3.

Định hình và quản lý Audit Vault :

Khi bạn đã định hình và bắt đầu thu thập các tác nhân và những người thu thập và cài
đặt nguồn để được kiểm tra như được định nghĩa ở chương 2, bạn có thể cần biển diễn
một vài ví dụ về công việc định hình và cũng bắt đầu quản lý Audit Vault

3.1 Quản lý các tác nhân thu thập :

Tác nhân thu thập chỉ có thể được thêm hoặc bỏ

3.1.1.1 Sử dụng AVCA Command-line để thả một tác nhân :

Tác nhân thu nhập có thể được thả từ Oracle Audit Vault. từ khi AVCA thả tác nhân
không xóa sự thu thập tác nhân từ Oracle Audit, bạn nên chỉ thả một tác nhân khi nó
không còn cần thiết để thu thập các hồ sơ đánh dấu kiểm tra từ nguồn. AVCA loại bỏ
tác nhân thực hiện vô hiệu hóa tác nhân thu thập. Tuy nhiên, bạn không thể them một
tác nhân thu thập với cùng một tên giống như cái mà được xóa mà cũng không thể cấp
quyền một tác nhân thu thập mà cần được loại bỏ

Để xóa một tác nhân , sử dụng câu lệnh AVCA xóa tác nhân :
avca drop_agent -agentname OC4JAgent1

3.1.1.2 Sử dụng Audit Vault Console để quản lý nhân thu thập :

Để sử dụng Audit Vault Console để quản lý tác nhân thu thập, hiển thị ở bên trong
Audit Vault Console như một người dung với AV_ADMIN phân quyền. Sử dụng tabs,
chọn Configuration , sau đó là Agent để hiển thị trang Agent (hình 3-1)

Từ trang Agent , bạn có thể :

Chọn một tác nhân thu thập đặt tên ở trên trường Agent và nhấn Go để xem thông tin
về tác nhân thu thập đó.
Chọn một tác nhân thu thập, sau đó chọn View để xem đặc tính cho tác nhân thu thập
trên trang View Agent, nhấn OK để trở lại trang Agent

Chọn một tác nhân thu thập, sau đó chọn Edit để chỉnh sửa đặc tính cho một tác nhân
thu thập. Trên Edit Egent, chỉnh sửa các đặc tính bắt buộc cho tác nhân thu thập. Chọn
OK để lưu thay đổi của bạn và trở về trang Agent

Chọn một tác nhân thu thập, sau đó chọn Delete để xóa cái tác nhân thu thập đó. Khi
bạn đã xóa, tên của nó sẽ không thể được đặt lại để tạo các tác nhân thu thập khác.

Chọn Help trên bất kì trang tác nhân nào để xem them thông tin

3.1.2 Thêm nguồn, thay thế thuộc tính nguồn, và xóa nguồn

Nguồn là cơ sở dữ liệu mà từ đó dữ liệu xác minh được thu thập và quản lý ở Oracle
Audit Vault. Trước khi thêm dữ liệu, Audit Vault Collection Agent, thứ mà quản lý
các người thu thập để rút ra từ dữ liệu dược xác minh. Đoạn này mô tả việc thêm dữ
liệu, thay thế thuộc tính nguồn và xóa nguồn

3.1.2.1 Thêm dữ liệu :

Khi dữ liệu được thêm hoặc đăng kí vào trong Audit Vault, thông tin phải được cung
cấp sử dụng những thành phần trong cậu lệnh AVORCLDB :

-src <host:port:service>  -dùng cho một dữ liệu của cơ sở dữ liệu Oracle, dữ liệu kết
nối thông tin tồn tại tên host, số cổng, cách nhau bởi dấu hai chấm
-src <host:port> - dùng cho dữ liệu SQL serve

[-srcusr <usr>/<pwd>] Để tương thích ngược với các bản phát hành trước đây của
Audit Vault Agents với Audit Vault Server và sử dụng các nguồn Cơ sở dữ liệu
Oracle, thông tin đăng nhập của người dùng trên cơ sở dữ liệu nguồn để thu thập
dữ liệu kiểm tra. Để bảo mật xử lý mật khẩu, không chỉ định đối số này trên
dòng lệnh cũng như không sử dụng biến môi trường khi sử dụng cơ sở dữ liệu
nguồn của Oracle. Thay vào đó, đối với tất cả các nguồn cơ sở dữ liệu, hãy để
lệnh nhắc bạn nhập tên người dùng và mật khẩu nguồn, đây là hành vi mặc định
cho bản phát hành Audit Vault 10.2.3.0.0 trở lên.
-srcname <srcname> Tên nguồn. Đối số này là bắt buộc đối với cơ sở dữ liệu nguồn
Microsoft SQL Server. Đối số này là tùy chọn đối với cơ sở dữ liệu nguồn
Oracle. Nếu đối số này không được chỉ định cho cơ sở dữ liệu nguồn Oracle, tên
cơ sở dữ liệu chung của nguồn sẽ được sử dụng.
[-desc <desc>]  Mô tả ngắn gọn tùy chọn của nguồn.
[-agentname <agentname>] Đối với các nguồn Cơ sở dữ liệu Oracle, tên tác
nhân thu thập tùy chọn; tuy nhiên, tham số này phải được chỉ định để định cấu
hình quản lý chính sách cho các nguồn Cơ sở dữ liệu Oracle bằng lệnh
AVORCLDB add_source.
3.1.2.2 Thay thế nguồn :

Phần này mô tả việc thay đổi các thuộc tính cho một nguồn có thể sửa đổi
được. Các thuộc tính nguồn được mô tả trong phần này theo nguồn mà chúng
được liên kết.

