目次


InfoSphere Guardium Installation Manager のインストールと Guardium クライアントの管理

Guardium Installation Manager の利用ガイド

Comments

はじめに

IBM InfoSphere Guardium (以下 Guardium) は、監視対象システムに殆ど負荷を掛ける事無く、DBA を含む全てのユーザーのデータベースへのアクセスを監視することが出来ます。さらに、様々なデータベースの監査ログを一元管理し、豊富な形式を用いて監査レポートの作成を行います。

この記事では、Guardium クライアントの配布・インストール、設定を一元的に行うことを可能にする Guardium Installation Manager (以下 GIM) に関して説明します。最初に GIM の構成に関して説明します。その後 Guardium v8.2 日本語版を利用して、実際のインストール手順や利用方法に関して説明します。事前知識として、developerWorks 「InfoSphere Guardium が提供する情報漏洩対策ソリューション」、developerWorks「InfoSphere Guardium アーキテクチャー」を参照してください。

Guardium Installation Manager の構成

Guardium は、データの管理を行うコレクターとデータベース・サーバー上でデータの取得を行う S-TAP で構成されます。通常、ユーザーは S-TAP などのクライアント・モジュールのインストールやパラメーターの変更を、各データベース・サーバー上で個別に実行する必要があります。GIM を利用することで、多数のデータベース・サーバーを利用する大規模な環境においても、インストールや設定パラメーターの変更を GIM サーバーから一括して行うことができます。

GIM は、モジュールの管理や GUI を提供する GIM サーバーと、データベース・サーバーにインストールされる GIM クライアントで構成されます。最小構成とその構成手順を以下の図 1 を用いて説明します。

図 1. GIM 構成の流れ
GIM 構成の流れ
GIM 構成の流れ
  1. データベース・サーバーに GIM クライアントをインストールします。GIM サーバーはコレクターに初期導入されていますので、ユーザーが導入する必要はありません。
  2. GIM クライアントと GIM サーバー間で通信が行われ、GIM サーバーに GIM クライアント情報が登録されます。コレクターに統合されている GIM サーバーの GUI で登録状況をチェックできます。
  3. 各データベース・サーバーに配布・インストールする Guardium クライアント・モジュール (S-TAP など) を GIM サーバーにインポートします。
  4. GIM サーバーの GUI を利用して、データベース・サーバーにクライアント・モジュールを配布・インストールします。
  5. 各データベースの Guardium クライアント・モジュールや、GIM 自身のパラメーターの変更や状況の確認、起動や停止は、GIM サーバーから実行可能です。

UNIX/Linux の GIM クライアントは GIM モジュールと SUPERVISOR モジュールで構成されます。GIM モジュールは GIM サーバーとの通信やモジュールのインストール、アンインストールなどを実行します。SUPERVISOR モジュールはインストールされたモジュールの起動やプロセスの監視を行います。Windows では Windows サービスによって管理されるため、SUPERVISOR は存在しません。

GIM 環境のセットアップ

GIM を利用して S-TAP の配布・インストールを行う手順を説明します。ここでは、GIM サーバーの IP (コレクターの IP) は 192.168.1.10、GIM クライアントの IP (データベース・サーバーの IP/S-TAP クライアントの IP) は 192.168.1.20 としています。

GIM クライアントのインストール (UNIX/Linux)

GIM クライアントは Perl を利用します。システムに Perl5.8.x もしくは 5.10.x が導入されていて、パスが通っていることを確認してください。

シェルスクリプトを実行してインストーラーを起動します。インストーラーの引数としてインストール・ディレクトリ、データベース・サーバーの IP (tapip)、コレクターの IP (sqlguardip) を指定します。

(DBserver1)# ./guard-bundle-GIM-v82_xxxxx.gim.sh -- --dir /usr/local/guardium
 --tapip 192.168.1.20 --sqlguardip 192.168.1.10

ライセンスに同意し、インストールを完了してください。GIM のインストールが正しく終了した場合、GIM のプロセスが追加され、自動的に起動します。以下のように確認できます。

(DBserver1)# cat /etc/inittab | grep gardium
gim:2345:respawn:/usr/bin/perl
 /usr/local/guardium/modules/GIM/8.2.00_r33264_1-1321945794/gim_client.pl
gsvr:2345:respawn:/usr/local/guardium/modules/perl
 /usr/local/guardium/modules/SUPERVISOR/8.2.00_r33264_1-1321945801/guard_supervisor
(DBserver1)# ps -ef | grep guardium
root 425994      1   0 16:09:55      -  0:00 /usr/bin/perl
 /usr/local/guardium/modules/GIM/8.2.00_r33264_1-1321945794/gim_client.pl
root 581694      1   0 16:10:07      -  0:00 /usr/local/guardium/modules/perl
 /usr/local/guardium/modules/SUPERVISOR/8.2.00_r33264_1-1321945801/guard_supervisor

