前回のおさらい
こんにちはプラチナホルダーの長沢です。
前回はOracle Management CloudのAgentをインストールしました。
本ビジネスブログの右側の「最新の投稿」の下にある
カテゴリー > [連載]Oracle Management Cloud使ってみました。
からアーカイブ記事が確認できます。
こちらに更新していきますので、宜しくお願いします。
今回はいよいよ監査ログの取得設定を行います。
※ログ監視ではいくつか問題が発生しましたが、解決方法がMOSの情報だったりするので、ここでは記載を省略し、マニュアルベースで記載がある内容にとどめています。
※もしお困りの内容がありましたら当社までお問い合わせください。
監査ログの設定
監査ログの取得設定はパーサーを使用したオリジナルの取得設定も出来ますが、今回はデフォルトの設定で取得します。
Oracle Cloud にサインインし、My Oracleサービスの一覧から「管理コンソール」をクリックします。
ハンバーガーメニューからLog Analytics⇒Log Adminに入り、Log Sourcesをクリックします。
ログ取得対象のハンバーガーメニューをクリックし、Add Entity Associations をクリックします。
Associated Entities: Linux Audit Logs の画面で +Addをクリックします。
その後、Select Entitiesの画面で監査ログ取得対象を選択し、Selectをクリックします。
Associated Entities: Linux Audit Logs の画面でSaveをクリックします。
Log Sources画面で対象のAssociated Entitiesが1件増えていることを確認します。
同様にDBの監査ログ取得も行います。
ログ取得対象のハンバーガーメニューをクリックし、Add Entity Associations をクリック後、Server NameやPort,SID,監視ユーザ名など、DB接続に必要な情報を入力し、Add Entityをクリックします。
監査が取得できているとLog Explorerの画面から取得したログを確認することが出来ます。
グラフは好きにカスタマイズすることが出来ます。
例えば、下記は統合監査ログのコマンド別にグラフ化しました。直前にaudit設定を入れたので、Auditコマンドのログがほとんどしめています。
さらに細分化してみました。
14:45と16:30にauditコマンドが大量に実行されていることが分かります。
またauditコマンドのの詳細が下部に表示されています。
いかがだったでしょうか?
すべてを検証し切れているわけではありませんが、触ってみた限り、ログ分析ツールとしてはかなり優秀だと感じました。
また次回検証できるタイミングがあれば、もう少し細かな設定部分を更新したいと思います。