Thuộc tính nguồn cơ sở dữ liệu Oracle

Một số thuộc tính nguồn Cơ sở dữ liệu Oracle có thể sửa đổi sau khi tạo bằng cách sử
dụng <attrname>=<attrvalue>đối số tùy chọn trên dòng lệnh và phân tách nhiều cặp bằng
khoảng trắng bằng cách sử dụng AVORCLDB alter_source yêu cầu. Xem Bảng C-
5 để biết danh sách các thuộc tính có thể sửa đổi bằng cách sử dụng lệnh alter_source .

Để thay đổi thuộc tính của nguồn Cơ sở dữ liệu Oracle, hãy sử

dụng alter_sourcelệnh AVORCLDB sau. Ví dụ:
avmssqldb alter_source -srcname MSSQLDBSrc DESCRIPTION="new desc"

Thuộc tính nguồn máy chủ Microsoft SQL

Một số thuộc tính nguồn Cơ sở dữ liệu Microsoft SQL Server có thể sửa đổi
được bằng cách sử dụng đối số tùy chọn  [<attrname>=<attrvalue>] trên dòng
lệnh và tách nhiều cặp mục nhập bằng khoảng trắng bằng cách sử dụng bộ thay
đổi AVMSSQLDB yêu cầu. Xem Bảng D-3 để biết danh sách các thuộc tính có
thể sửa đổi bằng cách sử dụng lệnh alter_source .

Để thay đổi thuộc tính của nguồn Cơ sở dữ liệu Microsoft SQL Server, hãy sử
dụng  alter_source lệnh AVMSSQLDB sau. Ví dụ:
avmssqldb alter_source -srcname MSSQLDBSrc DESCRIPTION="new desc"

3.1.2.3 Xóa nguồn :

Lệnh drop_source Audit Vault không phải là một sự sụt giảm thực sự. Lệnh
drop_source, vô hiệu hóa nguồn.

Do đó, một khi bạn đã xóa một nguồn, bạn không thể thêm một nguồn mới có
cùng tên cũng như không thể bật nguồn đã bị xóa. Dữ liệu kiểm tra cho một
nguồn bị loại bỏ sẽ không còn được thu thập sau khi nguồn bị loại bỏ, nhưng
thông tin về nguồn bị loại bỏ được duy trì trong Oracle Audit Vault với trạng
thái bị loại bỏ. Do đó, bạn chỉ nên bỏ nguồn nếu bạn không còn muốn thu thập
dữ liệu kiểm tra hoặc nguồn đã chuyển sang máy chủ lưu trữ mới. Đối với các
thuộc tính của một nguồn có thể được sửa đổi, hãy xem alter_source các lệnh
trong Phụ lục C và Phụ lục D .

Để xóa nguồn Cơ sở dữ liệu Oracle, hãy sử dụng

drop_source
lệnh AVORCLDB. Ví dụ:
avorcldb drop_source -srcname ORCLDB.DOMAIN.COM

Để xóa nguồn Cơ sở dữ liệu Microsoft SQL Server, hãy sử dụng

drop_source
lệnh AVMSSQLDB. Ví dụ:
avmssqldb drop_source -srcname mssqldb4

3.1.2.4 Sử dụng Audit Vault Console để quản lý nguồn

Để sử dụng Bảng điều khiển Audit Vault để quản lý nguồn, hãy đăng nhập vào
Bảng điều khiển Audit Vault với tư cách là người dùng được cấp vai trò
AV_ADMIN. Sử dụng các tab, nhấp vào Cấu hình , sau đó nhấp vào Nguồn
kiểm tra để hiển thị trang Quản lý cấu hình nguồn (xem Hình 3-2 ).

