Oracle RDBMS 監査レコード

Oracle RDBMS 監査レコード用の IBM QRadar DSM は、 Oracle データベースからログを収集します。

Oracle RDBMS 監査レコード DSM の仕様を以下の表に示します。

表 1. Oracle RDBMS 監査レコード DSM の仕様
仕様	値
製造元	Oracle
DSM 名	Oracle RDBMS 監査レコード
RPM ファイル名	DSM-OracleDbAudit-`QRadar_version-build_number`.noarch.rpm
サポートされるバージョン	9i （包括監査を含む 12c ）、 10g11g 19c
プロトコル	JDBC、Syslog
イベント・フォーマット	名前と値のペア
記録されるイベント・タイプ	監査レコード
自動的に検出?	はい
ID を含む?	はい
カスタム・プロパティーを含む?	いいえ
詳細情報	Oracle Web サイト (https://www.oracle.com)

Oracle RDBMS 監査レコードを QRadarに統合するには、以下のステップを実行します。

自動アップデートが有効になっていない場合は、IBM® サポート Web サイトから以下の RPM の最新バージョンをダウンロードし、QRadar Console にインストールしてください：
- プロトコル JDBC RPM
- DSMCommon RPM
- Oracle RDBMS 監査レコード DSM RPM
監査ログを書き込むように Oracle RDBMS Audit Record デバイスを構成します。

QRadar でログ・ソースが自動的に検出されなかった場合は、 QRadar コンソールで Oracle RDBMS 監査レコード・ログ・ソースを追加します。以下の表は、Oracle RDBMS Audit Record から監査イベントを収集するために固有の値を必要とするパラメーターについて説明しています。

表 2. Oracle RDBMS 監査レコード Syslog ログ・ソース・パラメーター
パラメーター	値
ログ・ソース・タイプ	Oracle RDBMS 監査レコード
プロトコル構成	Syslog
ログ・ソース ID	ログ・ソースの固有 ID を入力します。

表 3. Oracle RDBMS 監査レコード JDBC ログ・ソース・パラメーター
パラメーター	値
ログ・ソース・タイプ	Oracle RDBMS 監査レコード
プロトコル構成	JDBC
ログ・ソース ID	ログ・ソースの名前を入力します。名前にスペースを含めることはできません。また、JDBC プロトコルを使用するように構成されているログ・ソース・タイプのすべてのログ・ソースで固有である必要があります。ログ・ソースが静的 IP アドレスまたはホスト名を持つ単一のアプライアンスからイベントを収集する場合は、「ログ・ソース ID」値のすべて、または一部として、アプライアンスの IP アドレスまたはホスト名を使用します (例: 192.168.1.1 や JDBC192.168.1.1)。静的 IP アドレスまたはホスト名を持つ単一のアプライアンスからログ・ソースがイベントを収集しない場合は、「ログ・ソース ID」値に任意の固有名を使用できます (例: JDBC1、JDBC2)。
データベース・タイプ	Oracle
Database Name	監査ログの収集元とするデータベースの名前。
IP またはホスト名	Oracle データベースの IP アドレスまたはホスト名。
ポート	JDBC ポートを入力します。 JDBC ポートは、リモート・データベースで構成されているリスナー・ポートに一致している必要があります。データベースは、着信 TCP 接続を許可しなければなりません。有効な範囲は、1 から 65535 です。デフォルトは以下のとおりです。 MSDE - 1433 Postgres - 5432 MySQL - 3306 Sybase - 1521 Oracle - 1521 Informix® -9088 DB2® -50000 MSDE データベース・タイプの場合にデータベース・インスタンスを使用するときは、「ポート」フィールドを空白のままにしておく必要があります。
Username	データベースに接続するためのユーザー・アカウント。ユーザーには AUDIT_ADMIN 権限または AUDIT_VIEWER 権限が必要です。
パスワード	データベースへの接続に必要なパスワード。
定義済み照会	ログ・ソースに対する定義済みのデータベース照会を選択します。ログ・ソース・タイプに対して定義済み照会を使用できない場合、管理者は「なし」オプションを選択できます。
テーブル名	イベント・レコードを含む表またはビューの名前。表名に使用できる特殊文字は、ドル記号 ($)、番号記号 (#)、下線 (_)、エヌ・ダッシュ (-)、ピリオド (.) です。
選択リスト	表をポーリングしてイベントを照会するときに含めるフィールドのリスト。コンマ区切りのリストを使用できるほか、アスタリスク (*) を入力して、表またはビューにあるすべてのフィールドを選択することができます。コンマ区切りのリストを定義する場合は、「比較フィールド」で定義したフィールドをリストに含める必要があります。
比較フィールド	Oracle 9i または Oracle 10g リリース 1 の場合は、 `Qradar_time`と入力します。 Oracle 10g リリース 2、Oracle 11g、または Oracle 12c (非統合監査) の場合は、`extended_timestamp` と入力します。 Oracle 12c (統合監査) の場合は、`event_timestamp` と入力します。
Oracle 暗号化の使用 (Use Oracle Encryption)	Oracle の暗号化とデータ整合性の設定は、Oracle Advanced Security とも呼ばれます。これを選択した場合、Oracle JDBC 接続では、サーバーが同様の Oracle データ暗号化設定をクライアントとしてサポートすることが必要になります。

