32 監査証跡の管理

データベースの監査証跡を適切に管理することで、効率的なパフォーマンスとディスク領域の最適な使用が保証されます。AUDIT_ADMINロールが付与されているユーザーは、監査証跡を管理、アーカイブおよび削除できます。

• 統合監査証跡の管理
  統合監査はデフォルトで有効になっており、監査証跡管理により、監査構成がニーズに合わせて効率的になります。
• 監査証跡のアーカイブ
  監査データの整合性と信頼性を維持するには、データベース内でローカルに必要な監査データを最小限に抑えます。
• 監査証跡レコードの削除
  DBMS_AUDIT_MGMT PL/SQLパッケージを使用して、自動削除ジョブをスケジューリングして、監査レコードを手動で削除し、他の監査証跡操作を実行できます。
• 監査証跡管理のデータ・ディクショナリ・ビュー
  Oracle Databaseには、監査証跡の管理設定に関する情報を表示するデータ・ディクショナリ・ビューが用意されています。

32.1 統合監査証跡の管理

統合監査はデフォルトで有効になっており、監査証跡管理により、監査構成がニーズに合わせて効率的になります。

• 統合監査レコードの作成方法と作成場所
  監査は常に有効になっています。Oracle Databaseは、監査対象のSQL文の実行フェーズ中または実行フェーズ後に監査レコードを生成します。
• 統合監査のサイズ設定に関する推奨事項
  統合監査証跡レコードには、従来の監査レコードよりも少なくとも50%多いディスク領域が必要です。
• AUDSYSスキーマへの監査証跡レコードの書込み方法
  Oracle Databaseは、監査レコードをAUDSYSスキーマの内部リレーショナル表に自動的に書き込みます。
• SYSLOGまたはWindowsイベントビューアへの統合監査証跡レコードの書込み
  初期化パラメータを設定することによって、SYSLOGまたはWindowsイベントビューアに統合監査証跡レコードを書き込むことができます。
• オペレーティング・システムへの統合監査レコードの書込み方法
  データベースがデータベース自体に監査証跡レコードを書き込むことができない場合、Oracle Databaseはこれらのレコードをオペレーティング・システムのスピルオーバー監査ファイル(.bin形式)に書き込みます。
• 統合監査証跡へのオペレーティング・システムの監査レコードの移動
  スピルオーバー監査ファイルに書き込まれた監査レコードは、統合監査証跡データベース表に移動できます。
• 問合せおよび削除操作のパフォーマンスの向上
  AUDSYS.AUD$UNIFIED表が存在するパーティションが大きすぎる場合は、UNIFIED_AUDIT_TRAILデータ・ディクショナリ・ビューに対する問合せおよび削除が完了するまでに長い時間がかかる場合があります。
• Oracle Data Pumpを使用した統合監査証跡レコードのエクスポートおよびインポート
  Oracle Database Pumpのエクスポートおよびインポート用ダンプ・ファイルに統合監査証跡を含めることができます。
• カーソルが監査に与える影響
  カーソル内で監査対象の操作が実行されるたびに、Oracle Databaseでは監査証跡に監査レコードが1つ挿入されます。

32.1.1 統合監査レコードの作成方法と作成場所

監査は常に有効になっています。Oracle Databaseは、監査対象のSQL文の実行フェーズ中または実行フェーズ後に監査レコードを生成します。

統合監査レコードは、ディスク内のAUDSYSスキーマの内部リレーショナル表に即座に書き込まれます。以前のリリースでは、統合監査レコードは、SecureFile LOBに書き込まれました。この表のパーティション・バージョンは、デフォルトのパーティション間隔が1日に1回であるパーティション・キーとしてのEVENT_TIMESTAMPタイムスタンプに基づいています。データベース・バージョンがパーティショニングをサポートしていない場合、内部表は標準のもので、パーティション化されていない表です。

ノート:

Oracle Database 12cリリース1 (12.1)の統合監査に移行済の場合は、SecureFile LOBからこの内部表に統合監査レコードを手動で転送できます。使用中のデータベースのバージョンがパーティション化された表をサポートしている場合、この内部表はパーティション化された表です。この場合は、DBMS_AUDIT_MGMT.ALTER_PARTITION_INTERVALプロシージャを使用して表のパーティション間隔を変更できます。

監査証跡レコードの生成と挿入は、ユーザー・トランザクションのコミットからは独立して実行されます。つまり、ユーザー・トランザクションがロールバックされても、監査証跡レコードはコミットされたままになります。

データベース・ユーザーがデータベースに接続した時点で有効になる統合監査ポリシーの文監査オプションと権限監査オプションは、そのセッションの持続期間中は有効です。統合監査ポリシーは、作成し有効にすると、それが有効になっているユーザーの実行中のセッションで、そのユーザーがデータベース・セッションを再起動する必要なく即座に適用されます。これは、統合監査ポリシーが無効になっている場合でも当てはまります。ただし、ALTER AUDIT POLICY文の使用による既存の統合監査ポリシー定義に対する変更(文の監査オプション、権限の監査オプションおよび監査条件に関する変更)は、そのポリシーが有効になっているユーザーの後続のセッションで適用されます。

一方、オブジェクト監査オプションについて変更した内容は、カレント・セッションでただちに有効になります。

デフォルトでは、監査証跡レコードはSYSAUX表領域のAUDSYSスキーマに書き込まれます。DBMS_AUDIT_MGMT.SET_AUDIT_TRAIL_LOCATIONプロシージャを使用して、暗号化されている表領域を含め、異なる表領域を指定することをお薦めします。

例32-1 DBMS_AUDIT_MGMT.SET_AUDIT_TRAIL_LOCATIONを使用した別の表領域の指定

1. 統合監査用の専用の自動セグメント領域管理(ASSM)表領域を作成します:

   CREATE TABLESPACE auto_seg_audit_tablespace DATAFILE 'DiskGroup_name' SIZE 1M
       EXTENT MANAGEMENT LOCAL
       SEGMENT SPACE MANAGEMENT AUTO;

2. 統合監査用の表領域を指定します:

   BEGIN
   DBMS_AUDIT_MGMT.SET_AUDIT_TRAIL_LOCATION(
       audit_trail_type            => DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED,
       audit_trail_location_value  =>  'auto_seg_audit_tablespace');
   END; 

32.1.2 統合監査のサイズ設定に関する推奨事項

統合監査証跡レコードでは、従来の監査レコードよりも少なくとも50%多いディスク領域が必要です。

ベスト・プラクティスとして、統合監査証跡レコードを定期的にアーカイブおよびパージすることをお薦めします。

32.1.3 AUDSYSスキーマへの監査証跡レコードの書込み方法

Oracle Databaseは、監査レコードをAUDSYSスキーマの内部リレーショナル表に自動的に書き込みます。

監査レコードをAUDSYSスキーマのリレーショナル表に書き込むと、インスタンスがクラッシュした場合やSHUTDOWN ABORT操作時に監査レコードが失われるリスクが回避されます。デフォルトでは、AUDSYSスキーマはディクショナリ保護されており、これは他のユーザーがシステム権限(ANY権限を含む)を使用してデータを変更または改ざんできないことを意味します。

ノート:

Oracle Database 12cリリース1 (12.1)では、監査レコードをメモリー(キュー書込みモード)にキューイングし、AUDSYSスキーマ監査表に定期的に書き込むオプションがありました。ただし、Oracle Database 12cリリース2 (12.2)以降では、即時書込みモードおよびキュー書込みモードは非推奨です。制御するパラメータ(DBMS_AUDIT_MGMT.AUDIT_TRAIL_IMMEDIATE_WRITEおよびDBMS_AUDIT_MGMT.AUDIT_TRAIL_QUEUED_WRITE)は、まだ表示可能ですが、機能はありません。

Oracle Database 12cリリース1 (12.1)からアップグレードし、そのリリースの統合監査に移行した場合は、DBMS_AUDIT_MGMT.TRANSFER_UNIFIED_AUDIT_RECORDSプロシージャを使用して、以前のリリースで生成された監査レコードをAUDSYS監査内部表に転送することをお薦めします。アップグレード後の統合監査レコードの転送の詳細は、Oracle Databaseアップグレード・ガイドを参照してください。

