セキュリティ監査機能の運用方法については，マニュアル「HiRDB Version 8 システム運用ガイド」を参照してください。

148）　pd_audit = Y | N

HiRDB（HiRDB/パラレルサーバの場合はユニット）の開始時から監査証跡を取得するかどうかを指定します。

Y：HiRDBの開始時から監査証跡を取得します。

N：HiRDBの開始時から監査証跡を取得しません。

このオペランドにNを指定しても，pdaudbeginコマンドを実行すると監査証跡を取得できます。

《前提条件》

次に示すすべての条件を満たす必要があります。満たしていない場合にYを指定すると，HiRDB（HiRDB/パラレルサーバの場合はユニット）を開始できません。

• 監査証跡ファイル用のHiRDBファイルシステム領域を作成している
• pd_aud_file_nameオペランドに監査証跡ファイル用のHiRDBファイルシステム領域名を指定している

　

149）　pd_aud_file_name = 監査証跡ファイル用のHiRDBファイルシステム領域名

〜＜パス名＞((150文字以内))

セキュリティ監査機能を使用する場合はこのオペランドを必ず指定してください。指定しないとセキュリティ監査機能を使用できません。

監査証跡ファイル用のHiRDBファイルシステム領域名を絶対パス名で指定します。

複数ユニットのシステム構成でセキュリティ監査機能を使用する場合，システム全体で監査証跡を取得することを推奨します。システム全体で監査証跡を取得するには，次のどちらかの指定をしてください。

• システム共通定義でpd_aud_file_nameオペランドを指定する
• すべてのユニット制御情報定義でpd_aud_file_nameオペランドを指定する

ただし，同一サーバマシンで複数のユニットを稼働させるシステム構成の場合は，すべてのユニット制御情報定義でpd_aud_file_nameオペランドを指定する必要があります。

《注意事項》

• このオペランドを指定した場合，HiRDB（HiRDB/パラレルサーバの場合はユニット）の開始時に監査証跡ファイル用のHiRDBファイルシステム領域に対するアクセスエラーが発生すると，HiRDBを開始できません。
• システム共通定義のpd_aud_file_nameオペランドの指定によって同一サーバマシン上の複数のユニットが同じ監査証跡ファイルを指定した場合，監査証跡を正しく取得できません。

　

150）　pd_aud_max_generation_size = 1監査証跡ファイルの最大容量

〜＜符号なし整数＞((1〜5240))《100》（単位：メガバイト）

1監査証跡ファイルの最大容量をメガバイト単位で指定します。

《指定値の目安》

• HiRDBが管理用に使用する領域が20メガバイト必要なため，次に示す条件式を満たすようにこのオペランドの値を決定してください。
  pd_aud_max_generation_sizeの値×pd_aud_max_generation_numの値＜監査証跡ファイル用のHiRDBファイルシステム領域長（pdfmkfsコマンドの-nオプションの値）−20（メガバイト）
  
• 監査証跡の1レコードの容量よりも小さい値を指定した場合，又は，このオペランドの指定を省略した場合で，かつ監査証跡の1レコードのサイズがこのオペランドの省略時仮定値よりも大きいときには，HiRDBユニットを起動できません。
  HiRDBユニットを起動するには，次に示す条件式を満たすようにこのオペランドの値を決定してください。
  pd_aud_max_generation_sizeの指定値≧↑監査証跡のレコードサイズの最大長÷1024↑×1024＋2048（バイト）
  監査証跡のレコードサイズの最大長は，次の計算式で算出します。
  監査証跡のレコードサイズの最大長＝1067＋↑pd_aud_sql_source_sizeの指定値÷4↑×4＋↑pd_aud_sql_data_sizeの指定値÷4↑×4（バイト）
  

　

