ページの先頭行へ戻る
Symfoware Server V11.0.1 セキュリティ運用ガイド
Symfoware
第2部 管理者の作業 > 第4章 環境構築 > 4.6 セットアップ > 4.6.2 監査ログデータベースのセットアップ
前次

4.6.2 監査ログデータベースのセットアップ

監査ログデータベースのセットアップ手順について説明します。

以下の手順で監査ログデータベースのセットアップを行ってください。

  1. 監査ログデータベースのログ管理ファイルの作成

  2. 監査ログデータベースのテンポラリログファイルの作成

  3. 監査ログデータベースの作成

4.6.2.1 監査ログデータベースのログ管理ファイルの作成

監査ログ用ロググループのログ管理ファイルの作成は、rdblogコマンドのIオプションおよびgオプションで行います。ロググループ名には'#RDBII_ADTLOG#'を指定します。監査ログ用のログ管理ファイルは、コマンドで指定したローデバイスまたはファイルに作成されます。

SolarisSolarisの場合

例1

監査ログ用のログ管理ファイルを、ローデバイス/dev/rdsk/c4t1d0s0に作成する場合の例を以下に示します。

$ rdblog -I -g '#RDBII_ADTLOG#' /dev/rdsk/c4t1d0s0

LinuxLinuxの場合

2

監査ログ用のログ管理ファイルを、ローデバイス/dev_symfoware/raw41に作成する場合の例を以下に示します。

$ rdblog -I -g '#RDBII_ADTLOG#' /dev_symfoware/raw41

4.6.2.2 監査ログデータベースのテンポラリログファイルの作成

テンポラリログファイルの作成はrdblogコマンドのGオプション、tオプションおよびgオプションで行います。ロググループ名には'#RDBII_ADTLOG#'を指定します。

SolarisSolarisの場合

例1

BIログ域10メガバイト、AIログ域10メガバイト、トランザクションエントリ数10およびログインデックス域、BIログ域およびAIログ域を、ローデバイス/dev/rdsk/c4t1d0s0に作成する場合の例を以下に示します。

$ rdblog -G -t -g '#RDBII_ADTLOG#' /dev/rdsk/c4t1d0s0 -in -in 10M 10M 10

LinuxLinuxの場合

2

BIログ域10メガバイト、AIログ域10メガバイト、トランザクションエントリ数10およびログインデックス域、BIログ域およびAIログ域を、ローデバイス/dev_symfoware/raw42に作成する場合の例を以下に示します。

$ rdblog -G -t -g '#RDBII_ADTLOG#' /dev_symfoware/raw42 -in -in 10M 10M 10

4.6.2.3 監査ログデータベースの作成

監査ログを取得するための監査ログデータベースを作成します。

以下の手順で作業を行います。

  1. Symfoware/RDBの起動

  2. 監査ログデータベースの作成

  3. Symfoware/RDBの停止

Symfoware/RDBの起動

rdbstartコマンドにより、Symfoware/RDBを起動します。

利用者のデータベースへのアクセスを制限するために、Symfoware/RDBの利用モードを“通常モード”から“管理者モード”へ変更します。利用モードの変更は、rdbsysstatコマンドのcオプションで行います。

$ rdbstart
$ rdbsysstat -c manage

参考

rdbsysstatコマンドで変更した利用モードは、Symfoware/RDBを停止すると解除されます。次にSymfoware/RDBを起動した直後は、常に“通常モード”になります。

監査ログデータベースの作成

監査ログデータベースの作成は、rdbauditコマンドのcオプション、nオプション、sオプションおよびrオプションで行います。

監査ログにはアプリケーションから実行したSQL文などが含まれます。SQL文に表データなどの機密情報を含む場合には、Eオプションを指定し、監査ログを暗号化します。

監査ログデータベースが満杯になると、監査ログに出力される内容が、メッセージログファイルに出力されます。メッセージログファイルは暗号化されないため、機密情報が漏洩する危険性があります。このような場合の危険性を回避するためには、監査ログの取得範囲にSQL文を含めないか、監査ログパラメタ“AUDIT_LOG_FULL”に“STOP”を設定して、監査ログ運用を行ってください。
監査ログデータベースの満杯が発生した場合は、すみやかに満杯を解消し、監査ログ運用を再開してください。

監査ログデータベースは、コマンドで指定したローデバイスまたはファイルに作成されます。

SolarisSolarisの場合

例1

エレメント数3、エレメントサイズ200メガバイト、ローデバイス/dev/rdsk/c4t2d0s0に、暗号化アルゴリズムAES256で作成する場合

$ rdbaudit -c -n 3 -s 200M -r /dev/rdsk/c4t2d0s0 -E AES256

LinuxLinuxの場合

2

エレメント数3、エレメントサイズ200メガバイト、ローデバイス/dev_symfoware/raw43に、暗号化アルゴリズムAES256で作成する場合

$ rdbaudit -c -n 3 -s 200M -r /dev_symfoware/raw43 -E AES256

注意

監査ログデータベースを1つのディスクに作成すると、監査ログデータベースにディスク入出力障害が発生した場合に監査ログ運用が続行できなくなります。このため、監査ログエレメントの追加操作により、あらかじめ複数のディスクに監査ログエレメントを分散配置することをお勧めします。

また、監査ログエレメントの追加は、rdbauditコマンドのaオプション、nオプション、rオプションで行います。

SolarisSolarisの場合

例1

追加エレメント数2、ローデバイス/dev/rdsk/c4t2d1s0に追加する場合の例を以下に示します。

$ rdbaudit -a -n 2 -r /dev/rdsk/c4t2d1s0

LinuxLinuxの場合

2

追加エレメント数2、ローデバイス/dev_symfoware/raw44に追加する場合の例を以下に示します。

$ rdbaudit -a -n 2 -r /dev_symfoware/raw44

Symfoware/RDBの停止

Symfoware/RDBを停止します。Symfoware/RDBの停止は、rdbstopコマンドで行います。

$ rdbstop
前次
Copyright 2007-2012 FUJITSU LIMITED