32.1.4 SYSLOGまたはWindowsイベントビューアへの統合監査証跡レコードの書込み

初期化パラメータを設定することによって、SYSLOGまたはWindowsイベントビューアに統合監査証跡レコードを書き込むことができます。

• SYSLOGまたはWindowsイベントビューアへの統合監査証跡レコードの書込みについて
  この機能を使用して、一部の主要な統合監査フィールドをSYSLOGまたはWindowsイベントビューアにコピーできます。
• SYSLOGおよびWindowsイベントビューアでの統合監査証跡の取得の有効化
  統合監査証跡レコードのサブセットをUNIX SYSLOGまたはWindowsイベントビューアに書き込むことができます。

32.1.4.1 SYSLOGまたはWindowsイベントビューアへの統合監査証跡レコードの書込みについて

この機能を使用すると、一部の主要な統合監査フィールドをSYSLOGまたはWindowsイベントビューアにコピーできます。

UNIFIED_AUDIT_TRAILデータ・ディクショナリ・ビューの統合監査レコードのキー・フィールドのみがSYSLOGにコピーされます。統合監査環境のSYSLOGレコードによって、操作の整合性が証明されます。

この機能は、UNIXシステムおよびMicrosoft Windowsシステムの両方で構成できます。Windowsシステムでは、これを有効または無効のいずれかにします。有効な場合は、レコードがWindowsイベントビューアに書き込まれます。

UNIXシステムでは、SYSLOGに対する統合監査証跡レコードの取得を微調整して、SYSLOGレコードが送信される機能を指定したり、レコードの重大度レベル(たとえば、デバッグ関連メッセージを取得する場合はDEBUG)を指定したりできます。

表32-1は、SYSLOGおよびWindowsイベントビューアに書き込まれる統合監査レコード・フィールドに指定される名前を、UNIFIED_AUDIT_TRAILビューの対応する列名にマップしたものです。

表32-1 SYSLOGおよびWindowsイベントビューアの監査レコードのフィールド名

フィールド名	UNIFIED_AUDIT_TRAILの列名	列タイプ	列の説明
TYPE	AUDIT_TYPE	NUMBER	監査レコードのタイプ
DBID	DBID	NUMBER	データベース識別子
SESID	SESSION_ID	NUMBER	セッション識別子
CLIENTID	CLIENT_IDENTIFIER	VARCHAR2	セッションでのクライアント識別子
STMTID	STATEMENT_ID	NUMBER	システムで実行されている各文の識別子
DBUSER	DB_USERNAME	VARCHAR2	セッション・ユーザー
CURUSER	CURRENT_USER	VARCHAR2	監査対象イベントの有効なユーザー
ACTION	ACTION	NUMBER	監査対象イベントのアクション・コード
RETCODE	RETURN_CODE	NUMBER	監査対象イベントのリターン・コード
SCHEMA	OBJECT_SCHEMA	VARCHAR2	オブジェクトのスキーマ名。
OBJNAME	OBJECT_NAME	VARCHAR2	オブジェクト名
PDB_GUID	NULL (このフィールドのUNIFIED_AUDIT_TRAILに列はありません)	VARCHAR2	統合監査レコードが生成されるコンテナのGUID

32.1.4.2 SYSLOGおよびWindowsイベントビューアでの統合監査証跡の取得の有効化

統合監査証跡レコードのサブセットをUNIX SYSLOGまたはWindowsイベントビューアに書き込むことができます。

1. init.ora初期化ファイルを探します。これはデフォルトで$ORACLE_HOME/dbsディレクトリにあります。
2. init.oraファイルを編集して、UNIFIED_AUDIT_SYSTEMLOGパラメータを含めます。
   CDBルートまたはPDBのどちらかでUNIFIED_AUDIT_SYSTEMLOGを設定できます。
   Oracle Real Application Clusters (Oracle RAC)環境では、各Oracle RACインスタンス上のUNIFIED_AUDIT_SYSTEMLOGを同じ値に設定します。
   • Windowsでは、UNIFIED_AUDIT_SYSTEMLOGをTRUEまたはFALSEに設定します。TRUEの場合はSYSLOG値をWindowsイベントビューアに書き込み、FALSEの場合はパラメータを無効にします。Windowsの場合、デフォルトはFALSEです。たとえば:

     UNIFIED_AUDIT_SYSTEMLOG = TRUE

   • UNIXシステムの場合、次の構文を使用します。

     UNIFIED_AUDIT_SYSTEMLOG = 'facility_clause.priority_clause'

     UNIXシステムでは、UNIFIED_AUDIT_SYSTEMLOGのデフォルト設定はありません。

     詳細は、次のとおりです。

     • facility_clauseは、監査証跡レコードを書き込む機能を指定します。有効な選択肢はUSERおよびLOCALです。LOCALと入力した場合、必要に応じて0-7を追加し、SYSLOGレコードのローカル・カスタム機能を指定します。

     • priority_clauseは、レコードを分類する警告のタイプを指定します。有効な選択肢は、NOTICE、INFO、DEBUG、WARNING、ERR、CRIT、ALERT、およびEMERGです。

   たとえば:

   UNIFIED_AUDIT_SYSTEMLOG = 'LOCAL7.EMERG'

3. UNIXプラットフォームで統合監査レコードをSYSLOGに書き込むには、ルート内のinit.oraファイルにおいて、UNIFIED_AUDIT_COMMON_SYSTEMLOGパラメータをTRUEまたはFALSEに設定します。

   UNIFIED_AUDIT_COMMON_SYSTEMLOGをTRUEに設定すると、共通統合監査ポリシーからSYSLOGに統合監査レコードの事前定義済の列が書き込まれます。FALSEに設定すると、これらの列のSYSLOGへの書込みを無効にします。

   このパラメータは、プラガブル・データベース(PDB)では設定できません。WindowsではUNIFIED_AUDIT_COMMON_SYSTEMLOGに相当するパラメータはありません。

4. 監査ファイルの宛先をSYSLOG構成ファイル/etc/syslog.confに追加します。
   たとえば、UNIFIED_AUDIT_SYSTEMLOGをLOCAL7.EMERGに設定したとすると、次のように入力します。

   local7.emerg /var/log/audit.log

   この設定では、すべての緊急メッセージが/var/log/audit.logファイルに記録されます。

5. SYSLOGログ出力を再起動します。

   $/etc/rc.d/init.d/syslog restart

   これで、すべての監査レコードがsyslogデーモンを介してファイル/var/log/audit.logに取得されます。

6. データベース・インスタンスに再びログインします。
7. データベースを再起動します。
   たとえば:

   SHUTDOWN IMMEDIATE
   STARTUP

   PDBでUNIFIED_AUDIT_SYSTEMLOGを設定した場合は、PDBをクローズして再オープンします。

   ALTER PLUGGABLE DATABASE pdb_name CLOSE IMMEDIATE;
   ALTER PLUGGABLE DATABASE pdb_name OPEN;

32.1.5 オペレーティング・システムへの統合監査レコードの書込み方法

データベースがデータベース自体に監査証跡レコードを書き込むことができない場合、Oracle Databaseはこれらのレコードをオペレーティング・システムのスピルオーバー監査ファイル(.bin形式)に書き込みます。

これは、次のような状況で発生します:

• 監査表領域がオフラインである。
• 表領域が読取り専用である。
• 表領域が一杯である。
• データベースが読取り専用である。

統合監査の.bin過剰ファイルのデフォルトの場所は次のとおりです。

• プラガブル・データベース(PDB)の場合: $ORACLE_BASE/audit/$ORACLE_SID/PDB_GUID
• CDBルートの場合: $ORACLE_BASE/audit/$ORACLE_SID/

統合監査レコードは、OSディスク領域がいっぱいになるまで、OSの過剰ファイルに書き込まれます。この時点で、OSに監査レコードの空き領域がない場合、ユーザー監査可能なトランザクションは「ORA-02002  監査証跡への書込み中にエラーが発生しました。」エラーで失敗します。この問題を回避するために、監査証跡を定期的に削除することをお薦めします。

32.1.6 統合監査証跡へのオペレーティング・システムの監査レコードの移動

スピルオーバー監査ファイルに書き込まれた監査レコードは、統合監査証跡データベース表に移動できます。

データベースが書込み可能でない場合(データベースのマウント中など)、データベースがクローズされている場合、または読取り専用の場合は、Oracle Databaseによって、監査レコードがこれらの外部ファイルに書き込まれます。これらの外部ファイルのデフォルトの場所は、$ORACLE_BASE/audit/$ORACLE_SIDディレクトリです。

DBMS_AUDIT_MGMT.LOAD_UNIFIED_AUDIT_FILESプロシージャを実行して、データベースにファイルをロードできます。外部ファイルに多数のオペレーティング・システム監査レコードをロードする場合は、パフォーマンスへの影響を考慮してください。