151）　pd_aud_max_generation_num = 監査証跡ファイルの最大数

〜＜符号なし整数＞((2〜200))《50》

監査証跡ファイル用のHiRDBファイルシステム領域内に作成する監査証跡ファイルの最大数（世代数）を指定します。

《指定値の目安》

• 全監査証跡ファイルに障害が発生したときのことを想定して，最大値である200を指定しないことをお勧めします。監査証跡ファイルに障害が発生したときの対処方法については，マニュアル「HiRDB Version 8 システム運用ガイド」を参照してください。
• HiRDBが管理用に使用する領域が20メガバイト必要なため，次に示す条件式を満たすようにこのオペランドの値を決定してください。

pd_aud_max_generation_sizeの値×pd_aud_max_generation_numの値＜監査証跡ファイル用のHiRDBファイルシステム領域長（pdfmkfsコマンドの-nオプションの値）−20（メガバイト）

《注意事項》

HiRDB（HiRDB/パラレルサーバの場合はユニット）の開始時に，このオペランドの値よりも大きい世代番号のファイルがある場合，このオペランドの値は無効になります。この場合，HiRDBファイルシステム領域内に作成される監査証跡ファイルの最大数には，最大世代番号が仮定されます。

　

152）　pd_aud_no_standby_file_opr = down | forcewrite

監査証跡の出力先が満杯になった場合のHiRDBの処理方式を指定します。

pd_aud_async_buff_sizeオペランドの値によって，以下に示す場合に，監査証跡の出力先が満杯になります。

pd_aud_async_buff_sizeオペランドの値	監査証跡の出力先が満杯になるケース
0（監査証跡の出力方式に同期出力を適用する場合）	スワップ先にできる監査証跡ファイルがない場合
4096〜6553600（監査証跡の出力方式に非同期出力を適用する場合）	スワップ先にできる監査証跡ファイルがない場合 監査証跡の非同期出力時に使用するバッファのすべての面が，バッファから監査証跡ファイルへの出力待ちとなる場合

監査証跡の出力先が満杯になった場合，pd_aud_no_standby_file_oprオペランドの値によって，以下に示すHiRDBの処理を行います。

pd_aud_no_standby_file_oprオペランドの値	スワップ先にできる監査証跡ファイルがない場合	監査証跡の非同期出力時に使用するバッファのすべての面が，バッファから監査証跡ファイルへの出力待ちとなる場合
down	スワップ先にできる監査証跡ファイルが残り一つになった場合，HiRDB（HiRDB/パラレルサーバの場合はユニット）を強制終了します。downの指定が有効になるスワップの契機は，監査証跡ファイルの容量が一杯になった場合，及び現用ファイルに障害が発生した場合です。 このオペランドの指定によってHiRDBが強制終了した場合の対処については，マニュアル「HiRDB Version 8 システム運用ガイド」の「スワップ先にできる監査証跡ファイルがないためHiRDBが強制終了した場合」を参照してください。	監査証跡の出力処理が180秒以上滞った場合，HiRDB（HiRDB/パラレルサーバの場合はユニット）を強制終了します。その後の対処については，マニュアル「HiRDB Version 8 システム運用ガイド」の「監査証跡の非同期出力用バッファのすべての面が，バッファから監査証跡ファイルへの出力待ちとなった場合」に示す対処を行ってください。
forcewrite	スワップ先にできる監査証跡ファイルがない場合，データロード待ち（閉塞状態のファイルを除く）の監査証跡ファイルを強制的にスワップ先にして監査証跡の出力を続行します。このとき，最終更新日時が一番古いデータロード待ちの監査証跡ファイルをスワップ先にします。 ただし，pdaudswapコマンドを実行してスワップした場合，又は全ファイルが閉塞状態の場合は監査証跡の出力を中止します。	監査証跡の出力処理が180秒以上滞った場合，一番古いバッファに出力済みの監査証跡を破棄して，監査証跡の出力を続行します。

　

153）　pd_aud_async_buff_size = 監査証跡の非同期出力時に使用するバッファ長

〜＜符号なし整数＞((0，4096〜6553600))《401408》（単位：バイト）

監査証跡を非同期に出力する場合に使用するバッファ長をバイト単位で指定します。0を指定した場合は監査証跡を同期出力します。監査証跡のレコードサイズの最大長よりも小さい値を指定した場合，又は，このオペランドの指定を省略した場合で，かつ監査証跡のレコードサイズの最大長がこのオペランドの省略時仮定値よりも大きいときには，HiRDBユニットを起動できません。