インストール実行ログは、以下のファイルに出力されます。

(UNIX/Linux) /usr/local/guardium/modules/GIM/current/GIM.log

エラーが発生した場合にも、このファイルを参照してエラー原因を特定することができます。

GIM インストール後、GIM サーバーに正しく登録されているか確認します。コレクターの URL は、デフォルトでは https://hostname:8443 です。
[管理コンソール] -> [モジュール・インストール] -> [プロセス・モニター] を開きます。この画面で、[状況] が緑になっていることを確認します。

図 2. プロセス・モニターの状況表示
プロセス・モニターの状況表示
プロセス・モニターの状況表示

GIM クライアントのインストール (Windows)

GIM クライアントは Perl を利用します。Strawberry Perl や Active Perl などのソフトウェアを別途導入する必要があります。インストール実行前に Perl5.8.x もしくは 5.10.x が導入されていること、IPC-Run3 と Win32-DriveInfo の 2つのパッケージがインストールされていることを確認してください。

インストールは実行ファイルを起動します。Windows では、実行後のウィザードで Perl のインストール・パス、コレクターの IP、実行マシンの IP の入力を行います。

gim_client\setup.exe

ライセンスに同意し、インストールを完了してください。GIM のインストールが正しく終了した場合、GIM のプロセスが追加され、自動的に起動します。

[管理ツール] -> [サービス] を開き、[Guardium Installation Manager] が開始されていることを確認します。なお、Windows では SUPERVISOR は存在しません。

インストール実行ログは、以下のファイルに出力されます。

(Windows) C:\Program Files\Guardium\Guardium Installation Manager\GIM\current\GIM.log

エラーが発生した場合にも、このファイルを参照してエラー原因を特定することができます。

GIM インストール後、GIM サーバーに正しく登録されているか確認します。コレクターの URL は、デフォルトでは https://hostname:8443 です。
[管理コンソール] -> [モジュール・インストール] -> [プロセス・モニター] を開きます。この画面で、[状況] が緑になっていることを確認します。

図 3. プロセス・モニターの状況表示
プロセス・モニターの状況表示
プロセス・モニターの状況表示

Windows の場合は SUPERVISOR が存在しないので、GIM モジュールのみが表示されます。

モジュールのインポート

GIM サーバーは初期状態ではモジュールを持っていません。データベースに配布・インストールしたいモジュールを、GIM サーバーにアップロードし、インポートする必要があります。アップロードしたモジュールを GIM サーバーにインポートすると、そのモジュールをデータベース・サーバーにインストールできるようになります。

以下の処理は GIM サーバー上で行います。
[管理コンソール] -> [モジュール・インストール] -> [アップロード] の画面を開き、参照ボタンを押してアップロードするモジュールを選択します。モジュールファイルは拡張子 gim を持ったファイルで guard-bundle-module-version_name_sw_revision-os-os_version-os_vendor-processor.gim という形式です。

図 4. アップロードしたモジュールのインポート
アップロードしたモジュールのインポート
アップロードしたモジュールのインポート

アップロード実行後は図 4 のようにインポート待ちのリストに追加されるので、チェックボタンを押してインポートを実行します。インポート済みのモジュールは、[管理コンソール] -> [モジュール・インストール] -> [設定 モジュール別] から確認することができます。

S-TAP モジュールのインストール

GIM を利用して、登録したデータベース・サーバーに監視モジュールである S-TAP を導入します。

[管理コンソール] -> [モジュール・インストール] -> [設定 クライアント別] をクリックします。[クライアント検索条件] には何も入力せずに [検索] をクリックするとすべてのクライアントが表示されます。インストール対象となるクライアントの左端のチェックボックスを選択して [次へ] をクリックすると、インストールするクライアント・モジュール一覧が表示されます。アップロードしたモジュールが見つからない場合は、[最新バージョンの表示] と [バンドルのみの表示] のチェックを外すとすべてのモジュールが表示されます。インストールするモジュールを選択して [次へ] をクリックすると、パラメーターの設定画面が表示されます。

パラメーターの設定画面は、複数のクライアントのパラメーターを一括で設定する [共通モジュール・パラメーター] と各クライアントのパラメーターを個別に設定する [クライアント用モジュール・パラメーター] で構成されています。