データベースが書込み可能な場合に、オペレーティング・システム・ファイルからAUDSYSスキーマ監査表に監査レコードをロードするには、次のステップを実行します:

1. AUDIT_ADMINロールを割り当てられているユーザーとしてデータベースにログインします。
   現在のリリースまたはOracle Databaseにアップグレードする前に、アップグレード・プロセス中にオペレーティング・システムの過剰ファイルが失われないようにするために、CDBルートからDBMS_AUDIT_MGMT.LOAD_UNIFIED_AUDIT_FILESプロシージャを実行する必要があります。
2. データベースがオープンで、書込み可能であることを確認します。

   データベースがオープンされており書込み可能かどうかを確認するには、V$DATABASEビューを問い合せます。

   SELECT NAME, OPEN_MODE FROM V$DATABASE;
   
   NAME            OPEN_MODE  
   --------------- ---------- 
   HRPDB           READ WRITE 

   show pdbsコマンドを実行して、現在のインスタンスに関連付けられているPDBについて情報を見つけることができます。

3. DBMS_AUDIT_MGMT.LOAD_UNIFIED_AUDIT_FILESプロシージャを実行します。
   たとえば:

   EXEC DBMS_AUDIT_MGMT.LOAD_UNIFIED_AUDIT_FILES;

   スピルオーバー・オペレーティング・システム監査ファイルの特定のバッチ・サイズをロードする場合は、load_batch_sizeパラメータを含めます。たとえば、現在のコンテナの10個のスピルオーバー・ファイルをロードするには、次のようにします。

   BEGIN
    DBMS_AUDIT_MGMT.LOAD_UNIFIED_AUDIT_FILES(
     container        => 1, 
     load_batch_size  => 10); 
   END;
   /

   load_batch_sizeパラメータを省略した場合、load_batch_sizeのデフォルト値は3です。この場合、EXEC DBMS_AUDIT_MGMT.LOAD_UNIFIED_AUDIT_FILES;では一度に3つのファイルのみがロードされます。

4. 個々のPDB監査レコードをロードする場合は、各PDBにログインしてDBMS_AUDIT_MGMT.LOAD_UNIFIED_AUDIT_FILESプロシージャを再実行します。

監査レコードはAUDSYSスキーマ監査表に即座にロードされ、$ORACLE_BASE/audit/$ORACLE_SIDディレクトリから削除されます。

スピルオーバー監査ファイルにリンクされたセッションIDがPMONプロセスによって所有されている場合は、データベースが再起動されるまでファイルをロードできません。

32.1.7 問合せおよび削除操作のパフォーマンスの向上

AUDSYS.AUD$UNIFIED表が存在するパーティションが大きすぎる場合は、UNIFIED_AUDIT_TRAILデータ・ディクショナリ・ビューに対する問合せおよび削除が完了するまでに長い時間がかかる場合があります。

• パフォーマンスを向上させるには、ALTER TABLE SPLIT PARTITION文を使用してパーティションを小さい部分に分割します。
  たとえば:

  ALTER TABLE "AUDSYS"."AUD$UNIFIED" SPLIT PARTITION "SYS_P1602"
   INTO
     (PARTITION SYS_P1602_1 VALUES LESS THAN (DATE '2020-08-15'),
      PARTITION SYS_P1602
      );

32.1.8 Oracle Data Pumpを使用した統合監査証跡レコードのエクスポートおよびインポート

Oracle Database Pumpのエクスポートおよびインポート用ダンプ・ファイルに統合監査証跡を含めることができます。

統合監査証跡は、Oracle Data Pumpを使用した、データベース全体または部分的なデータベースのいずれかのエクスポートおよびインポート操作に自動的に含められます。スキーマ・レベルのエクスポートまたはインポート操作の一部として、Oracle Databaseでは、エクスポートまたはインポート操作中に監査ポリシーのメタデータをSYSスキーマに含めません。かわりに、統合監査ポリシーでメタデータをエクスポートおよびインポートするには、完全エクスポート(expdp)またはインポート(impdp)を使用します。

たとえば、スキーマ・レベルのエクスポートまたはインポートを使用しない部分的なデータベース・エクスポート操作で統合監査証跡表のみをエクスポートする必要がある場合は、次のコマンドを入力します:

1. SQL*Plusで、スピルオーバー監査ファイルに書き込まれたすべてのオペレーティング・システム監査レコードを統合監査証跡の表に移動します。これにより、すべてのレコードがエクスポートされます。
2. オペレーティング・システムのプロンプトから、次のコマンドを実行します。

   expdp system 
   full=y 
   directory=aud_dp_dir 
   logfile=audexp_log.log 
   dumpfile=audexp_dump.dmp 
   version=18.02.00.02.00 
   INCLUDE=AUDIT_TRAILS
   
   Password: password

次に、エクスポート・ダンプ・ファイルを読み込んで、エクスポートされたすべてのコンテンツをインポートできます。この操作では、統合監査証跡表のみがインポートされます。

impdp system 
full=y 
directory=aud_dp_dir 
dumpfile=audexp_dump.dmp 
logfile=audimp_log.log

Password: password

この操作を実行するために特別な構成を行う必要はありません。ただし、エクスポート操作を実行する場合はEXP_FULL_DATABASEロールを持っている必要があり、インポート操作を実行する場合はIMP_FULL_DATABASEロールを持っている必要があります。

32.1.9 カーソルが監査に与える影響

カーソル内で監査対象の操作が実行されるたびに、Oracle Databaseでは監査証跡に監査レコードが1つ挿入されます。

カーソルを再利用させるイベントは、次のとおりです。

• カーソルを再利用のためにオープン状態にしておく、Oracle Formsなどのアプリケーション

• 新しいバインド変数を使用したカーソルの継続実行

• 1つのカーソルを再利用するためにPL/SQLエンジンにより文が最適化される場合に、PL/SQLループ内で実行される文

監査は、カーソルが共有されているかどうかの影響を受けません。それぞれのユーザーは、カーソルの最初の実行時に自分の監査証跡レコードを作成します。

32.2 監査証跡のアーカイブ

監査データの整合性と信頼性を維持するには、データベース内でローカルに必要な監査データを最小限に抑えます。

監査データをソース・データベース(Oracle Audit Vault and Database Firewall (AVDF)やOracle Data Safeなど)の外部の専用リポジトリに移動して、長期的な監査データの保持と詳細な分析を行います。

• 従来のオペレーティング・システム監査証跡のアーカイブ
  Oracle Databaseをアップグレードした後に、従来のオペレーティング・システム監査ファイルのアーカイブを作成できます。
• 統合監査証跡および従来のデータベースの監査証跡のアーカイブ
  監査証跡は、大きくなりすぎないように定期的にアーカイブし、削除する必要があります。

32.2.1 従来のオペレーティング・システム監査証跡のアーカイブ

Oracle Databaseをアップグレードした後に、従来のオペレーティング・システム監査ファイルのアーカイブを作成できます。

アップグレードしたデータベースから従来のオペレーティング・システムの監査証跡をアーカイブするには、プラットフォーム固有のオペレーティング・システム・ツールを使用して、従来のオペレーティング・システム監査ファイルのアーカイブを作成します。

ノート:

Oracle Database 23aiでは、従来の監査はサポートされなくなりました。かわりに統合監査を使用することをお薦めします。

• 従来のオペレーティング・システム監査ファイルをアーカイブするには、次の方法を使用します。
  • Oracle Audit Vault and Database Firewallを使用します。Oracle Databaseとは別にOracle Audit Vault and Database Firewallをインストールします。
  • テープまたはディスクにバックアップを作成します。監査ファイルの圧縮ファイルを作成し、それをテープまたはディスクに格納できます。詳細は、使用しているオペレーティング・システムのマニュアルを参照してください。
  その後、監査証跡管理を容易にするために、従来のオペレーティング・システム監査レコードをパージ(削除)する必要があります。

32.2.2 統合監査証跡および従来のデータベースの監査証跡のアーカイブ

監査証跡は、大きくなりすぎないように定期的にアーカイブし、パージする必要があります。

アーカイブしてパージすると、データベース監査証跡のパージが容易になります。

統合および従来のデータベースの監査証跡のアーカイブを作成するには、Oracle Audit Vault and Database FirewallまたはOracle Data Safeを使用します。これらの製品は、どちらもOracle Databaseとは別にインストールします。

ノート:

