Oracle Key Vaultの監視および監査

22 Oracle Key Vaultの監視および監査

Oracle Key Vault管理者は、Oracle Key Vaultシステムの監視および監査、アラートの構成、レポートの使用が可能です。

システム・モニタリングの管理
システム・モニタリングとは、SNMP接続、電子メール通知、syslog宛先およびシステム診断の構成などのタスクを意味します。
Oracle Key Vaultアラートの構成Oracle Key Vault
ダッシュボードに表示するアラートのタイプを選択できます。
システム監査の管理
監査には、syslogファイルの監査レコードの取得やローカル・ファイルへの監査レコードのダウンロードなどのタスクが含まれます。
Oracle Key Vaultのレポートの使用
Oracle Key Vaultでは、Key Vault操作に影響する様々なアクティビティに関する統計情報が収集されます。

22.1 システム・モニタリングの管理

システム・モニタリングとは、SNMP接続、電子メール通知、syslog宛先およびシステム診断の構成などのタスクを意味します。

SNMPを使用するためのリモート・モニタリングの構成
Simple Network Management Protocol (SNMP)が有効化されている場合、システム管理者はOracle Key Vaultアプライアンスとそのサービスをリモートで監視できます。
電子メール通知の構成
電子メール通知を使用して、Oracle Key Vault管理コンソールにログインせずに、Key Vaultステータスの変更を管理者に直接通知できます。
個々のマルチマスター・クラスタ・ノードのSyslog宛先の構成
各ノードで、SplunkやSIEMなどのsyslogエントリをリモート・サービスに転送できます。
システム診断の取得
発生する可能性のある問題をトラブルシューティングするために、診断パッケージを生成できます。
システム・メトリックのモニタリング
システム・メトリック・モニタリング機能を使用すると、Oracle Key VaultにおいてCPU使用率およびメモリー使用量などの主要なシステム・リソース使用量についてデータを表示および収集できます。

親トピック: Oracle Key Vaultの監視および監査

22.1.1 SNMPを使用するためのリモート・モニタリングの構成

Simple Network Management Protocol (SNMP)が有効化されている場合、システム管理者はOracle Key Vaultアプライアンスとそのサービスをリモートでモニタリングできます。

収集されたデータは、企業のニーズに応じてさらに処理して提示できます。

Oracle Key VaultのSNMPの使用について
Simple Network Management Protocol (SNMP)を使用して、ネットワーク上のデバイスのリソース使用状況を監視できます。
ユーザーへのSNMPアクセス権の付与
Oracle Key Vault管理者以外のユーザーを含め、任意のユーザーにSNMPデータへのアクセス権を付与できます。
SNMPユーザー名とパスワードの変更
ノードのSNMPユーザー名およびパスワードはいつでも変更できます。
スタンバイ・サーバーのSNMP設定の変更
SNMP設定は、スタンバイ・サーバー上のコマンドラインから変更します。
SNMPを使用したOracle Key Vaultのリモート・モニタリング
SNMPを使用すると、Oracle Key Vaultに新しいソフトウェアをインストールしなくてもOracle Key Vaultの重要なコンポーネントをリモートで監視できます。
Oracle Key VaultのSNMP管理情報ベース変数
Oracle Key Vaultでは、追跡可能な一連のSNMP管理情報ベース(MIB)変数が提供されています。
例: SNMPを使用したOracle Key Vaultの簡略化されたリモート・モニタリング
Linuxでは、Oracle Key Vault情報を検索するために手動で入力したSNMPコマンドを簡略化できますが、有益で詳細な出力も引き続き利用できます。

親トピック: システム・モニタリングの管理

22.1.1.1 Oracle Key VaultでのSNMPの使用について

Simple Network Management Protocol (SNMP)を使用して、ネットワーク上のデバイスのリソース使用状況を監視できます。

Oracle Key Vaultのモニタリングは、数百、数千のOracleおよびMySQLのデータベースがそれぞれのTDEマスター暗号化キーをOracle Key Vaultマルチマスター・クラスタに格納する場合に、Oracle Key Vaultの可用性がどれほど重要であるかを示す重大な側面です。監視する必要があるリソース使用状況のタイプには、メモリー、CPU使用率およびプロセスがあります。最大16個の(地理的に分散された)インスタンスを1つのクラスタに接続できるようにすることで、Oracle Key Vaultでは継続的にキーを使用できるとしても、個々のノードの状態はクラスタ全体のパフォーマンスおよび可用性の一因となります。

簡易ネットワーク管理プロトコル(SNMP)のサード・パーティ・ツールを使用すると、Oracle Key Vaultにアクセスするリモート・システムを監視できます。SNMPを使用してOracle Key Vaultを監視する利点は次のとおりです。

Oracle Key VaultへのSSHアクセスを許可する必要がありません。(SSHアクセスは、使用されている期間のみ有効にする必要があります。)
SNMPモニタリング操作を実行するために追加ツールをインストールする必要はありません。

Oracle Key Vaultでは、ユーザー認証およびデータ暗号化機能にSNMPバージョン3が使用されます。読取り可能でセキュアでないプレーンテキストで通信が行われるSNMPバージョン1および2とは異なり、SNMP 3では、ユーザーが認証され、モニタリング・サーバーとターゲットの間の通信チャネル上のデータが暗号化されます。侵入者が通信チャネルを傍受したとしても、Oracle Key Vaultからの情報を読み取ることはできません。

さらに、Oracle Key VaultでSNMPを有効にすると、キー管理サーバー(KMIPデーモン)が稼働しているかどうかを確認できます。Oracle Key VaultにはSNMPクライアント・ソフトウェアが用意されていないため、この情報を追跡するには、サード・パーティのSNMPクライアントを使用してOracle Key Vaultインスタンスをポーリングする必要があります。

Oracle Key Vaultでは、SNMP資格証明の作成と変更が監査されます。

ユーザー名およびパスワードを持つSNMPアカウントを構成するには、システム管理者ロールを持つユーザーである必要があります。SNMPデータにアクセスする際には、これらのSNMP資格証明が必要になります。

マルチマスター・クラスタでは、ユーザー名とパスワードを持つSNMPアカウントは、クラスタのすべてのノードに一度に設定できます。個々のノードに対しても設定できます。

ノート:

SNMPユーザー名およびパスワードが、Oracle Key Vault管理ユーザー・アカウント(システム管理者、キー管理者または監査マネージャ・ロール)のいずれのユーザー名およびパスワードとも同じでないことを確認する必要があります。

親トピック: SNMPを使用するためのリモート・モニタリングの構成

22.1.1.2 ユーザーへのSNMPアクセス権の付与

Oracle Key Vault管理者以外のユーザーを含め、任意のユーザーにSNMPデータへのアクセス権を付与できます。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
「Monitoring and Alerts」領域で、「SNMP」をクリックします。

「Monitoring」ページが表示されます。

図21_snmp_grant_access.pngの説明
「Monitoring Settings」ページで、次の情報を入力します。
- SNMP Access allowed from: すべてのIPアドレスのクライアントにOracle Key Vaultに対する情報のポーリングを許可するには、「All」を選択し、クライアントIPアドレスに関係なく、Oracle Key Vaultに対してクライアントが情報をポーリングできないようにするには、「Disabled」を選択し、特定のIPアドレスを持つクライアントにポーリングを制限するには、「IP Address(es)」を選択します。「IP Address(es)」を選択した場合は、アクセス権を付与するユーザーのIPアドレスを「IP Address」フィールドに入力します。複数のIPアドレスはスペースで区切ります。IPアドレスの範囲を入力することはできません。各IPアドレスを個別にリストする必要があります。
- User Name: SNMP構成に関連付けるモニタリング担当者の名前を入力します。
- PasswordおよびRe-enter Password: このユーザーのセキュアなパスワードを入力します。8文字以上で、大文字、小文字、数字、特殊文字をそれぞれ1つ以上含みます。特殊文字は、ピリオド(.)、カンマ(,)、アンダースコア(_)、プラス記号(+)、コロン(:)およびスペースです。SNMPパスワードは、いずれの管理ロールでOracle Key Vault管理コンソールへのログインに使用するパスワードとも同じでない必要があります。
「Save」をクリックします。

親トピック: SNMPを使用するためのリモート・モニタリングの構成

22.1.1.3 SNMPユーザー名およびパスワードの変更

ノードのSNMPユーザー名およびパスワードはいつでも変更できます。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
「Monitoring and Alerts」領域で、「SNMP」をクリックします。
「User Name」、「Password」および「Re-enter Password」フィールドに、ユーザー名とパスワードの情報を入力します。
「Save」をクリックします。

親トピック: SNMPを使用するためのリモート・モニタリングの構成

22.1.1.4 スタンバイ・サーバー上のSNMP設定の変更

SNMP設定は、スタンバイ・サーバー上のコマンドラインから変更します。

プライマリ・スタンバイ環境でSNMPサポートを追加するには、プライマリ・サーバーとスタンバイ・サーバーをペアにする前に、両方のサーバーでSNMPを構成する必要があります。これは、すべてのリクエストがプライマリ・サーバーに転送され、Oracle Key Vault管理コンソールからスタンバイ・サーバーにアクセスできなくなるためです。ただし、プライマリ・スタンバイ環境でスタンバイ・サーバー上のSNMP設定を変更できます。

supportユーザーとしてスタンバイ・サーバーにログインします。
rootユーザーに切り替えます。
```
su -
```
Oracle Key Vaultのbinディレクトリに移動します。
```
cd /usr/local/okv/bin/
```
stdby_snmp_enableスクリプトを実行します。
```
./stdby_snmp_enable parameter "options"
```
このように指定した場合:
- parameterは次のとおりです。
  - -aは、SNMPアクセスを設定します。次のoptionsを受け入れます。
    
    allは、SNMPアクセスを付与します。
    
    disabledは、SNMPアクセスを無効にします。
    
    IP_addressesは、SNMPアクセスが付与される1つ以上のIPアドレスを指定します。各IPアドレスはスペースで区切ります。
  - -uは、ユーザーのSNMP名を設定します。これは、SNMPが有効になったときにsnmpuserとして構成されたユーザー名です。
  - -pは、ユーザーのSNMPパスワードを設定します。このパスワードは、SNMPが有効になったときにsnmpuserに対して作成されました。
- optionsは、-aパラメータでのみ使用されます。

次の例では、スタンバイ・サーバー上のSNMP設定を変更する方法を示します。

すべてのIPアドレスに対してSNMPアクセスを付与し、ユーザー名snmpuserおよびパスワードpasswordを割り当てる方法は、次のとおりです。

./stdby_snmp_enable -a "all" -u "snmpuser" -p "password"

すべてのIPアドレスからのSNMPアクセスを無効にするには、次のようにします。

./stdby_snmp_enable -a "disabled"

特定のIPアドレスからSNMPアクセスを付与し、ユーザー名snmpuserおよびパスワードpasswordを割り当てる方法は、次のとおりです:

./stdby_snmp_enable -a "192.0.2.1 192.0.2.2 192.0.2.3" -u "snmpuser" -p "password"

親トピック: SNMPを使用するためのリモート・モニタリングの構成

22.1.1.5 SNMPを使用したOracle Key Vaultのリモート・モニタリング

SNMPを使用すると、Oracle Key Vaultに新しいソフトウェアをインストールしなくてもOracle Key Vaultの重要なコンポーネントをリモートで監視できます。

SNMPによってOracle Key Vaultから抽出される情報をグラフィック表示するサード・パーティ・ツールもありますが、ここに示す例は、Oracle Key VaultのSNMPアカウントにネットワーク接続されているリモート・コンピュータのコマンドラインからsnmpwalkおよびsnmpgetを使用して提示されています。

Oracle Key Vaultを監視するリモート・ホストにログインします。
Oracle Key Vaultを監視しているリモート・ホストに、UCD-SNMP-MIBがインストールされていることを確認します。

Oracle Key VaultでサポートされているSNMP管理情報ベース(MIB)変数のオブジェクトIDを問い合せます。

たとえば、SNMPホストで実行中のプロセスの数を追跡するとします。サード・パーティのSNMPクライアント・ユーティリティを使用して、オブジェクトIDが1.3.6.1.4.1.2021.2のKMIP MIBのステータスを次のように問い合せることができます。

third_party_snmp_client_command -v 3 OKV_IP_address -u SNMP_user -a SHA -A SNMP_password -x AES -X SNMP_password -l authPriv iso.3.6.1.4.1.2021.2.1.2

出力は、次のようになります。

iso.3.6.1.4.1.2021.2.1.2.1 = STRING: "mwecsvc"              <== Event collector
iso.3.6.1.4.1.2021.2.1.2.2 = STRING: "httpd"                <== httpd
iso.3.6.1.4.1.2021.2.1.2.3 = STRING: "kmipd"                <== KMIP daemon
iso.3.6.1.4.1.2021.2.1.2.4 = STRING: "ora_pmon_dbfwdb"      <== embedded DB
iso.3.6.1.4.1.2021.2.1.2.5 = STRING: "ServiceManager"       <== Golden Gate Service Manager (Monitors other processes and reports status)
iso.3.6.1.4.1.2021.2.1.2.6 = STRING: "adminsrvr"            <== Golden Gate Admin Server (Communicates with the DB to perform certain maintenance/admin tasks)
iso.3.6.1.4.1.2021.2.1.2.7 = STRING: "distsrvr"             <== Golden Gate Distribution Server (Sends the OGG changes to other nodes)
iso.3.6.1.4.1.2021.2.1.2.8 = STRING: "recvsrvr"             <== Golden Gate Receiver Server