Từ trang Quản lý cấu hình nguồn , bạn có thể:

  Nhập loại nguồn vào trường Loại nguồn và tùy ý nhập tên của nguồn vào
trường Nguồn, sau đó bấm Đi để tìm kiếm các nguồn của loại nguồn đó
hoặc một nguồn cụ thể của loại nguồn đó.
 Chọn một nguồn, sau đó nhấp vào Xem để xem các thuộc tính và thuộc
tính cho nguồn. Sau khi xem các thuộc tính và thuộc tính nguồn trên
trang Xem chi tiết nguồn , bấm OK để quay lại trang Quản lý cấu hình
nguồn .
 Chọn một nguồn, sau đó nhấp vào Chỉnh sửa để chỉnh sửa các thuộc tính
và thuộc tính có thể thay đổi cho một nguồn. Trên trang Chỉnh sửa chi tiết
nguồn , hãy chỉnh sửa các thuộc tính và thuộc tính mong muốn cho
nguồn. Nhấp vào OK để lưu các thay đổi của bạn và quay lại trang Quản
lý cấu hình nguồn .
 Chọn một nguồn, sau đó nhấp vào Xóa để xóa nguồn đó. Sau khi bạn xóa
nguồn đó, tên của nó không thể được sử dụng lại để tạo nguồn khác.

Nhấp vào Trợ giúp trên bất kỳ trang Quản lý cấu hình nguồn nào để biết thêm
thông tin và xem alter_sourcecác lệnh trong Phụ lục C và Phụ lục D để biết thêm
thông tin về các thuộc tính có thể được sửa đổi.

3.1.3 Thêm dữ liệu thu thập, thay đổi thuộc tính dữ liệu thu thập và loại bỏ
dũ liệu thu thập :
Người thu thập Audit Vault chịu trách nhiệm thu thập dữ liệu kiểm tra từ một
nguồn. Người thu thập trích xuất và chuyển đổi các bản ghi kiểm tra từ các bản
kiểm tra nguồn của họ và gửi chúng đến Audit Vault để được lưu trữ trong kho
lưu trữ Audit Vault. Trước khi bạn có thể thêm bộ sưu tập, trước tiên bạn phải
cài đặt Tác nhân (xem Phần 3.1.1 ), sau đó thêm hoặc đăng ký nguồn của nó với
Audit Vault (xem Phần 3.1.2 ). Phần này mô tả việc thêm bộ sưu tập, thay đổi
thuộc tính bộ sưu tập và loại bỏ bộ sưu tập.

3.1.3.1 Thêm người thu thập :

Phần này mô tả thêm bộ sưu tập và cung cấp thông tin cho các đối số trên dòng
lệnh. Mỗi bộ sưu tập được mô tả trong phần này bởi nhóm bộ sưu tập mà nó
được liên kết.

Cơ sở dữ liệu Oracle Bộ sưu tập OSAUD, DBAUD và REDO

Khi người thu thập được thêm hoặc đăng ký trong Audit Vault, thông tin phải
được cung cấp bằng cách sử dụng các đối số sau
trongLệnh add_collector AVORCLDBvà AVMSSQLDB add_collector yêu cầu:
  >– Tên nguồn mà từ đó người thu thập này sẽ thu thập dữ
-srcname <srcname
liệu kiểm tra. Đây là tên nguồn được trả về khi thêm nguồn kiểm tra cơ sở
dữ liệu vào Audit Vault như được mô tả trong Phần 3.1.2.1 . Xem Ví dụ
2-5 và Ví dụ 2-13 .

 -agentname <agentname >– Tên của đại lý nhờ thu mà người thu này được liên
kết.

 -colltype [OSAUD,DBAUD,REDO]–Đối với trình thu thập Cơ sở dữ liệu Oracle,

loại trình thu thập mà trình thu thập này là: OSAUD, DBAUD hoặc
REDO.

 >]– Đối với bộ sưu tập OSAUD của Cơ sở dữ liệu

[-orclhome <orclhome
Oracle, ngôi nhà Oracle của cơ sở dữ liệu nguồn. Đối số này là bắt buộc
nếu –colltype giá trị đối số là OSAUD.

 [-collname <collname>]– Tên duy nhất tùy chọn của người thu thập.

 [-desc <desc>]– Tùy chọn mô tả ngắn gọn về người thu gom.

 – Đối với trình thu thập REDO của Cơ sở dữ liệu

[-av <host:port:service>]
Oracle, thông tin kết nối cho Audit Vault được sử dụng cho liên kết cơ sở
dữ liệu từ cơ sở dữ liệu nguồn đến Audit Vault. Đối số này là bắt buộc
nếu -colltypegiá trị đối số là REDO.

 – Tên phiên bản của bản cài đặt Audit Vault Oracle
[-instname <instname>]
Real Application Clusters (Oracle RAC). Đối số này phải được sử dụng
để thêm nhiều trình thu thập OSAUD (một trình thu thập cho mỗi phiên
bản).

Xem Phần 2.2 để biết ví dụ về việc thêm bộ sưu tập Cơ sở dữ liệu Oracle

OSAUD, DBAUD và REDO.