Oracle Database 23aiでは、従来の監査はサポートされなくなりました。かわりに統合監査を使用することをお薦めします。

アーカイブが完了したら、データベース監査証跡の内容を削除できます。

32.3 監査証跡レコードの削除

DBMS_AUDIT_MGMT PL/SQLパッケージを使用して、自動削除ジョブをスケジューリングして、監査レコードを手動で削除し、他の監査証跡操作を実行できます。

• 監査証跡レコードの削除について
  様々な方法を使用して、監査証跡レコードを削除できます。
• 監査証跡の削除方法の選択
  スケジュールに基づいて定期的に、または日時を指定して削除を実行できます。
• 監査証跡の自動削除ジョブのスケジューリング
  自動削除ジョブをスケジューリングするには、オンラインREDOログとアーカイブREDOログのサイズのチューニングなどについて事前に計画する必要があります。
• 監査証跡の手動削除
  DBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAILプロシージャを使用して、監査証跡を手動で削除できます。
• 他の監査証跡削除操作
  監査証跡削除には、監査証跡削除ジョブの有効化と無効化や、監査証跡削除ジョブのデフォルト間隔の設定なども含まれます。
• 例: 統合監査証跡の削除操作の直接コール
  カスタマイズされたアーカイブ・プロシージャを作成して、統合監査証跡の削除操作を直接コールできます。
• Oracle Database 12.1以前からアップグレードされたデータベースでのCLIレコードのパージ
  Oracle Database 12cリリース12.1では、統合監査レコードは、共通ロギング・インフラストラクチャ(CLI)のSGAバックエンド表に存在するために使用されていました。

32.3.1 監査証跡レコードの削除について

様々な方法を使用して、監査証跡レコードをパージできます。

監査証跡レコードは、定期的にアーカイブしてから削除するようにしてください。監査証跡レコードのサブセットを削除したり、指定した時間間隔で実行する削除ジョブを作成したりできます。Oracle Databaseでは、アーカイブ・タイムスタンプより前に作成された監査証跡レコードが削除されるか、すべての監査証跡レコードが削除されます。読取り/書込みデータベースおよび読取り専用データベースの両方で監査証跡レコードを削除できます。

削除プロセスでは、統合監査証跡だけでなく、前のリリースのOracle Databaseの監査証跡も考慮されます。たとえば、オペレーティング・システムまたはXMLの監査レコードが含まれるアップグレード済のデータベースを移行した場合は、この項のプロシージャを使用して、それらをアーカイブして削除できます。

監査証跡の削除タスクを実行するには、DBMS_AUDIT_MGMT PL/SQLパッケージを使用します。DBMS_AUDIT_MGMTパッケージを使用するには、AUDIT_ADMINロールが必要です。Oracle Databaseでは、DBMS_AUDIT_MGMT PL/SQLパッケージ・プロシージャのすべての実行を強制的に監査します。

監査データを収集するためにOracle Audit Vault and Database Firewall (AVDF)やOracle Data SafeなどのOracle Databaseアクティビティ監視ソリューションがある場合は、これらのソリューションのドキュメントを参照して、削除プロセスの具体的な推奨事項を確認してください。

ノート:

Oracle Databaseでは、監査証跡からのレコードの削除はすべて例外なく監査されます。

32.3.2 監査証跡の削除方法の選択

スケジュールに基づいて、または日時を指定して削除を実行できます。

• スケジュールに基づいた監査証跡の定期的な削除
  すべての監査レコード、または指定したタイムスタンプより前に作成された監査レコードをスケジュールに基づいて定期的に削除できます。
• オンデマンドでの監査証跡の削除
  削除をスケジュールするかわりに、必要に応じて監査レコードを手動で削除できます。

32.3.2.1 スケジュールに基づいた監査証跡の定期的なパージ

すべての監査レコード、または指定したタイムスタンプより前に作成された監査レコードをスケジュールに基づいて定期的にパージできます。

たとえば、土曜日の午前2時に毎回パージを実行するようにスケジューリングできます。

1. 監査表の削除プロセス中に追加生成されるレコードに対応するために、オンラインREDOログとアーカイブREDOログのサイズがチューニングされていることを確認してください。
2. タイムスタンプおよびアーカイブ方針を計画します。
3. オプションで、監査レコードのアーカイブ・タイムスタンプを設定します。
4. 削除ジョブを作成してスケジューリングします。

32.3.2.2 オンデマンドでの監査証跡の削除

削除をスケジュールするかわりに、必要に応じて監査レコードを手動で削除できます。

1. 監査表の削除プロセス中に生成された追加レコードに対応するために、オンラインREDOログとアーカイブREDOログのサイズがチューニングされていることを確認してください。
2. タイムスタンプおよびアーカイブ方針を計画します。
3. オプションで、監査レコードのアーカイブ・タイムスタンプを設定します。
4. 削除操作を実行します。

32.3.3 監査証跡の自動削除ジョブのスケジューリング

自動削除ジョブをスケジューリングするには、オンラインREDOログとアーカイブREDOログのサイズのチューニングなどについて事前に計画する必要があります。

• 自動削除ジョブのスケジューリングについて
  監査証跡全体を削除したり、特定の期間より前に作成された監査証跡内の古い監査レコードを削除したりできます。
• ステップ1: オンラインREDOログとアーカイブREDOログのサイズが適切にチューニングされていることの確認
  削除プロセスでは、REDOログが追加生成される場合があります。
• ステップ2: 監査レコードのアーカイブ・タイムスタンプの設定(必要に応じて)
  すべての監査証跡を削除する場合は、このステップを省略できます。
• ステップ3: 削除ジョブの作成とスケジューリング
  DBMS_AUDIT_MGMT PL/SQLパッケージを使用して、削除ジョブを作成およびスケジューリングできます。

32.3.3.1 自動削除ジョブのスケジューリングについて

監査証跡全体を削除したり、特定の期間より前に作成された監査証跡内の古い監査レコードを削除したりできます。

監査証跡(特に、大きなもの)を削除する場合は、完了するまでに時間がかかることがあります。データベースがビジーでないときに削除ジョブをスケジュールすることをお薦めします。監査証跡が大幅に大きい場合は、削除プロセスの完了に時間がかかる場合があります。

競合しないかぎり、異なる監査証跡タイプに対する複数の削除ジョブを作成できます。たとえば、標準監査証跡表の削除ジョブを作成し、その後でファイングレイン監査証跡表の削除ジョブを作成できます。ただし、DBMS_AUDIT_MGMT.AUDIT_TRAIL_DB_STDまたはDBMS_AUDIT_MGMT.AUDIT_TRAIL_ALLプロパティを使用して、両方のタイプまたはすべてのタイプをまとめて処理する削除ジョブを作成することはできません。

ノート:

また、DBMS_SCHEDULER PL/SQLパッケージで作成されるジョブは読取り専用データベースで実行されないことに注意してください。DBMS_AUDIT_MGMTで作成される自動削除ジョブではDBMS_SCHEDULERパッケージを使用してタスクをスケジューリングします。したがって、これらのジョブは読取り専用モードで開いているデータベースまたはPDBで実行できません。

32.3.3.2 ステップ1: オンラインREDOログとアーカイブREDOログのサイズが適切にチューニングされていることの確認

削除プロセスでは、REDOログが追加生成される場合があります。

アップグレードしたインスタンスで従来の監査をオフにした場合は、このステップをスキップすることを検討できます。

• 監査表の削除プロセス中に追加生成されるレコードにオンラインREDOログとアーカイブREDOログのサイズが対応していることを確認してください。
  統合監査環境では、混合モードの監査環境と同じ数のREDOログは削除プロセスで生成されないため、統合監査に移行している場合は、このステップを省略できます。

32.3.3.3 ステップ2: 監査レコードのアーカイブ・タイムスタンプの設定(必要に応じて)

すべての監査証跡を削除する場合は、このステップを省略できます。

監査レコードをアーカイブするには、これらのレコードのタイムスタンプを記録する必要があります。最後に監査レコードがアーカイブされた日時のタイムスタンプを設定できます。アーカイブ・タイムスタンプを設定すると、削除インフラストラクチャのクリーン・アップ・ポイントが指定されます。読取り専用データベースにタイムスタンプを設定する場合、DBMS_AUDIT.MGMT.GET_LAST_ARCHIVE_TIMESTAMPファンクションを使用して、それが実行されたインスタンス用に構成された最後のアーカイブ・タイムスタンプを確認します。読取り/書込みデータベースの場合、DBA_AUDIT_MGMT_LAST_ARCH_TSデータ・ディクショナリ・ビューを問い合せます。