監査証跡のレコードサイズの最大長については，pd_aud_max_generation_sizeオペランドの説明を参照してください。

各出力方式の長所及び短所を次に示します。

pd_aud_async_ buff_sizeの値	監査証跡の 出力方式	長所	短所
0	同期出力	監査証跡を確実に監査証跡ファイルに出力できます。	SQL処理の延長上でファイル入出力が発生するため，性能に与える影響が大きくなります。
4096〜6553600	非同期出力	SQL処理の性能に与える影響を小さくできます。	バッファへの出力後から監査証跡ファイルに出力するまでの間に，HiRDB（HiRDB/パラレルサーバの場合はユニット）が異常終了すると，監査証跡が失われることがあります。

《オペランドの規則》

このオペランドには4096の整数倍を指定してください。4096の整数倍以外を指定した場合は，指定した値を4096の整数倍に切り上げてその値をこのオペランドに設定します。例えば，5000を指定すると8192が設定されます。

《注意事項》

• HiRDB（HiRDB/パラレルサーバの場合はユニット）の開始時に，pd_aud_async_buff_size×pd_aud_async_buff_countバイト分のユニットコントローラ用共用メモリが必要です。この計算式の値がユニットコントローラ全体の共用メモリサイズの上限を超えないように設定してください。ユニットコントローラが使用する共用メモリの計算式については，マニュアル「HiRDB Version 8 システム導入・設計ガイド」を参照してください。
• pd_aud_async_buff_sizeオペランドとpd_aud_async_buff_countオペランドの値を小さく設定すると，監査証跡の非同期出力時に使用するバッファのすべての面が，バッファから監査証跡ファイルへの出力待ちに陥り，監査証跡の出力処理が滞ることがあります。
  単位時間あたりの監査証跡の出力件数を考慮して，pd_aud_async_buff_sizeオペランドとpd_aud_async_buff_countオペランドの値を設定してください。
  

《ほかのオペランドとの関連》

pd_sysdef_default_optionオペランドにv6compatible又はv7compatibleを指定している場合，このオペランドの省略値は4096になります。

　

154）　pd_aud_async_buff_count = 監査証跡の非同期出力時に使用するバッファ面数

〜＜符号なし整数＞((1〜6500))《Max(1，ユニット内HiRDBサーバ数×10)》（単位：面）

監査証跡を非同期に出力する場合に使用するバッファの面数を指定します。

《注意事項》

• HiRDB（HiRDB/パラレルサーバの場合はユニット）の開始時に，pd_aud_async_buff_size×pd_aud_async_buff_countバイト分のユニットコントローラ用共用メモリが必要です。この計算式の値がユニットコントローラ全体の共用メモリサイズの上限を超えないように設定してください。ユニットコントローラが使用する共用メモリの計算式については，マニュアル「HiRDB Version 8 システム導入・設計ガイド」を参照してください。
• pd_aud_async_buff_sizeオペランドとpd_aud_async_buff_countオペランドの値を小さく設定すると，監査証跡の非同期出力時に使用するバッファのすべての面が，バッファから監査証跡ファイルへの出力待ちに陥り，監査証跡の出力処理が滞ることがあります。
  単位時間あたりの監査証跡の出力件数を考慮して，pd_aud_async_buff_sizeオペランドとpd_aud_async_buff_countオペランドの値を設定してください。
  

《ほかのオペランドとの関連》

pd_sysdef_default_optionオペランドにv6compatible又はv7compatibleを指定している場合，このオペランドの省略値は3になります。

　

155）　pd_aud_async_buff_retry_intvl = 監査証跡の非同期出力時に使用するバッファの確保リトライ間隔

〜＜符号なし整数＞((1〜1000))《50》（単位：ミリ秒）

監査証跡を非同期に出力する場合に使用するバッファがすべて使用中のとき，未使用のバッファが確保できるまでバッファを監視する処理のリトライ間隔を指定します。

《指定値の目安》

通常，このオペランドを指定する必要はありません。

セキュリティ監査機能使用時，UAPの実行に時間が掛かる場合にこのオペランドの値を小さくすると，UAPの実行時間が短くなることがあります。

　

156）　pd_aud_sql_source_size = 監査証跡に出力するSQL文のサイズ

〜＜符号なし整数＞((0〜2000000))《0》（単位：バイト）

セキュリティ監査機能を使用する場合に監査証跡に出力するSQL文のサイズをバイト単位で指定します。0を指定した場合は，監査証跡にSQL文を出力しません。指定した値よりもサイズが大きいSQL文については，指定した値を超えた部分は監査証跡に出力されません。

《ほかのオペランドとの関連》

このオペランドを指定した場合，オペランドpd_aud_max_generation_size及びpd_aud_async_buff_sizeの指定値を見積もり直してください。

　

157）　pd_aud_sql_data_size = 監査証跡に出力するSQLデータのサイズ

〜＜符号なし整数＞((0〜1000000))《0》（単位：バイト）

セキュリティ監査機能を使用する場合に監査証跡に出力するSQLデータのサイズをバイト単位で指定します。0を指定した場合は，監査証跡にSQLデータを出力しません。指定した値よりもサイズが大きいSQLデータについては，指定した値を超えた部分は監査証跡に出力されません。

《ほかのオペランドとの関連》

このオペランドを指定した場合，オペランドpd_aud_max_generation_size及びpd_aud_async_buff_sizeの指定値を見積もり直してください。

　

158）　pd_aud_file_wrn_pnt = 警告メッセージの出力契機〔，警告メッセージの出力済み状態のリセット契機〕

警告メッセージの出力契機：〜＜符号なし整数＞((0〜100))《0又は80》（単位：％）

スワップ先にできない監査証跡ファイル数が警告値以上になったとき，警告メッセージを出力します。このオペランドには警告値を，pd_aud_max_generation_numオペランドに指定した監査証跡ファイルの最大数に対する比率で指定します。例えば，pd_aud_max_generation_numオペランドに100を指定し，このオペランドに90を指定すると，スワップ先にできない監査証跡ファイル数が90以上になると警告メッセージKFPS05123-Wが出力されます。

なお，HiRDB/パラレルサーバの場合はユニット単位でチェックします。

また，このオペランドに0を指定すると警告メッセージを出力しません。

《ほかのオペランドとの関連》

• pd_watch_resourceオペランドにMANUALを指定するか又は省略して，かつこのオペランドを省略すると，このオペランドの値に0が仮定されます。すなわち，警告メッセージが出力されません。
• pd_watch_resourceオペランドにAUTOを指定して，かつこのオペランドを省略すると，このオペランドの値に80が仮定されます。すなわち，80％以上になると警告メッセージが出力されます。

　

警告メッセージの出力済み状態のリセット契機：〜＜符号なし整数＞((0〜99))（単位：％）

警告メッセージ出力済み状態のリセット契機を指定します。警告メッセージ（KFPS05123-W）が出力されると，警告メッセージ出力済み状態になります。警告メッセージ出力済み状態になると，スワップ先にできない監査証跡ファイル数がもう一度警告値以上になっても警告メッセージが出力されません。しかし，ここで指定する警告メッセージの出力済み状態のリセット契機をスワップ先にできない監査証跡ファイル数が下回ると，警告メッセージ出力済み状態が解除されます。

例えば，pd_aud_file_wrn_pnt=90,70と指定すると，スワップ先にできない監査証跡ファイル数が監査証跡ファイルの最大数の90％以上になると警告メッセージが出力されます。この後，スワップ先にできない監査証跡ファイル数が監査証跡ファイルの最大数の70％を下回るまで警告メッセージは出力されません。一度70％を下回り，再度90％以上になったときに警告メッセージが出力されます。

《注意事項》

• この指定を省略すると，「警告メッセージの出力契機−30」の値が仮定されます。その値がマイナスになる場合は，0が仮定されます。
• 警告メッセージの出力契機より大きい値を指定すると，その指定は無効になり，警告メッセージの出力契機の指定値と同じ値が仮定されます。

　

159）　pd_aud_auto_loading = Y | N

監査証跡表の自動データロード機能を使用するかどうかを指定します。監査証跡表の自動データロード機能については，マニュアル「HiRDB Version 8 システム運用ガイド」を参照してください。