3.1.3.2 Thay đổi thuộc tính và thuộc tính của Collector :

Phần này liệt kê các thuộc tính của bộ sưu tập và mô tả việc thay đổi các thuộc
tính của bộ sưu tập cho các bộ sưu tập. Các thuộc tính của trình thu thập được
mô tả trong phần này bởi trình thu thập mà chúng được liên kết.
Các thuộc tính và thuộc tính của bộ sưu tập cơ sở dữ liệu Oracle OSAUD,
DBAUD và REDO
Một số thuộc tính trình thu thập Cơ sở dữ liệu Oracle có thể sửa đổi bằng cách
sử dụng đối số [ <attrname>=<attrvalue>]tùy chọn trên dòng lệnh và phân tách
nhiều cặp bằng dấu cách bằng cách sử
dụngLệnh AVORCLDB alter_collector. Xem Bảng C-2 , Bảng C-3 và Bảng C-
4 để biết danh sách các thuộc tính có thể sửa đổi bằng cách sử dụng
lệnh alter_collector .
Bạn có thể sửa đổi một hoặc nhiều thuộc tính cho bộ sưu tập tại một thời điểm bằng
lệnh AVORCLDB alter_collector . Xem lệnh AVORCLDB alter_collector để biết
thêm thông tin.

Để thay đổi bộ sưu tập, hãy sử dụng lệnh AVORCLDB alter_collector sau :

avorcldb alter_collector -collname testColl -srcname testSrc DESCRIPTION="new desc"

3.1.3.3 Xóa collectors

Để loại bỏ một bộ sưu tập, hãy chỉ định bộ sưu tập của nótên trong
lệnh drop_collector AVORCLDBhoặc trong lệnh
AVMSSQLDB drop_collector.

Lệnh drop_collector không xóa trình thu thập khỏi Oracle Audit Vault. Lệnh 
drop_collector vô hiệu hóa bộ sưu tập. Do đó, bạn không thể thêm bộ sưu tập có
cùng tên với bộ sưu tập đã bị loại bỏ hoặc kích hoạt bộ sưu tập đã bị loại bỏ.

Để xóa trình thu thập Cơ sở dữ liệu Oracle, hãy sử dụng lệnh

AVORCLDB drop_collector để xóa trình thu thập. Ví dụ:
avorcldb drop_collector -srcname ORCL.DOMAIN.COM -collname STREAMSCOLLECTOR

Để loại bỏ bộ sưu tập Cơ sở dữ liệu Microsoft SQL Server, hãy sử dụng lệnh
AVMSSQLDB drop_collector để loại bỏ bộ sưu tập. Ví dụ:
avmssqldb drop_collector -srcname mssqldb4 -collname MSSQLCollector_2

3.1.3.4 Sử dụng Audit Vault Console để quản lý Collectors

Để sử dụng Bảng điều khiển Audit Vault để quản lý người thu thập, hãy đăng
nhập vào Bảng điều khiển Audit Vault với tư cách là người dùng
được AV_ADMINcấp vai trò. Sử dụng các tab, nhấp vào Configuration , Audit
Source , sau đó Collector để hiển thị trang Collector Configuration
Management (xem Hình 3-3 ).

Hình 3-3 Trang quản lý cấu hình Collector

Từ trang Collector Configuration Management , bạn có thể:

 Nhập loại trình thu thập trong trường Loại trình thu thập và tùy ý nhập tên
của trình thu thập trong trường Trình thu thập, sau đó bấm Đi để tìm kiếm
trình thu thập thuộc loại trình thu thập đó hoặc một trình thu thập cụ thể
của loại trình thu thập đó.
 Chọn một bộ sưu tập, sau đó nhấp vào Xem để xem các thuộc tính và
thuộc tính cho bộ sưu tập. Sau khi xem các thuộc tính và thuộc tính của
bộ sưu tập trên trang Xem chi tiết bộ sưu tập , bấm OK để trở lại
trang Quản lý cấu hình bộ sưu tập .
 Chọn một bộ sưu tập, sau đó nhấp vào Chỉnh sửa để chỉnh sửa các thuộc
tính và thuộc tính có thể thay đổi cho một bộ sưu tập. Trên trang Chỉnh
sửa chi tiết bộ sưu tập , hãy chỉnh sửa các thuộc tính và thuộc tính mong
muốn cho bộ sưu tập. Nhấp vào OK để lưu các thay đổi của bạn và quay
lại trang Quản lý Cấu hình Collector .
 Chọn một bộ sưu tập, sau đó nhấp vào Xóa để xóa bộ sưu tập đó. Sau khi
bạn xóa bộ sưu tập đó, tên của nó không thể được sử dụng lại để tạo bộ
sưu tập khác.