JDBC パラメーターの構成について詳しくは、 JDBC プロトコルの構成オプションを参照してください。

QRadar が正しく構成されていることを確認します。

重要: フォーマットの問題のため、メッセージ・フォーマットをテキスト・エディターに貼り付けてから、復帰文字または改行文字を削除してください。

以下の表は、 Oracle RDBMS 監査レコードからの正規化イベント・メッセージの例を記載しています。

イベント名下位カテゴリーサンプル・ログ・メッセージ

SELECT 成功 (SELECT succeeded)

システム処置の許可 (System Action Allow)

表 4. Oracle RDBMS Audit Record サンプル・メッセージ
イベント名	下位カテゴリー	サンプル・ログ・メッセージ
SELECT 成功 (SELECT succeeded)	システム処置の許可 (System Action Allow)	OS_USERNAME: "os_username" USERNAME: "username" USERHOST: "userhost" TERMINAL: "terminal" TIMESTAMP: "2017-04-05 21:04:02.0" OWNER: "owner" OBJ_NAME: "PARTIAL_ALERT" ACTION: "3" ACTION_NAME: "SELECT" NEW_OWNER: "null" NEW_NAME: "null" OBJ_PRIVILEGE: "null" SYS_PRIVILEGE: "null" ADMIN_OPTION: "null" GRANTEE: "null" AUDIT_OPTION: "null" SES_ACTIONS: "null" LOGOFF_TIME: "null" LOGOFF_LREAD: "null" LOGOFF_PREAD: "null" LOGOFF_LWRITE: "null" LOGOFF_DLOCK: "null" COMMENT_TEXT: "null" SESSIONID: "xxxxxx" ENTRYID: "2" STATEMENTID: "2" RETURNCODE: "0" PRIV_USED: "null" CLIENT_ID: "null" ECONTEXT_ID: "null" SESSION_CPU: "null" EXTENDED_TIMESTAMP: "2017-04-05 21:04:02.318133 America/Halifax" PROXY_SESSIONID: "null" GLOBAL_UID: "null" INSTANCE_NUMBER: "0" OS_PROCESS: "9276" TRANSACTIONID: "null" SCN: "3842851" SQL_BIND: "null" SQL_TEXT: "null" OBJ_EDITION_NAME: "null" DBID: "xxxxxxxxxx"
AUDIT 失敗 (AUDIT failed)	失敗した構成の変更 (Failed Configuration Modification)
		AUDIT_TYPE: "Standard" SESSIONID: "xxxxxxxxxx" PROXY_SESSIONID: "0" OS_USERNAME: "os_username" USERHOST: "userhost" TERMINAL: "terminal" INSTANCE_ID: "1" DBID: "xxxxxxxxxx" AUTHENTICATION_TYPE: "(TYPE=(DATABASE));" DBUSERNAME: "dbusername" DBPROXY_USERNAME: "null" EXTERNAL_USERID: "null" GLOBAL_USERID: "null" CLIENT_PROGRAM_NAME: "client_program_name" DBLINK_INFO: "null" XS_USER_NAME: "null" XS_SESSIONID: "000000000000000000000000000000000000000000000000000000000000000000" ENTRY_ID: "3" STATEMENT_ID: "11" EVENT_TIMESTAMP: "2017-04-05 20:44:21.29604" ACTION_NAME: "AUDIT" RETURN_CODE: "1031" OS_PROCESS: "1749" TRANSACTION_ID: "0000000000000000" SCN: "3841187" EXECUTION_ID: "null" OBJECT_SCHEMA: "null" OBJECT_NAME: "null" SQL_TEXT: "audit all" SQL_BINDS: "null" APPLICATION_CONTEXTS: "null" CLIENT_IDENTIFIER: "null" NEW_SCHEMA: "null" NEW_NAME: "null" OBJECT_EDITION: "null" SYSTEM_PRIVILEGE_USED: "null" SYSTEM_PRIVILEGE: "null" AUDIT_OPTION: "CREATE SESSION" OBJECT_PRIVILEGES: "null" ROLE: "null" TARGET_USER: "null" EXCLUDED_USER: "null" EXCLUDED_SCHEMA: "null" EXCLUDED_OBJECT: "null" ADDITIONAL_INFO: "null" UNIFIED_AUDIT_POLICIES: "null" FGA_POLICY_NAME: "null" XS_INACTIVITY_TIMEOUT: "0" XS_ENTITY_TYPE: "null" XS_TARGET_PRINCIPAL_NAME: "null" XS_PROXY_USER_NAME: "null" XS_DATASEC_POLICY_NAME: "null" XS_SCHEMA_NAME: "null" XS_CALLBACK_EVENT_TYPE: "null" XS_PACKAGE_NAME: "null" XS_PROCEDURE_NAME: "null" XS_ENABLED_ROLE: "null" XS_COOKIE: "null" XS_NS_NAME: "null" XS_NS_ATTRIBUTE: "null" XS_NS_ATTRIBUTE_OLD_VAL: "null" XS_NS_ATTRIBUTE_NEW_VAL: "null" DV_ACTION_CODE: "0" DV_ACTION_NAME: "null" DV_EXTENDED_ACTION_CODE: "0" DV_GRANTEE: "null" DV_RETURN_CODE: "0" DV_ACTION_OBJECT_NAME: "null" DV_RULE_SET_NAME: "null" DV_COMMENT: "null" DV_FACTOR_CONTEXT: "null" DV_OBJECT_STATUS: "null" OLS_POLICY_NAME: "null" OLS_GRANTEE: "null" OLS_MAX_READ_LABEL: "null" OLS_MAX_WRITE_LABEL: "null" OLS_MIN_WRITE_LABEL: "null" OLS_PRIVILEGES_GRANTED: "null" OLS_PROGRAM_UNIT_NAME: "null" OLS_PRIVILEGES_USED: "null" OLS_STRING_LABEL: "null" OLS_LABEL_COMPONENT_TYPE: "null" OLS_LABEL_COMPONENT_NAME: "null" OLS_PARENT_GROUP_NAME: "null" OLS_OLD_VALUE: "null" OLS_NEW_VALUE: "null" RMAN_SESSION_RECID: "0" RMAN_SESSION_STAMP: "0" RMAN_OPERATION: "null" RMAN_OBJECT_TYPE: "null" RMAN_DEVICE_TYPE: "null" DP_TEXT_PARAMETERS1: "null" DP_BOOLEAN_PARAMETERS1: "null" DIRECT_PATH_NUM_COLUMNS_LOADED: "0"

OS_USERNAME: "os_username" USERNAME: "username" USERHOST: "userhost" TERMINAL: "terminal" TIMESTAMP: "2017-04-05 21:04:02.0" OWNER: "owner" OBJ_NAME: "PARTIAL_ALERT" ACTION: "3" ACTION_NAME: "SELECT" NEW_OWNER: "null" NEW_NAME: "null" OBJ_PRIVILEGE: "null" SYS_PRIVILEGE: "null" ADMIN_OPTION: "null" GRANTEE: "null" AUDIT_OPTION: "null" SES_ACTIONS: "null" LOGOFF_TIME: "null" LOGOFF_LREAD: "null" LOGOFF_PREAD: "null" LOGOFF_LWRITE: "null" LOGOFF_DLOCK: "null" COMMENT_TEXT: "null" SESSIONID: "xxxxxx" ENTRYID: "2" STATEMENTID: "2" RETURNCODE: "0" PRIV_USED: "null" CLIENT_ID: "null" ECONTEXT_ID: "null" SESSION_CPU: "null" EXTENDED_TIMESTAMP: "2017-04-05 21:04:02.318133 America/Halifax" PROXY_SESSIONID: "null" GLOBAL_UID: "null" INSTANCE_NUMBER: "0" OS_PROCESS: "9276" TRANSACTIONID: "null" SCN: "3842851" SQL_BIND: "null" SQL_TEXT: "null" OBJ_EDITION_NAME: "null" DBID: "xxxxxxxxxx"

