Oracle Enterprise Manager

Oracle Enterprise Manager 用の IBM QRadar DSM は、 Oracle Enterprise Manager デバイスからイベントを収集します。 イベントは、Oracle Enterprise Manager のコンプライアンスのリアルタイム監視機能によって生成されます。

Oracle Enterprise Manager DSM の仕様を以下の表に示します。
表 1. Oracle Enterprise Manager DSM の仕様
仕様
製造元 Oracle
DSM 名 Oracle Enterprise Manager
RPM ファイル名 DSM-OracleEnterpriseManager-QRadar_version-Buildbuild_number.noarch.rpm
サポートされるバージョン Oracle Enterprise Manager Cloud Control 12c
プロトコル JDBC
記録されるイベント・タイプ 監査

コンプライアンス
自動的に検出? いいえ
ID を含む? はい
カスタム・プロパティーを含む? いいえ
詳細情報 Oracle Enterprise Manager (https://www.oracle.com/enterprise-manager/)。

イベントの元のフォーマットは、 Oracle Enterprise Manager データベース・ビュー (sysman.mgmt$ccc_all_observations) の行です。 QRadar は、このビューで新しい行をポーリングし、それらの行を使用してイベントを生成します。 詳しくは、「 準拠ビュー 」 (http://docs.oracle.com/cd/E24628_01/doc.121/e57277/ch5_complianceviews.htm#BABBIJAA) を参照してください。
Oracle Enterprise Manager からイベントを収集するには、以下の手順を実行します。
  1. 自動アップデートが有効になっていない場合は、IBM® サポート Web サイトから最新バージョンの Oracle Enterprise Manager DSM RPM をダウンロードして、QRadar コンソールにインストールします。
  2. Oracle Enterprise Manager システムが、外部デバイスからの接続を受け入れるように構成されていることを確認してください。
  3. QRadar コンソールで Oracle Enterprise Manager ログ・ソースを追加します。 以下の表は、Oracle Enterprise Manager イベントの収集用に固有の値を必要とするパラメーターを示しています。
    表 2. Oracle Enterprise Manager JDBC ログ・ソース・パラメーター
    パラメーター 説明
    ログ・ソース名 ログ・ソースの固有名を入力します。
    ログ・ソースの説明 (オプション) ログ・ソースの説明を入力します。
    ログ・ソース・タイプ Oracle Enterprise Manager
    プロトコル構成 JDBC
    データベース・タイプ Oracle
    Database Name Oracle Enterprise Manager データベースのサービス名。

    使用可能なサービス名を表示するには、Oracle ホストで lsnrctl status コマンドを実行します。
    IP またはホスト名 Oracle Enterprise Manager データベース・サーバーの IP アドレスまたはホスト名。
    ポート Oracle Enterprise Manager データベースが使用するポート。
    Username sysman.mgmt$ccc_all_observations テーブルにアクセスする権限を持つアカウントのユーザー名。
    パスワード データベースへの接続に必要なパスワード。
    定義済み照会 (オプション) なし
    テーブル名 sysman.mgmt$ccc_all_observations
    選択リスト *
    比較フィールド ACTION_TIME
    準備済みステートメントの使用 (Use Prepared Statements) はい
    開始日時 (オプション)

    データベースのポーリングの開始日時を yyyy-MM-dd HH:mm の形式で入力します (HH は 24 時間形式で指定します)。 開始日または開始時間をクリアした場合は、すぐにポーリングが開始され、指定のポーリング間隔で繰り返されます。
    ポーリング間隔 (Polling Interval)

    イベント・テーブルに対する照会から次の照会までの間の時間を入力します。 もっと長いポーリング間隔を定義するには、H (時間) または M (分) を数値に追加します。

    最大ポーリング間隔は 1 週間です。
    EPS スロットル

    QRadar が取り込む 1 秒当たりのイベントの最大数。

    データ・ソースが EPS スロットルを超える場合、データ収集は遅延されます。 データは引き続き収集され、データ・ソースが EPS スロットルを超えて停止すると取り込まれます。

    有効な範囲は 100 から 20,000 です。
    Oracle 暗号化の使用 (Use Oracle Encryption)

    Oracle の暗号化とデータ整合性の設定 は、Oracle Advanced Security とも呼ばれます。

    これを選択した場合、Oracle JDBC 接続では、サーバーが同様の Oracle データ暗号化設定をクライアントとしてサポートすることが必要になります。

JDBC パラメーターの構成について詳しくは、 c_logsource_JDBCprotocol.html を参照してください。