関連トピック

Oracle Key VaultのSNMP管理情報ベース変数

親トピック: SNMPを使用するためのリモート・モニタリングの構成

22.1.1.6 Oracle Key VaultのSNMP管理情報ベース変数

Oracle Key Vaultには、追跡可能な一連のSNMP管理情報ベース(MIB)変数が用意されています。

次の表に、サポートされているMIB変数の一覧を示します。

表22-1 SNMPでOracle Key Vaultの追跡に使用されるMIB

MIB変数	オブジェクトID	説明
`hrSystemUptime`	1.3.6.1.2.1.25.1.1	Oracle Key Vaultインスタンスの実行時間を追跡します。
`ifAdminStatus.x`	1.3.6.1.2.1.2.2.1.7	Oracle Key Vaultネットワーク・インタフェース(`x`)の状態(実行中、停止中またはテスト中)を追跡します。値は次のとおりです。 1: インスタンスは実行中 2: インスタンスは停止中 3: インスタンスはテスト中
`memAvailReal`	1.3.6.1.4.1.2021.4.6	使用可能なRAMを追跡します。
`memTotalReal`	1.3.6.1.4.1.2021.4.5	RAMの合計使用量を追跡します。
`ssCpuRawIdle`	1.3.6.1.4.1.2021.11.53	CPUをモニタリングする場合に、アイドル状態で費やされたティック数(通常1/100秒単位)を追跡します。
`ssCpuRawInterrupt`	1.3.6.1.4.1.2021.11.56	CPUをモニタリングする場合に、ハードウェアの中断の処理に費やされたティック数(通常1/100秒単位)を追跡します。
`ssCpuRawKernel`	1.3.6.1.4.1.2021.11.55	CPUをモニタリングする場合に、カーネルレベルのコードの処理に費やされたティック数(通常1/100秒単位)を追跡します。
`ssCpuRawNice`	1.3.6.1.4.1.2021.11.51	CPUをモニタリングする場合に、優先順位の低いコードの処理に費やされたティック数(通常1/100秒単位)を追跡します。
`ssCpuRawSystem`	1.3.6.1.4.1.2021.11.52	CPUをモニタリングする場合に、システムレベルのコードの処理に費やされたティック数(通常1/100秒単位)を追跡します。
`ssCpuRawUser`	1.3.6.1.4.1.2021.11.50	CPUをモニタリングする場合に、ユーザーレベルのコードの処理に費やされたティック数(通常1/100秒単位)を追跡します。
`ssCpuRawWait`	1.3.6.1.4.1.2021.11.54	CPUをモニタリングする場合に、入出力(IO)待ち状態で費やされたティック数(通常1/100秒単位)を追跡します。
`UCD-SNMP-MIB.prTable`	1.3.6.1.4.1.2021.2	特定の名前で実行されているプロセスの数を追跡します。モニタリング対象の名前は、`httpd` (httpサーバー)、`kmipd` (kmipデーモン)および`ora_pmon_dbfwdb` (DBが停止しているかどうかを示すインジケータ)です。
`nsExtendOutputFull`	1.3.6.1.4.1.8072.1.3.2.3.1.2	高速リカバリ領域の領域使用状況の監視。サイズ、使用済領域および空き領域を表示します。アラートには、CA証明書およびサーバー証明書の有効期限日時と、Oracle Audit VaultエージェントおよびApache Tomcat Webサーバーのステータスも表示されます。証明書の有効期限については、日時に表示されるタイムゾーンはUTCです。Oracle Key Vaultが証明書のローテーションの途中である場合、出力に一貫性がない場合があります。
`sysDescr`	1.3.6.1.2.1.1.1	Oracle Key Vaultの製品名およびバージョンIDを表します。
`sysUpTime`	1.3.6.1.2.1.1.3	システムのネットワーク管理部分が最後に再初期化されてからの時間(100分の1秒単位)を表します。
`sysName`	1.3.6.1.2.1.1.5	管理者が割り当てた名前を表します。慣例により、この名前がノードの完全修飾ドメイン名になります。

22.1.1.7 例: SNMPを使用したOracle Key Vaultの簡略化されたリモート・モニタリング

Linuxでは、Oracle Key Vault情報を検索するために手動で入力したSNMPコマンドを簡略化できますが、有益で詳細な出力も引き続き利用できます。

この項の構成では、信頼できるユーザーにSNMPアクセス権を付与していることを前提としています。また、Oracle Key Vaultを監視するリモート・ホストにSNMP管理情報ベース(MIB)の変数がインストールされていることも前提としています。

たとえば、snmp_adminというSNMPユーザーに関する長いバージョンのsnmpwalkコマンドは次のとおりです。

snmpwalk -v3 OKV_IP_address -n "" -l authPriv -u snmp_admin -a SHA -A snmp_user_password -x AES -X snmp_user_password

このコマンドでは、Oracle Key Vaultで実行されている重要なサービスをリストします。ただし、このコマンド(および他のSNMPコマンド)を変更して短くするだけでなく、サービスが実行中か停止中かなどの追加情報を表示することも可能です。

このタイプのコマンドを簡略化するために、入力するSNMPコマンドに、デフォルトのユーザーやデフォルトのセキュリティ・レベルなど、よく使用される設定が自動的に含まれるように/etc/snmp/snmp.conf構成ファイルを編集できます。このトピックの例では、ユーザーが対話形式でパスワードをコマンドラインに入力できるように、パスワード・パラメータが省略されています。

Oracle Key Vaultを監視するリモート・ホストにログインします。

次のように表示される/etc/snmp/snmp.confを編集します。

# As the snmp packages come without MIB files due to license reasons, 
# loading MIBs is disabled by default. If you added the MIBs you 
# can reenable loading them by commenting out the following line. 
  mibs :

# mibs :行をコメント・アウトしてから、次のように、次の行を追加します。
```
# loading MIBs is disabled by default. If you added the MIBs you 
# can reenable loading them by commenting out the following line. 
# mibs : 
defSecurityName snmp_admin 
defSecurityLevel authPriv 
defAuthType SHA1
defPrivType AES128 
```
この例では次のとおりです。
- defSecurityName: SNMPアクセス権を付与したユーザーの名前を入力します。この例では、snmp_adminを使用します。
- defSecurityLevel: 使用するデフォルトのセキュリティ・レベルを入力します。この例では、authPrivを使用し、これにより、認証およびプライバシによる通信が可能になります。
- defAuthType: デフォルトの認可タイプを入力します。この例では、SHA1を使用します。
- defPrivType: デフォルトの権限タイプを入力します。この例では、AES128を使用します。
snmpdを再起動して構成ファイルをロードします。
たとえば、Linux 7以降の場合:
```
systemctl restart snmpd
```
Linux 6の場合:
```
service snmpd restart
```

前に示したsnmpwalkコマンドの簡略化したバージョンを実行するには、次のコマンドを入力します。

snmpwalk okv_ip_address prNames -A snmp_user_pwd -X snmp_user_pwd

このコマンドでは、prNamesは"プロセス名"を表し、プロセスの数ではなく名前を表示します。たとえば:

$ snmpwalk 192.0.2.254 prNames -A snmp_user_pwd -X snmp_user_pwd
UCD-SNMP-MIB::prNames.1 = STRING: httpd
UCD-SNMP-MIB::prNames.2 = STRING: kmipd
UCD-SNMP-MIB::prNames.3 = STRING: kmipusd
UCD-SNMP-MIB::prNames.4 = STRING: ora_pmon_dbfwdb
UCD-SNMP-MIB::prNames.5 = STRING: ServiceManager
UCD-SNMP-MIB::prNames.6 = STRING: adminsrvr
UCD-SNMP-MIB::prNames.7 = STRING: distsrvr
UCD-SNMP-MIB::prNames.8 = STRING: recvsrvr
UCD-SNMP-MIB::prNames.9 = STRING: av_agent_monitor

snmptableコマンドの実行例は、次のようになります。

snmptable okv_ip_address prTable -A snmp_user_pwd -X snmp_user_pwd

出力は、次のようになります。

$ snmptable 192.168.1.181 -A Manager_1 -X Manager_1 prTable
SNMP table: UCD-SNMP-MIB::prTable

 prIndex          prNames prMin prMax prCount prErrorFlag                        prErrMessage prErrFix prErrFixCmd
       1            httpd     1    20       8     noError                                      noError            
       2            kmipd     1     2       2     noError                                      noError            
       3          kmipusd     1     2       2     noError                                      noError            
       4  ora_pmon_dbfwdb     1     1       1     noError                                      noError            
       5   ServiceManager     1     1       1     noError                                      noError            
       6        adminsrvr     1     1       1     noError                                      noError            
       7         distsrvr     1     1       1     noError                                      noError            
       8         recvsrvr     1     1       1     noError                                      noError            
       9 av_agent_monitor     1     1       0       error No av_agent_monitor process running  noError

次の例は、snmpdfコマンドを実行する方法を示しています。

snmpdf okv_ip_address -A snmp_user_pwd -X snmp_user_pwd

出力は、次のようになります。

Description                Size (kB)      Used   Available   Used% 
/                          20027260    7247856    12779404     36%  
/usr/local/dbfw/tmp         6932408      15764     6916644      0%  
/var/log                    5932616      19932     5912684      0% 
/tmp                        1999184       3072     1996112      0% 
/var/lib/oracle           143592160   35023900   108568260     24%

親トピック: SNMPを使用するためのリモート・モニタリングの構成

22.1.2 電子メール通知の構成

電子メール通知を使用して、Oracle Key Vault管理コンソールにログインせずに、Key Vaultステータスの変更を管理者に直接通知できます。

電子メール通知について
電子メール通知は、ステータス変更についてユーザーに警告し、エンドポイント・エンロールおよびユーザー・パスワード・リセット操作のプロセスを完了するために使用されます。
電子メール設定の構成
Simple Mail Transfer Protocol (SMTP)サーバー・プロパティを構成して、Oracle Key Vaultから電子メール通知を受信できます。
電子メール構成のテスト
Oracle Key Vault管理コンソールでは、テスト電子メールを送信して電子メール構成をテストできます。
ユーザーに対する電子メール通知の無効化
Oracle Key Vault管理コンソールを使用して、電子メール通知を有効化または無効化できます。

親トピック: システム・モニタリングの管理

22.1.2.1 電子メール通知について

電子メール通知は、ステータス変更についてユーザーに警告し、エンドポイント・エンロールおよびユーザー・パスワード・リセット操作のプロセスを完了するために使用されます。

電子メール通知を有効にするには、Oracle Key Vaultで電子メール設定を設定する必要があります。更新が必要なイベントを選択できます。イベントには、Oracle Key Vaultシステム・ステータス(ディスク使用率、バックアップおよびプライマリ・スタンバイなど)、ユーザーおよびエンドポイントのステータス(ユーザー・パスワード、エンドポイント証明書およびキーの有効期限など)、またはクラスタ・ステータス(ハートビート・ラグ、ネーミング競合、クラスタ全体のHSMステータスなど)が含まれます。

クラスタ・デプロイメントでは、クラスタのすべてのノードで電子メール設定を構成および検証する必要があります。クラスタ・ノードの電子メール設定は、そのノードに対してローカルです。

電子メール設定の構成は、SMTPプロバイダによって行われます。Oracle Key VaultサーバーからSMTPサーバーにアクセスできることを確認したら、SMTPプロバイダの必須設定に従う必要があります。

SMTPサーバー構成はいつでも変更できます。最初はカスタムのSMTP証明書が使用され、後でデフォルトを使用することを決定した場合は、トラストストア設定をカスタムからデフォルトに変更できます。

たとえば:

エンドポイント・エンロール中に生成されたエンロール・トークンをOracle Key Vaultからエンドポイント管理者に直接メールで送信できます。
Oracle Key Vaultシステム管理者は、ユーザー・パスワードのリセット時に、ランダムな一時パスワードをユーザーに直接送信できます。

電子メール通知を正常に有効化するには、Oracle Key VaultとSMTPサーバーとの間に接続が存在する必要があります。

電子メール通知はいつでも無効化できます。

ノート:

Oracle Cloud Infrastructure (OCI)環境でOracle Key Vaultを使用している場合は、Oracle Linux 6および7プラットフォームで電子メール配信を使用するようにPostfixを構成する方法について、My Oracle Supportノート2501601.1を参照してください。構成を完了したら、OCIからの承認済送信者がFrom Addressフィールドに移入されていることを確認します。

親トピック: 電子メール通知の構成

22.1.2.2 電子メール設定の構成

Simple Mail Transfer Protocol (SMTP)サーバー・プロパティを構成して、Oracle Key Vaultから電子メール通知を受信できます。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
「Network Services」領域で、「Email」をクリックします。

「Email Settings」ページが表示されます。

図21_email.pngの説明
「Email Settings」ページで、次の値を入力します。
- SMTP Server Address: ユーザー・アカウント用の有効なSMTPサーバー・アドレスまたはホスト名を入力します。この設定は、ユーザーの電子メール・アカウントのSMTPサーバー設定と一致する必要があります。Oracle Key VaultからSMTPサーバーまたはホスト名に到達可能であることを確認します。SMTPホスト名を入力した場合は、「System Settings」メニューからDNSを構成して、ホスト名が解決されるようにする必要があります。
- SMTP Port: 送信SMTPサーバーのSMTPポート番号(通常は465)を入力します。組織内で明示的な構成を使用している場合は、このポート番号を別の番号にすることができます。
- Name: 電子メールの差出人フィールドに表示されるSMTPユーザーの別名を入力します。
- From Address: 送信者として指定する電子メール・アドレスを入力します。
- SMTPサーバーがセキュアな接続を必要とする場合は、「Require Secure Connection」を選択します。Microsoft Exchange Serverで匿名リレー、あるいはGmailまたはOffice365など、外部のSMTPサーバーを使用している場合は、「Require Secure Connection」を選択しないでください。外部のSMTPサーバーへのSMTPリクエストの転送がファイアウォール・ルールで許可されていることを確認してください。
  
  「Require Secure Connection」が選択されている場合は、「SSL」および「TLS」の2つのオプションを備えた「Authentication Protocol」フィールドが表示されます。電子メール・サーバーの認証プロトコル(「SSL」または「TLS」)を選択します。デフォルト値は「TLS」です。
- SMTPユーザー・アカウントがある場合は、「Require Credentials」ボックスを選択します。選択すると、「User Name」, 「Password」および「Re-enter Password」の入力フィールドが表示されます。
  - SMTPユーザー・アカウントのユーザー名を入力します。
  - SMTPユーザー・アカウントのパスワードを入力します。
  - SMTPユーザー・アカウントのパスワードを再入力します。
  注意:
  SMTPサーバーへのセキュアな接続を使用することをお薦めします。これにより、管理ユーザーやOracle Key Vaultシステム・アラートの作成などの操作で、自動生成されたトークンが電子メールを介して送信されます。
  
  セキュアでない接続の場合は、「Require Credentials」を選択しないでください。
- 「Custom SMTP Server Certificate」を選択すると、「Upload Certificate File」フィールドが表示され、その右側に「Choose File」ボタンが示されます。カスタムSMTPサーバーの証明書をアップロードして、SMTPとOracle Key Vault間でTLSセッションを確立する場合は、このオプションを選択します。デフォルトのJavaトラストストアに必要な証明書が含まれていない場合は、この方法を使用してカスタム・トラストストアを追加できます。「Upload Certificate File」の後にある「Browse」をクリックして、カスタム証明書ファイルをアップロードします。
「Configure」をクリックします。

構成が成功した場合は、「SMTP successfully configured」メッセージが表示されます。

構成が失敗した場合は、ユーザーの電子メール・アカウントのSMTPサーバー設定が正しいことを確認します。エラー・メッセージの表示に伴い、問題の特定に役立つように、エラーがあるフィールドが強調表示されます。

親トピック: 電子メール通知の構成

22.1.2.3 電子メール構成のテスト

Oracle Key Vault管理コンソールでは、テスト電子メールを送信して電子メール構成をテストできます。

構成を保存した後に、SMTPユーザー・アカウントの電子メール構成をいつでもテストできます。既存のSMTP構成を変更する場合は、構成をテストする前にその構成を保存する必要があります。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
「Network Services」領域で、「Email」をクリックします。
「Email Settings」ウィンドウで、ユーザーのSMTP設定を構成します。
「Configure」をクリックして構成を保存します。
構成をテストする前に、構成を保存する必要があります。
「Send Test Email」セクションで、「Email Address」フィールドにユーザーの電子メール・アドレスを入力します。その後、「Test」をクリックします。