Nhấp vào Trợ giúp trên bất kỳ trang Quản lý Cấu hình Collector nào để biết

thêm thông tin hoặc xem lệnh alter_collector dành cho AVORCLDB trong Phụ
lục C hoặc cho AVMSSQLDB trong Phụ lục D.
3.1.4 Định cấu hình lịch trình kho dữ liệu

Dữ liệu kiểm tra di chuyển đến kho dữ liệu theo một lịch trình xác định được gọi
là lịch trình kho. Sau khi dữ liệu kiểm toán được chuyển từ nguồn sang kho lưu
trữ dữ liệu kiểm toán thô Audit Vault, một DBMS_SCHEDULERcông việc của
Oracle sẽ chạy quy trình trích xuất, chuyển đổi và tải (ETL) để chuẩn hóa dữ
liệu kiểm toán thô vào kho dữ liệu. Theo mặc định, DBMS_SCHEDULER công việc mặc
định sẽ chạy 24 giờ một lần. Dữ liệu kiểm toán được lưu giữ trong kho dữ liệu
trong một khoảng thời gian xác định. Dữ liệu kiểm toán có thể được làm mới
trong kho dữ liệu theo lịch trình.

3.1.4.1 Sử dụng Audit Vault Console để xem thông tin lịch trình kho

Audit Vault cung cấp số liệu thống kê về quá trình ETL cập nhật kho như
trong Hình 3-4 . Bằng cách sử dụng thông tin được cung cấp trong các
cột Duration in Minutesvà CPU Used, bạn có thể ước tính tần suất công việc có thể
được chạy để cập nhật cơ sở hạ tầng kho dữ liệu.

Hình 3-4 Trang Hoạt động Làm mới Hiển thị Thống kê của Quy trình ETL
Liên quan đến việc tải dữ liệu kiểm tra đã lưu trữ được hiển thị trên trang Hoạt
động tải , xử lý cảnh báo phải được tắt khi dữ liệu kiểm tra được tải lại từ kho
lưu trữ để cảnh báo không được phát hành lại và sau đó được bật lại khi kho
được làm mới với dữ liệu kiểm tra mới. Sau khi chạy báo cáo đối với dữ liệu
này, bạn có thể xóa dữ liệu và hoạt động này được báo cáo trên trang Hoạt động
xóa .

3.1.4.2 Sử dụng bảng điều khiển Audit Vault để đặt lịch kho

Theo mặc định, công việc kho sẽ chạy 24 giờ một lần. Có một số cách để thay
đổi tần suất chạy công việc ETL.

Một cách là tạo một lịch trình mới bằng cách sử dụng DBMS_SCHEDULERgói
sẽ phản ánh tần suất mà bạn muốn quá trình ETL xảy ra. Sau khi đã tạo xong
lịch trình mới, bạn truy cập vào trang cài đặt kho và đổi tên lịch trình từ mặc
định thành tên lịch trình mới vừa tạo.

Một cách khác là sử dụng tùy chọn tiêu chuẩn trên trang cài đặt kho nơi bạn có
thể đặt tần suất theo cách thủ công mà bạn muốn công việc chạy. (Bạn có thể
sao chép bất kỳ phần DVD nào bên dưới trên trang cài đặt kho, nơi bạn đã mô tả
các trường khác nhau cho tùy chọn tiêu chuẩn.)

Ngoài ra trên trang cài đặt kho, có một phần có tiêu đề Thời gian lưu giữ . Thời
gian lưu giữ chỉ định khoảng thời gian bạn muốn duy trì dữ liệu theo dõi kiểm
toán trực tuyến cho mục đích báo cáo. Theo mặc định, đây là một năm. Thời
gian tối thiểu, bạn có thể chỉ định là một tháng. Mặc dù bạn có thể có các yêu
cầu kinh doanh để duy trì dữ liệu theo dõi kiểm tra trong một khoảng thời gian
dài hơn, nhưng Thời gian lưu giữ là một cách để chỉ định khoảng thời gian bạn
muốn duy trì dữ liệu trong kho để phân tích và báo cáo.

Bạn có thể triển khai quy trình quản lý vòng đời với dữ liệu theo dõi kiểm tra để
duy trì nó trong một khoảng thời gian dài hơn. Xem Phần 4.4 để biết thêm thông
tin về cách quản lý dữ liệu theo dõi kiểm toán.

Để sử dụng Bảng điều khiển Audit Vault nhằm đặt các cài đặt kho này, hãy
đăng nhập vào Bảng điều khiển Audit Vault với tư cách là người dùng
được AV_ADMINcấp vai trò. Sử dụng các tab, nhấp vào Cấu hình , sau
đó nhấp vào Kho để hiển thị trang Cài đặt kho (xem Hình 3-5 ).
 Mô tả của "Hình 3-5 Trang cài đặt kho hàng"

Trên trang Cài đặt kho , chỉ định lịch trình tiêu chuẩn bằng cách chọn Loại lịch
trình của loại Tiêu chuẩn . Sau đó, chỉ định cài đặt tần suất sau để di chuyển dữ
liệu kiểm tra mới vào kho:

 Tần suất Loại theo phút, theo giờ, theo ngày, theo tuần, theo tháng hoặc
theo năm
 Khoảng thời gian (Ngày) cho biết thời gian giữa việc di chuyển dữ liệu
kiểm toán đến kho
 Múi giờ cho biết múi giờ địa phương của kho
 Ngày bắt đầu cho biết ngày bắt đầu di chuyển dữ liệu kiểm toán đến kho
 Thời gian bắt đầu cho biết thời gian bắt đầu di chuyển dữ liệu kiểm tra
đến kho

Bạn cũng có thể chỉ định lịch trình được xác định trước bằng cách chọn Loại
lịch trình Sử dụng Lịch trình được xác định trước , sau đó chọn lược đồ
trong trường Lược đồ nơi đặt lịch trình và chọn tên của lịch trình trong
trường Lịch trình .