統合監査証跡の最終アーカイブ・タイムスタンプを調べるには、DBA_AUDIT_MGMT_LAST_ARCH_TSデータ・ディクショナリ・ビューを問い合せます。タイムスタンプを設定した後でDBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAIL PL/SQLプロシージャを実行すると、そのタイムスタンプより前の時間を示すすべての監査レコードが監査証跡から削除されます。必要に応じて、アーカイブ・タイムスタンプ設定をクリアできます。

Oracle Database Real Application Clustersを使用している場合は、ネットワーク・タイム・プロトコル(NTP)を使用して、Oracle Databaseインスタンスをインストールしている各コンピュータ上の時間を同期化してください。たとえば、1つのOracle RACインスタンス・ノードの時間を午前11:00:00に設定し、次のOracle RACインスタンス・ノードの時間を11:00:05に設定するとします。その結果、2つのノードの時間に矛盾が生じます。ネットワーク・タイム・プロトコル(NTP)を使用して、これらのOracle RACインスタンス・ノードの時間を同期化できます。

1. AUDIT_ADMINロールを付与されているユーザーとして、削除ジョブをスケジュールするルートまたはPDBにログインします。
   ほとんどの場合、個々のPDBで削除ジョブをスケジューリングできます。

   たとえば、hrpdbというPDBにログインするには、次のようにします。

   CONNECT aud_admin@hrpdb
   Enter password: password
   Connected.

2. DBA_AUDIT_MGMT_LAST_ARCH_TSデータ・ディクショナリ・ビューを問い合せることで、タイムスタンプの日付を見つけます。
   監査レコードの収集後にOracle Audit Vault and Database FirewallまたはOracle Data Safeを使用している場合、最後にアーカイブされたタイムスタンプが自動的に設定されます。その後、削除を実行すると、このアーカイブ・タイムスタンプの日付より前に作成された監査証跡レコードのみが削除されます。レコードのタイムスタンプを設定したら、アーカイブを開始できます。
3. DBMS_AUDIT_MGMT.SET_LAST_ARCHIVE_TIMESTAMP PL/SQLプロシージャを実行して、タイムスタンプを設定します。

   たとえば:

   BEGIN
     DBMS_AUDIT_MGMT.SET_LAST_ARCHIVE_TIMESTAMP(
      AUDIT_TRAIL_TYPE     =>  DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED,
      LAST_ARCHIVE_TIME    =>  '12-OCT-2013 06:30:00.00',
      RAC_INSTANCE_NUMBER  =>  1,
      CONTAINER            =>  DBMS_AUDIT_MGMT.CONTAINER_CURRENT);
   END;
   /
   

   この例では、次のようになります。

   • AUDIT_TRAIL_TYPEは、監査証跡タイプを指定します。DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIEDは、これを統合監査証跡に設定します。

     アップグレード済のデータベースで、前のリリースの監査データがまだ存在する場合は、次の設定を使用します。Oracle Database 23aiでは、従来の監査はサポートされません。かわりに統合監査を使用することをお薦めします。

     • DBMS_AUDIT_MGMT.AUDIT_TRAIL_AUD_STDは、従来の標準監査証跡表AUD$に使用されます。(この設定は読取り専用データベースには適用されません。)

     • DBMS_AUDIT_MGMT.AUDIT_TRAIL_FGA_STDは、従来のファイングレイン監査証跡表FGA_LOG$に使用されます。(この設定は読取り専用データベースには適用されません。)

     • DBMS_AUDIT_MGMT.AUDIT_TRAIL_OSは、拡張子.audが付けられた従来のオペレーティング・システム監査証跡ファイルに使用されます。(この設定はWindowsイベント・ログ・エントリには適用されません。)

     • DBMS_AUDIT_MGMT.AUDIT_TRAIL_XMLは、従来のXMLオペレーティング・システム監査証跡ファイルに使用されます。

     AUDSYS.AUD$UNIFIED表またはオペレーティング・システムの過剰ファイルからレコードをアーカイブする場合:

     • DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED_TABLEは、AUDSYS.AUD$UNIFIED表からレコードをアーカイブします。

     • DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED_FILESは、各データベース(プライマリまたはスタンバイ)のオペレーティング・システムの過剰ファイルからレコードをアーカイブします。

   • LAST_ARCHIVE_TIMEは、タイムスタンプを指定します(AUDIT_TRAIL_UNIFIED、AUDIT_TRAIL_AUD_STDおよびAUDIT_TRAIL_FGA_STDの場合は、YYYY-MM-DD HH:MI:SS.FF UTC (協定世界時)形式で指定し、AUDIT_TRAIL_OSおよびAUDIT_TRAIL_XMLの場合は、ローカル・タイム・ゾーンで指定します)。この値には、将来のシステム日付またはタイムスタンプ(SYSDATE + 1や将来の日付など)を入力しないでください。

   • RAC_INSTANCE_NUMBERは、Oracle RACインストールのインスタンス番号を指定します。この設定では、シングル・インスタンス・データベースは関係がありません。監査証跡タイプとしてDBMS_AUDIT_MGMT.AUDIT_TRAIL_AUD_STDまたはDBMS_AUDIT_MGMT.AUDIT_TRAIL_FGA_STDを指定した場合は、RAC_INSTANCE_NUMBER引数を省略できます。これは、Oracle RACインストールの場合でも、存在するAUD$またはFGA_LOG$表は1つのみであるためです。デフォルトは、NULLです。現在のインスタンスのインスタンス番号を調べるには、SQL*PlusでSHOW PARAMETER INSTANCE_NUMBERコマンドを発行します。

   • CONTAINERにより、現在のPDBまたはすべてのPDBにタイムスタンプを適用します。DBMS_AUDIT_MGMT.CONTAINER_CURRENTは現在のPDBを指定し、DBMS_AUDIT_MGMT.CONTAINER_ALLはマルチテナント環境のすべてのPDBに適用されます。

     ルートからのみCONTAINERをDBMS_MGMT.CONTAINER_ALLに設定できます。

   通常、タイムスタンプを設定したら、DBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAIL PL/SQLプロシージャを使用して、タイムスタンプの日付より前に作成された監査レコードを削除できます。

32.3.3.4 ステップ3: 削除ジョブの作成とスケジューリング

DBMS_AUDIT_MGMT PL/SQLパッケージを使用して、削除ジョブを作成およびスケジューリングできます。

• DBMS_AUDIT_MGMT.CREATE_PURGE_JOB PL/SQLプロシージャを実行して、削除ジョブを作成してスケジューリングします。
  たとえば:

  CONNECT aud_admin@hrpdb
  Enter password: password
  Connected.
  
  BEGIN
    DBMS_AUDIT_MGMT.CREATE_PURGE_JOB (
     AUDIT_TRAIL_TYPE            => DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED, 
     AUDIT_TRAIL_PURGE_INTERVAL  => 12,
     AUDIT_TRAIL_PURGE_NAME      => 'Audit_Trail_PJ',
     USE_LAST_ARCH_TIMESTAMP     => TRUE,
     CONTAINER                   => DBMS_AUDIT_MGMT.CONTAINER_CURRENT);
  END;
  /
  

  この例では、次のようになります。

  • AUDIT_TRAIL_TYPE: 監査証跡タイプを指定します。DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIEDは、これを統合監査証跡に設定します。

    アップグレード済のデータベースで、前のリリースの監査データがまだ存在する場合は、次の設定を使用します。Oracle Database 23aiでは、従来の監査はサポートされません。かわりに統合監査を使用することをお薦めします。

    • DBMS_AUDIT_MGMT.AUDIT_TRAIL_AUD_STDは、標準監査証跡表AUD$に使用されます。(この設定は読取り専用データベースには適用されません。)

    • DBMS_AUDIT_MGMT.AUDIT_TRAIL_FGA_STDは、ファイングレイン監査証跡表FGA_LOG$に使用されます。(この設定は読取り専用データベースには適用されません。)

    • DBMS_AUDIT_MGMT.AUDIT_TRAIL_DB_STDは、標準監査証跡表とファイングレイン監査証跡表の両方に使用されます。(この設定は読取り専用データベースには適用されません。)

    • DBMS_AUDIT_MGMT.AUDIT_TRAIL_OSは、拡張子.audが付けられたオペレーティング・システム監査証跡ファイルに使用されます。(この設定はWindowsイベント・ログ・エントリには適用されません。)