「Oracle Key Vault: Test Message」という件名行の電子メールがユーザーに送信されます。

Oracle Key Vaultサーバーのタイムスタンプによっては、最新の電子メールとして電子メール通知が表示されません。

電子メール通知が受信ボックスに表示されないこともあります。この場合は、スパム・フォルダを確認してください。

電子メール通知が受信されない場合は、「Reports」タブをクリックして、左側のサイドバーから「System Reports」を選択します。「System Reports」ページで、「Notification Report」をクリックします。リストをチェックして、電子メール通知の送信中に発生した問題を特定してください。

関連トピック

電子メール設定の構成

親トピック: 電子メール通知の構成

22.1.2.4 ユーザーに対する電子メール通知の無効化

Oracle Key Vault管理コンソールを使用して、電子メール通知を有効化または無効化できます。

Oracle Key Vaultユーザーは、電子メール・アラートを受け取らないようにすることもできます。システム管理者ロールを持つユーザーまたは自分でアカウントを管理しているユーザーのみが、電子メール通知を無効化できます。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「Users」タブを選択します。

「Manage Users」ページが表示されます。
ユーザーのユーザー名をクリックします。

「User Details」ページが表示されます。
「Do not receive email alerts」というテキストの左側にあるチェック・ボックスを選択します。
「Save」をクリックします。

親トピック: 電子メール通知の構成

22.1.3 個々のマルチマスター・クラスタ・ノードのSyslog宛先の構成

各ノードで、syslogエントリをSplunkやSIEMなどのリモート・サービスに転送できます。

ノードのSyslog宛先設定の設定
Transmission Control Protocol (TCP)またはUser Datagram Protocol (UDP)のいずれかを使用するように、syslog宛先を設定できます。
ノードのSyslog宛先設定のクリア
ノードのsyslog宛先設定をクリアしてから、ノードをクラスタ設定にリセットできます。

親トピック: システム・モニタリングの管理

22.1.3.1 ノードのSyslog宛先設定の設定

syslog宛先を設定して、Transmission Control Protocol (TCP)またはUser Datagram Protocol (UDP)にいずれかを使用できます。

システム管理者ロールを持っているユーザーとしてノードのOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
「Monitoring and Alerts」領域で、「Syslog」をクリックします。
「Syslog」ウィンドウで、次のいずれかのオプションを選択します。
- TCP: TCPプロトコルを使用してsyslogを有効にします。
- UDP: UDPプロトコルを使用してsyslogを有効にします。
「Syslog Destinationsフィールドに、syslog宛先IPアドレスとポート番号をIP_address:portの形式で入力します。
複数の宛先をスペースで区切って入力できます。
「Save」をクリックします。

親トピック: 個々のマルチマスター・クラスタ・ノードのSyslog宛先の構成

22.1.3.2 ノードのSyslog宛先設定のクリア

ノードのsyslog宛先設定をクリアして、ノードをクラスタ設定にリセットできます。

システム管理者ロールを持っているユーザーとしてノードのOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
「Monitoring and Alerts」領域で、「Syslog」をクリックします。
「Syslog」ウィンドウで、「「Delete」をクリックします。

親トピック: 個々のマルチマスター・クラスタ・ノードのSyslog宛先の構成

22.1.4 システム診断の取得

発生する可能性のある問題をトラブルシューティングするために、診断パッケージを生成できます。

システム診断の取得について
Oracle Key Vault診断ファイルには、Oracle Key Vaultの使用中に発生する可能性のある問題の詳細なデバッグおよびトラブルシューティング情報が提供されます。
Oracle Key Vaultアプリケーションのトレース・レベルの構成
システム管理者は、診断の構成ページからトレースする統合アプリケーションのトレース・レベルを構成できます。
診断パッケージのダウンロード
システム管理者は、Oracle Key Vault管理コンソールを使用して診断ファイルをダウンロードできます。
診断パッケージの解凍
生成された診断バンドルのファイル・サイズがパーティション・サイズより小さい場合、診断パッケージは単一の.zipファイルで使用できます。それ以外の場合、診断バンドルは分割され、拡張子.zip-partXXを持つ部分として使用できます。
トレース・ファイルの削除
古いトレース・ファイルをダウンロード後に削除することで、ディスク領域を解放できます。

親トピック: システム・モニタリングの管理

22.1.4.1 システム診断の取得について

Oracle Key Vault診断ファイルには、Oracle Key Vaultの使用中に発生する可能性のある問題の詳細なデバッグおよびトラブルシューティング情報が含まれています。

診断ファイルをダウンロードし、それをOracleサポートに提供して詳細な分析やデバッグを依頼できます。

デフォルトで、診断レポートはOracle Key Vaultで有効です。簡易診断収集を使用すると、システム管理者はダウンロード可能な診断バンドル用にパッケージ化する診断コンポーネントを選択できます。診断ユーティリティの初回実行時、またはOracle Key Vaultシステムの内部データベースの再起動後は、システムのすべての診断情報を収集する必要があるため、その後の実行と比べてバンドルの生成に時間がかかる場合があることに注意してください。

Oracle Key Vaultサーバーのアップグレードを実行する場合は、ダウンロードできるファイルがないことを確認して、診断パッケージング・ユーティリティを無効にします。これを確認するには、「Diagnostics」ページに「Diagnostics Package Files」というセクションがあることを確認します。その場合は、「Clear」をクリックしてユーティリティを無効にします。

アップグレード中は、各コンポーネントの現在のトレース・レベルがMandatoryトレース・レベルにリセットされます。

親トピック: システム診断の取得

22.1.4.2 Oracle Key Vaultアプリケーションのトレース・レベルの構成

システム管理者は、診断の構成ページからトレースする統合アプリケーションのトレース・レベルを構成できます。

このステップでは、システム管理者がOracle Key Vault管理コンソールからトレース・レベルを構成する方法について説明します。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」、「Settings」の順に選択します。
「Monitoring and Alerts」領域の「Diagnostics」をクリックします。
「Diagnostics Configuration」ページが表示されます。

図216_configure_dignostics.pngの説明
「Configurable Components」領域から、「Application Trace Level」のトレース・オプションを選択します。デフォルトでは、「Database Trace Level」および「System Trace Level」は常に「MANDATORY」に設定されます。
- トレース・レベル
  - 「Application Trace Level」では、以前のリリースの診断ユーティリティの「LOG」オプションが有効になり、Oracle Key Vaultアプリケーションのトレース・レベルも調整されます。
    
    ノート:
    アプリケーションのトレース・レベルを設定しても、KMIPサーバーのトレース・レベルには影響しません。KMIPサーバーのトレースを有効にする方法については、Oracleサポートに連絡してください。
  - 「Database Trace Level」では、以前のリリースの診断ユーティリティの「DATABASE」オプションが有効になります。
  - 「System Trace Level」では、以前のリリースの診断ユーティリティのSYSTEM、SOS_REPORT、PLATFORM_COMMANDSオプションが有効になります。
  - MANDATORYレベルは重要なシステム条件と見なされるトレースを収集します。
  - ERRORレベルはエラーと例外のインスタンスでトレースを収集します。
  - WARNINGレベルは警告条件のインスタンスでトレースを収集します。
  - INFOレベルは一般的な操作情報のトレースを収集します。
  - DEBUGレベルは使用可能なすべてのトレースを収集します。
ノート:
トレース・レベルを調整すると、特定のノードまたはサーバーの「Configurable Components」のみが設定されます。他のクラスタ・ノードまたはプライマリ/スタンバイ・デプロイメントのスタンバイ・サーバーでトレース・レベルを更新するには、他のノードまたはサーバーでこれらのステップを繰り返します。
「Save」をクリックします。

「Oracle Key Vault tracing selections updated successfully」メッセージは、設定が正常に保存されたことを保証します。

親トピック: システム診断の取得

22.1.4.3 診断パッケージのダウンロード

システム管理者は、Oracle Key Vault管理コンソールを使用して診断ファイルをダウンロードできます。

このステップでは、目的のコンポーネントのみを選択し、診断パッケージの内容をカスタマイズする方法について説明します。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」、「Diagnostics」の順に選択します。

「Download Diagnostics」ページが表示されます。

図216_download_dignostics_package.pngの説明
関連する診断をダウンロードするためのコンポーネントを選択します。

ノート:
コンポーネント「Application」を選択すると、KMIPサーバーのトレース・データも含まれます。
要件に基づいて「Partition Size」を調整することもできます。デフォルトの診断パッケージのファイル・パーティション・サイズは500MBです。
「Save」をクリックして、将来使用するためにダウンロード設定を保存します。
バンドルを生成するには、「Create」をクリックします。
「Diagnostics Package Files」ペインが表示され、ダウンロード可能なファイルのリストが表示されます。

図216_diagnostic_package_files.pngの説明
ダウンロードするファイルを選択し、「Download」をクリックします。

ノート:
すべての部分がダウンロードされたことを確認してから、完全な診断バンドル用に再結合します。ファイルの各部を組み合せるには、「診断パッケージの解凍」を参照してください。

親トピック: システム診断の取得

22.1.4.4 診断パッケージの解凍

生成された診断バンドルのファイル・サイズがパーティション・サイズより小さい場合、診断パッケージは単一の.zipファイルで使用できます。それ以外の場合、診断バンドルは分割され、拡張子.zip-partXXを持つ部分として使用できます。

「診断パッケージのダウンロード」の項のステップに従っていることを確認します。「診断パッケージのダウンロード」を参照してください
「Diagnostics Package」ページで、ダウンロードするトレース・ファイルを選択し、「Diagnostics Package Files」ペインから「Download」をクリックします。

図216_download_package_files.pngの説明
診断レポートを含む.zipファイルをセキュアな場所にダウンロードして保存します。

ノート:
各ノードは個別にトレースされるため、クラスタ・デプロイメント・モードでは、各ノードのトレース・レベルを手動で設定する必要があります。

診断パッケージ・ファイルの拡張子がzip-partXXである場合は、次に示すステップを使用してファイルを再結合します。
1. ユーザーがすべての部分をダウンロードしたら、ファイルがダウンロードされたシェルで次のコマンドを実行して、各部を1つのzipファイルに結合します。
  Linuxの場合:
```
$ cat okv_traces.zip-part* > okv_traces.zip
```
  Windowsの場合:
```
$ type okv_traces.zip-part* > okv_traces.zip
```
2. 次のコマンドを使用してファイルをunzipします。
  Linuxの場合:
```
$ unzip okv_traces.zip -d path_to_unpack_traces_to 
```
  Windowsの場合:
```
$ Expand-Archive -LiteralPath okv_traces.zip -DestinationPath path_to_unpack_traces_to
```
3. アプリケーション・トレースは<download_location>/var/lib/oracle/okv_application_traces/パスで使用でき、データベースおよびシステムの診断は以前のOracle Key Vaultリリースと同じディレクトリの場所にあります。
  アプリケーション・トレースの形式は次のとおりです:
```
VERSION | TIMESTAMP (YYYY-MM-DD HH:MM:SS.FF3 format) | HOSTNAME | TYPE | USER-CONTEXT IDENTIFIER | EXECUTION IDENTIFIER | TRACE SEVERITY LEVEL |  COMPONENT |  FILE NAME[LINE NUMBER] | MESSAGE
```
```
v1 | 2023-01-19 18:49:45.810 | okv02001703c6fe | PLSQL | DD9E6226-742F-43BB-A725 -0CF6C8A7EBC0 | SID:1334,SPID:3460,CPID:1234 | 2 | GEN_SERVER | LDAP[3143] | Unable to reach the hostname when testing LDAP configuration 
```
  - VERSION: トレース行書式のバージョンを示します。
  - HOSTNAME: トレース・レベルが記録されるホスト情報(サーバーまたはクラスタ)を提供します。
  - TYPE: トレース文のコード行を実行したファイル・タイプを示します。
  - USER-CONTEXT IDENTIFIER: アクションを開始したユーザーを識別するためのユーザー・コンテンツ識別子を示します。これは、エンドポイントとユーザーを参照できます。
  - EXECUTION IDENTIFIER: 特定のトレース文シーケンスが様々なタイプのIDを含める実行コンテキストを識別します。
  - TRACE SEVERITY LEVEL : 特定のメッセージが出力されたトレース・レベルを識別します。使用可能なトレース・レベルは、1、2、4、8、16です。
  - COMPONENT: コンポーネントがトレースされたことを示します。現在、使用可能なコンポーネントはGEN_SERVERです。
  - FILE NAME[LINE NUMBER]: 各トレース文のファイル名および行番号を識別するのに役立ちます。
  - MESSAGE: トレース・レベルに関する情報を含む特定のトレース・メッセージを示します。
4. $ gzip -d okv_trace.trc.<date>.gzコマンドを使用して、アプリケーションのトレース・ファイルを解凍します。
診断パッケージのすべての部分をダウンロードしたら、Oracle Key Vault管理コンソール・ページで「Clear」をクリックしてディスク領域をクリアします。

関連トピック

Oracle Key Vaultアプリケーションのトレース・レベルの構成

親トピック: システム診断の取得

22.1.4.5 トレース・ファイルの削除

古いトレース・ファイルをダウンロード後に削除することで、ディスク領域を解放できます。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」、「Diagnostics」の順に選択します。「Download Diagnostics」ページが表示されます。
「Delete Trace Files」をクリックします。
削除を続行するためのプロンプトを確認して確定します。

ノート:
「Delete Trace Files」では、古いKMIPサーバー・トレース・データも削除されます。現在使用中のトレース・ファイルは、サイズに関係なく削除されません。

親トピック: システム診断の取得

22.1.5 システム・メトリックのモニタリング

システム・メトリック・モニタリング機能を使用すると、Oracle Key VaultにおいてCPU使用率およびメモリー使用量などの主要なシステム・リソース使用量についてデータを表示および収集できます。

システム・メトリックの取得について
システム・メトリック・モニタリング機能では、Oracle Key Vault管理コンソールを使用したリソース・モニタリング機能が提供されます。
システム・メトリックの表示
Oracle Key Vault管理コンソールを使用してシステム・モニタリング・データを表示およびダウンロードできます。

親トピック: システム・モニタリングの管理

22.1.5.1 システム・メトリックの取得について

システム・メトリック・モニタリング機能では、Oracle Key Vault管理コンソールを使用したリソース・モニタリング機能が提供されます。

Oracle Key Vaultは、CPUおよびメモリー使用率、ディスクI/O、ネットワークおよびアプリケーション・メトリックを定期的に収集します。システム・メトリック・データは、Oracle Key Vault管理コンソールを使用して表示および収集できます。Oracle Key Vaultのシステム・メトリック・モニタリングにより、Oracle Key Vaultサーバーにログインしてから手動でシステムをモニターする必要がなくなります。

親トピック: システム・メトリックのモニタリング

22.1.5.2 システム・メトリックの表示

Oracle Key Vault管理コンソールを使用してシステム・モニタリング・データを表示およびダウンロードできます。

この手順では、出力をカスタマイズして必要なデータを収集する方法についても説明します。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」を選択します。