Tiếp theo, chỉ định thời gian lưu giữ hoặc khoảng thời gian lưu giữ dữ liệu kiểm
tra trong kho trong trường Thời gian lưu giữ .

Kiểm tra cài đặt của bạn, sau đó nhấp vào Áp dụng để lưu cài đặt kho của bạn.

Nhấp vào Trợ giúp trên trang Cài đặt kho để biết thêm thông tin.
3.1.4.3 Sử dụng tiện ích dòng lệnh AVCA để đặt lịch kho

Sử dụngLệnh AVCA set_warehouse_scheduleđể làm mới dữ liệutừ kho lưu trữ

dữ liệu kiểm toán thô bằng cách đặt giá trị cho các đối số sau:

 -schedulename <schedule name> – Tên lịch trình

 -startdate <start date> – Ngày bắt đầu
 -rptintrv <repeat interval> – Khoảng thời gian lặp lại
 [-dateformat <date format>] – Định dạng ngày tùy chọn cho –
startdate đối số

Lệnh AVCA set_warehouse_schedule bị quá tải và có thể được sử dụng để

chỉ định tên lịch trình được tạo
bằng DBMS_SCHEDULER.create_schedulethủ tục hoặc chỉ định ngày bắt
đầu và khoảng thời gian lặp lại cũng như chỉ định định dạng ngày cụ thể theo
tùy chọn. Ví dụ: lệnh AVCA set_warehouse_schedule sau đây sử dụng đối số
ngày bắt đầu và khoảng thời gian lặp lại để đặt lịch làm mới dữ liệu từ kho
lưu trữ dữ liệu kiểm tra thô sang lược đồ hình sao .

Sử dụng lệnh AVCA set_warehouse_retentionđể kiểm soátlượng dữ liệu được

lưu trực tuyến trong bảng dữ liệu kho dữ liệu bằng cách đặt các giá trị cho
khoảng thời gian năm tháng.

Ví dụ sau kiểm soát lượng dữ liệu được lưu trực tuyến trong bảng kho dữ liệu
trong khoảng thời gian một năm.
avca set_warehouse_retention -intrv +01-00
3.1.5 Vô hiệu hóa và kích hoạt cài đặt cảnh báo trên toàn cầu

Để sử dụng Bảng điều khiển Audit Vault để vô hiệu hóa trên toàn cầuxử lý cảnh
báo, hãy đăng nhập vào Bảng điều khiển Audit Vault với tư cách là người dùng
được AV_ADMINcấp vai trò. Sử dụng các tab, nhấp vào Cấu hình , sau
đó nhấp vào Cảnh báo để hiển thị trang Cài đặt Cảnh báo (xem Hình 3-6 ).

Hình 3-6 Trang Cài đặt Cảnh báo

Trên trang Cài đặt cảnh báo , tại trường Trạng thái xử lý cảnh báo , nhấp vào
tùy chọn Tắt để vô hiệu hóa toàn bộ quá trình xử lý cảnh báo, sau đó nhấp
vào Áp dụng .

Nhấp vào Trợ giúp trên trang Cài đặt cảnh báo để biết thêm thông tin.

3.1.6 Xem danh mục sự kiện kiểm tra

Quản lý danh mục sự kiện kiểm tra bao gồm xem các danh mục sự kiện kiểm tra
Audit Vault, thuộc tính của chúng và các sự kiện được kiểm tra.

Để sử dụng Bảng điều khiển Audit Vault nhằm xem các danh mục sự kiện kiểm
tra, hãy đăng nhập vào Bảng điều khiển Audit Vault với tư cách là người dùng
được AV_ADMINcấp vai trò. Sử dụng các tab, nhấp vào Cấu hình , sau đó
nhấp vào Danh mục Sự kiện Kiểm tra để hiển thị trang Quản lý Danh mục
Sự kiện Kiểm tra (xem Hình 3-7 ).

Hình 3-7 Trang quản lý danh mục sự kiện kiểm tra

Trên trang Quản lý danh mục sự kiện kiểm tra , các danh mục sự kiện kiểm
tra xuất hiện ở định dạng bảng, hiển thị các cột sau:

 Danh mục sự kiện kiểm toán

 Sự kiện kiểm toán Hạng mục Mô tả
 Tên định dạng
 Mô-đun định dạng

Từ trang Quản lý danh mục sự kiện kiểm tra , bạn có thể chọn loại nguồn
kiểm tra từ trường Loại nguồn kiểm tra , sau đó xem các danh mục sự kiện
kiểm tra cho loại nguồn kiểm tra đó. Các loại nguồn kiểm toán có sẵn trong bản
phát hành này là ORCLDB và MSSQLDB.

