Oracle ASM監査証跡の管理

Syslogを使用したOracle ASM監査レコード

Oracle ASM監査証跡レコードは、Syslog機能にリダイレクトされます。
この機能を使用すると、Oracle ASM監査証跡レコードは/var/log/oraasmaudit.logファイルに書き込まれます。
ログ・ローテーションは、/etc/logrotate.d/oraasmaudit構成ファイル内のOracle ASM監査証跡レコードに対して構成されます。監査ログは4週間ごとに1回ローテーションされ、ローテーション後に圧縮されます。

オペレーティング・システム監査証跡でのOracle ASM監査レコードの管理

オペレーティング・システム監査証跡

オペレーティング・システム監査証跡の有効化

syslog監査を無効にしてオペレーティング・システム監査証跡を有効にするには、AUDIT_SYSLOG_LEVEL初期化パラメータをNULLに設定し、AUDIT_TRAIL初期化パラメータをOSに設定します。

オペレーティング・システム監査証跡ファイルのパージ

Oracle ASM監査証跡の管理の詳細は、audcreatejob、audsettimestampおよびaudcleanaudittrail ASMCMDコマンドを参照してください。ASMCMD監査ファイル管理コマンドを参照してください。

関連トピック

統合監査証跡でのOracle ASM監査レコードの管理

統合監査証跡

統合監査の詳細は、『Oracle AI Databaseセキュリティ・ガイド』を参照してください。
統合監査証跡レコードは、次を介して使用可能です。
- Oracle ASM RACインスタンスのGV$UNIFIED_AUDIT_TRAILビュー。

統合監査証跡の有効化

統合監査証跡の有効化の詳細は、『Oracle AI Databaseセキュリティ・ガイド』を参照してください。

統合監査証跡ファイルのパージ

監査証跡ファイルのパージの詳細は、『Oracle AI Databaseセキュリティ・ガイド』を参照してください。
ASMCMD監査ファイル管理コマンドに、Oracle ASM監査証跡ファイルを管理するASMCMDコマンドに関する詳細情報を提供します。

RAC ASMで生成された監査レコードを表示しており、内部表AUDSYS.AUD$UNIFIEDになんらかの理由でアクセスできないときは、監査レコードのみがスピルオーバー・ファイル(GV$UNIFIED_AUDIT_TRAILを使用して問い合せることができる)に書き込まれます。インスタンスがOPEN (READ ONLYまたはREAD WRITEのどちらか)の場合は、UNIFIED_AUDIT_TRAILビューを問い合せる必要があります。UNIFIED_AUDIT_TRAILビューでは、内部的に、AUDSYS.AUD$UNIFIED表とGV$UNIFIED_AUDIT_TRAILビューの両方からレコードがフェッチされます。

ノート:

SYS.AUDIT_ACTIONS表(ACTION CODEとACTION NAMEに関する情報がログ記録される)は、データベース・インスタンス以外からはアクセスできません。ユーザーは、GV$UNIFIED_AUDIT_TRAILによってログ記録されたACTION_CODEを、SYS.AUDIT_ACTIONSのACTION_CODEでのACTION_NAME、および次のようなASMインスタンスに関連するACTION_NAME項目に対して相互検証できます。

図3-1 アクション・コードおよび名前

Oracle AI Database 26aiの導入により、ASMインスタンスで監査を構成するための、2つの新しい静的init.oraパラメータが含まれました。

ASM_UNIFIED_AUDIT_LEVEL: 監査するアクションの種類を定義します。
ASM_UNIFIED_AUDIT_DESTINATION: 監査レコードの書込み先を指定します。

これらのパラメータを変更した後、その変更を有効にするには、インスタンスを再起動する必要があります。これらのパラメータに指定できる一連の値を次に示します:

ASM_UNIFIED_AUDIT_LEVEL:

ALL - ASMインスタンスに対して実行されたすべてのアクションが監査されます。
BASIC - 特定の重要なアクションのみ(つまり、CONNECT、SHUTDOWNおよびSTARTUP)が監査されます。(デフォルト値)

ASM_UNIFIED_AUDIT_DESTINATION:

FILES - 生成された監査レコードをスピルオーバー・ファイルに書き込みます。
SYSTEMLOG - 監査レコードを、構成されているシステム・ログ(SYSLOG)の場所に書き込みます。(デフォルト値)

ノート:

これらのパラメータは、ASM、ASMプロキシおよびリモートASMにも適用できます。

ASM_UNIFIED_AUDIT_DESTINATIONは、UNIFIED_AUDIT_SYSTEMLOG init.oraパラメータ('facility'値と'priority'値の決定に使用される)と連携して機能します。ASM_UNIFIED_AUDIT_DESTINATIONにSYSTEMLOGが設定されている場合は、UNIFIED_AUDIT_SYSTEMLOGの値を使用してSYSTEMLOGへの書込み先や書込み方法が決定されます。

ノート:

Oracle AI Database 26aiのリリースでは、ASMインスタンスでもUNIFIED_AUDIT_SYSTEMLOGを変更できるようになりました。

オペレーティング・システムおよび統合監査証跡の監査証跡プロパティ

表3-3 監査証跡のサイズと有効期間のプロパティ

プロパティ名	説明
監査ファイルの最大サイズ	監査ファイルの最大サイズの最小値は1KB、最大値は2000000KBです。デフォルト値は10000KBです。 Oracle ASMインスタンスは、ファイルの最大サイズ制限に達すると、監査ファイルへの監査レコードの書込みを停止します。ファイルの名前が変更され、後続の監査レコード用に新しいファイルが作成されます。
監査ファイルの最大有効期間	監査ファイルの最大有効期間の最小値は1日、最大値は497日です。デフォルト値は5日です。 Oracle ASMインスタンスは、ファイルの最大有効期間制限に達すると、監査ファイルへの監査レコードの書込みを停止します。ファイルの名前が変更され、後続の監査レコード用に新しいファイルが作成されます。
監査パージ・ジョブの間隔	監査パージ・ジョブ間隔の最小値は1時間、最大値は999時間です。

プロパティ名

説明

監査ファイルの最大サイズ

監査ファイルの最大サイズの最小値は1KB、最大値は2000000KBです。デフォルト値は10000KBです。

Oracle ASMインスタンスは、ファイルの最大サイズ制限に達すると、監査ファイルへの監査レコードの書込みを停止します。ファイルの名前が変更され、後続の監査レコード用に新しいファイルが作成されます。

監査ファイルの最大有効期間

監査ファイルの最大有効期間の最小値は1日、最大値は497日です。デフォルト値は5日です。

Oracle ASMインスタンスは、ファイルの最大有効期間制限に達すると、監査ファイルへの監査レコードの書込みを停止します。ファイルの名前が変更され、後続の監査レコード用に新しいファイルが作成されます。

監査パージ・ジョブの間隔

監査パージ・ジョブ間隔の最小値は1時間、最大値は999時間です。

ノート:

統合監査では、それがASMインスタンスで有効になっている場合は、CONNECTとSHUTDOWNのみが強制的に監査されます。これは、Oracle 19cに存在していた制限事項と同じです。UNIFIED_AUDIT_SYSTEMLOG init.oraパラメータ[ASMインスタンスで設定されている場合]では、監査レコードがsyslogにリダイレクトされ、監査レコード全体のコピーはOSファイルに書き込まれません。