「Status」ページが表示されます。

図218_ca_certificate_details_status_page.pngの説明

「System Metrics」をクリックします。

「System Metrics」ページに、メトリック収集サービスのステータスが表示されます。「Up」は、そのサービスが実行されておりデータの収集中であることを意味し、「Down」は、問題がありOracle Key Vaultでデータを収集できないことを意味します。

「System Metrics」ページに、各メトリック・カテゴリの縮小されたリージョンが表示されます。

216_system_metrics.pngの説明が続きます
図216_system_metrics.pngの説明

「System Metrics」リージョンを展開して、次のグラフを表示します。

CPU使用率およびメモリー使用量
ディスクI/Oメトリック
ネットワーク・メトリック
アプリケーション・メトリック

表22-2 システム・メトリック

システム・メトリック	説明
CPUおよびメモリーの使用率	「CPU Usage」グラフ内のあるポイントにマウス・カーソルを合わせると、次の内容が表示されます。そのデータ・ポイントが収集された時刻そのデータ・ポイントでのCPU使用率そのデータ・ポイントでのCPUコア数そのデータ・ポイントでの過去1分間、5分間および15分間のCPU負荷の平均「Memory Usage」グラフ内のあるポイントにマウス・カーソルを合わせると、次の内容が表示されます。そのデータ・ポイントが収集された時刻そのデータ・ポイントでのメモリー使用量の割合そのデータ・ポイントでの合計メモリー(GB) そのデータ・ポイントでの空きメモリー(GB)
ディスクI/Oメトリック	「Disk Reads」グラフ内のあるポイントにマウス・カーソルを合わせると、次の内容が表示されます。そのデータ・ポイントが収集された時刻ディスク読取りの合計回数「Disk Writes」グラフ内のあるポイントにマウス・カーソルを合わせると、次の内容が表示されます。ディスク書込みデータが収集される時間ディスク書込みの合計回数
ネットワーク・メトリック	「Data Received」グラフ内のあるポイントにマウス・カーソルを合わせると、次の内容が表示されます。そのデータ・ポイントが収集された時刻収集されたデータ(バイト) データが受信された平均レート「Data Sent」グラフ内のあるポイントにマウス・カーソルを合わせると、次の内容が表示されます。そのデータ・ポイントが収集された時刻収集されたデータ(バイト) データが送信された平均レート
受信TCP接続	「Incoming TCP Connections」グラフ内のあるポイントにマウス・カーソルを合わせると、次の内容が表示されます。そのデータ・ポイントが収集された時刻受信TCP接続の数
アプリケーション・メトリック	「KMIP Connections」グラフ内のあるポイントにマウス・カーソルを合わせると、次の内容が表示されます。そのデータ・ポイントが収集された時刻 KMIP接続の合計数 RESTFul以外のインタフェースでのKMIP接続の数 RESTFulインタフェースでのKMIP接続の数

「Period」ドロップダウンから様々なオプションを選択して、「Last 1 Hour」、「Last 24 Hour」、「Last Week」、「Last Month」または「Date Range(Period)」について使用率を表示します。

ノート:
「Date Range (Period)」オプションを使用すると、「From」および「To」の日付を指定することで、使用状況データを表示および収集できます。
「Interval」ドロップダウンから様々なオプションを選択して、表示されるデータを集計します。「Auto」オプションを選択すると、パフォーマンスを最適化できます。
「Statistic」ドロップダウンから、集計関数を選択します。
「Mean」、「Min」または「Max」または「Count」値から選択できます。

ノート:
「Count」統計は、すべてのメトリックに適用できるわけではありません。
「Refresh」をクリックしてリフレッシュし、指定したフィールドに従ってデータが表示されるようにします。
「Download」をクリックしてそのデータを.csvファイルに保存します。
ノート:
- 「Download」ボタンをクリックすると、指定した期間の生データが保存されます。また、ダウンロードしたデータには、間隔フィルタや統計フィルタは適用されていません。
- 「Metrics Service」が「Down」の場合は、データの表示や、システム・メトリックに対する変更ができない可能性があります。

親トピック: システム・メトリックのモニタリング

22.2 Oracle Key Vaultアラートの構成

Oracle Key Vaultダッシュボードに表示するアラートのタイプを選択できます。

アラートの構成について
システム管理者がOracle Key Vaultダッシュボードからアラートを構成できますが、すべてのユーザーは、自分にアクセス権があるセキュリティ・オブジェクトのアラートを参照できます。
アラートの構成
Oracle Key Vault管理コンソールの「Reports」ページでアラートを構成できます。
オープン・アラートの表示
ユーザーは、自分の権限に応じてアラートを表示できます。

親トピック: Oracle Key Vaultの監視および監査

22.2.1 アラートの構成について

システム管理者がOracle Key Vaultダッシュボードからアラートを構成できますが、すべてのユーザーは、自分にアクセス権があるセキュリティ・オブジェクトのアラートを参照できます。

ユーザーがアラートを受信するには、電子メール通知を有効にする必要があります。

Oracle Key Vaultダッシュボードは、管理コンソールにログインしたときに最初に表示されるページです。このページにナビゲートするには、「Home」タブをクリックします。セキュリティ・オブジェクトに関するアラートはそのオブジェクトへのアクセス権を持つすべてのユーザーに表示されますが、アラートを構成できるのはシステム管理者ロールを持っているユーザーのみです。

Oracle Key Vaultには数種類のアラートが用意されており、それらには、要件に応じて適切なしきい値を構成できます。表示されるアラート・タイプは、使用している環境のタイプ(スタンドアロン、プライマリ・スタンバイ、またはマルチマスター・クラスタ)に基づいています。HSM対応のOracle Key Vaultサーバーについてアラートを構成することもできます。

Oracle Key Vaultアラートは、CRITICAL、HIGH、MEDIUMおよびLOWのいずれかの重大度レベルに分類されます。まず、重大度の高いアラートを解決する必要があります。

アラート構成は、アラートが有効か無効かと、しきい値制限で構成されます。マルチマスター・クラスタでは、デフォルトでクラスタ内のすべてのノードに同じアラート構成が適用されます。次のアラートの場合、アラート構成はClusterまたはNodeスコープのいずれかになります。

Fast Recovery Area Space Utilization
High CPU Usage
Failed System Backup
High Memory Usage
Disk Utilization
システム・バックアップ

次のアラートを構成できます(昇順で示されます)。

表22-3 使用可能なアラート

アラート・タイプ	重大度	環境	マルチマスター・クラスタでの適用可能性	アラートの目的	いつアラートが削除されるか
`Certificate Object Expiration`	HIGH	スタンドアロン、プライマリ・スタンバイおよびマルチマスター・クラスタ環境	クラスタ全体	証明書オブジェクトの非アクティブ化日がしきい値(デフォルトは7日)以内になると発生します。このアラートは、証明書オブジェクトが`PRE-ACTIVE`状態または`ACTIVE`状態の場合にのみ発生します。有効期限アラートがそのしきい値内になると、証明書オブジェクトが期限切れになるまで、24時間ごとに電子メール通知が送信されます。	オブジェクトの非アクティブ化日または構成済しきい値が変更された結果、証明書オブジェクトがそのしきい値内で期限切れにならなくなると、削除されます。また、このアラートは、証明書オブジェクトが取り消されるか破棄されると削除されます。
`Cluster FIPS Not Consistent`	MEDIUM	マルチマスター・クラスタのみ	クラスタ全体	クラスタ内の少なくとも1つ(すべてではない)の`ACTIVE`ノードがFIPSモードになると発生します	すべてのクラスタ・ノードがFIPSモードになるか、すべてのノードがFIPSモードでなくなると削除されます
`Cluster Heartbeat Lag`	HIGH	マルチマスター・クラスタのみ	ノード固有	クラスタ内の別の`ACTIVE`ノードから、しきい値(デフォルトは5分間)を超えてハートビートを受信しなかった場合に発生します	ノードが最後の「Maximum Disable Node Duration」期間内に他のノードからハートビートを受信した場合にかぎり、構成されているしきい値期間に他のノードから再度ハートビートを受信すると削除されます。また、このアラートは、関係するノードがクラスタから削除されると削除されます。
`Cluster HSM Not Consistent`	MEDIUM	マルチマスター・クラスタのみ	クラスタ全体	クラスタ内の少なくとも1つ(すべてではない)の`ACTIVE`ノードがHSM対応になると発生します	すべてのノードがHSM対応になるか、すべてのノードがHSM対応でなくなると削除されます
`Cluster Naming Conflict`	LOW	マルチマスター・クラスタのみ	クラスタ全体	Oracle Key Vaultによってネーミングの競合が自動的に解決されると発生します	オブジェクトが削除されるか、名前変更され、新しい名前が明示的に受け入れられると削除されます
`Cluster Redo Shipping Status`	HIGH	マルチマスター・クラスタのみ	ノード固有	読取り/書込みノードがREDOを読取り/書込みピアに送信できない場合に発生し、その結果、読取り専用制限モードになりますアラートは、REDO送信の非アクティブ・ステータス情報に加えて、クラスタ内のノードが読取り専用モードで動作していることを示します。	読取り/書込みノードが再び読取り/書込みピアにREDOを送信できるようになるか、ノードが削除されると削除されます電子メール通知で、REDO送信ステータスがバックアップされて、クラスタ内のノードが読取り専用モードで動作しなくなったことが示されます。
`Cluster Replication Lag`	HIGH	マルチマスター・クラスタのみ	ノード固有	着信レプリケーション・ラグがしきい値(デフォルトは60秒)を超えた場合に発生します	レプリケーション・ラグがしきい値を下回るか、レプリケーション・リンク内のノードが削除されると削除されます
`ディスク使用率`	MEDIUM	スタンドアロン、プライマリ・スタンバイおよびマルチマスター・クラスタ環境	ノード固有	`/var/lib/oracle`パーティションの空きディスク領域の割合がしきい値(デフォルトは25%)より小さい場合に発生します	空きディスク容量が再度しきい値を上回ると削除されます
`エンドポイントの証明書の有効期限`	HIGH	スタンドアロン、プライマリ・スタンバイおよびマルチマスター・クラスタ環境	クラスタ全体	エンドポイントの証明書がしきい値(デフォルトは30日間).内で期限切れになる場合に発生します有効期限アラートがそのしきい値内になると、エンドポイントの証明書が期限切れになるまで、24時間ごとに電子メール通知が送信されます。	エンドポイントの証明書がしきい値内で期限切れにならなくなるか、エンドポイントが削除されると削除されます
`Failed System Backup`	MEDIUM	スタンドアロン、プライマリ・スタンバイおよびマルチマスター・クラスタ環境	ノード固有	最後のバックアップが正常に完了しなかった場合に発生します	最新のバックアップが正常に完了すると削除されます
`Failed OKV Services`	CRITICAL	スタンドアロン、プライマリ・スタンバイおよびマルチマスター・クラスタ環境	ノード固有	障害が原因でDB、KMIP、REST、電子メール、クラスタまたはAudit Vaultサービスが停止すると発生します。	失敗したサービスすべてが正常に実行され始めると、削除されます。
`Fast Recovery Area Space Utilization`	HIGH	スタンドアロン、プライマリ・スタンバイおよびマルチマスター・クラスタ環境	ノード固有	Oracle Key Vaultの埋込みデータベースの高速リカバリ領域の領域使用状況が、構成されたしきい値(デフォルトは70%)を超える場合に発生します。この問題を解決するには、次を試してください。クラスタ・ノードの「Maximum Disable Node Duration」設定を小さくします。ピア・ノードが使用できない場合は、期間を最小限にします。ノードをクラスタから削除し、後で追加することを検討してください。	Oracle Key Vaultの埋込みデータベースの高速リカバリ領域の領域使用状況が、再び、構成されたしきい値内になると削除されます
`High CPU Usage`	HIGH	スタンドアロン、プライマリ・スタンバイおよびマルチマスター・クラスタ環境	ノード固有	過去5分間の平均メモリー使用量がしきい値より多くなると発生します。しきい値のデフォルトは99%です。 90%を超えるしきい値を設定すると、メモリー・スワップとアラートを生成するためのメモリー使用量が考慮されます。	最初のアラートが発生してから24時間が経過し、CPU使用率が過去5分間のしきい値未満になった場合に削除されます。
`High Memory Usage`	HIGH	スタンドアロン、プライマリ・スタンバイおよびマルチマスター・クラスタ環境	ノード固有	過去5分間の平均メモリー使用量がしきい値より多くなると発生します。しきい値のデフォルトは99%です。	最初のアラートが発生してから24時間が経過し、メモリー使用率が過去5分間のしきい値未満になった場合に削除されます。
`Invalid HSM Configuration`	CRITICAL	スタンドアロン、プライマリ・スタンバイおよびマルチマスター・クラスタ環境	ノード固有	HSM構成にエラーがある場合に発生します(デフォルトでは5分ごとにチェックされます)	HSM構成にエラーがなくなると削除されます
`Key Rotations`	HIGH	スタンドアロン、プライマリ・スタンバイおよびマルチマスター・クラスタ環境	クラスタ全体	キーの非アクティブ化の日付がしきい値(デフォルトは7日間)内である場合に発生しますこのアラートは、キー・オブジェクトが`PRE-ACTIVE`状態または`ACTIVE`状態の場合にのみ発生します。有効期限アラートがそのしきい値内になると、証明書オブジェクトが期限切れになるまで、24時間ごとに電子メール通知が送信されます。	オブジェクトの非アクティブ化日または構成済しきい値が変更された結果、キー・オブジェクトがそのしきい値内で期限切れにならなくなると、削除されます。また、このアラートは、キー・オブジェクトが取り消されるか破棄されると削除されます。
`OKV CA Certificate Expiration`	CRITICAL	スタンドアロン、プライマリ・スタンバイおよびマルチマスター・クラスタ環境	ノード固有	Oracle Key VaultのCA証明書の有効期限がしきい値(デフォルトは90日間)以内になると発生します。有効期限アラートがそのしきい値以内である場合は、CA証明書が期限切れになるまで、24時間ごとに電子メール通知が送信されます。CA証明書が期限切れの場合はエンドポイントがOracle Key Vaultと通信できなくなることに注意してください。これにより、停止時間が発生します。	CA証明書の有効期限がしきい値以内でなくなると、削除されます
`OKV Server/Node Certificate Expiration`	CRITICAL	スタンドアロン、プライマリ・スタンバイおよびマルチマスター・クラスタ環境	ノード固有	スタンドアロンまたはプライマリ・スタンバイ・デプロイメントにおいては、Oracle Key Vaultのサーバー証明書の有効期限がしきい値(デフォルトは90日間)以内になると発生します  マルチマスター・クラスタ環境においては、ノードのノード証明書の有効期限がしきい値(デフォルトは90日間)以内になると発生します。スタンドアロンまたはプライマリ・スタンバイ・デプロイメントにおいてサーバー証明書が期限切れになるとエンドポイントがOracle Key Vaultサーバーと通信できなくなることに注意してください。これにより、すべてのエンドポイントで停止時間が発生します。マルチマスター・クラスタ環境においてノード証明書が期限切れになった場合は、エンドポイントで、エンドポイント操作(キーの取得など)のために他のノードを使用できるようになります。ただし、そのノードは他のマルチマスター・クラスタ・ノードと通信できなくなります。また、ウォレットの新規作成などの操作に影響があります	サーバーまたはノード証明書の有効期限がしきい値以内でなくなると、削除されます。
`OKV Platform Certificates Expiration`	CRITICAL	スタンドアロン、プライマリ・スタンバイおよびマルチマスター・クラスタ環境	ノード固有	Oracle Key Vaultプラットフォームの証明書がしきい値(デフォルトは90日間)以内に期限切れになる場合に発生します。有効期限アラートがそのしきい値以内になると、24時間ごとに電子メール通知が送信されます。プラットフォーム証明書は、新しいノードがクラスタに追加されるときに使用されます。プラットフォーム証明書の有効期限が切れているノードでは、新しいノードを追加できません。プラットフォーム証明書は、クラスタの読取り/書込みノード間でREDOを送信するときにも使用されます。期限切れのプラットフォーム証明書が原因で、REDO送信に失敗して、クラスタの読取り/書込みノードが読取り専用制限モードになる場合があります。ノート: 期限切れのプラットフォーム証明書は、ノードとその読取り/書込みピア間の通信に影響する可能性がありますが、Oracle Key Vaultとのエンドポイント通信には影響しません。期限切れのプラットフォーム証明書があるOracle Key Vaultノードをアップグレードすることはできません。	プラットフォーム証明書の有効期限がしきい値以内でなくなると削除されます。
`OKV Server Certificate Expiration`		スタンドアロン、プライマリ・スタンバイおよびマルチマスター・クラスタ環境	ノード固有	Oracle Key Vaultサーバーの証明書がしきい値(デフォルトは90日間).内で期限切れになる場合に発生します有効期限アラートがそのしきい値内になると、証明書が期限切れになるまで、24時間ごとに電子メール通知が送信されます。サーバー証明書が期限切れになると、エンドポイントはOracle Key Vaultサーバーと通信できなくなります。これにより、停止時間が発生します。	サーバー証明書がしきい値内で期限切れにならなくなると、削除されます
`Primary-Standby Data Guard Broker Status`	HIGH	プライマリ・スタンバイのみ	-	Oracle Data Guard Brokerステータスが`ENABLED`でない場合に発生します	ブローカ・ステータスが再度`ENABLED`になるか、Oracle Key Vaultがプライマリ・スタンバイ・モードでなくなると削除されます
`Primary-Standby Data Guard Fast-Start Failover Status`	MEDIUM	プライマリ・スタンバイのみ	-	ファスト・スタート・フェイルオーバー・ステータスが`SYNCHRONIZED`でない場合に発生します	ファスト・スタート・フェイルオーバー・ステータスが再度`SYNCHRONIZED`になるか、Oracle Key Vaultがプライマリ・スタンバイ構成でなくなると削除されます
`Primary-Standby Destination Failure`	HIGH	プライマリ・スタンバイのみ	-	スイッチオーバー・ステータスが`FAILED DESTINATION`の場合に発生します	スイッチオーバー・ステータスが`FAILED DESTINATION`でなくなるか、Oracle Key Vaultがプライマリ・スタンバイ構成でなくなると削除されます
`Primary-Standby Restricted Mode`	HIGH	プライマリ・スタンバイのみ	-	プライマリ・スタンバイ環境で、プライマリが読取り専用制限モードで実行された場合に発生します	プライマリが読取り専用制限モードでなくなるか、Oracle Key Vaultがプライマリ・スタンバイ構成でなくなると削除されます
`Primary-Standby Role Change`	LOW	プライマリ・スタンバイのみ	-	ロール変更がある場合に発生します	Oracle Key Vaultがプライマリ・スタンバイ構成でなくなると削除されます
`Secret Object Expiration`	HIGH	スタンドアロン、プライマリ・スタンバイおよびマルチマスター・クラスタ環境	クラスタ全体	シークレット・オブジェクトの非アクティブ化日がしきい値(デフォルトは7日)以内になると発生します。このアラートは、オブジェクトが`PRE-ACTIVE`状態または`ACTIVE`状態の場合にのみ発生します。有効期限アラートがそのしきい値内になると、シークレット・オブジェクトが期限切れになるまで、24時間ごとに電子メール通知が送信されます。	オブジェクトの非アクティブ化日または構成済しきい値が変更された結果、シークレット・オブジェクトがそのしきい値内で期限切れにならなくなると、削除されます。また、このアラートは、シークレット・オブジェクトが取り消されるか破棄されると削除されます。
`SSH Tunnel Failure`	HIGH	スタンドアロン、プライマリ・スタンバイおよびマルチマスター・クラスタ環境	ノード固有	SSHトンネルを使用できない場合に発生します	SSHトンネルが再度使用可能になるか、SSHトンネルが削除されると削除されます
`System Backup`	MEDIUM	スタンドアロン、プライマリ・スタンバイおよびマルチマスター・クラスタ環境	ノード固有	最後の正常なバックアップがしきい値(デフォルトは14日間)を超える場合に発生します	最後の正常なバックアップがしきい値内であると削除されます
`User Password Expiration`	MEDIUM	スタンドアロン、プライマリ・スタンバイおよびマルチマスター・クラスタ環境	クラスタ全体	ユーザーのパスワードの有効期限がしきい値(デフォルトは14日間)以内になると発生します。有効期限アラートがそのしきい値内になると、パスワードが期限切れになるまで、24時間ごとに電子メール通知が送信されます。ユーザー・パスワードが期限切れになった場合、ユーザーはログインできず、管理タスクを実行できません。	ユーザーのパスワードの有効期限がしきい値以内でなくなるか、そのユーザーが削除されると、削除されます