Từ trang Quản lý danh mục sự kiện kiểm tra , bạn có thể chọn một danh mục
sự kiện kiểm tra, sau đó nhấp vào Xem để xem các thuộc tính và sự kiện kiểm
tra của nó trên trang Xem danh mục sự kiện kiểm tra . Từ trang Xem danh
mục sự kiện kiểm tra , tab Thuộc tính xuất hiện theo mặc định, hiển thị các
thuộc tính cho danh mục sự kiện kiểm tra đã chọn. Nhấp vào tab Sự kiện kiểm
tra để hiển thị các sự kiện kiểm tra được kiểm tra cho danh mục sự kiện kiểm
tra đã chọn.

Nhấp vào Trợ giúp trên bất kỳ trang Quản lý danh mục sự kiện kiểm tra
nào để biết thêm thông tin.
3.2 Quản lý Audit Vault

Quản lý Audit Vault bao gồm việc thực hiện các tác vụ sau khi cần hoặc như
được nêu trong Chương 2 :

 Quản lý Audit Vault Server

 Quản lý Đại lý thu nợ OC4J

 Bắt đầu và dừng Đại lý thu nợ

 Bắt đầu và dừng Collector

 Làm mới, tải và xóa kho dữ liệu

 Xem lỗi Audit Vault

3.2.1 Quản lý Audit Vault Server

Đôi khi, bạn có thể cần phải tắt Bảng điều khiển Audit Vault chẳng hạn như một
phần của quá trình xóa Bảng điều khiển Audit Vault khỏi hệ thống.

Để tắt Bảng điều khiển Audit Vault, sử dụng lệnh AVCTL stop_av, thực thi
một emctl stop dbconsole lệnh. Ví dụ:
avctl stop_av

Để kiểm tra trạng thái AuditBảng điều khiển kho tiền,sử dụng lệnh
show_av_status của AVCTL .
avctl show_av_status

Để khởi động Bảng điều khiển Audit Vault, hãy sử dụngLệnh start_av AVCTL,

thực thi một emctl start dbconsole lệnh. Ví dụ:
avctl start_av

3.2.2 Quản lý Đại lý thu nợ OC4J

Quá trình OC4J của tác nhân thu thập có thể kết thúc bất thường và bạn có thể
phải khởi động lại thủ công. Tuy nhiên, trước tiên bạn có thể muốn kiểm tra
trạng thái của nó.

Để kiểm tra trạng thái của đại lý thu OC4,sử dụng lệnh show_oc4j_status của
AVCTL .
avctl show_oc4j_status
Để bắt đầutác nhân thu thập OC4J, sử dụng lệnh AVCTL start_oc4j. Ví dụ:
avctl start_oc4j

Nếu quy trình OC4J của tác nhân thu nợ phải tạm dừng, chẳng hạn như một
trong các bước để xóa phần mềm Audit Vault Collection Agent khỏi hệ thống,
hãy sử dụngLệnh AVCTL stop_oc4j. Ví dụ:
avctl stop_oc4j

3.2.3 Bắt đầu và dừng Đại lý thu nợ

Tác nhân thu thập quản lý bộ thu thập dữ liệu kiểm tra thay mặt cho Audit Vault
Server.

3.2.3.1 Sử dụng Tiện ích dòng lệnh AVCTL để quản lý Đại lý thu nợ

Để quản lý tác nhân thu nợ, hãy sử dụng tiện ích AVCTL. Khi
lệnh start_agent AVCTLđược ban hànhđối với tác nhân thu thập và lệnh đó
thành công, tác nhân thu thập và tập hợp các trình thu thập của nó được đưa vào
trạng thái CHẠY. Để kiểm tra trạng thái đại lý nhờ thu, hãy phát
hànhlệnh show_agent_status . AVCTL stop_agent yêu cầuđược phát hành để
dừng một đại lý thu nợ để bạn có thể thực hiện bảo trì trên đó.

Lệnh start_agent AVCTL sau đây bắt đầu tác nhân thu thập:

avctl start_agent -agentname OC4JAGENT1

Lệnh show_agent_status AVCTL sau đây kiểm tra trạng thái đại lý thu.

avctl show_agent_status -agentname OC4JAGENT1

Lệnh AVCTL stop_agent sau dừng tác nhân thu thập:

avctl stop_agent -agentname OC4JAGENT1

Xem Phụ lục B để biết thông tin tham khảo về từng lệnh này.

Để quản lý siêu dữ liệu tác nhân thu thập, hãy sử dụng tiện ích
AVCA. Xem Phần 2.4 để biết thông tin hướng dẫn và xem Phụ lục A để biết
thông tin tham khảo.