Y：

監査証跡表の自動データロード機能を使用します。この場合，監査証跡ファイルの世代スワップ（障害によるスワップは除く）を契機として，監査証跡表へのデータロード処理が自動実行されます。

N：

監査証跡表の自動データロード機能を使用しません。この場合，監査証跡表へのデータロード処理は自動実行されません。監査人が手動で実行してください。

《指定値の目安》

監査証跡表の自動データロード機能を使用すると監査人の負荷を低減できます。しかし，オンライン業務中にデータロードが始まるため，CPUやディスクへの入出力回数が増加し，システムの負荷が増大します。これらのメリットとデメリットを考慮した上で，監査証跡表の自動データロード機能を使用するかどうか判断してください。

《留意点》

HiRDB/パラレルサーバにおいて，本オペランドにYを指定して監査証跡ファイルから監査証跡表へデータロードする処理を自動で実行する場合，システムマネジャを配置したユニットにpd_aud_file_nameオペランドで監査証跡ファイルのパス名を設定してください。

設定方法については，システム共通定義のpd_aud_file_nameオペランドを参照してください。

　

160）　pdaudload

　　　 〔-i インデクス作成方法〕

　　　 〔-l ログ取得方式〕

　　　 〔-n 〔一括出力用ローカルバッファ面数〕，，

　　　　　 〔ランダムアクセス用ローカルバッファ面数〕〕

　　　 〔-y〕

　　　 〔-X サーバ間通信の応答監視時間〕

　　　 〔-S ソート用バッファサイズ〕

監査証跡表の自動データロード機能を使用するとき，監査証跡表の自動データロード機能で動作させるデータベース作成ユティリティ（pdload）の環境情報を定義します。

《前提条件》

pd_aud_auto_loadingオペランドにYを指定している必要があります。

《指定値の目安》

マニュアル「HiRDB Version 8 システム運用ガイド」の「監査証跡表の自動データロード機能」にある「適用条件」を参照してオペランドの値を決定してください。

《注意事項》

このオペランドを2回以上指定した場合，1回目に指定した値が適用されて，2回目以降の指定値は無効となります。

-i インデクス作成方法

〜《c》

インデクスの作成方法を指定します。インデクスの作成方法には次の二つがあります。

c：

インデクス一括作成モードを指定します。行データの格納中は，インデクスを作成しないでインデクス作成情報をインデクス情報ファイルに出力します。行データの格納処理が完了した後，引き続きインデクスを作成します。

s：

インデクス更新モードを指定します。行データを格納するたびにインデクスを更新します。

-l ログ取得方式

〜《p》

pdloadを実行するとき，データベースの更新ログを取得する方法を指定します。

a：

ログ取得モードを指定します。ロールバック及びロールフォワードに必要なデータベースの更新ログを取得します。

p：

更新前ログ取得モードを指定します。ロールバックに必要なデータベースの更新ログは取得しますが，ロールフォワードに必要なデータベースの更新ログは取得しません。

《注意事項》

リアルタイムSANレプリケーションを適用する環境でログ同期方式を使用する場合は，必ずaを指定してください。pを指定すると，リモートサイトの監査証跡表があるRDエリアが閉塞します。

-n 〔一括出力用ローカルバッファ面数〕，，〔ランダムアクセス用ローカルバッファ面数〕

ローカルバッファを使用して表にデータロードする場合に指定します。このオプションを指定すると，ローカルバッファを使用してDBアクセスできるようになり，一括出力することで入出力回数を削減できます。

このオプションを省略した場合は，グローバルバッファを使用して1ページ単位で出力します。

一括出力用ローカルバッファ面数を省略してランダムアクセス用ローカルバッファ面数だけを指定する場合は，コンマ（，）を含めた内容を引用符（"）で囲んで指定してください。例えば，一括出力用ローカルバッファ面数を省略してランダムアクセス用ローカルバッファ面数だけに1000を指定する場合は，次のように指定してください。

pdaudload -n ",,1000"

ただし，一括出力用ローカルバッファ面数とランダムアクセス用ローカルバッファ面数の両方を同時に省略することはできません。両方を省略して-nオプションを指定した場合，定義エラーとなりKFPS01895-Eメッセージが出力されます。