関連トピック

親トピック: Oracle Key Vaultアラートの構成

22.2.2 アラートの構成

アラートは、Oracle Key Vault管理コンソールの「Reports」ページで構成できます。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「Alerts」ページにアクセスするには、次のいずれかの方法を使用します。
- 「System」タブ、「Settings」の順に選択し、「Monitoring and Alerts 」領域で「Alerts」をクリックします。
- 「Reports」タブを選択し、左側のナビゲーション・バーで「Alert」を選択します。「Alerts」ページで、「Configure」をクリックします。
- 「Home」ページで、ページ上部にある「Alerts」を展開してから、「All Alerts」をクリックします。次に、「Configure」をクリックします。
「Configure Alerts」ページが開き、様々なアラート・タイプがリストされ、一部については、構成可能なしきい値の限度および単位(キー・ローテーション・アラート・タイプが期限切れになるまでの日数など)がリストされます。マルチマスター・クラスタを使用している場合、「Configure Alerts」ページには、クラスタ固有のアラート(クラスタ・ハートビート・ラグ、REDO送信ステータス、ネーミング競合解決が有効かどうかなど)が表示されます。次の図では、マルチマスター・クラスタ環境での「Configure Alerts」ページを示します。

ノート:
アラートには、Oracle Key Vaultおよび登録済エンドポイントへの影響に基づいて重大度が割り当てられています。

図218_configure_alerts.pngの説明
アラート・タイプの右側にある「Enabled」列のチェック・ボックスを選択して、アラートを有効化します。
その後、「Limit」の下のボックスでしきい値を設定します。この値により、アラートの送信タイミングを決定します。ダッシュボードに表示する必要がないアラートについては、対応するチェック・ボックスの選択を解除します。
ノードまたはクラスタ固有の構成を、次のアラートに適用できます:
- Fast Recovery Area Space Utilization
- High CPU Usage
- Failed System Backup
- High Memory Usage
- Disk Utilization
- システム・バックアップ
ノート:
ノード固有の構成は、クラスタ・レベルで設定された構成をオーバーライドします。
「Save」をクリックします。

アラート構成のガイダンス
アラートを構成する前に、次のガイドラインを考慮する必要があります。

関連トピック

親トピック: Oracle Key Vaultアラートの構成

22.2.2.1 アラート構成のガイダンス

アラートを構成する前に、次のガイドラインを考慮する必要があります。

構成可能なアラート・スコープをサポートするアラートの場合に、ClusterまたはNodeスコープが選択されているときの動作は次のとおりです。

Clusterスコープが選択されている場合:

アラート構成を変更すると、スコープがClusterに設定されているすべてのノードに変更が適用されます。
アラートが無効にされると、選択したアラートに対して以前に生成されたすべてのアラートが、スコープがClusterに設定されているすべてのノードから削除されます。

Nodeスコープが選択されている場合:

アラート構成を変更すると、現在のノードにのみ変更が適用されます。
Nodeスコープが設定されているノードでアラートが生成されると、アラート・メッセージの末尾に「node configuration in effect」が付きます。
アラートが無効にされると、選択したアラートに対して以前に生成されたアラートが、現在のノードから削除されます。

構成可能なアラート・スコープをサポートするアラートの場合に、スコープがClusterからNodeに変更されたとき(またはその逆)の動作を次に示します。

選択したアラートのスコープがClusterからNodeに変更された場合や、その逆の場合は、選択したアラートに対して以前に生成されたアラートが、現在のノードから削除されます。
アラートの選択されたスコープがNodeからClusterに変更されると、ノード固有のアラート構成が削除されます。
アラートの選択されたスコープがClusterからNodeに変更されると、「Configure Alerts」ページで選択したアラートの「Enabled」列と「Limit」列に、クラスタ・アラート構成から対応する値が移入されます。

親トピック: アラートの構成

22.2.3 オープン・アラートの表示

ユーザーは、自分の権限に応じてアラートを表示できます。

システム管理者ロールを持つユーザーは、すべてのアラートを表示できます。システム管理者権限のないユーザーは、自分がアクセス権を持つオブジェクトに関するアラートのみを表示できます。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「Alerts」ページにアクセスするには、次のいずれかの方法を使用します。
- 「System」タブ、「Settings」の順に選択し、「Monitoring and Alerts 」領域で「Alerts」をクリックします。
- 「Reports」タブを選択してから、左側のナビゲーション・バーで「Alerts」を選択します。
- 「Home」ページで、ページ上部にある「Alerts」を展開してから、「All Alerts」をクリックします。
  また、「Home」ページから、アラートが発生した問題の解決方法をすぐに知ることができます。「Alerts」の下で「Show Details」をクリックしてから、アラート・タイプのリストで、適切なリンクをクリックします。たとえば、キーの有効期限が近いことを示すアラートの場合は、「Alerts」構成ページが開き、キー・ローテーションのアラートのみが表示されます。ここから、期限切れになるキーの詳細を確認できます。

「Alerts」ページが表示され、未解決のすべてのアラートが示されます。アラートは、重大度と、重大度に基づく色分け方式の順でリストされます。重大度の高いアラートを先に解決する必要があります。

アラート・メッセージで言及されている問題を解決すると、アラートが自動的に削除されます。アラート・メッセージを削除するには、それを選択して「Delete」をクリックします。アラートの原因となった問題がまだ存在する場合は、アラートが再生成され、このリストに再度表示されます。

21.5_view_alerts.pngの説明が続きます
図21.5_view_alerts.pngの説明

Oracle Key Vaultでは、システム・アラートはすべてsyslogに送信されます。次に、syslogのシステム・アラートの例を示します。

Mar 29 18:36:29 okv080027361e7e logger[13171]: No successful backup done for 4 day(s)

次の表に、アラートをトリガーする条件と、関連するシステム・アラート・メッセージを示します。

条件	システム・アラート・メッセージ
`Certificate Object Expiration`	`Certificate object unique_ID expiration: date`
`Cluster FIPS Not Consistent`	`At least one, but not all, active OKV nodes are in FIPS Mode.`
`Cluster Heartbeat Lag`	`Replication lag from node node_name to node current_node_name exceeds threshold_value seconds`
`Cluster HSM Not Consistent`	`At least one, but not all, active OKV nodes are HSM-enabled.`
`Cluster Naming Conflict`	`Naming conflict for object_type: object_name` ラベル`object_type`は`endpoint`、`endpoint group`、`user`または`user group`であり、`object_name`は対応するオブジェクトです。
`Cluster Redo Shipping Status`	次のいずれかのメッセージが示されます。 `No heartbeats received from node source_node to node current_node.` `Last heartbeat from node source_node to node current_node was more than threshold minutes ago.` `Last heartbeat from node source_node to node current_node was more than one hour ago.` `Last heartbeat from node source_node to node current_node was more than six hours ago.` `Last heartbeat from node source_node to node current_node was more than Maximum_Disable_Node Duration hours (50% of the Maximum Disable Node Duration) ago. Take immediate action to restore communication from node source_node to avoid issues in the cluster.` `Last heartbeat from node source_node to node current_node was more than Maximum_Disable_Node Duration hours (75% of the Maximum Disable Node Duration) ago. Take immediate action to restore communication from node source_node to avoid issues in the cluster.` `Last heartbeat from node source_node to node current_node was more than Maximum_Disable_Node Duration hours (Maximum Disable Node Duration) ago. Node current_node may not have received all records from node source_node even if replication is restored.`
`Cluster Replication Lag`	`Replication lag from node node_name to node node_name is greater than threshold seconds. Current lag is current seconds.`
`Disk utilization`	Clusterスコープが設定されている場合: `Free disk space is below threshold_value (currently current_value)` `Free disk space is below threshold_value (currently current_value) - node configuration in effect`
`Endpoint certificate expiration`	`Endpoint endpoint_name certificate expiration date`
`Failed OKV Services`	`service_name service is failed or service_name1, service_name2 services are failed.`
`Failed system backup`	Clusterスコープが設定されている場合: `Most recent backup failed!` Nodeスコープが設定されている場合: `Most recent backup failed! - node configuration in effect`
`Fast Recovery Area Space Utilization`	Clusterスコープが設定されている場合: `Fast Recovery Area space usage exceeds threshold_value% (currently current_value%)` Nodeスコープが設定されている場合: `Fast Recovery Area space usage exceeds threshold_value% (currently current_value%) - node configuration in effect`
`High CPU usage`	Clusterスコープが設定されている場合: `CPU usage exceeds threshold_value (currently current_value)` Nodeスコープが設定されている場合: `CPU usage exceeds threshold_value (currently current_value) - node configuration in effect`
`High Memory Usage`	Clusterスコープが設定されている場合: `Memory usage exceeds threshold_value (currently current_value)` Nodeスコープが設定されている場合: `Memory usage exceeds threshold_value (currently current_value) - node configuration in effect`
`Invalid HSM Configuration`	`HSM configuration error. Please refer to the HSM Alert section in the Oracle Key Vault HSM Integration Guide`
`Key rotations`	`Key unique_ID expiration: date`
`Primary-standby destination failure`	`One or more standby servers are in an error state. HA destination failure.`
`プライマリ・スタンバイOracle Data Guard Brokerステータス`	`Data Guard Broker is disabled`
`プライマリ・スタンバイOracle Data Guardファスト・スタート・フェイルオーバー・ステータス`	`HA FSFO is not synchronized. FSFO status is HA_status`
`Primary-standby restricted mode`	`HA running in read-only restricted mode`
`Primary-standby role change`	`HA role changed. Primary IP Address: IP_address`
`Secret Object Expiration`	`Secret object unique_ID expiration : date`
`SSH tunnel failure`	`SSH tunnel (IP IP_address) is not available`
`System backup`	Clusterスコープが設定されている場合: `No successful backup for number day(s)` Nodeスコープが設定されている場合: `No successful backup for number day(s) - node configuration in effect`
`User password expiration`	`User user_name password expiration: date`

