanitize file_name)、後処理のサニタイズを実行することもできます。

例21-13 特定の収集IDの機密情報のサニタイズ

orachk -sanitize comma_delimited_list_of_collection_IDs

例21-14 相対パスを使用したファイルのサニタイズ

orachk -sanitize new/orachk_node061919_053119_001343.zip 
orachk is sanitizing
/scratch/testuser/may31/new/orachk_node061919_053119_001343.zip. Please wait...

Sanitized collection is:
/scratch/testuser/may31/orachk_aydv061919_053119_001343.zip
orachk -sanitize ../orachk_node061919_053119_001343.zip 
orachk is sanitizing
/scratch/testuser/may31/../orachk_node061919_053119_001343.zip. Please wait...

Sanitized collection is:
/scratch/testuser/may31/orachk_aydv061919_053119_001343.zip

例21-15 Oracle Autonomous Health Frameworkのデバッグ・ログのサニタイズ

orachk -sanitize new/orachk_debug_053119_023653.log
orachk is sanitizing /scratch/testuser/may31/new/orachk_debug_053119_023653.log.
Please wait...

Sanitized collection is: /scratch/testuser/may31/orachk_debug_053119_023653.log

例21-16 完全健全性チェックの実行

orachk -localonly -profile asm -sanitize -silentforce

Detailed report (html) - 
/scratch/testuser/may31/orachk_node061919_053119_04448/orachk_node061919_053119_04448.html

orachk is sanitizing /scratch/testuser/may31/orachk_node061919_053119_04448.
Please wait...

Sanitized collection is: /scratch/testuser/may31/orachk_aydv061919_053119_04448

UPLOAD [if required] - /scratch/testuser/may31/orachk_node061919_053119_04448.zip

サニタイズされた値を逆検索するには、次のコマンドを使用します。

orachk -rmap all|comma_delimited_list_of_element_IDs

orachk -rmapを使用すると、Oracle Trace File Analyzerでサニタイズされた値を検索することもできます。

例21-17 サニタイズされた要素の逆マップの出力

orachk -rmap MF_NK1,fcb63u2

________________________________________________________________________________
| Entity Type | Substituted Entity Name | Original Entity Name |
________________________________________________________________________________
| dbname      | MF_NK1               | HR_DB1            |
| dbname      | fcb63u2              | rac12c2           |
________________________________________________________________________________
orachk -rmap all

ディスク診断ツールの実行

ディスク診断ツールを使用すると、ディスクの問題の原因を特定するのに役立ちます。

このツールにより、ノードごとに14のディスク・チェックのリストが生成されます。詳細を表示するには、次のコマンドを入力します(nはディスク・リソース名を表します)。

# odaadmcli stordiag n

たとえば、NVMe pd_00の詳細情報を表示するには、次のコマンドを実行します。

# odaadmcli stordiag pd_00

Oracle Database Applianceハードウェア監視ツールの実行

Oracle Database Applianceハードウェア監視ツールは、Oracle Database Applianceサーバーの様々なハードウェア・コンポーネントの状態を表示します。

ツールは、トレース・ファイル・アナライザ・コレクタによって実装されます。ベア・メタル・システムおよび仮想化システムの両方で、このツールを使用します。Oracle Database Applianceハードウェア監視ツールのレポートは、コマンドを実行したノードのみを対象としています。出力に表示される情報は、表示するように選択したコンポーネントによって異なります。

ベア・メタル・プラットフォーム

コマンドodaadmcli show -hを実行することで、監視対象コンポーネントのリストを表示できます

特定のコンポーネントに関する情報を表示するには、コマンド構文odaadmcli show componentを使用します。componentは、問い合せるハードウェア・コンポーネントです。たとえば、コマンドodaadmcli show powerは、特にOracle Database Appliance電源装置に関する情報を表示します。

# odaadmcli show power

NAME            HEALTH  HEALTH_DETAILS   PART_NO.  	SERIAL_NO.
Power_Supply_0  OK            -          7079395     476856Z+1514CE056G

(Continued)
LOCATION    INPUT_POWER   OUTPUT_POWER   INLET_TEMP         EXHAUST_TEMP
PS0         Present       112 watts      28.000 degree C    34.938 degree C

仮想化プラットフォーム

コマンドoakcli show -hを実行することで、監視対象コンポーネントの一覧を表示できます。

特定のコンポーネントに関する情報を表示するには、コマンド構文oakcli show componentを使用します。componentは、クエリするハードウェア・コンポーネントです。たとえば、コマンドoakcli show powerは、特にOracle Database Appliance電源装置に関する情報を表示します。

# oakcli show power

NAME            HEALTH HEALTH_DETAILS PART_NO. SERIAL_NO.          
Power Supply_0  OK      -             7047410   476856F+1242CE0020
Power Supply_1  OK     -              7047410   476856F+1242CE004J

(Continued)

LOCATION  INPUT_POWER OUTPUT_POWER INLET_TEMP         EXHAUST_TEMP
PS0       Present     88 watts     31.250 degree C    34.188 degree C
PS1       Present     66 watts     31.250 degree C    34.188 degree C

ノート:

Oracle Database Appliance Serverハードウェア監視ツールは、Oracle Database Appliance仮想化プラットフォーム上でODA_BASEの初期起動中に有効になります。起動時に、ツールは約5分間、基本統計を収集します。その際に、「Gathering Statistics…」というメッセージが表示されます。

Oracle Database Applianceの信頼できるSSL証明書の構成

ブラウザ・ユーザー・インタフェースとDCSコントローラでは、安全な通信のためにSSLベースのHTTPSプロトコルを使用します。この追加されたセキュリティの意味と、SSL証明書を構成するオプションについて理解します。

ブラウザ・ユーザー・インタフェースは、管理者がアプライアンスとの対話型操作を実行するときには、証明書と暗号化を使用することで追加のセキュリティ層を提供します。データの暗号化により、次のことが確実になります。

• データは意図した受信者に送信され、悪意のあるサードパーティに送信されることはありません。
• サーバーとブラウザの間でデータを交換するときに、データ傍受やデータ編集が発生しなくなります。

ブラウザ・ユーザー・インタフェースへの接続にHTTPSを使用すると、DCS Controllerはアプライアンスのアイデンティティを確認するための証明書をブラウザに提示します。Webブラウザは証明書が信頼できる認証局(CA)からのものではないと判断した場合に、信頼できないソースがブラウザに到着したとみなして、セキュリティ警告メッセージを生成します。セキュリティ警告のダイアログ・ボックスが表示されます。これは、ブラウザ・ユーザー・インタフェースのセキュリティがHTTPSおよびSSLを通じて有効化されていても、認証局からの一致する信頼できる証明書を使用してWeb層を適切に保護していないことが原因です。認証局からの商用証明書を購入することも、独自の証明書を作成して認証局に登録することもできます。ただし、ブラウザの生成するエラー・メッセージを回避するには、サーバーとブラウザの証明書が同じ公開キー証明書と信頼できる証明書を使用する必要があります。

証明書を構成する場合は、次の3つのオプションがあります。

• 独自のキーとJavaキーストアを作成し、認証局(CA)によって署名されていることを確認してから、それを使用するためにインポートします。
• 既存のPrivacy Enhanced Mail (PEM)形式のキーと証明書を新しいJavaキーストアにパッケージします。
• 既存のPKCSまたはPFXキーストアをJavaキーストアに変換して、ブラウザ・ユーザー・インタフェース用に構成します。

  ノート:

  Oracle Database Appliance高可用性ハードウェア・モデルの場合は、この構成ステップを両方のノードで実行します。

次の各トピックでは、これらのオプションを構成する方法について説明します。

• オプション1: キーとJavaキーストアの作成および信頼できる証明書のインポート
  キーストアと署名リクエストを作成するには、キーと証明書の管理ユーティリティkeytoolを使用します。
• オプション2: 新しいJavaキーストアへの既存のPEM形式のキーと証明書のパッケージ化
  OpenSSLツールを使用して、PKCSキーストアにPrivacy Enhanced Mail (PEM)ファイルをパッケージします。
• オプション3: 既存のPKCSまたはPFXキーストアからJavaキーストアへの変換
  サーバーのドメインに既存のPKCSまたはPFXキーストアがある場合は、そのキーストアをJavaキーストアに変換します。
• カスタム・キーストアを使用するDCSサーバーの構成
  キーストアをJavaキーストアにパッケージ化または変換したら、キーストアを使用するようにDCSサーバーを構成します。
• カスタム証明書用のDCSエージェントの構成
  証明書をキーストアにインポートしたら、同じ証明書を使用するようにDCSエージェントを構成します。

オプション1: キーとJavaキーストアの作成および信頼できる証明書のインポート

キーストアと署名リクエストを作成するには、キーと証明書の管理ユーティリティkeytoolを使用します。

1. キーストアを作成します。

   keytool -genkeypair -alias your.domain.com -storetype jks -keystore 
   your.domain.com.jks -validity 366 -keyalg RSA -keysize 4096

2. 識別データの入力を求めるプロンプトが表示されます。

   1. What is your first and last name? your.domain.com
   2. What is the name of your organizational unit? yourunit
   3. What is the name of your organization? yourorg
   4. What is the name of your City or Locality? yourcity
   5. What is the name of your State or Province? yourstate
   6. What is the two-letter country code for this unit? US

3. 証明書署名リクエスト(CSR)を作成します。

   keytool -certreq -alias your.domain.com -file your.domain.com.csr
   -keystore your.domain.com.jks -ext san=dns:your.domain.com

4. 認証局(CA)署名証明書をリクエストします。
   1. 前述のステップ1を実行したディレクトリ内で、ファイルyour.domain.com.csrを見つけます。
   2. 認証局(CA)にファイルを送信します。
      詳細は、CAによって異なります。通常は、Webサイトからリクエストを送信します。その後、CAから連絡があり、本人確認が行われます。CAは署名付き返信ファイルを様々な形式で送信でき、CAはそれらの形式に様々な名前を使用します。CAの返信はPEM、PKCS#7またはP7B形式である必要があります。
   3. CAの返信には待機期間があることがあります。
5. CAの返信をインポートします。CAの返信では、1つのPKCSファイル、1つのP7Bファイルまたは複数のPEMファイルが提供されます。
   1. 前述のステップ1でキーストアを作成したディレクトリに、CAのファイルをコピーします。
   2. keytoolを使用して、証明書をキーストアからエクスポートします。

      keytool -exportcert -alias your.domain.com -file /opt/oracle/dcs/conf/keystore-cert.crt 
      -keystore your.domain.name.jks

6. keytoolを使用して、キーストア証明書とCAの返信ファイルをインポートします。

   keytool -importcert -trustcacerts -alias your.domain.com 
   -file /opt/oracle/dcs/conf/keystore-cert.crt  -keystore /opt/oracle/dcs/conf/dcs-ca-certs

   P7Bファイルをインポートするには、次のコマンドを実行します。

   keytool -importcert -alias your.domain.com -file CAreply.p7b -keystore your.domain.name.jks -trustcacerts

   PKCSファイルをインポートするには、次のコマンドを実行します。

   keytool -importcert -trustcacerts -alias your.domain.com -file 
   CAreply.pkcs -keystore /opt/oracle/dcs/conf/dcs-ca-certs

   CAreply.pkcsはCAが提供したPKCSファイルの名前です。your.domain.comはサーバーの完全なドメイン名です。

   CAがPEMファイルを送信した場合は、ファイルが1つのこともありますが、ほとんどの場合はファイルが2つか3つあります。次に示す順序のコマンドで、ファイルをキーストアにインポートします(その前に目的の値に置換しておきます)。

   keytool -importcert -alias root -file root.cert.pem -keystore /opt/oracle/dcs/conf/dcs-ca-certs -trustcacerts
   keytool -importcert -alias intermediate -file intermediate.cert.pem /opt/oracle/dcs/conf/dcs-ca-certs -trustcacerts
   keytool -importcert -alias intermediat2 -file intermediat2.cert.pem /opt/oracle/dcs/conf/dcs-ca-certs -trustcacerts
   keytool -importcert -alias your.domain.com -file server.cert.pem /opt/oracle/dcs/conf/dcs-ca-certs -trustcacerts

   root.cert.pemは、ルート証明書ファイルの名前です。intermediate.cert.pemは、中間証明書ファイルの名前です。ルート・ファイルと中間ファイルにより、Webブラウザに認識される広範囲に信頼できるルート証明書にCAの署名をリンクします。すべてではありませんが、ほとんどのCAの応答にはルートと中間が含まれています。server.cert.pemはサーバー証明書ファイルの名前です。このファイルによって、目的のドメイン名と公開キーおよびCAの署名をリンクします。

オプション2: 新しいJavaキーストアへの既存のPEM形式のキーと証明書のパッケージ化

OpenSSLツールを使用して、PKCSキーストアにPrivacy Enhanced Mail (PEM)ファイルをパッケージします。

サーバーのドメイン用にPEM形式の既存の秘密キーと証明書がある場合に、それらをJavaキーストアにインポートするには、OpenSSLツールが必要です。OpenSSLでは、PEMファイルをPKCSキーストアにパッケージできます。その後、Java keytoolでPKCSキーストアをJavaキーストアに変換できます。

1. OpenSSLをインストールします。
2. 秘密キー、サーバー証明書および中間証明書を1つのディレクトリ内にコピーします。
3. 次のようにして、PKCSキーストアにキーと証明書をパッケージします。

   openssl pkcs12 -export -in server.cert.pem -inkey private.key.pem -certfile 
   intermediate.cert.pem -name "your.domain.com" -out your.domain.com.p12

   server.cert.pemはサーバー証明書ファイルの名前です。your.domain.comはサーバーの完全なドメイン名です。private.key.pemはserver.cert.pemの公開キーに対応する秘密キーです。intermediate.cert.pemは中間証明書ファイルの名前です。
   結果として得られるPKCSキーストア・ファイルのyour.domain.com.p12をJavaキーストアに変換します。

オプション3: 既存のPKCSまたはPFXキーストアからJavaキーストアへの変換

サーバーのドメインに既存のPKCSまたはPFXキーストアがある場合は、そのキーストアをJavaキーストアに変換します。

1. 次のコマンドを実行します。

   keytool -importkeystore -srckeystore your.domain.com.p12 -srcstoretype PKCS12 
   -destkeystore /opt/oracle/dcs/conf/dcs-ca-certs -deststoretype jks

   your.domain.com.p12は既存のキーストア・ファイルです。your.domain.comはサーバーの完全なドメイン名です。
2. トピック「カスタム・キーストアを使用するDCSサーバーの構成」の説明に従って、DCSサーバーを構成します。

カスタム・キーストアを使用するDCSサーバーの構成

キーストアをJavaキーストアにパッケージ化または変換したら、キーストアを使用するようにDCSサーバーを構成します。

1. アプライアンスにログインします。

   ssh -l root oda-host-name

2. 難読化されたキーストアのパスワードを生成します。

   /opt/oracle/dcs/java/java_version/bin/java -cp /opt/oracle/dcs/bin/dcs-controller-n.n.n.n.n.jar com.oracle.oda.dcs.password.utils.OBFCredentials keystore-password

   たとえば:

   # /opt/oracle/dcs/java/java_version/bin/java -cp /opt/oracle/dcs/bin/dcs-controller-19.19.0.0.0.jar com.oracle.oda.dcs.password.utils.OBFCredentials test OBF:"1z0f1vu91vv11z0f"

   OBF:で始まる不明瞭化されたパスワードをコピーします。

3. /opt/oracle/dcs/conf/dcs-controller.ymlを次のように更新します。

   ssl:
         key-store:
           path: file:/opt/oracle/dcs/conf/custom_dcsKey.jks
           type: "JKS"
           password: "obfuscated keystorepassword"
         trust-store:
           path: file:/opt/oracle/dcs/conf/dcs-ca-certs
         key:
           alias: "your.domain.com"

