2.18.8 監査証跡機能で使用するディスクの準備
監査対象イベントの発生数によって,監査証跡の出力量が非常に多くなる可能性があります。その結果,監査証跡を出力するディスクに対する入出力が多く発生し,HADBサーバの処理性能に影響を及ぼすおそれがあります。そのため,監査証跡を出力する専用のディスク(監査証跡の出力先ディスク)を準備することを推奨します。また,そのディスクとは別に,監査証跡ファイルを保存しておくディスク(監査証跡の保存先ディスク,監査証跡の長期保存先ディスク)を準備することを推奨します。これら3つのディスクを準備して,監査証跡機能を運用することを推奨します。各ディスクの用途を次に説明します。
-
監査証跡の出力先ディスク
監査証跡の出力先ディスクには,監査証跡の出力先ディレクトリだけを作成し,そのディレクトリ下に監査証跡を出力します。基本的に,このディスクに保存されている監査証跡ファイルは参照しません。
監査証跡の出力先ディスクから監査証跡の保存先ディスクに,監査証跡ファイルを定期的に移動させます。ファイルの移動を実行するバッチプログラムを作成して,定期的にそのバッチプログラムを実行することを推奨します。
-
監査証跡の保存先ディスク
監査証跡の保存先ディスクには,監査の際に使用する監査証跡ファイルを保存します。監査の際には,監査証跡の保存先ディスクに保存している監査証跡ファイルのパスをADB_AUDITREAD関数中に指定して,監査証跡を参照します。例えば,監査時に過去1年分の監査証跡を使用する場合は,過去1年分の監査証跡ファイルをこのディスクに保存しておきます。
監査期間を過ぎた監査証跡ファイルは,監査証跡の長期保存先ディスクに移動させます。
-
監査証跡の長期保存先ディスク
監査証跡の長期保存先ディスクには,監査期間が過ぎた監査証跡ファイルを保存します。例えば,監査が1年ごとに実施される場合は,過去1年を過ぎた監査証跡ファイルを保存しておきます。
通常は,監査証跡の長期保存先ディスクに保存している監査証跡ファイル中の監査証跡を参照することはありません。セキュリティインシデントが発生した場合や,過去に遡って監査証跡を調査する場合に備えて,監査証跡ファイルを保存しておくためのディスクです。
監査証跡機能の推奨運用の流れを次の図に示します。
上記の図の,監査証跡の長期保存先ディスクに保存している監査証跡ファイルは,参照頻度が少ないため,OSのgzipコマンドで圧縮することを推奨します。ディスク容量に応じてファイルの圧縮を検討してください。監査証跡の保存先ディスクに保存している監査証跡ファイルは,監査の際に参照するため,圧縮しないで保存しておくことを推奨します。
- 重要
-
監査証跡ファイルが圧縮されている状態であっても,ADB_AUDITREAD関数を指定したSELECT文で監査証跡を参照することができます。