Oracle Cloud Databaseの監査ログ(Unified Audit)は、OCIのログ・サービスと連携して、統合的に分析させるということが可能です。方式としては、Logging AnalyticsとData Safeの2種類のサービスがあり、用途に合わせて選択することができます。
Logging Analytics
- Oracle Databaseの監査表に限らず、アラート、トレースなどのログファイルなど様々なログを取得可能
- Unified Auditの取り込みは低速
- 多機能なログ分析、アラート通知などOCIの他サービスと連携
- 保管期間の制限なし
- Activeの場合、300GB/月ごとに5万くらい。Archiveだと2000円/月ほど
Data Safe
- AUD、FGA_LOG、Unified AuditのPDBのDB監査表のみが対象
- Unified Auditの取り込みは高速
- DB監査に特化した分析ダッシュボード
- 最大 7年保管 (Active 1年、Archive 6年)
- 100万/月レコードまで無料、以降1万レコード/月 14円くらい
Data Safeの場合、ADBの監査ログの長期保管、BaseDB/ExaDB-Dを複数管理しているDB監査ログの集約としてなどの使い方が考えられるかと思います。
ここでは、BaseDBをData Safeと連携する手順について説明します。
※ Logging Analyticsを使う場合はこちらの記事を参照下さい。
BaseDBをデータセーフに登録
-
Data Safeを有効化する手順はこちらを参考に
-
OCIメニューから、Oracle Database -> データセーフのOracle Cloud データベースのウィザートを開始
-
BaseDBのPDBの接続情報を登録。構成スクリプトを(datasafe_privileges.sql)ダウンロードし、BaseDBのPDBでユーザー作成とスクリプトを実行する
-
PDBに管理者でログインし、Data Safeが接続に使用するユーザーと権限を付与する
#Data Safe用ユーザーの作成
SQL> create user DATASAFE$ADMIN identified by WelCome12345##;
#Data Safe用の権限を付与
SQL> @datasafe_privileges
Enter value for USERNAME -> DATASAFE$ADMIN
Enter value for TYPE (grant/revoke) -> grant
Enter value for MODE -> all
-
プライベート・エンドポイントとセキュリティ・ルールを指定する
-
登録後、正常に完了すればAcitveでターゲット・データベースに表示される
Unified Auditの収集を有効にする
-
データセーフ -> アクティビティ監査 -> Audit Trailsには、作成したターゲット・データベースに対応した3つの監査表が検出されている。Unified Auditを選択
-
AuditをStartする。Start後に監査ログを取得する先頭の日付を求められるのでお好みの値に
-
アクティビティ監査 -> Audit ReportsにUnified Auditの監査ログが表示される
監査ポリシーを変更する
- Data Safeは、コンソールからプリセットされた監査ポリシーを直接DBに実行することも可能
- データセーフ -> アクティビティ監査 -> Audit policiesからターゲットを選択し、Retrieveを実行。これで既存の監査ポリシーの設定が読み込まれる
- 変更する場合は、Update and Provisionを選択する。BaseDBはORA_SECURECONFIGとORA_LOGON_FAILURESがデフォルトで有効化されている。主な監査ポリシーの内容はこちら
※User Activity Auditingは、DMLを含むユーザーのすべてのSQLが対象になり、ログが膨大になるので注意。DMLに対しては、基本的にはDB側で条件を絞った監査ポリシーを実行するほうが良い。ポリシーの設定方法は、こちら
Oracle Databaseのセキュリティ・ベストプラクティスでは、監査ログの対象を出来るだけ絞ることが推奨されています。Unified Auditには、条件のポリシーを細かく設定できるので、特定のIPアドレスやアプリケーション、重要な表に対する更新DMLのみ等のポリシー設計が重要です
DBパフォーマンス劣化やインスタンスダウンなど予期せぬトラブルを起こさないためにも、監査ログの定期的なモニタリングに、ログ・サービスも活用頂ければと思います