24.4.3 監査人の登録,監査証跡表を格納するRDエリアの作成,及び監査証跡表の作成
実行者 HiRDB管理者
データベース構成変更ユティリティ(pdmodコマンド)を実行して次に示すことをしてください。次に示す操作は1回のpdmodコマンドで同時に実行できます。
-
監査人の登録
-
監査証跡表を格納するRDエリアの作成
-
監査証跡表の作成
- 〈この項の構成〉
(1) 監査人の登録
pdmodコマンドのcreate auditor文で監査人を登録します。監査人は次に示す操作などができます。
-
監査証跡表へのデータロード
-
監査証跡ファイルのスワップ
-
監査証跡表の検索及び削除
- 注意事項
-
-
監査人登録時の注意事項は,マニュアル「HiRDB コマンドリファレンス」の「データベース構成変更ユティリティ(pdmod)」の「監査人の登録(セキュリティ監査機能)」の「機能」を参照してください。
-
一度登録した監査人を削除したり,変更したりできません。
-
監査人はDBA権限を持てません。監査人が取得できるユーザ権限を次の表に示します。
表24‒12 監査人が取得できるユーザ権限 ユーザ権限の種類
権限の有無
備考
主監査人
副監査人
監査権限
○
○
監査人を登録したときに自動的に権限が与えられます。
CONNECT権限
○
○
スキーマ定義権限
○
×
スキーマ操作権限
×
×
監査人はスキーマ操作権限を持てません。
DBA権限
×
×
監査人はDBA権限を持てません。
RDエリア利用権限
○
×
監査証跡表を格納するRDエリアの利用権限をDBA権限保持者から与えてもらう必要があります。ほかのRDエリアについても同様です。
表のアクセス権限
○
○
監査証跡表のアクセス権限が与えられます。ほかの表のアクセス権限については,表の所有者から与えてもらう必要があります。
-
- (凡例)
-
○:この権限を取得できます。
×:この権限を取得できません。
(2) 監査証跡表を格納するRDエリアの作成
監査証跡表を格納するRDエリアの容量を見積もり,RDエリアを作成します。
(a) 監査証跡表を格納するRDエリアの容量見積もり
監査証跡表を格納するRDエリアの容量を見積もるときは,次に示す点を考慮してください。RDエリアの容量の見積もりについては,マニュアル「HiRDB システム導入・設計ガイド」を参照してください。
-
監査証跡表の行長及び監査証跡表を格納するRDエリアのページ長
監査証跡表を格納するRDエリアのページ長は,監査証跡表の行長を基に決定してください。監査証跡表の行長の見積もり式は,次のとおりです。
監査証跡表の行長=1296+pd_aud_sql_source_sizeの値+pd_aud_sql_data_sizeの値(単位:バイト)
SQL文及びSQLデータを取得する場合,これらのバイナリデータを分岐してRDエリアに格納するかどうかを,監査証跡の運用方法に応じて決定してください。例えば,SQL文やSQLデータを監査証跡の検索対象にしない場合,これらを分岐してRDエリアに格納する設計とする方が,性能が良くなることがあります。
なお,SQL文及びSQLデータの両方を分岐してRDエリアに格納する場合,監査証跡表の行長は1320バイトです。
ページ長の決定については,マニュアル「HiRDB システム導入・設計ガイド」を参照してください。
-
監査証跡表に記録されるレコード数
はじめに,監査証跡を取得するイベントを決定してください。取得できるイベントについては「監査対象になるイベント」を,イベントごとに記録される監査証跡表の項目については「監査証跡のレコード項目(権限チェック時)」及び「監査証跡のレコード項目(イベント終了時)」を参照してください。
次に,監査証跡を取得するイベントの発生頻度と,各イベントの記録レコード数※から,1日に記録される監査証跡のレコード数を算出します。そして,次の見積もり式を基に,監査証跡表に格納する行数を算出してください。
監査証跡表に格納する行数=1日に記録される監査証跡のレコード数×データを保存したい日数
注※ 各イベントの記録レコード数については,「監査証跡のレコード項目(権限チェック時)」及び「監査証跡のレコード項目(イベント終了時)」の表にある,「記録レコード数」の列を参照してください。
(b) RDエリアの作成
pdmodコマンドのcreate rdarea文で,監査証跡表を格納するRDエリアを作成します。RDエリアを作成するときの注意事項を次に示します。
-
監査証跡表を格納するRDエリアは,監査証跡ファイル用とは別のHiRDBファイルシステム領域に作成することを推奨します。
監査証跡ファイル用のHiRDBファイルシステム領域に,監査証跡表を格納するRDエリアを作成すると,HiRDBの稼働中に監査証跡ファイルの容量が不足することがあります。
-
RDエリアの種類はユーザ用RDエリアにしてください。
-
RDエリアの利用権限を主監査人だけに与えてください。公用RDエリアにしたり,ほかのユーザに利用権限を与えたりしないでください。RDエリアの利用権限はcreate rdarea文のfor user used byオペランドで指定します。
-
追加したRDエリアにグローバルバッファを割り当ててください。
-
既存のRDエリアに監査証跡表を格納できますが,公用RDエリア又は主監査人以外のユーザに利用権限があるRDエリアには監査証跡表を格納できません。この場合は,RDエリアの利用権限を主監査人だけに変更してください。
-
監査証跡表を格納するRDエリアを再作成又は変更する場合は,主監査人が監査証跡表を削除した後に行ってください。
(3) 監査証跡表の作成
pdmodコマンドのcreate audit table文で監査証跡表を作成します。監査証跡表を作成するときの注意事項を次に示します。
-
監査証跡表は一つだけ作成できます。
-
監査証跡表は削除及び再定義できます。監査証跡表を削除する場合は主監査人がDROP TABLE文を実行してください。主監査人以外のユーザは監査証跡表を削除できません。削除した後に監査証跡表を再作成する場合はHiRDB管理者がpdmodコマンドのcreate audit table文を実行してください。
-
監査証跡表はインデクスが定義できます。ただし,データの一意性を保証する列がないため,UNIQUE指定のインデクスは定義しないでください。監査証跡表の列構成については,表「監査証跡表の列構成」を参照してください。
-
監査証跡表は横分割できません。
-
監査証跡表の表定義は変更できません。