親トピック: Oracle Key Vaultアラートの構成

22.3 システム監査の管理

監査には、syslogファイルの監査レコードの取得やローカル・ファイルへの監査レコードのダウンロードなどのタスクが含まれます。

Oracle Key Vaultでの監査について
Oracle Key Vaultでは、すべてのエンドポイントおよびユーザー・アクティビティが記録され、タイムスタンプが付けられます。
Oracle Key Vault監査証跡
Oracle Key Vault監査証跡により、アクションの名前や実行者など、Oracle Key Vaultで実行されるアクティビティについての情報を取得します。
監査レコードの表示
監査レコードを表示するには、Oracle Key Vault管理コンソールの「Audit Trail」ページにアクセスします。
手動での監査レコードのエクスポートおよび削除
Oracle Key Vault監査レコードは、.csvファイルに格納されています。
監査レコードの自動削除
指定された保存期間より古い監査レコードを自動的に削除またはパージするように、Oracle Key Vaultを構成できます。
Oracle Key Vault監査イベントID
Oracle Key Vault監査イベントIDは、監査操作タイプを識別します。
Oracle Audit Vaultを使用したOracle Key Vaultの構成
監査マネージャ・ロールを持つユーザーは、一元化された監査レポートおよびアラートのために、監査レコードをOracle Audit Vaultに送信するようにOracle Key Vaultを構成できます。

親トピック: Oracle Key Vaultの監視および監査

22.3.1 Oracle Key Vaultの監査について

Oracle Key Vaultでは、すべてのエンドポイントおよびユーザー・アクティビティが記録され、タイムスタンプが付けられます。

監査レコードには、エンドポイント・グループおよびユーザー・グループが、エンドポイントのエンロールおよびユーザー・パスワードのリセットから、キーやウォレットの管理、およびシステム設定やSNMP資格証明の変更に至るまで、含まれています。監査証跡では、誰がどのアクションを開始したかに関する詳細を、キーとトークン、およびアクションの結果とともに取得します。また、各アクションが成功したか失敗したかも記録されます。

監査マネージャ・ロールを持っているユーザーのみが、Oracle Key Vaultアクティビティの監査証跡を管理できます。各ユーザーは、ユーザーがアクセスできるオブジェクトの監査レコードを表示できます。

Oracle Key Vaultの監査は、デフォルトで有効化されています。

監査マネージャ・ロールを持っているユーザーは、すべての監査レコードを参照および管理できます。その他のユーザーは、自分が作成したか、アクセス権が付与されているセキュリティ・オブジェクトに関連する監査レコードのみを参照できます。

監査マネージャは、監査レコードをエクスポートして、システム・アクティビティをオフラインで確認できます。レコードをエクスポートした後、監査マネージャは、リソースを解放するためにシステムからレコードを削除できます。

関連トピック

監査マネージャ・ロールの職務

親トピック: システム監査の管理

22.3.2 Oracle Key Vault監査証跡

Oracle Key Vault監査証跡により、アクションの名前や実行者など、Oracle Key Vaultで実行されるアクティビティについての情報を取得します。

次に、Oracle Key Vault監査証跡の内容を示します。

表22-4 Oracle Key Vault監査証跡

列名	説明
`Event ID`	各監査操作タイプを一意に識別するID。
`Client IP`	クライアント・ホストのIPアドレス、またはクライアントと、そのIPアドレスをOracle Key Vaultで使用できるようにするOracle Key Vaultサーバーの間のプロキシ・サーバーのIPアドレス
`Node ID`	操作が実行されたOracle Key Vaultクラスタ・ノードのID
`Node IP Address`	操作が実行されたOracle Key Vaultクラスタ・ノードのIPアドレス
`Node Name`	操作が実行されたOracle Key Vaultクラスタ・ノードの名前
`Object`	操作が実行されたオブジェクトの名前を取得します
`Object Type`	操作が実行されたオブジェクトのタイプ(`User`、`Endpoint`など)
`Operation`	実行された操作の名前
`Result`	操作の結果(操作が成功したか失敗したか)
`Subject`	操作を実行したエンティティの名前を取得します
`Subject Type`	エンティティのタイプ(`User`または`Endpoint`)
`Time`	操作のタイムスタンプ

監査の有効化および監査レコードを格納するためのSyslogの構成
システム管理者がこの機能を有効にしている場合、監査を有効または無効にして、監査レコードを格納するためにOracle Key Vault syslogを構成できます。

親トピック: システム監査の管理

22.3.2.1 監査の有効化および監査レコードを格納するためのSyslogの構成

システム管理者がこの機能を有効にしている場合、監査を有効または無効にして、監査レコードを格納するためにOracle Key Vault syslogを構成できます。

監査マネージャ・ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「Audit Settings」ページにアクセスするには、次のいずれかの方法を使用します。
- 「Systems」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。「Monitoring and Alerts」領域で、「Audit」をクリックします。
- 「Reports」タブを選択し、左側のナビゲーション・バーで「Audit Trail」を選択します。「Audit Trail」ページで、「Audit Settings」をクリックします。
「Audit Settings」ページが表示されます。構成できるカテゴリは、次のとおりです。
- Auto Purge Audit Records
- 監査の有効化
- Syslogに監査レコードを送信
次に、次の手順を実行します。
1. マルチマスター・クラスタ環境で、「Save」ボタンの横にある右側の矢印をクリックして、現在のノードとクラスタ全体とを切り替えます。また、「Auto Purge Audit Records」設定は、ノード・レベルでのみ構成できます。
2. 監査の「Yes」または「No」オプションを選択します。
3. 「Save」をクリックします。
syslogが構成されている場合は、必要に応じて追加のステップを実行します。
syslogが構成されていない場合は、「Syslog forwarding to remote machines not enabled」というエラー・メッセージが表示されます。このエラーが表示された場合は、syslogを有効にします。
1. 「System」タブを選択して、「Settings」を選択します。
2. 「Monitoring and Alerts」領域で、「Syslog」を選択します。
3. マルチマスター・クラスタ環境では、「Save」ボタンの下の矢印をクリックして、この「Node」の「Node Details - Effective」と「Cluster Details」を切り替えます。
1. syslogファイルの転送に使用するプロトコルを選択します: TCPまたはUDP。
2. syslogファイルが格納されるリモート・システムのIPアドレスを入力します。
3. 「Save」をクリックします。
ノート:
誤って監査レコードが削除されないように、syslogファイルの転送にTCPプロトコルを使用することをお薦めします。

親トピック: Oracle Key Vault監査証跡

22.3.3 監査レコードの表示

監査レコードを表示するには、Oracle Key Vault管理コンソールの「Audit Trail」ページにアクセスします。

「reports」ページには、デフォルトで「Audit Trail」ページが表示されます。「Audit Trail」ページには、すべてのシステム・アクティビティがリストされ、操作を行ったユーザー、操作の実行時期、操作の実行に使用されたオブジェクト、および結果に関する詳細が表示されます。

監査マネージャ・ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「Reports」タブをクリックし、左側のナビゲーション・バーで「Audit Trail」をクリックします。
「Audit Trail」ページが表示されます。オプションで、レコードをフィルタするには、表の列の見出しを選択し、ドロップダウン・リストから任意のソート順のタイプを選択します。
秘密キーは、キー・ペアの作成操作の監査レコード内のオブジェクトとして取得されます。

各イベントIDは、監査対象の操作に一意に関連付けられている特定のイベントを示します。たとえば、ログイン試行に関連する操作はイベントID 1000にグループ化されます。たとえば、監査レコードで正常なログインを検索するには、イベントIDが1001の監査レコードをフィルタします。

ノート:
Oracle Key Vault 21.6より前に生成された監査レコードの場合、「Event ID」列には値がありません。

親トピック: システム監査の管理

22.3.4 手動での監査レコードのエクスポートおよび削除

Oracle Key Vault監査レコードは、.csvファイルに格納されています。

監査マネージャのユーザーは、.csvファイルに監査証跡をエクスポートして、このファイルをユーザーのローカル・システムにダウンロードできます。.csvファイルの内容は、「Reports」ページの監査証跡に表示される詳細と同じです。.csvファイルのタイムスタンプには、レコードがエクスポートされた特定のOracle Key Vaultサーバーのタイムゾーンが反映されます。エクスポートしたレコードは、領域を解放するために、Oracle Key Vaultサーバーから削除できます。

監査マネージャ・ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「Reports」タブをクリックし、左側のナビゲーション・バーで「Audit Trail」をクリックします。

「Audit Trail」が表示されます。
右上にある「Export/Delete Audit Records」をクリックします。

「Export/Delete Audit Records」ページが表示されます。

図21_export_delete_audit_records.pngの説明
カレンダ・アイコンをクリックして日付を選択します。

選択した日付に基づいて、「Number of records to be exported/deleted」ラベルの後にレコード数が表示されます。
「Export」をクリックして、監査レコードを.csvファイル形式でローカル・フォルダにダウンロードします。

エクスポートしたレコードは、リソースを解放するために、Oracle Key Vaultから削除できます。
「Delete」をクリックして、監査レコードを削除します。
削除するには「OK」をクリックし、中止するには「Cancel」をクリックします。

親トピック: システム監査の管理

22.3.5 監査レコードの自動削除

指定された保存期間より古い監査レコードを自動的に削除またはパージするように、Oracle Key Vaultを構成できます。

「Audit Settings」ページに、「Auto Purge Audit Records」ペインが表示されます。監査マネージャ・ロールがあるユーザーは、監査レコードをパージできます。

監査マネージャ・ロールがあるユーザーとしてOracle Key Vault管理コンソールにログインします。
次のいずれかの方法を使用して「Audit Settings」ページにアクセスします。
- 「Systems」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。「Monitoring and Alerts」領域で、「Audit」をクリックします。
- 「Reports」タブを選択し、左側のナビゲーション・バーで「Audit Trail」を選択します。「Audit Trail」ページで、「Audit Settings」をクリックします。
「Audit Settings」ページが表示されます。構成できるカテゴリは、次のとおりです。
- Auto Purge Audit Records
- 監査の有効化
- Syslogに監査レコードを送信
- クラスタ環境で使用可能な監査レコードのレプリケート。
「Auto Purge Audit Records」ペインで「Yes」を選択します。
「Retention Period in Days」フィールドが表示されます。

図21.5_delete_audit_records_automatically.pngの説明
監査レコードを保存する日数を入力します。Oracle Key Vaultで、指定した日数より古い監査レコードが定期的にパージされるようになりました。
「Save」をクリックします。

ノート:
Oracle Key VaultがOracle Audit Vaultと統合されている場合、監査レコードは、Audit Vaultによって収集された後にのみパージされます。