3.2.3.2 Sử dụng Bảng điều khiển Audit Vault để quản lý thu thập tác nhân

Để sử dụng Bảng điều khiển Audit Vault đến quản lý tác nhân thu thập, hãy
đăng nhập vào Bảng điều khiển Audit Vault với tư cách là người dùng có
vai AV_ADMINtrò được cấp. Sử dụng các tab, nhấp vào Quản lý , sau đó
nhấp vào Đại lý để hiển thị trang Đại lý (xem Hình 3-8 ).
Trên trang Agents , bạn có thể xem thông tin đại lý nhờ thuvà bắt đầu và dừng
các đại lý. đại lý thuthông tin bao gồm:

 Agents – Tên của đại lý nhờ thu

 Host – Tên máy chủ nơi cài đặt tác nhân thu thập
 Port – Số cổng của hệ thống máy chủ nơi cài đặt tác nhân thu thập
 HTTPS – Tác nhân thu thập có liên lạc với Máy chủ Audit Vault bằng
kênh liên lạc an toàn (HTTPS) hay không
 Status– Trạng thái hoạt động hiện tại của tác nhân thu nợ: mũi tên hướng
lên màu lục cho biết tác nhân thu nợ đang chạy; mũi tên xuống màu đỏ
cho biết tác nhân thu nợ không chạy hoặc lỗi cho biết tác nhân thu nợ
đang ở trạng thái lỗi

Để bắt đầu tác nhân nhờ thu, hãy chọn tác nhân nhờ thu và nhấp vào Bắt
đầu . Để dừng tác nhân nhờ thu, hãy chọn tác nhân nhờ thu và nhấp vào Dừng .

Nhấp vào Trợ giúp để biết thêm thông tin.

3.2.4 Bắt đầu và dừng Collector

Sau khi tác nhân thu thập được cài đặt, triển khai và khởi động để nó ở trạng thái
CHẠY, bạn có thể thiết lập trình thu thập trên các nguồnnơi đại lý thu nợ cư trú
và quản lý chúng, được mô tả trong Mục 3.2.4.1 và Mục 3.2.4.2 .

3.2.4.1 Sử dụng Tiện ích dòng lệnh AVCTL để quản lý bộ sưu tập

Lệnh AVCTL start_collector sau đâybắt đầungười sưu tầmcó tên

REDO_Collector trong Oracle Audit Vault:
avctl start_collector -collname REDO_Collector
-srcname ORCL.REGRESS.RDBMS.DEV.US.ORACLE.COM

Lệnh AVCTL show_collector_status sau đâykiểm tra trạng thái bộ thu của bộ

thu REDO_Collector.
avctl show_collector_status -collname REDO_Collector
-srcname ORCL.REGRESS.RDBMS.DEV.US.ORACLE.COM

Lệnh AVCTL stop_collector sau đâydừng lạitrình thu thập có tên

REDO_Collector trong Oracle Audit Vault:
avctl stop_collector -collname REDO_Collector
-srcname ORCL.REGRESS.RDBMS.DEV.US.ORACLE.COM

Xem Phụ lục B để biết thông tin tham khảo về từng lệnh này. Xem Phần
2.4.2 để biết thông tin hướng dẫn.

3.2.4.2 Sử dụng Audit Vault Console để quản lý Collectors

Để sử dụng Bảng điều khiển Audit Vaultđể quản lý bộ sưu tập, hãy đăng nhập
vào Bảng điều khiển Audit Vault với tư cách là người dùng được cấp vai trò
AV_ADMIN. Sử dụng các tab, nhấp vào Management , sau đó nhấp
vào Collectors để hiển thị trang Collectors (xem Hình 3-9 ).

Hình 3-9 Trang Manage Collectors

Trên trang Collectors , bạn có thể xem thông tin về người sưu tập và bắt đầu và
dừng người sưu tập. Thông tin người sưu tập bao gồm:

 Collectors – Tên người thu gom

 Agents – Tên của đại lý thu nợ cho người thu gom này
 Audit Source – Tên của nguồn dữ liệu kiểm toán
 Status – Trạng thái đang chạy hiện tại của bộ sưu tập: mũi tên lên màu
xanh lục cho biết bộ sưu tập đang chạy, mũi tên xuống màu đỏ cho biết bộ
sưu tập không chạy, lỗi cho biết bộ sưu tập đang ở trạng thái lỗi
 Records pẻ second – Số lượng hồ sơ mỗi giây được thu thập trong
khoảng thời gian hiện tại
  Bytes per second – Số byte mỗi giây trong bản ghi kiểm tra được thu
thập trong khoảng thời gian hiện tại

Để bắt đầu bộ sưu tập, hãy chọn bộ sưu tập và nhấp vào Bắt đầu . Để dừng bộ
sưu tập, hãy chọn bộ sưu tập và nhấp vào Dừng .

Nhấp vào Trợ giúp để biết thêm thông tin.

3.2.5 Làm mới, tải và xóa kho dữ liệu

Các báo cáo Audit Vault sử dụng dữ liệu theo dõi kiểm tra sau khi được chuