12.7.3　環境設定

(1)　監査証跡機能で使用するディレクトリを作成する

監査証跡機能で使用する次のディレクトリを作成します。

• 監査証跡の出力先ディレクトリ（/mnt/audittrail/outputarea/audit）

• 監査証跡の保存先ディレクトリ（/mnt/audittrail/savearea/audit_bak）

各ディレクトリに対して必要となるパーミッションについては，「12.2.2　監査証跡機能で使用するディレクトリの準備」を参照してください。

重要

DB管理担当者が，HADB管理者のアカウントでOSにログインして，ディレクトリを作成します。

ページの先頭へ

(2)　サーバ定義に監査証跡機能に関するオペランドを追加する

サーバ定義にadb_audit_log_pathオペランドを追加します。adb_audit_log_pathオペランドには，「(1)　監査証跡機能で使用するディレクトリを作成する」で作成した監査証跡の出力先ディレクトリを指定します。

サーバ定義に追加するオペランドの指定例

set adb_audit_log_path = /mnt/audittrail/outputarea/audit

なお，次に示す監査証跡機能に関するオペランドについては，デフォルト値を適用するため，指定を省略します。

• adb_audit_log_max_size

• adb_audit_log_max_num

重要

• DB管理担当者が，HADB管理者のアカウントでOSにログインしてこの操作を行います。

• HADBサーバが稼働中の場合は，HADBサーバを正常終了してからサーバ定義を修正してください。

ページの先頭へ

(3)　HADBサーバをオフラインモードで開始する

adbstartコマンドを実行して，HADBサーバをオフラインモードで開始します。HADBサーバをオフラインモードで開始することで，監査証跡機能の環境設定を実施している間に，不正なアクセスが行われることを防ぐことができます。

コマンドの実行例

adbstart --offline

重要

DB管理担当者が，HADB管理者のアカウントでOSにログインしてこの操作を行います。

ページの先頭へ

(4)　監査人を作成する

監査証跡機能の管理担当者や，DB監査担当者が使用する監査人（監査権限を持っているHADBユーザ）を作成します。

監査人の作成

監査証跡機能の管理担当者が使用するHADBユーザ（ADBAUDITADMIN）を新規に作成し，そのHADBユーザに監査管理権限を付与します。

• 監査管理権限を持つHADBユーザの作成例

  CREATE USER "ADBAUDITADMIN" IDENTIFIED BY '@udi+@dmin'
  GRANT AUDIT ADMIN,CONNECT TO "ADBAUDITADMIN"

また，DB監査担当者が使用するHADBユーザ（ADBAUDITVIEWER）を新規に作成し，そのHADBユーザに監査参照権限を付与します。

• 監査参照権限を持つHADBユーザの作成例

  CREATE USER "ADBAUDITVIEWER" IDENTIFIED BY '@udi+viewer'
  GRANT AUDIT VIEWER,CONNECT TO "ADBAUDITVIEWER"

重要

DB管理担当者が，DBA権限を持っているHADBユーザの認可識別子（ADBADMIN）でHADBサーバに接続してこの操作を行います。

監査人のパスワード変更

監査人の作成後，DB管理担当者は，監査証跡機能の管理担当者に，監査管理権限を付与したHADBユーザの認可識別子と初期パスワードを連絡します。また，DB監査担当者には，監査参照権限を付与したHADBユーザの認可識別子と初期パスワードを連絡します。各担当者は，そのHADBユーザの認可識別子でHADBサーバに接続し，初期パスワードを変更してください。

• 監査管理権限を持っているHADBユーザのパスワードの変更例

  ALTER USER "ADBAUDITADMIN" IDENTIFIED BY '@uditDDD'

  認可識別子がADBAUDITADMINのHADBユーザでHADBサーバに接続し，上記のSQL文を実行します。

• 監査参照権限を持っているHADBユーザのパスワードの変更例

  ALTER USER "ADBAUDITVIEWER" IDENTIFIED BY '@uditVVV'

  認可識別子がADBAUDITVIEWERのHADBユーザでHADBサーバに接続し，上記のSQL文を実行します。

メモ

監査人（監査権限を持っているHADBユーザ）のパスワードの変更は，監査人本人だけが実行できます。

ページの先頭へ

(5)　監査証跡機能を有効にする

adbaudittrail --startコマンドを実行して，監査証跡機能を有効にします。

コマンドの実行例

adbaudittrail -u "ADBAUDITADMIN" -p '@uditDDD' --start --write-error DOWN

［説明］

• -uと-pオプションには，監査管理権限を持っているHADBユーザの認可識別子とパスワードを指定します。

• --startオプションは，監査証跡機能を有効にする際に指定するオプションです。

• --write-errorオプションには，「12.7.2　設計」の「(5)　監査証跡ファイルへの書き込みに失敗した場合の処理方式を選択する」で決定した処理方式を指定します。この例では，DOWN（監査証跡ファイルへの書き込みに失敗した場合，HADBサーバを異常終了する処理方式）を指定します。

重要

監査証跡機能の管理担当者が，HADB管理グループに所属するユーザのアカウントでOSにログインし，この操作を行います。

adbaudittrail --startコマンドの実行後，adbaudittrail -dコマンドを実行して，監査証跡機能が有効になっていることを確認します。

コマンドの実行例

adbaudittrail -u "ADBAUDITADMIN" -p '@uditDDD' -d

コマンドの実行結果

audit  write-error audit-directory-path             audit-file-max-size audit-file-number
ACTIVE DOWN        /mnt/audittrail/outputarea/audit 256                 0

［説明］

• 監査証跡機能が有効になっている場合は，audit列にACTIVEが表示されます。

• write-error列には，--write-errorオプションの指定値（監査証跡ファイルへの書き込みに失敗した場合の処理方式）が表示されます。

ページの先頭へ

(6)　監査対象を定義する

「12.7.2　設計」の「(2)　監査証跡を出力するイベントを決める」で決めた設計方針に基づいて，選択監査イベントでも監査証跡を出力するようにします。CREATE AUDIT文を実行して，監査対象を定義します。

CREATE AUDIT文の実行例

CREATE AUDIT AUDITTYPE EVENT FOR ANY OPERATION

重要

監査証跡機能の管理担当者が，監査管理権限を持っているHADBユーザの認可識別子（ADBAUDITADMIN）でHADBサーバに接続してこの操作を行います。

ページの先頭へ

(7)　HADBサーバの稼働モードを変更する

adbchgsrvmodeコマンドを実行して，HADBサーバの稼働モードを通常モードに変更します。稼働モードを通常モードに変更すると，クライアントからのHADBサーバへの接続要求を受け付けます。

コマンドの実行例

adbchgsrvmode --normal

重要

DB管理担当者が，HADB管理者のアカウントでOSにログインしてこの操作を行います。

ページの先頭へ