    • DBMS_AUDIT_MGMT.AUDIT_TRAIL_XMLは、XMLオペレーティング・システム監査証跡ファイルに使用されます。

    • DBMS_AUDIT_MGMT.AUDIT_TRAIL_FILESは、オペレーティング・システム監査証跡ファイルとXML監査証跡ファイルの両方に使用されます。

    • DBMS_AUDIT_MGMT.AUDIT_TRAIL_ALLは、すべての従来の監査証跡レコード、つまりデータベース監査証跡タイプおよびオペレーティング・システム監査証跡タイプの両方に使用されます。(この設定は読取り専用データベースには適用されません。)

    AUDSYS.AUD$UNIFIED表またはオペレーティング・システムの過剰ファイルからレコードをパージする場合:

    • DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED_TABLEは、AUDSYS.AUD$UNIFIED表からレコードをパージします。

    • DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED_FILESは、各データベース(プライマリまたはスタンバイ)のオペレーティング・システムの過剰ファイルからレコードをパージします。

  • AUDIT_TRAIL_PURGE_INTERVALは、この削除ジョブを実行する間隔を時間単位で指定します。DBMS_AUDIT_MGMT.CREATE_PURGE_JOBプロシージャを実行すると、計時が開始されます(この例では、このプロシージャを実行してから12時間後)。後でこの値を更新する場合は、DBMS_AUDIT_MGMT.SET_PURGE_JOB_INTERVALプロシージャを実行します。

  • USE_LAST_ARCH_TIMESTAMPは、次の設定のいずれかを受け入れます。

    • TRUEは、最終アーカイブ・タイムスタンプより前に作成された監査レコードを削除します。最後に記録されたタイムスタンプを確認するには、読取り/書込みデータベースの場合はDBA_AUDIT_MGMT_LAST_ARCH_TSデータ・ディクショナリ・ビューのLAST_ARCHIVE_TS列を問い合せ、読取り専用データベースの場合はDBMS_AUDIT_MGMT.GET_LAST_ARCHIVE_TIMESTAMPファンクションを使用します。デフォルト値はTRUEです。USE_LAST_ARCH_TIMESTAMPはTRUEに設定することをお薦めします。

    • FALSEは、最終アーカイブ・タイムスタンプを考慮せずに、すべての監査レコードを削除します。削除してはならない監査レコードを誤って削除しないように、この設定を使用する際には注意が必要です。

    AUDSYS.AUD$UNIFIED表またはオペレーティング・システムの過剰ファイルからレコードをパージする場合:

    • DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED_TABLEは、AUDSYS.AUD$UNIFIED表からレコードをパージします。

    • DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED_FILESは、各データベース(プライマリまたはスタンバイ)のオペレーティング・システムの過剰ファイルからレコードをパージします。

  • CONTAINERにより、マルチテナント環境における削除ジョブの作成場所を定義します。次のように設定できます:

    • DBMS_AUDIT_MGMT.CONTAINER_CURRENTは、CDBルートまたは現在のPDBのいずれかに設定できるため、これらの場所から削除ジョブを使用、表示および管理できます。CDBルートに設定する場合、削除ジョブはCDBルートにのみ適用されます。現在のPDBに設定する場合、削除ジョブはそのPDBにのみ適用されます。
    • DBMS_AUDIT_MGMT.CONTAINER_ALLをCDBルートに設定した場合、削除ジョブは、定義されたジョブ・スケジュールに従って実行されるグローバル・ジョブになります。ジョブが起動されると、マルチテナント環境のすべてのPDBの監査証跡がクリーンアップされます。ジョブをCDBルートに作成した場合は、CDBルートからのみ表示可能です。したがって、有効化、無効化および削除はCDBルートからのみ可能です。

32.3.4 監査証跡の手動削除

DBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAILプロシージャを使用して、監査証跡を手動でパージできます。

• 監査証跡の手動削除について
  監査証跡は、削除ジョブをスケジューリングしなくても、手動で即座に削除できます。
• DBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAILを使用した監査証跡の手動削除
  準備ステップの完了後、DBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAILプロシージャを使用して、監査証跡を手動で削除できます。

32.3.4.1 監査証跡の手動削除について

監査証跡は、削除ジョブをスケジューリングしなくても、手動で即座に削除できます。

削除ジョブと同様に、アーカイブ・タイムスタンプの日付より前に作成された監査証跡レコード、または監査証跡内のすべてのレコードを削除できます。このプロシージャを実行した場合、現行の監査ディレクトリのみがクリーン・アップされます。

前のリリースの監査証跡がまだ存在しているアップグレード済のデータベースの場合は、DBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAIL PL/SQLプロシージャに関する次の点に注意してください。

• DBMS_AUDIT_MGMTパッケージではWindowsイベントビューアのクリーン・アップはサポートされていないため、Microsoft WindowsでAUDIT_TRAIL_TYPEプロパティをDBMS_AUDIT_MGMT.AUDIT_TRAIL_OSに設定しても効果はありません。Windows上のオペレーティング・システム監査レコードはWindowsイベントビューアに書き込まれるためです。DBMS_AUDIT_MGMTパッケージでは、このタイプのクリーン・アップ操作はサポートされていません。

• UNIXプラットフォームで、AUDIT_SYSLOG_LEVEL (非推奨)初期化パラメータを設定している場合は、Oracle Databaseによってオペレーティング・システムのログ・ファイルがsyslogファイルに書き込まれます。(syslogファイルを使用するよう構成すると、メッセージがsyslogデーモン・プロセスに送信されることに注意してください。syslogデーモン・プロセスは、syslogファイルへのコミットされた書込みを示す確認応答をOracle Databaseに返しません。)AUDIT_TRAIL_TYPEプロパティをDBMS_AUDIT_MGMT.AUDIT_TRAIL_OSに設定すると、監査ディレクトリ内の.audファイルのみが削除されます(このディレクトリは、AUDIT_FILE_DEST (非推奨)初期化パラメータで指定します)。

32.3.4.2 DBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAILを使用した監査証跡の手動パージ

準備ステップの完了後、DBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAILプロシージャを使用して、監査証跡を手動で削除できます。

1. 監査証跡がオペレーティング・システムのログ・ファイル(syslog)に書き込まれるようにAUDIT_SYSLOG_LEVEL (非推奨)初期化パラメータを設定した場合は、次のことを確認します。
   • 監査証跡ファイルが現在書込み中ではないことを確認します。
   • 監査証跡ファイルに関連付けられているセッションIDがPMONプロセスに所有されていないことを確認します。

   これらの条件のどちらかに当てはまる場合は、監査証跡を削除できません。

2. 次のスケジューリング・タスクを実行します。
   • 必要に応じて、オンラインREDOログとアーカイブREDOログのサイズをチューニングします。
   • タイムスタンプおよびアーカイブ方針を計画します。
   • オプションで、監査レコードのアーカイブ・タイムスタンプを設定します。
3. 削除ジョブを作成したルートまたはPDBに接続します。

   削除ジョブをルートに作成した場合は、ルートにログインする必要があります。削除ジョブを特定のPDBに作成した場合は、そのPDBにログインします。

4. DBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAIL PL/SQLプロシージャを実行して、監査証跡レコードを削除します。

   たとえば:

   BEGIN
     DBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAIL(
      AUDIT_TRAIL_TYPE           =>  DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED,
      USE_LAST_ARCH_TIMESTAMP    =>  TRUE,
      CONTAINER                  =>  DBMS_AUDIT_MGMT.CONTAINER_CURRENT );
   END;
   /
   

   この例では、次のようになります。

   • AUDIT_TRAIL_TYPE: 監査証跡タイプを指定します。DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIEDは、これを統合監査証跡に設定します。

     アップグレード済のデータベースで、前のリリースの監査データがまだ存在する場合は、次の設定を使用します。Oracle Database 23aiでは、従来の監査はサポートされません。かわりに統合監査を使用することをお薦めします。

     • DBMS_AUDIT_MGMT.AUDIT_TRAIL_AUD_STD: 標準監査証跡表AUD$です。(この設定は読取り専用データベースには適用されません。)

     • DBMS_AUDIT_MGMT.AUDIT_TRAIL_FGA_STD: ファイングレイン監査証跡表FGA_LOG$です。(この設定は読取り専用データベースには適用されません。)

     • DBMS_AUDIT_MGMT.AUDIT_TRAIL_DB_STD: 標準監査証跡表とファイングレイン監査証跡表の両方です。(この設定は読取り専用データベースには適用されません)