一括出力用ローカルバッファ面数：〜＜符号なし整数＞((2〜4096))

一括出力用ローカルバッファの面数を指定します。一括出力用ローカルバッファは，データページに対して使用します。

ランダムアクセス用ローカルバッファ面数：〜＜符号なし整数＞((4〜125000))

ランダムアクセス用ローカルバッファの面数を指定します。ランダムアクセス用ローカルバッファは，インデクスページに対して使用します。

-y

データロード時に未使用ページを使い切った場合に，データを使用中ページの未使用領域に格納したいときに指定します。このオプションを指定した場合，未使用領域にデータを格納する前にKFPH26010-Iメッセージを出力します。

このオプションを指定する場合は-lオプションにaを指定してください。-lオプションにpを指定した場合，又は-lオプションの指定を省略した場合，定義エラーとなりKFPS01895-Eメッセージが出力されます。

-X サーバ間通信の応答監視時間

〜＜符号なし整数＞((1〜65535))《300》

コマンドを実行したサーバで通信などに障害が発生した場合，コマンドが無応答となり，業務が停止するおそれがあります。pdloadは，障害を検知するためにコマンドで実施されるディクショナリ操作についての通信の応答時間を監視できます。

-Xオプションには，ディクショナリ操作での応答監視時間を秒数で設定します。ディクショナリ操作時の実行時間が-Xオプションに設定した時間を超えた場合，pdloadはディクショナリアクセスで障害が発生したと判断し，リターンコード8で処理を打ち切ります。処理を打ち切った場合，監査証跡表の自動データロード処理も停止します。

-S ソート用バッファサイズ

〜＜符号なし整数＞((128〜2097152))《1024》

インデクスの定義された監査証跡表に対してインデクス一括作成モード（-i c指定）でデータロードをするとき，ソート用ワークファイルのバッファサイズをキロバイト単位で指定します。バッファは，HiRDB/シングルサーバの場合はシングルサーバに，HiRDB/パラレルサーバの場合は監査証跡表のあるバックエンドサーバに確保されます。

ソート用バッファサイズについては，マニュアル「HiRDB Version 8 コマンドリファレンス」の「データベース作成ユティリティ（pdload）」にある「sort文（ソート用ワークディレクトリの情報の記述）」を参照してください。

161）　pd_security_host_group = "ホスト名"〔，"ホスト名"〕…

このオペランドは，セキュリティレベルの高いシステムを構成する場合，HiRDBサーバ構成で使用するホストを明確に定義し，セキュリティに影響するHiRDBの操作（ユティリティや関連プログラムプロダクトが定義したホスト以外からの操作）を制限するものです。

このオペランドには，HiRDBサーバを構成するネットワークで使用している全ホスト名を指定してください。このオペランドを指定することで，セキュリティ上のリスクを軽減できます。ホスト名は，IPアドレス，FQDN形式でも指定でき，ループバックアドレスも指定できます。

また，オペランドの指定値は，強制終了，異常終了，及び計画停止後でも変更できます。

なお，ホスト名は256文字以内で指定してください。

《注意事項》

• DNSサーバを使用する場合は，ここで指定するホスト名をDNSサーバに登録してください。また，DNSサーバを使用しない場合は，ここで指定するホスト名をhostsファイルに登録してください。
• 名称解決ができない場合，KFPS04693-Eメッセージが出力され，HiRDBの開始処理が終了します。
• ホスト名，IPアドレス，又はFQDNの文字列を重複して指定した場合，KFPS04693-Eメッセージが出力され，HiRDBの開始処理が終了します。また，IPアドレスが同じでホスト名が異なる場合，エラーにはなりません。
• pdunitオペランドの-xオプションにループバックアドレスを指定した場合は，このオペランドにもループバックアドレスを指定してください。

《備考》

pd_security_host_groupオペランドの指定例を次に示します。

pd_security_host_groupオペランドの指定例（HiRDB/シングルサーバの場合）

　

pd_security_host_groupオペランドの指定例（HiRDB/パラレルサーバの場合）