関連トピック

手動での監査レコードのエクスポートおよび削除

親トピック: システム監査の管理

22.3.6 Oracle Key Vault監査イベントID

Oracle Key Vault監査イベントIDは、監査操作タイプを識別します。

Oracle Key Vault監査レコードのイベントIDは、監査操作タイプに一意に関連付けられている安定したIDを表します。

表22-5 Oracle Key Vault監査イベントID

イベントID	操作
1000	ログイン試行済
1001	ログイン試行済および成功
1002	ログアウト
1003	コンソール・タイムアウトでのログアウト
1100	システム・リカバリ: リカバリ・パスフレーズ変更の開始
1101	システム・リカバリ: リカバリ・パスフレーズ変更のリセット
1102	システム・リカバリ: リカバリ・パスフレーズの変更
1103	システム・リカバリ: 管理アカウントのリセット
1104	システム・リカバリ: 管理者の管理
1105	システム・リカバリ: ユーザー・アカウント・プロファイル・パラメータの変更
1106	システム・リカバリ: ユーザー・アカウント・プロファイル・パラメータのリセット
1107	システム・リカバリ: 管理者ロールの分離の強制適用パラメータの変更
1200	ユーザーの追加
1201	ユーザーの削除
1202	ユーザー属性の変更
1203	ユーザー・パスワードのリセット
1204	ユーザー・パスワードの変更
1205	送信されたパスワードの電子メール
1300	エンドポイントの追加
1301	エンドポイントの削除
1302	エンドポイント属性の変更
1303	エンドポイントのエンロール
1304	エンロールメント・トークンの電子メール送信済み
1305	エンロールメント・トークンの取得
1306	エンドポイントの再エンロール
1307	エンドポイントの一時停止
1308	エンドポイントの再開
1309	エンドポイント証明書のローテーション
1310	エンドポイント証明書のローテーションを開始済
1311	エンドポイント証明書のローテーションが完了
1312	エンドポイント構成パラメータの変更
1313	エンドポイント構成パラメータのリセット
1314	エンドポイント構成パラメータのクリア
1315	キーおよびシークレットのエンドポイント設定の変更
1316	キーおよびシークレットのエンドポイント設定のリセット
1317	キーおよびシークレットのエンドポイント設定のクリア
1400	エンドポイント自己エンロールメント設定の変更
1401	グローバル・エンドポイント構成パラメータの変更
1402	グローバル・エンドポイント構成パラメータのリセット
1403	キーおよびシークレットのグローバル・エンドポイント設定の変更
1404	キーおよびシークレットのグローバル・エンドポイント設定のリセット
2000	ユーザー・グループの追加
2001	ユーザー・グループの削除
2002	ユーザー・グループ属性の変更
2003	ユーザー・グループ・メンバーの追加
2004	ユーザー・グループ・メンバーの削除
2005	ユーザー・グループ・メンバーシップの追加
2006	ユーザー・グループ・メンバーシップの削除
2100	エンドポイント・グループの追加
2101	エンドポイント・グループの削除
2102	エンドポイント・グループ属性の変更
2103	エンドポイント・グループ・メンバーの追加
2104	エンドポイント・グループ・メンバーの削除
2105	エンドポイント・グループ・メンバーシップの追加
2106	エンドポイント・グループ・メンバーシップの削除
2200	ウォレットの作成
2201	ウォレットの削除
2202	ウォレットの変更
2203	ウォレット・メンバーシップの追加
2204	ウォレット・メンバーシップの削除
2205	ウォレット・メンバーの追加
2206	ウォレット・メンバーの削除
2207	アクセス・マッピングの追加
2208	アクセス・マッピングの削除
2209	アクセス・マッピングの変更
2210	デフォルト・ウォレットの割当て
2211	エンドポイント管理権限の付与
2212	エンドポイント管理権限の取消し
2213	エンドポイント・グループ管理権限の付与
2214	エンドポイント・グループ管理権限の取消し
3000	サーバーを最初のクラスタ・ノードに変換
3001	サーバーを候補ノードに変換
3002	候補者ノードの追加
3003	候補ノードの変換の中断
3004	候補ノードの中断
3005	クラスタへのノードの追加
3006	クラスタへのノードの追加の中断
3007	候補者ノードでのペアリングの終了
3008	ノードの削除の開始
3009	ノードの強制削除の開始
3010	削除されたノードのクリーン・アップ
3011	ノードの削除の終了
3012	ノードの有効化の開始
3013	ノードの有効化の終了
3014	ノードの無効化の開始
3015	ノードの無効化の終了
3016	ノードの無効化の取消し
3017	クラスタ・サブグループの編集
3018	ノードのレプリケーションの開始
3019	ノードのレプリケーションの停止
3020	クラスタ・サービスの起動
3021	クラスタ・サービスの停止
3022	ユーザー名競合の解決
3023	ユーザー・グループ名競合の解決
3024	エンドポイント名競合の解決
3025	エンドポイント・グループ名競合の解決
3026	ウォレット名競合の解決
3027	KMIP属性名競合の解決
3900	プライマリ・スタンバイ・ペアリングの開始
3901	プライマリ・スタンバイのアンペアリングの開始
3902	プライマリ・スタンバイ・ロール・スイッチ
4000	バージョンの検出
4001	問合せ
4002	作成
4003	キー・ペアの作成
4004	登録
4005	削除
4006	属性の追加
4007	属性の削除
4008	属性の変更
4009	属性の取得
4010	属性リストの取得
4011	オブジェクト・ステータスのチェック
4012	アクティブ化
4013	取消し
4014	破棄
4015	チェック
4016	位置特定
4017	取得
4018	キー更新
4019	エンドポイント・メタデータの保存
4020	暗号化
4021	復号化
4022	署名
4023	署名の検証
5000	電源オフ
5001	システムの再起動
5002	FIPSモードが有効な状態で動作しているサーバーの再起動
5003	FIPSモードが無効な状態で動作しているサーバーの再起動
5100	トレース・レベルの変更
5101	診断のダウンロード
5200	アラートの構成
5201	アラートの削除
5202	無視されたクリティカル・アラート
5203	表示されたクリティカル・アラート
5300	監視設定の変更
5301	クラスタのモニタリング設定の変更
5302	ノードのモニタリング設定のクリア
5303	SNMP資格証明の変更
5400	監査の有効化
5401	監査の無効化
5402	クラスタでの監査の有効化
5403	クラスタでの監査の無効化
5404	監査設定の変更
5405	クラスタの監査設定の変更
5406	ノードの監査設定のクリア
5407	監査レプリケーションの有効化
5408	監査レプリケーションの無効化
5409	クラスタでの監査レプリケーションの有効化
5410	クラスタでの監査レプリケーションの無効化
5411	ノードの監査レプリケーション設定のクリア
5412	SYSLOGへの監査レコードの送信の開始
5413	SYSLOGへの監査レコードの送信の停止
5414	クラスタのSYSLOGへの監査レコードの送信の開始
5415	クラスタのSYSLOGへの監査レコードの送信の停止
5416	ノードのSYSLOG設定への監査レコードの送信のクリア
5417	監査レコード自動パージの有効化
5418	監査レコード自動パージの無効化
5419	ノードの監査レコード自動パージ設定のクリア
5420	監査レコードの削除
5600	システム設定の変更
5601	ネットワーク詳細の変更
5602	DNS設定の変更
5603	クラスタのDNS設定の変更
5604	ノードのDNS設定のクリア
5605	システム時間設定の変更
5606	NTP設定の変更
5607	クラスタのNTP設定の変更
5608	ノードのNTP設定のクリア
5609	Webアクセスの変更
5610	SSHアクセスの変更
5611	管理コンソールのタイムアウト設定の変更
5612	FIPSモードの有効化
5613	FIPSモードの無効化
5614	RESTfulサービスの有効化
5615	RESTfulサービスの無効化
5616	Syslog設定の変更
5617	クラスタのSyslog設定の変更
5618	ノードのSyslog設定のクリア
5619	SMTPの構成
5620	SMTPの構成解除
5621	SMTP設定の変更
5622	クラスタの最大無効化ノード期間の設定の変更
5623	SSHトンネルの追加
5624	SSHトンネルの削除
5625	SSHトンネルの有効化
5626	SSHトンネルの無効化
5627	フェイルオーバー時のトンネルのクリーン・アップ
5628	クラウドIP予約の削除
6000	リストア
6001	バックアップの作成
6002	バックアップの削除
6003	バックアップの編集
6004	バックアップ開始済
6005	バックアップ完了
6006	バックアップの一時停止
6007	バックアップの再開
6008	パージされたバックアップ
6009	バックアップ先の作成
6010	バックアップ先の削除
6011	バックアップ先の編集
6012	バックアップ・ホスト公開キーのリセット
6013	バックアップ先ポリシーの作成
6014	バックアップ先ポリシーの削除
6015	バックアップ先ポリシーの編集
6016	バックアップ先ポリシーの一時停止
6017	バックアップ先ポリシーの再開
6100	新規サーバー証明書の生成
6101	新規ノード証明書の生成
6102	サーバー証明書の詳細の変更
6103	サーバー証明書の代替名およびIPアドレスの詳細の変更
6104	CA証明書の詳細の変更
6105	中間CA証明書リクエストの生成およびダウンロード
6106	中間CA証明書の生成の中断
6107	中間CA証明書リクエストのダウンロード
6108	中間CA証明書のアップロード
6109	中間CA信頼チェーンのアップロード
6110	新規CA証明書の生成
6111	新規CA証明書バンドルの解凍
6112	CA証明書のローテーションの中断
6113	新規CA証明書のアクティブ化
6114	エンドポイント証明書ローテーション・ウィンドウ・サイズの更新
6115	クラスタ・サブグループ順序の更新
6116	クラスタのサブグループ順序の削除
6117	エンドポイント・グループ順序の更新
6118	期限切れCA証明書のローテーション状態のチェック
6119	手動リカバリ用の新規CA証明書の生成
6120	CA証明書バンドルのアップロード
6121	CA証明書ローテーション手動リカバリが完了
6122	CA証明書ローテーション手動リカバリ検証済
6123	CA証明書ローテーションの手動リカバリの中断
6180	コンソール証明書の生成
6181	コンソール証明書のアップロード
6182	コンソール証明書の削除
6183	コンソール証明書のリストア
8000	LDAP構成の追加
8001	LDAP構成の削除
8002	LDAP構成の強制削除
8003	LDAP構成のテスト
8004	LDAP構成の編集
8005	LDAP構成の有効化
8006	LDAP構成の無効化
8007	LDAPサーバーの追加
8008	LDAPサーバーの削除
8009	LDAPサーバーのテスト
8010	LDAP接続のテスト
8011	LDAPグループ・アクセス・マッピングの追加
8012	LDAPグループ・アクセス・マッピングの削除
8013	LDAPグループ・アクセス・マッピングの編集
8014	LDAPグループ・アクセス・マッピングからのユーザー・グループの削除
8015	LDAP構成のLDAPグループの検証
8016	LDAP構成のLDAPユーザーの検証
8018	LDAPユーザーの削除
8019	失効したLDAPユーザーの削除
8020	LDAPユーザー属性の変更
8021	LDAPログのダウンロード
8100	シングル・サインオン構成の追加
8101	シングル・サインオン構成の削除
8104	シングル・サインオン構成の編集
8105	シングル・サインオン構成の有効化
8106	シングル・サインオン構成の無効化
8200	Audit Vault統合の有効化
8201	Audit Vault統合の無効化
8202	Audit Vault Auditレコード収集の一時停止
8203	Audit Vault Auditレコード収集の再開
8300	HSM初期化
8301	HSM資格証明の設定
8302	HSMバンドルの作成
8303	HSMバンドルの適用
8304	HSM逆移行

親トピック: システム監査の管理

22.3.7 Oracle Audit Vaultを使用したOracle Key Vaultの構成

監査マネージャ・ロールを持つユーザーは、一元化された監査レポートおよびアラートのために、監査レコードをOracle Audit Vaultに送信するようにOracle Key Vaultを構成できます。

Oracle Audit VaultとOracle Key Vaultの統合
この統合は、Oracle Key Vault管理コンソールから実行できます。
Oracle Audit Vaultによって収集されたOracle Key Vault監査データの表示
Oracle Audit Vault Serverコンソールを使用して、Oracle Key VaultおよびOracle Audit Vaultによって収集されたデータを表示できます。
Oracle Audit Vaultのモニタリング操作の一時停止
Oracle Key Vault管理コンソールからOracle Audit Vaultのモニタリング操作を一時停止できます。
Oracle Audit Vaultのモニタリング操作の再開
Oracle Key Vault管理コンソールから、一時停止されたOracle Audit Vaultのモニタリング操作を再開できます。
Oracle Audit Vault統合の削除
Oracle Audit Vault統合は、Oracle Key Vault管理コンソールを使用して削除できます。
マルチマスター・クラスタまたはプライマリ/スタンバイ環境でのOracle Audit Vaultの統合に関するガイダンス
マルチマスター・クラスタまたはプライマリ/スタンバイ環境でOracle Audit VaultとOracle Key Vaultを統合するには、特別なガイドラインに従う必要があります。

親トピック: システム監査の管理

22.3.7.1 Oracle Audit VaultとOracle Key Vaultの統合

この統合は、Oracle Key Vault管理コンソールから実行できます。

ステップ1: 環境のチェック
統合を開始する前に、必要なコンポーネントがすべて配置されていることを確認する必要があります。
ステップ2: Oracle Audit Vaultを使用した登録済ホストおよびセキュア・ターゲットとしてのOracle Key Vaultの構成
監査マネージャ・ロールを持つユーザーは、Oracle Audit Vaultサーバーでセキュア・ターゲットとしてOracle Key Vaultサーバーを構成する必要があります。
Oracle Audit Vault統合の中断
Oracle Audit Vault統合は、Oracle Key Vault管理コンソールを使用して中断できます。

親トピック: Oracle Audit Vaultを使用したOracle Key Vaultの構成

22.3.7.1.1 ステップ1: 環境の確認

統合を開始する前に、必要なコンポーネントがすべて配置されていることを確認してください。

Oracle Audit Vaultが正しくインストールされ構成されていることを確認します。
このアクティビティでは、Oracle Key Vaultをセキュア・ターゲットとして登録するために、Oracle Audit Vaultサーバーへの管理アクセスが必要です。
Oracle Audit VaultサーバーでOracle Key Vaultをセキュア・ターゲットとして登録するために、Oracle Audit Vault管理者の資格証明があることを確認します。このユーザーはスーパー管理者である必要はありません。
Oracle Audit VaultへのSSHアクセスを有効にします。

スーパー管理者ロールを持っているユーザーとしてOracle Audit Vault Serverコンソールにログインします。「Settings」タブ、「System」の順に選択します。「Configuration」領域で、「System Settings」、「Web/SSH/SNMP」の順にクリックします。「SSH Access」をオンにし、「IP addresses」を選択して、必要なIPアドレスのみを入力するか、「All」を選択します。「Save」をクリックします。
ユーザーsupportがOracle Audit VaultサーバーにSSHでログインできるかどうかを確認します。詳細は、「ステップ2: Oracle Audit Vaultを使用した登録済ホストおよびセキュア・ターゲットとしてのOracle Key Vaultの構成」を参照してください。

親トピック: Oracle Audit VaultとOracle Key Vaultの統合

22.3.7.1.2 ステップ2: Oracle Audit Vaultを使用した登録済ホストおよびセキュア・ターゲットとしてのOracle Key Vaultの構成

監査マネージャ・ロールを持つユーザーは、Oracle Audit Vaultサーバーでセキュア・ターゲットとしてOracle Key Vaultサーバーを構成する必要があります。

マルチマスター・クラスタ環境では、各ノードで次のステップを実行します。各ノードから、そのノードで生成された監査レコードがOracle Audit Vaultサーバーに送信されます。

監査マネージャ・ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Audit Vault Integration」を選択します。
システム管理者ロールもある場合は、ナビゲーションが若干異なります。「System」をクリックし、左側のナビゲーション・ペインで「Settings」を選択します。「Monitoring and Alerts」領域で、「Audit Vault」をクリックします。
「Deployment」ペインで、次の設定を入力します。
- Hostname: Oracle Audit Vaultサーバーのホスト名またはIPアドレスを入力します。
- Public Host Key: ヘルプ・テキストに示されているガイドラインに従って、Oracle Audit Vaultサーバーの公開ホスト・キーを入力します。
- Support User Password: Oracle Audit Vaultサーバーのサポート・ユーザー・パスワードを入力します。
- Administrator Name: 管理者ロールを持つOracle Audit Vaultサーバー・ユーザーのユーザー名を入力します。
- Administrator Password: 管理者ロールを持つOracle Audit Vaultサーバー・ユーザーのパスワードを入力します。
- Recovery Passphrase: Oracle Key Vaultサーバーのリカバリ・パスフレーズを入力します。
図avdf_deployment.pngの説明
「Deploy」をクリックします。
統合は、完了までに約10分かかる場合があります。この間隔内に、Audit Vault統合を再度開始しようとしないでください。統合が完了するまで、Oracle Key Vaultサーバーがしばらく使用できなくなることがあります。

統合が完了すると、「Monitoring」タブが表示され、Audit Vaultエージェントのステータスが表示されます。

親トピック: Oracle Audit VaultとOracle Key Vaultの統合

22.3.7.1.3 Oracle Audit Vault統合の中断

Oracle Audit Vault統合は、Oracle Key Vault管理コンソールを使用して中断できます。

Audit VaultとOracle Key Vaultの統合が完了するまでに約10分かかる場合があります。統合がスタックすると、Oracle Key Vaultに「Server Error: 500」が表示されます。

「Key Vault Details」ペインの「Recovery Passphrase」フィールドで、リカバリ・パスフレーズを指定します。
「Audit Vault Details」ページの「Progress」ウィンドウ・ペインで、「Abort」をクリックして統合を中断します。

図216_abort_progress.pngの説明
統合を再度実行し、情報の提供を開始します。「ステップ2: Oracle Audit Vaultを使用した登録済ホストおよびセキュア・ターゲットとしてのOracle Key Vaultの構成」を参照してください。
統合は続行されます。この間隔内に、Audit Vault統合を再度開始しようとしないでください。統合が完了するまで、Oracle Key Vaultサーバーがしばらく使用できなくなることがあります。

統合が完了すると、「Monitoring」タブが表示され、Audit Vaultエージェントのステータスが表示されます。

親トピック: Oracle Audit VaultとOracle Key Vaultの統合

22.3.7.2 Oracle Audit Vaultによって収集されたOracle Key Vault監査データの表示

Oracle Audit Vault Serverコンソールを使用して、Oracle Key VaultおよびOracle Audit Vaultによって収集されたデータを表示できます。