     • DBMS_AUDIT_MGMT.AUDIT_TRAIL_OS: 拡張子.audが付けられたオペレーティング・システム監査証跡ファイル。(この設定はWindowsイベント・ログ・エントリには適用されません。)

     • DBMS_AUDIT_MGMT.AUDIT_TRAIL_XML: XMLオペレーティング・システム監査証跡ファイルです。

     • DBMS_AUDIT_MGMT.AUDIT_TRAIL_FILES: オペレーティング・システム監査証跡ファイルとXML監査証跡ファイルの両方です。

     • DBMS_AUDIT_MGMT.AUDIT_TRAIL_ALL: すべての監査証跡レコード、つまりデータベース監査証跡タイプとオペレーティング・システム監査証跡タイプの両方です。(この設定は読取り専用データベースには適用されません。)

     AUDSYS.AUD$UNIFIED表またはオペレーティング・システムの過剰ファイルからレコードをパージする場合:

     • DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED_TABLEは、AUDSYS.AUD$UNIFIED表からレコードをパージします。

     • DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED_FILESは、各データベース(プライマリまたはスタンバイ)のオペレーティング・システムの過剰ファイルからレコードをパージします。

   • USE_LAST_ARCH_TIMESTAMP: 次の設定のいずれかを入力します。

     • TRUE: 最終アーカイブ・タイムスタンプより前に作成された監査レコードを削除します。デフォルト(推奨)値はTRUEです。USE_LAST_ARCH_TIMESTAMPはTRUEに設定することをお薦めします。

     • FALSE: 最終アーカイブ・タイムスタンプを考慮せずに、すべての監査レコードを削除します。削除してはならない監査レコードを誤って削除しないように、この設定を使用する際には注意が必要です。

   • CONTAINER: 現在のPDBまたはすべてのPDBにクレンジングを適用します。DBMS_AUDIT_MGMT.CONTAINER_CURRENTでは現在のPDBが指定され、DBMS_AUDIT_MGMT.CONTAINER_ALLではすべてのPDBが指定されます。

32.3.5 他の監査証跡削除操作

監査証跡削除には、監査証跡削除ジョブの有効化と無効化や、監査証跡削除ジョブのデフォルト間隔の設定なども含まれます。

• 監査証跡の削除ジョブを使用可能または使用禁止にする方法
  DBMS_AUDIT_MGMT.SET_PURGE_JOB_STATUSプロシージャで、監査証跡削除ジョブを有効または無効にします。
• 指定した削除ジョブに対するデフォルトの監査証跡削除ジョブの間隔の設定
  次の削除ジョブ操作が実行されるまでのデフォルトの削除操作間隔を時間単位で設定できます。
• 監査証跡の削除ジョブの削除
  既存の監査証跡削除ジョブを削除できます。
• アーカイブ・タイムスタンプ設定の消去
  DBMS_AUDIT_MGMT.CLEAR_LAST_ARCHIVE_TIMESTAMPプロシージャで、アーカイブ・タイムスタンプの設定をクリアできます。

32.3.5.1 監査証跡の削除ジョブを使用可能または使用禁止にする方法

DBMS_AUDIT_MGMT.SET_PURGE_JOB_STATUSプロシージャで、監査証跡削除ジョブを有効または無効にします。

マルチテナント環境におけるDBMS_AUDIT_MGMT.SET_PURGE_JOB_STATUSプロシージャの実行場所は、削除ジョブの場所(DBMS_MGMT.CREATE_PURGE_JOBプロシージャのCONTAINERパラメータによって決定)によって異なります。CONTAINERをCONTAINER_ALLに設定した場合(削除ジョブをルートに作成する場合)は、DBMS_AUDIT_MGMT.SET_PURGE_JOB_STATUSプロシージャをルートから実行する必要があります。CONTAINERをCONTAINER_CURRENTに設定した場合は、DBMS_AUDIT_MGMT.SET_PURGE_JOB_STATUSプロシージャが作成されたPDBから、このプロシージャを実行する必要があります。

• 監査証跡パージ・ジョブを有効または無効にするには、DBMS_AUDIT_MGMT.SET_PURGE_JOB_STATUSPL/SQLプロシージャを使用します。
  たとえば、削除ジョブをhrpdb PDBに作成したとします。

  CONNECT aud_admin@hrpdb
  Enter password: password
  Connected.
  
  BEGIN
   DBMS_AUDIT_MGMT.SET_PURGE_JOB_STATUS(
    AUDIT_TRAIL_PURGE_NAME      => 'Audit_Trail_PJ',
    AUDIT_TRAIL_STATUS_VALUE    => DBMS_AUDIT_MGMT.PURGE_JOB_ENABLE);
  END;
  /
  

  この例では、次のようになります。

  • AUDIT_TRAIL_PURGE_NAMEは、Audit_Trail_PJという削除ジョブを指定します。既存の削除ジョブを調べるには、DBA_AUDIT_MGMT_CLEANUP_JOBSデータ・ディクショナリ・ビューのJOB_NAMEおよびJOB_STATUS列を問い合せます。

  • AUDIT_TRAIL_STATUS_VALUEは、次のプロパティのいずれかを受け入れます。

    • DBMS_AUDIT_MGMT.PURGE_JOB_ENABLEは、指定した削除ジョブを使用可能にします。

    • DBMS_AUDIT_MGMT.PURGE_JOB_DISABLEは、指定した削除ジョブを使用禁止にします。

32.3.5.2 指定した削除ジョブに対するデフォルトの監査証跡削除ジョブの間隔の設定

次の削除ジョブ操作が実行されるまでのデフォルトの削除操作間隔を時間単位で設定できます。

DBMS_AUDIT_MGMT.CREATE_PURGE_JOBプロシージャで使用される間隔設定が、この設定よりも優先されます。

• 特定のパージ・ジョブの監査証跡パージ・ジョブのデフォルト間隔を設定するには、DBMS_AUDIT_MGMT.SET_PURGE_JOB_INTERVALプロシージャを実行します。
  たとえば、削除ジョブをhrpdb PDBに作成したとします。

  CONNECT aud_admin@hrpdb
  Enter password: password
  Connected.
  
  BEGIN
   DBMS_AUDIT_MGMT.SET_PURGE_JOB_INTERVAL(
    AUDIT_TRAIL_PURGE_NAME       => 'Audit_Trail_PJ',
    AUDIT_TRAIL_INTERVAL_VALUE   => 24);
  END;
  /
  

  この例では、次のようになります。

  • AUDIT_TRAIL_PURGE_NAMEは、監査証跡の削除ジョブの名前を指定します。既存の削除ジョブのリストを調べるには、DBA_AUDIT_MGMT_CLEANUP_JOBSデータ・ディクショナリ・ビューのJOB_NAMEおよびJOB_STATUS列を問い合せます。

  • AUDIT_TRAIL_INTERVAL_VALUEは、DBMS_AUDIT_MGMT.CREATE_PURGE_JOBプロシージャで設定したデフォルトの間隔(時間単位)を更新します。1から999の値を入力します。削除ジョブを実行すると、計時が開始されます。

  DBMS_AUDIT_MGMT.SET_PURGE_JOB_INTERVALプロシージャの実行場所は、削除ジョブの場所(DBMS_MGMT.CREATE_PURGE_JOBプロシージャのCONTAINERパラメータによって決定)によって異なります。CONTAINERをCONTAINER_ALLに設定した場合、削除ジョブはルートに存在するため、DBMS_AUDIT_MGMT.SET_PURGE_JOB_STATUSプロシージャをルートから実行する必要があります。CONTAINERをCONTAINER_CURRENTに設定した場合は、DBMS_AUDIT_MGMT.SET_PURGE_JOB_INTERVALプロシージャが作成されたPDBから、このプロシージャを実行する必要があります。

32.3.5.3 監査証跡の削除ジョブの削除

既存の監査証跡パージ・ジョブを削除できます。

既存の削除ジョブを調べるには、DBA_AUDIT_MGMT_CLEANUP_JOBSデータ・ディクショナリ・ビューのJOB_NAMEおよびJOB_STATUS列を問い合せます。

• 監査証跡パージ・ジョブを削除するには、DBMS_AUDIT_MGMT.DROP_PURGE_JOB PL/SQLプロシージャを使用します。
  たとえば、削除ジョブをhrpdb PDBに作成したとします。

  CONNECT aud_admin@hrpdb
  Enter password: password
  Connected.
  