4. DCSコントローラを再起動します。

   systemctl stop initdcscontroller
   systemctl start initdcscontroller

   DCSコントローラのログ・ファイル/opt/oracle/dcs/log/dcs-controller.logには、次の行が表示されます。

   2022-05-13 04:23:37,266 INFO [main] [] c.o.o.c.DCSControllerSSLConfig: Custom keystore password is set
   2022-05-13 04:23:37,266 INFO [main] [] c.o.o.c.DCSControllerSSLConfig: Custom truststore password is set

5. ブラウザ・ユーザー・インタフェースにアクセスします(https://oda-host-name:7093/mgmt/index.html)。

カスタム証明書用のDCS Agentの構成

証明書をキーストアにインポートしたら、同じ証明書を使用するようにDCSエージェントを構成します。

1. DCSエージェントの構成ファイルを更新します。

   cd /opt/oracle/dcs/conf

   dcs-agent.ymlファイルの次のパラメータを更新します。

   ssl:
         key-store:
           path: file:/opt/oracle/dcs/conf/custom_dcsKey.jks
           type: "JKS"
           password: "obfuscated keystorepassword"
         trust-store:
           path: file:/opt/oracle/dcs/conf/dcs-ca-certs
         key:
           alias: "your.domain.com"

2. DCSエージェントを再起動します。

   systemctl stop initdcsagent
   systemctl start initdcsagent

3. エージェントにアクセスします(https://oda-host-name:7070)。
4. CLI証明書を更新します。

   cp -f /opt/oracle/dcs/conf/dcs-ca-certs 
   /opt/oracle/dcs/dcscli/dcs-ca-certs

5. DCSコマンドラインの構成ファイルを更新します。

   [root@]# cd /opt/oracle/dcs/dcscli

   dcscli-adm.confとdcscli.conf内の次のパラメータを更新します。

   TrustStorePath=/opt/oracle/dcs/conf/dcs-ca-certs
   TrustStorePassword=keystore_password

ブラウザ・ユーザー・インタフェースの無効化

ブラウザ・ユーザー・インタフェースは無効にすることもできます。ブラウザ・ユーザー・インタフェースを無効にすると、アプライアンスの管理はコマンドライン・インタフェースでのみできるようになります。

1. アプライアンスにログインします。

   ssh -l root oda-host-name

2. DCSコントローラを停止します。高可用性システムの場合は、このコマンドを両方のノードで実行します。

   systemctl stop initdcscontroller

Oracleサポート・サービス用のログ・ファイルの用意

Oracleサポート・サービスからのサポートが必要なシステム障害がある場合は、Oracleが問題の診断をサポートできるように、ログ・レコードを提供する必要がある場合があります。

アプライアンスの診断情報は、次に示す方法で収集できます。

• /opt/oracle/dcs/Inventory/ディレクトリに保存された部品構成表レポートを使用して、Oracleサポートが必要に応じてエラーのトラブルシューティングを支援できるようにします。
• Trace File Collector (tfactlコマンド)を使用すると、Oracle Database Applianceコンポーネントについてのすべてのログ・ファイルを収集できます。
• odaadmcli manage diagcollectコマンドを使用して診断ファイルを収集し、Oracleサポート・サービスに送信します。
• /opt/oracle/dcs/da/da_repoディレクトリにあるエラー相関レポートを使用します。

odaadmcli manage diagcollectコマンドは、Oracle Database Applianceに格納された複数のログ・ファイルの情報を、Oracleサポート・サービスが使用する単一のログ・ファイルに統合します。ファイルの場所は、コマンド出力で指定されます。

例21-18 一定期間のログ・ファイル情報の収集、機密データのマスキング

# odaadmcli manage diagcollect --dataMask --fromTime 2019-08-12 --toTime 2019-08-25
DataMask is set as true
FromTime is set as: 2019-08-12
ToTime is set as: 2019-08-25
TFACTL command is: /opt/oracle/tfa/tfa_home/bin/tfactl
Data mask is set.
Collect data from 2019-08-12
Collect data to 2019-08-25