監査者としてOracle Audit Vault Serverコンソールにログインします。
「Reports」タブを選択します。
「Activity Reports」を選択します。
「All Activity」を選択します。
ターゲットをフィルタして、okv_db_Oracle_Key_Vault_IP_addressに属するすべてのレコードを取得します。
ターゲットokv_db_192.0.2.78でフィルタしたとすると、レポートは次のようになります。
図avdf_all_activity.pngの説明

親トピック: Oracle Audit Vaultを使用したOracle Key Vaultの構成

22.3.7.3 Oracle Audit Vaultのモニタリング操作の一時停止

Oracle Key Vault管理コンソールからOracle Audit Vaultのモニタリング操作を一時停止できます。

監査マネージャ・ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Audit Vault Integration」を選択します。
システム管理者ロールもある場合は、ナビゲーションが若干異なります。「System」をクリックし、左側のナビゲーション・ペインで「Settings」を選択します。「Monitoring and Alerts」領域で、「Audit Vault」をクリックします。
「Monitoring」タブを選択します。
「Audit Vault」ペインで、「Suspend」をクリックします。

親トピック: Oracle Audit Vaultを使用したOracle Key Vaultの構成

22.3.7.4 Oracle Audit Vaultのモニタリング操作の再開

Oracle Key Vault管理コンソールから、一時停止されたOracle Audit Vaultのモニタリング操作を再開できます。

監査マネージャ・ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Audit Vault Integration」を選択します。
システム管理者ロールもある場合は、ナビゲーションが若干異なります。「System」をクリックし、左側のナビゲーション・ペインで「Settings」を選択します。「Monitoring and Alerts」領域で、「Audit Vault」をクリックします。
「Monitoring」タブを選択します。
「Audit Vault」ペインで、「Resume」をクリックします。

親トピック: Oracle Audit Vaultを使用したOracle Key Vaultの構成

22.3.7.5 Oracle Audit Vault統合の削除

Oracle Audit Vault統合は、Oracle Key Vault管理コンソールを使用して削除できます。

監査マネージャ・ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のナビゲーション・バーで「Audit Vault Integration」を選択します。
システム管理者ロールもある場合は、ナビゲーションが若干異なります。「System」をクリックし、左側のナビゲーション・ペインで「Settings」を選択します。「Monitoring and Alerts」領域で、「Audit Vault」をクリックします。
「Deployment」の「Audit Vault Details」ページで、次の設定を入力します。
- Public Host Key: ヘルプ・テキストに示されているガイドラインに従って、Oracle Audit Vaultサーバーの公開ホスト・キーを入力します。
- Support User Password: Oracle Audit Vaultサーバーのサポート・ユーザー・パスワードを入力します。
- Administrator Name: 管理者ロールを持つOracle Audit Vaultサーバー・ユーザーのユーザー名を入力します。
- Administrator Password: 管理者ロールを持つOracle Audit Vaultサーバー・ユーザーのパスワードを入力します。
図avdf_delete.pngの説明
「Deployment」ペインで、「Delete」をクリックします。
「OK」をクリックして確定します。
Oracle Audit VaultとのOracle Key Vaultの統合が削除されても、Oracle Audit Vaultにすでに収集されている監査レコードは影響を受けません。
ファイルをサーバー間でコピーする必要がなくなったため、Oracle Audit VaultへのSSHアクセスを無効にします。

スーパー管理者ロールを持っているユーザーとしてOracle Audit Vault Serverコンソールにログインします。「Settings」タブ、「System」の順に選択します。「Configuration」領域で、「System Settings」、「Web/SSH/SNMP」の順にクリックします。「SSH Access」をオフにします。「Save」をクリックします。

親トピック: Oracle Audit Vaultを使用したOracle Key Vaultの構成

22.3.7.6 マルチマスター・クラスタまたはプライマリ/スタンバイ環境でのOracle Audit Vaultの統合に関するガイダンス

マルチマスター・クラスタまたはプライマリ/スタンバイ環境でOracle Audit VaultとOracle Key Vaultを統合するには、特別なガイドラインに従う必要があります。

マルチマスター・クラスタ環境

Oracle Key Vaultがマルチマスター・クラスタを使用するように構成されている場合は、各ノードでOracle Audit Vault統合を個別に実行する必要があります。監査レコードのレプリケーションが有効かどうかに関係なく、各ノードから、そのノードでのみ生成された監査レコードがOracle Audit Vaultに送信されます。

プライマリ/スタンバイ環境

スタンバイ・サーバーではなく、プライマリ・サーバーでのみ統合を実行します。
スイッチオーバー操作を実行する必要がある場合は、次の点に注意してください。
- 統合を一時停止、再開または削除する場合は、プライマリ・サーバーに切り替える必要があります。追加のステップを実行する必要はありません。
- 新しいプライマリ・サーバーをOracle Audit Vaultと統合するには、オプションで、古いプライマリ・サーバーで使用されていたものと同じOracle Audit Vaultホスト名および管理者資格証明を使用する必要があります。
- スイッチオーバー操作の実行後にペア解除の操作を実行する場合は、新しいプライマリ・サーバーとの新しいOracle Audit Vault統合を実行する必要があります。
- 新しい統合を削除すると、古い統合が機能しなくなります。その後、古いプライマリ・サーバーに切り替えて、この古い統合を削除する必要があります。
フェイルオーバー操作が発生し、元のプライマリ・サーバーが使用できなくなった場合は、新しいプライマリ・サーバーとの新しいOracle Audit Vault統合を実行する必要があります。
ただし、元のプライマリ・サーバーが失われず、元のプライマリ・サーバーを新しいスタンバイ・サーバーとして戻すことができる場合は、追加のステップを実行する必要はありません。

親トピック: Oracle Audit Vaultを使用したOracle Key Vaultの構成

22.4 Oracle Key Vaultのレポートの使用

Oracle Key Vaultでは、Key Vault操作に影響する様々なアクティビティに関する統計情報が収集されます。

Oracle Key Vaultのレポートについて
レポートには、システム・アクティビティ、証明書の有効期限、キー、パスワード、権限ステータス、抽出ステータスおよびメタデータが含まれています。
Oracleエンドポイントのキー管理レポートの表示
すべてのユーザーは、Oracleエンドポイントのキー管理レポートを表示できます。
キーおよびウォレットのレポートの表示
キーおよびウォレットのレポートを表示するには、レポートに応じて異なる権限が必要です。
シークレット管理レポートの表示
すべてのユーザーがシークレット管理レポートを表示できます。
SSHレポートの表示
SSHレポートは、すべてのユーザーが表示できます。
エンドポイント・レポートの表示
エンドポイント・レポートの5つのカテゴリを表示するには、システム管理者ロールまたは監査マネージャ・ロールが必要です。
ユーザー・レポートの表示
ユーザー・レポートの4つのカテゴリを表示するには、システム管理者ロール、キー管理ロールまたは監査マネージャ・ロールが必要です。
システム・レポートの表示
システム・レポートを表示するには、システム管理者ロールまたは監査マネージャ・ロールが必要です。

親トピック: Oracle Key Vaultの監視および監査

22.4.1 Oracle Key Vaultのレポートについて

レポートには、システム・アクティビティ、証明書の有効期限、キー、パスワード、権限ステータス、抽出ステータスおよびメタデータが含まれています。

Oracle Key Vaultには、エンドポイント、ユーザー、キーとウォレット、SSHキーの構成と使用方法およびシステムに関する7つのタイプのレポートが用意されています。マルチマスター・クラスタでは、一部のレポートに、ノードID、ノード名、IPアドレスなどの追加情報が含まれます。

7つのレポート・タイプは次のとおりです:

TDEマスター暗号化キー、GoldenGateマスター・キーおよびACFSボリューム暗号化キーの詳細に関する情報を含む、Oracleエンドポイントのキー管理レポート
キーおよびウォレットのレポートには、すべてのキーおよびウォレットに付与されているアクセス権限と、Oracle Key Vaultで管理されているTDEマスター暗号化キーの詳細がリストされます
データベース・パスワード、シークレット・データおよび不透明オブジェクトのシークレット管理レポート
SSHユーザー・キー管理、SSHサーバー・アクセス管理およびSSHユーザー鍵のインベントリ、認可、使用状況に関する詳細情報に関するSSHレポート。
エンドポイント・レポートには、すべてのエンドポイント・アクティビティとエンドポイント・グループ・アクティビティ、証明書とパスワードの有効期限、およびアクセス権限の詳細が含まれています
ユーザー・レポートには、すべてのユーザー・アクティビティとユーザー・グループ・アクティビティ、証明書とパスワードの有効期限、およびアクセス権限の詳細が含まれています
システム・レポートには、作成およびスケジュールされたシステム・バックアップの履歴、リモート・リストア・ポイントの詳細、およびRESTfulコマンドライン・インタフェースの使用状況が含まれています

監査マネージャ・ロールを持つユーザーは、Oracle Key Vault管理コンソールの「Audit Trail」ページからアクセスできるレポートを含むすべてのレポートを表示できます。キー管理者ロールを持つユーザーは、ユーザー・レポートとキーおよびウォレットのレポートを表示できます。システム管理者ロールを持つユーザーは、エンドポイント・レポート、ユーザー・レポートおよびシステム・レポートを表示できます。

レポートには、デフォルトで非表示になっている追加の列が含まれる場合があります。そのような列を表示されるレポートに含めるには、「Actions」、「Select Columns」の順にクリックします。「Select Columns」ダイアログ・ボックスが表示されます。Do Not Displayセクションに表示されるリストからレポートに含める列を選択し、Moveボタン(>で表示)をクリックして、Display In Reportセクションに表示されるリストに移動します。同様に、レポートから列を削除することもできます。

レポートを表示するには:

Oracle Key Vault管理コンソールにログインします。
「Reports」タブをクリックし、左側のナビゲーション・バーで「Reports」をクリックします。
レポート・タイプを展開して対応するレポートを表示します。

関連トピック

システム監査の管理

親トピック: Oracle Key Vaultのレポートの使用

22.4.2 Oracleエンドポイントのキー管理レポートの表示

すべてのユーザーが、Oracleエンドポイントのキー管理レポートを表示できます。

Oracle Key Vault管理コンソールにログインします。
「Reports」タブをクリックし、左側のナビゲーション・バーで「Reports」をクリックします。
「Key Management Reports for Oracle Endpoints Reports」を展開します。

「Key Management Reports for Oracle Endpoints」ページが表示され、5種類のレポートが表示されます。

図21_key_management_oracle_endpoints_report.pngの説明
レポート名をクリックして、対応するユーザー・レポートを表示します。

親トピック: Oracle Key Vaultのレポートの使用

22.4.3 キーおよびウォレットのレポートの表示

キーおよびウォレットのレポートを表示するには、レポートに応じて異なる権限が必要です。

適切な権限を持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
ウォレット権限レポートを表示できるのは、キー管理者ロールまたは監査マネージャ・ロールを持っているユーザーのみです。すべてのユーザーが残りのレポートを表示できます。
「Reports」タブをクリックし、左側のナビゲーション・バーで「Reports」をクリックします。
キーおよびウォレットのレポートを展開します。

「Keys and Wallets Reports」ページが表示され、レポートが示されます。

図215_keys_wallets_report.pngの説明
レポート名をクリックして、対応するレポートを表示します。

親トピック: Oracle Key Vaultのレポートの使用

22.4.4 シークレット管理レポートの表示

すべてのユーザーがシークレット管理レポートを表示できます。

Oracle Key Vault管理コンソールにログインします。
「Reports」タブをクリックし、左側のナビゲーション・バーで「Reports」をクリックします。
「Secrets Management Reports」を展開します。

「Secrets Management Reports」ページが表示され、レポートが示されます。

図21_secrets_mgmt_report.pngの説明
レポート名をクリックして、対応するレポートを表示します。

親トピック: Oracle Key Vaultのレポートの使用

22.4.5 SSHレポートの表示

SSHレポートは、すべてのユーザーが表示できます。

Oracle Key Vault管理コンソールにログインします。
「Reports」タブをクリックし、左側のナビゲーション・バーで「Reports」をクリックします。
「SSH Reports」を展開します。

レポートが表示された「SSH Reports」ページが表示されます。

図217_ssh_reports.pngの説明
レポート名をクリックして、対応するレポートを表示します。

親トピック: Oracle Key Vaultのレポートの使用

22.4.6 エンドポイント・レポートの表示

エンドポイント・レポートの5つのカテゴリを表示するには、システム管理者ロールまたは監査マネージャ・ロールが必要です。

Oracle Key Vaultには、次の5つのエンドポイント・レポートが用意されています: エンドポイント・アクティビティ、エンドポイント権限、エンドポイント証明書失効、エンドポイント・メタデータ、署名および署名検証アクティビティ。

システム管理者ロールまたは監査マネージャ・ロールがあるユーザーとしてOracle Key Vault管理コンソールにログインします。
「Reports」タブをクリックし、左側のナビゲーション・バーで「Reports」をクリックします。
「Endpoint Reports」を展開します。

図21_view_reports_23.4.6.pngの説明
表示するレポートの名前を選択します。

たとえば、エンドポイントのアクティビティ・レポートは次のように表示されます。

図21_endpoint_report.pngの説明

親トピック: Oracle Key Vaultのレポートの使用

22.4.7 ユーザー・レポートの表示

ユーザー・レポートの4つのカテゴリを表示するには、システム管理者ロール、キー管理ロールまたは監査マネージャ・ロールが必要です。

Oracle Key Vaultには、「User Activity」、「User Entitlement」、「User Expiry」および「User Failed Login」の4つのユーザー・レポートが用意されています。

システム管理者ロール、キー管理ロールまたは監査マネージャ・ロールがあるユーザーとしてOracle Key Vault管理コンソールにログインします。
「Reports」タブをクリックし、左側のナビゲーション・バーで「Reports」をクリックします。
「User Reports」を展開して、ユーザー固有のレポートを表示します。

「User Reports」ページが表示されます。

図21_user_reports.pngの説明
レポート名をクリックして、対応するユーザー・レポートを表示します。

親トピック: Oracle Key Vaultのレポートの使用

22.4.8 システム・レポートの表示

システム・レポートを表示するには、システム管理者ロールまたは監査マネージャ・ロールが必要です。

Oracle Key Vaultには、「Backup History」、「Notification」および「RESTful Services Usage」という3つのシステム・レポートが用意されています。

システム管理者ロールまたは監査マネージャ・ロールがあるユーザーとしてOracle Key Vault管理コンソールにログインします。
「Reports」タブをクリックし、左側のナビゲーション・バーで「Reports」をクリックします。
「System Reports」を展開します。

「System Reports」ページが表示され、使用可能なシステム・レポートが示されます。

図21_system_report.pngの説明
レポート・タイプをクリックして、対応するシステム・レポートを表示します。

ノート:
マルチマスター・クラスタ構成の場合は、クラスタ内のネーミング競合を監視するための追加レポートを使用できます。「Conflict Resolution」レポートを表示するには、「Cluster」タブをクリックし、左側のナビゲーション・バーから「Conflict Resolution」をクリックします。

親トピック: Oracle Key Vaultのレポートの使用