Hitachi

ノンストップデータベース HiRDB Version 10 システム運用ガイド(UNIX(R)用)


24.4.3 監査人の登録,監査証跡表を格納するRDエリアの作成,及び監査証跡表の作成

実行者 HiRDB管理者

データベース構成変更ユティリティ(pdmodコマンド)を実行して次に示すことをしてください。次に示す操作は1回のpdmodコマンドで同時に実行できます。

〈この項の構成〉

(1) 監査人の登録

pdmodコマンドのcreate auditor文で監査人を登録します。監査人は次に示す操作などができます。

注意事項
  • 監査人登録時の注意事項は,マニュアル「HiRDB コマンドリファレンス」の「データベース構成変更ユティリティ(pdmod)」の「監査人の登録(セキュリティ監査機能)」の「機能」を参照してください。

  • 一度登録した監査人を削除したり,変更したりできません。

  • 監査人はDBA権限を持てません。監査人が取得できるユーザ権限を次の表に示します。

    表24‒12 監査人が取得できるユーザ権限

    ユーザ権限の種類

    権限の有無

    備考

    主監査人

    副監査人

    監査権限

    監査人を登録したときに自動的に権限が与えられます。

    CONNECT権限

    スキーマ定義権限

    ×

    スキーマ操作権限

    ×

    ×

    監査人はスキーマ操作権限を持てません。

    DBA権限

    ×

    ×

    監査人はDBA権限を持てません。

    RDエリア利用権限

    ×

    監査証跡表を格納するRDエリアの利用権限をDBA権限保持者から与えてもらう必要があります。ほかのRDエリアについても同様です。

    表のアクセス権限

    監査証跡表のアクセス権限が与えられます。ほかの表のアクセス権限については,表の所有者から与えてもらう必要があります。

(凡例)

○:この権限を取得できます。

×:この権限を取得できません。

(2) 監査証跡表を格納するRDエリアの作成

監査証跡表を格納するRDエリアの容量を見積もり,RDエリアを作成します。

(a) 監査証跡表を格納するRDエリアの容量見積もり

監査証跡表を格納するRDエリアの容量を見積もるときは,次に示す点を考慮してください。RDエリアの容量の見積もりについては,マニュアル「HiRDB システム導入・設計ガイド」を参照してください。

  • 監査証跡表の行長及び監査証跡表を格納するRDエリアのページ長

    監査証跡表を格納するRDエリアのページ長は,監査証跡表の行長を基に決定してください。監査証跡表の行長の見積もり式は,次のとおりです。

    監査証跡表の行長=1296+pd_aud_sql_source_sizeの値+pd_aud_sql_data_sizeの値(単位:バイト)

    SQL文及びSQLデータを取得する場合,これらのバイナリデータを分岐してRDエリアに格納するかどうかを,監査証跡の運用方法に応じて決定してください。例えば,SQL文やSQLデータを監査証跡の検索対象にしない場合,これらを分岐してRDエリアに格納する設計とする方が,性能が良くなることがあります。

    なお,SQL文及びSQLデータの両方を分岐してRDエリアに格納する場合,監査証跡表の行長は1320バイトです。

    ページ長の決定については,マニュアル「HiRDB システム導入・設計ガイド」を参照してください。

  • 監査証跡表に記録されるレコード数

    はじめに,監査証跡を取得するイベントを決定してください。取得できるイベントについては「監査対象になるイベント」を,イベントごとに記録される監査証跡表の項目については「監査証跡のレコード項目(権限チェック時)」及び「監査証跡のレコード項目(イベント終了時)」を参照してください。

    次に,監査証跡を取得するイベントの発生頻度と,各イベントの記録レコード数から,1日に記録される監査証跡のレコード数を算出します。そして,次の見積もり式を基に,監査証跡表に格納する行数を算出してください。

    監査証跡表に格納する行数=1日に記録される監査証跡のレコード数×データを保存したい日数

注※ 各イベントの記録レコード数については,「監査証跡のレコード項目(権限チェック時)」及び「監査証跡のレコード項目(イベント終了時)」の表にある,「記録レコード数」の列を参照してください。

(b) RDエリアの作成

pdmodコマンドのcreate rdarea文で,監査証跡表を格納するRDエリアを作成します。RDエリアを作成するときの注意事項を次に示します。

  • 監査証跡表を格納するRDエリアは,監査証跡ファイル用とは別のHiRDBファイルシステム領域に作成することを推奨します。

    監査証跡ファイル用のHiRDBファイルシステム領域に,監査証跡表を格納するRDエリアを作成すると,HiRDBの稼働中に監査証跡ファイルの容量が不足することがあります。

  • RDエリアの種類はユーザ用RDエリアにしてください。

  • RDエリアの利用権限を主監査人だけに与えてください。公用RDエリアにしたり,ほかのユーザに利用権限を与えたりしないでください。RDエリアの利用権限はcreate rdarea文のfor user used byオペランドで指定します。

  • 追加したRDエリアにグローバルバッファを割り当ててください。

  • 既存のRDエリアに監査証跡表を格納できますが,公用RDエリア又は主監査人以外のユーザに利用権限があるRDエリアには監査証跡表を格納できません。この場合は,RDエリアの利用権限を主監査人だけに変更してください。

  • 監査証跡表を格納するRDエリアを再作成又は変更する場合は,主監査人が監査証跡表を削除した後に行ってください。

(3) 監査証跡表の作成

pdmodコマンドのcreate audit table文で監査証跡表を作成します。監査証跡表を作成するときの注意事項を次に示します。