  BEGIN
   DBMS_AUDIT_MGMT.DROP_PURGE_JOB(
    AUDIT_TRAIL_PURGE_NAME  => 'Audit_Trail_PJ');
  END;
  /

  マルチテナント環境におけるDBMS_AUDIT_MGMT.DROP_PURGE_JOBプロシージャの実行場所は、削除ジョブの場所(DBMS_MGMT.CREATE_PURGE_JOBプロシージャのCONTAINERパラメータによって決定)によって異なります。CONTAINERをCONTAINER_ALLに設定した場合、削除ジョブはルートに存在するため、DBMS_AUDIT_MGMT.SET_PURGE_JOB_STATUSプロシージャをルートから実行する必要があります。CONTAINERをCONTAINER_CURRENTに設定した場合は、DBMS_AUDIT_MGMT.DROP_PURGE_JOB_INTERVALプロシージャが作成されたPDBから、このプロシージャを実行する必要があります。

32.3.5.4 アーカイブ・タイムスタンプ設定のクリア

DBMS_AUDIT_MGMT.CLEAR_LAST_ARCHIVE_TIMESTAMPプロシージャで、アーカイブ・タイムスタンプの設定をクリアできます。

監査証跡ログのクリーン・アップの履歴を検索するには、OBJECT_NAMEがDBMS_AUDIT_MGMT、OBJECT_SCHEMAがSYSで、SQL_TEXTがLIKE %DBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAIL%に設定されていることを条件として使用し、UNIFIED_AUDIT_TRAILデータ・ディクショナリ・ビューを問い合せます。

• アーカイブ・タイムスタンプ設定を消去するには、DBMS_AUDIT_MGMT.CLEAR_LAST_ARCHIVE_TIMESTAMP PL/SQLプロシージャを使用して、監査証跡タイプを指定します。
  たとえば、削除ジョブをhrpdb PDBに作成したとします。

  CONNECT aud_admin@hrpdb
  Enter password: password
  Connected.
  
  BEGIN
    DBMS_AUDIT_MGMT.CLEAR_LAST_ARCHIVE_TIMESTAMP(
     AUDIT_TRAIL_TYPE     =>  DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED,
     CONTAINER            =>  DBMS_AUDIT_MGMT.CONTAINER_CURRENT);
  END;
  /
  

  この例では、次のようになります。

  • 統合監査証跡の場合は、AUDIT_TRAIL_TYPEが設定されます。AUDIT_TRAIL_TYPEプロパティをDBMS_AUDIT_MGMT.AUDIT_TRAIL_OSまたはDBMS_AUDIT_MGMT.AUDIT_TRAIL_XMLに設定している場合、RAC_INSTANCE_NUMBERを0に設定することはできません。AUDIT_TRAIL_TYPEをDBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIEDに設定した場合は、RAC_INSTANCE_NUMBER設定を省略できます。

    AUDSYS.AUD$UNIFIED表からアーカイブ・タイムスタンプをクリアするには、DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED_TABLEを設定します。各データベース(プライマリまたはスタンバイ)のオペレーティング・システムの過剰ファイルからアーカイブ・タイムスタンプをクリアするには、DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED_FILESを設定します。

  • CONTAINERにより、削除を実行する場所を指定します。DBMS_AUDIT_MGMT.CONTAINER_CURRENTではローカルのPDBが指定され、DBMS_AUDIT_MGMT.CONTAINER_ALLではCDB環境内のすべてのコンテナが指定されます。

32.3.6 例: 統合監査証跡の削除操作の直接コール

カスタマイズされたアーカイブ・プロシージャを作成して、統合監査証跡の削除操作を直接コールできます。

例32-2の疑似コードはデータベース監査証跡削除操作を作成し、この操作は、ユーザーが統合監査証跡に対してDBMS_ADUIT.CLEAN_AUDIT_TRAILプロシージャを起動することでコールします。

この削除操作では、ループを使用することで、前回アーカイブされたタイムスタンプより前に作成されたレコードを削除します。ループは監査レコードをアーカイブし、どの監査レコードがアーカイブされたかを計算してSetCleanUpAuditTrailコールを使用して最終アーカイブ・タイムスタンプを設定し、それからCLEAN_AUDIT_TRAILプロシージャをコールします。この例では、重要なステップはboldで示しています。

例32-2 データベース監査証跡の削除操作の直接コール

-- 1. Set the last archive timestamp:
PROCEDURE SetCleanUpAuditTrail()
 BEGIN
  CALL FindLastArchivedTimestamp(AUD$);
  DBMS_AUDIT_MGMT.SET_LAST_ARCHIVE_TIMESTAMP(
   AUDIT_TRAIL_TYPE          => DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED,
   LAST_ARCHIVE_TIME         => '23-AUG-2013 12:00:00',
   CONTAINER                 => DBMS_AUDIT_MGMT.CONTAINER_CURRENT);
 END;
/
-- 2. Run a customized archive procedure to purge the audit trail records:
BEGIN
  CALL MakeAuditSettings();
  LOOP (/* How long to loop*/)
    -- Invoke function for audit record archival
    CALL DoUnifiedAuditRecordArchival();
 
    CALL SetCleanUpAuditTrail(); 
    IF(/* Clean up is needed immediately */)
      DBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAIL(
       AUDIT_TRAIL_TYPE        => DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED,
       USE_LAST_ARCH_TIMESTAMP => TRUE,
       CONTAINER               => DBMS_AUDIT_MGMT.CONTAINER_CURRENT );
    END IF
  END LOOP /*LOOP*/
END; /* PROCEDURE */ 
/

32.3.7 Oracle Database 12.1以前からアップグレードされたデータベースでのCLIレコードのパージ

Oracle Database 12cリリース12.1では、統合監査レコードは、共通ロギング・インフラストラクチャ(CLI)のSGAバックエンド表に存在するために使用されていました。

コンテナのGUIDごとに1つのCLIバックエンド表があり、CLI表に存在する監査レコードをパージするには正しいGUIDを渡す必要があります。プラガブル・データベースがクローニングされると、統合監査表が新しいプラガブル・データベースに新しいGUIDで新規作成されます。

CLEAN_AUDIT_TRAILプロシージャの実行中にcontainer_guidパラメータが渡されない場合、コンテナの現在のGUIDがパージに使用され、コンテナの現在のGUIDが古いGUIDと異なる場合、監査レコードはCLI表から削除されません。

Oracle Databaseリリース12.1以前からアップグレードされたデータベースでCLIレコードを正常にパージするには:

1. 次のコマンドを実行して、CLI表のGUIDを取得します:

   SQL> SELECT DISTINCT guid FROM sys.cli_tab$;

   このコマンドで行が返されない場合は、データベースにCLI表がないため、次のステップをスキップできます。
2. これらの各GUIDを他のパラメータとともに1つずつ渡してCLEAN_AUDIT_TRAILプロシージャを実行し、これらのCLIバックエンド表から統合監査レコードを確実にパージします。

32.4 監査証跡管理のデータ・ディクショナリ・ビュー

Oracle Databaseには、監査証跡の管理設定に関する情報を表示するデータ・ディクショナリ・ビューが用意されています。

表32-2に、これらのビューを示します。

表32-2 監査証跡の管理設定に関する情報を表示するビュー

ビュー	説明
DBA_AUDIT_MGMT_CLEAN_EVENTS	従来(統合以外)の監査証跡の削除イベントの履歴が表示されます。定期的に、AUDIT_ADMINロールが付与されているユーザーで接続し、このビューが大きくなりすぎないように、内容を削除する必要があります。たとえば: DELETE FROM DBA_AUDIT_MGMT_CLEAN_EVENTS; このビューは、読取り/書込みデータベースにのみ適用されます。読取り専用データベースの場合、削除イベントの履歴はアラート・ログにあります。 統合監査の場合、削除されたイベントの履歴を検索するには、OBJECT_NAMEがDBMS_AUDIT_MGMT、OBJECT_SCHEMAがSYSで、SQL_TEXTがLIKE %DBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAIL%に設定されていることを条件として使用し、UNIFIED_AUDIT_TRAILデータ・ディクショナリ・ビューを問い合せます。
DBA_AUDIT_MGMT_CLEANUP_JOBS	現在構成されている監査証跡の削除ジョブが表示されます。
DBA_AUDIT_MGMT_CONFIG_PARAMS	現在構成されている監査証跡プロパティが表示されます。これらのプロパティは、DBMS_AUDIT_MGMT PL/SQLパッケージで使用されます。
DBA_AUDIT_MGMT_LAST_ARCH_TS	監査証跡の削除用に設定された最後のアーカイブ・タイムスタンプが表示されます。