Windows では [WINSTAP_DBALIAS]、[WINSTAP_INSTALLDIR]、[WINSTAP_SQLGUARDIP]、[WINSTAP_TAPIP] の 4つの項目が入力必須です。[WINSTAP_DBALIAS] にはデータベース・サーバーのホスト名を入力すること、[WINSTAP_INSTALLDIR] のパスのセパレータは “\” ではなくて “/” を利用することに注意してください。

UNIX/Linux では [KTAP_LIVE_UPDATE] が入力必須項目です。このパラメーターはアップデート時の挙動に影響するため、今回のような初期インストールでは特に関係がありません。[共通モジュール・パラメーター] もしくは [クライアント用モジュール・パラメーター] の [KTAP_LIVE_UPDATE] に [Y] を入力します。オプションパラメーターである [SQLGuard IP] や [TAPIP] の値は、特に入力しない場合は GIM インストール時に設定した値が利用されます。

値入力後、[クライアントに適用] をクリックし、[インストール/更新] ボタンをクリックすると、実行時間の指定画面が表示されます。今回はすぐに実行するので [NOW] を入力します。インストールの実行状況は、[管理コンソール] -> [モジュール・インストール] -> [設定 クライアント別] のクライアントリストの画面で [i] というボタンを押すことで確認可能です。

図 5. インストール状況のチェック
インストール状況のチェック
インストール状況のチェック

なお、この画面で [状況] として表示される状態は以下のとおりです。

表 1. [状況] の意味
状態意味
INSTALLEDモジュールはインストール済み
PENDING-INSTALLモジュールの インストールのスケジュール設定を保留中
PENDING-UNINSTALLモジュールの アンインストールのスケジュール設定を保留中
PENDING-UPDATEモジュールの アップデートのスケジュール設定を保留中
IPモジュールのインストールが 進行中
IP-PRモジュールのインストール・プロセスを完了するには、 クライアントをリブートしてください

注: 状態が 'IP-PR' の場合、 データベース・サーバーのブート方法は OS によって異なります (以下の方法以外でシステムをリブートした場合は、 保留中のモジュールは保留状態のままになります)
Linux   : shutdown -r
SUSE    : reboot
HP      : shutdown -r
Solaris : shutdown -i [6|0]
AIX     : reboot
Tru64   : reboot

注: また、リブートの前に A-TAP インスタンスを使用不可/非活動化する必要があります
FAILEDモジュールの最終操作が 失敗しました

S-TAP のインストール終了後、コレクターと S-TAP の間の通信が開始されます。[システム・ビュー] -> [S-TAP 状況モニター] で [状況] が Active になっていれば、正常に通信が行われていることが確認できます。

図 6. システム・ビューでの S-TAP の状況の確認
システム・ビューでの S-TAP の状況の確認
システム・ビューでの S-TAP の状況の確認

通信が正常に行われていますので、以降は S-TAP 検査エンジンの設定やレポートの作成を行います。ここではこれらの設定に関しては述べません。詳細に関しては「InfoSphere Guardium によるデータベースの監視を開始する」を参照ください。

GIM パラメーターの変更

GIM にはユーザー・インターフェースとして、サーバー側の GUI だけでなく、GIM クライアント側で利用できる CLI も持っています。GIM サーバーの GUI や GIM クライアントの CLI を利用して、GIM を用いて配布・インストールされたモジュールと GIM 自身のパラメーターを変更することができます。ここでは、GIM クライアントの接続先をある GIM サーバーから別の GIM サーバーに変更する「リダイレクト」を例にとり、Guardium モジュールのパラメーターの変更方法を説明します。

GUI を利用した GIM サーバーのリダイレクト (Windows/UNIX/Linux)

GIM のパラメーターを変更するには、オプションの GIM モジュールを GIM サーバーにインポートする必要があります。S-TAP モジュールのインポートと同様の手順で実行してください。

最初に、現在の GIM の設定を確認します。
[管理コンソール] -> [モジュール・インストール] -> [設定 クライアント別] 画面を開き、検索画面に GIM クライアントの情報を入力するか、そのまま [検索] を選択し、GIM クライアント一覧から対象クライアントを選択します。