AUDIT 失敗 (AUDIT failed)

失敗した構成の変更 (Failed Configuration Modification)

AUDIT_TYPE: "Standard" SESSIONID: "xxxxxxxxxx" PROXY_SESSIONID: "0" OS_USERNAME: "os_username" USERHOST: "userhost" TERMINAL: "terminal" INSTANCE_ID: "1" DBID: "xxxxxxxxxx" AUTHENTICATION_TYPE: "(TYPE=(DATABASE));" DBUSERNAME: "dbusername" DBPROXY_USERNAME: "null" EXTERNAL_USERID: "null" GLOBAL_USERID: "null" CLIENT_PROGRAM_NAME: "client_program_name" DBLINK_INFO: "null" XS_USER_NAME: "null" XS_SESSIONID: "000000000000000000000000000000000000000000000000000000000000000000" ENTRY_ID: "3" STATEMENT_ID: "11" EVENT_TIMESTAMP: "2017-04-05 20:44:21.29604" ACTION_NAME: "AUDIT" RETURN_CODE: "1031" OS_PROCESS: "1749" TRANSACTION_ID: "0000000000000000" SCN: "3841187" EXECUTION_ID: "null" OBJECT_SCHEMA: "null" OBJECT_NAME: "null" SQL_TEXT: "audit all" SQL_BINDS: "null" APPLICATION_CONTEXTS: "null" CLIENT_IDENTIFIER: "null" NEW_SCHEMA: "null" NEW_NAME: "null" OBJECT_EDITION: "null" SYSTEM_PRIVILEGE_USED: "null" SYSTEM_PRIVILEGE: "null" AUDIT_OPTION: "CREATE SESSION" OBJECT_PRIVILEGES: "null" ROLE: "null" TARGET_USER: "null" EXCLUDED_USER: "null" EXCLUDED_SCHEMA: "null" EXCLUDED_OBJECT: "null" ADDITIONAL_INFO: "null" UNIFIED_AUDIT_POLICIES: "null" FGA_POLICY_NAME: "null" XS_INACTIVITY_TIMEOUT: "0" XS_ENTITY_TYPE: "null" XS_TARGET_PRINCIPAL_NAME: "null" XS_PROXY_USER_NAME: "null" XS_DATASEC_POLICY_NAME: "null" XS_SCHEMA_NAME: "null" XS_CALLBACK_EVENT_TYPE: "null" XS_PACKAGE_NAME: "null" XS_PROCEDURE_NAME: "null" XS_ENABLED_ROLE: "null" XS_COOKIE: "null" XS_NS_NAME: "null" XS_NS_ATTRIBUTE: "null" XS_NS_ATTRIBUTE_OLD_VAL: "null" XS_NS_ATTRIBUTE_NEW_VAL: "null" DV_ACTION_CODE: "0" DV_ACTION_NAME: "null" DV_EXTENDED_ACTION_CODE: "0" DV_GRANTEE: "null" DV_RETURN_CODE: "0" DV_ACTION_OBJECT_NAME: "null" DV_RULE_SET_NAME: "null" DV_COMMENT: "null" DV_FACTOR_CONTEXT: "null" DV_OBJECT_STATUS: "null" OLS_POLICY_NAME: "null" OLS_GRANTEE: "null" OLS_MAX_READ_LABEL: "null" OLS_MAX_WRITE_LABEL: "null" OLS_MIN_WRITE_LABEL: "null" OLS_PRIVILEGES_GRANTED: "null" OLS_PROGRAM_UNIT_NAME: "null" OLS_PRIVILEGES_USED: "null" OLS_STRING_LABEL: "null" OLS_LABEL_COMPONENT_TYPE: "null" OLS_LABEL_COMPONENT_NAME: "null" OLS_PARENT_GROUP_NAME: "null" OLS_OLD_VALUE: "null" OLS_NEW_VALUE: "null" RMAN_SESSION_RECID: "0" RMAN_SESSION_STAMP: "0" RMAN_OPERATION: "null" RMAN_OBJECT_TYPE: "null" RMAN_DEVICE_TYPE: "null" DP_TEXT_PARAMETERS1: "null" DP_BOOLEAN_PARAMETERS1: "null" DIRECT_PATH_NUM_COLUMNS_LOADED: "0"