モジュールから GIM モジュールを選択します。すでに Install 済みなので、[状況] が [INSTALLED] になっていることが確認できます。

図 7. モジュールの状況確認
モジュールの状況確認
モジュールの状況確認

次に、GIM クライアントに設定されている GIM サーバーの IP アドレスを変更します。

[次へ] をクリックし、[モジュール・パラメーター] の画面で、[GIM_URL] に新しい GIM サーバーの IP アドレスを入力します。[クライアントに適用] をクリックし、[インストール/更新] をクリックします。この手順は S-TAP インストール時の手順と同様です。
変更が適用されると、[管理コンソール] -> [モジュール・インストール] -> [プロセス・モニター] から GIM クライアントが削除され、新しい GIM サーバーのプロセス・モニターに追加されます。

ただし、この変更は GIM サーバーのみの変更であることに注意してください。例えば、S-TAP の接続先は変更されていません。この状況で S-TAP の接続先を変更する場合は、新しい GIM サーバーの [モジュール] から S-TAP モジュールを選択し、[STAP_SQLGUARD_IP] も同様に変更する必要があります。

CLI を利用した GIM サーバーのリダイレクト (UNIX/Linux)

UNIX/Linux では、UTILS モジュールに含まれる GIM CLI を利用して、GIM クライアント側からパラメーターを変更できます。GIM サーバーがダウンした場合など、GIM サーバーの GUI を利用した設定変更が行えない場合にも利用できます。ただし、設定ファイルを直接変更してGIM サーバーの移動を実行した場合、変更前の GIM サーバーの [プロセス・モニター] に GIM クライアントの情報が残ります。

以下、IP アドレス 192.168.1.10 の GIM サーバーから IP アドレス 192.168.1.11 の GIM サーバーへのリダイレクト手順を示します。

(UNIX/Linux)
UTILS モジュールのインストール・ディレクトリに移動し、現在インストールされているすべてのモジュールのリストを出力します

(DBserver1)# cd gardium-install-directory/modules/UTILS/current/files/bin
(DBserver1)# ./configurator.sh --list
[Tue Nov 22 16:55:14 2011] UTILS          8.2.00_r33264_1    INSTALLED
[Tue Nov 22 16:55:14 2011] BUNDLE-GIM     8.2.00_r33264_1    INSTALLED
[Tue Nov 22 16:55:14 2011] SUPERVISOR     8.2.00_r33264_1    INSTALLED
[Tue Nov 22 16:55:14 2011] GIM            8.2.00_r33264_1    INSTALLED
[Tue Nov 22 16:55:14 2011] INIT           8.2.00_r33264_1    INSTALLED

今回は GIM のパラメーターを変更するため、GIM のパラメーター一覧を出力し、変更するパラメーターを確認後、変更を実行します。

(DBserver1)# ./configurator.sh --get GIM | grep URL
GIM_FAILOVER_URL=
GIM_URL=192.168.1.10
GIM_URL_PORT=8081 (DBserver1)# ./configurator.sh –set GIM_URL 192.168.1.11
(DBserver1)# ./configurator.sh –set GIM_URL 192.168.1.11
(DBserver1)#

変更を反映させるために、gim_client.pl を kill して再起動します。

(DBserver1)# ps -ef | grep gim_client
root 425994      1   0 16:09:55      -  0:00 /usr/bin/perl
 /usr/local/guardium/modules/GIM/8.2.00_r33264_1-1321945794/gim_client.pl
root 545002 266380   0 16:57:07  pts/0  0:00 grep gim_client
(DBserver1)# kill 425994

GIM サーバーのリダイレクト (Windows)

Windows には GIM CLI が無いので、クライアントからのパラメーター変更を行うには、設定ファイルを直接編集します。設定ファイルを直接変更してGIM サーバーの移動を実行した場合、変更前の GIM サーバーの [プロセス・モニター] に GIM クライアントの情報が残ります。

設定ファイルをテキストエディタで開き、[GIM_URL] の [value] を変更します。
(Windows) C:\Program Files\Guardium\Guardium Installation Manager\GIM\current\conf

'GIM_URL' => {
	'ts' => '2009-07-15 17:05:17.0',
	'value' => '192.168.1.11'
},

編集後、[管理ツール] -> [サービス] から [Guardium Installation Manager] を選択し再起動を実行します。

まとめ

この記事では、GIM のインストールと GUI や CLI の利用方法について説明しました。GIM を利用することで、大規模環境における Guardium クライアント・モジュールの配布や設定を一元的に管理することができます。


ダウンロード可能なリソース


関連トピック


コメント

コメントを登録するにはサインインあるいは登録してください。

static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=60
Zone=Information Management
ArticleID=793991
ArticleTitle=InfoSphere Guardium Installation Manager のインストールと Guardium クライアントの管理
publish-date=02232012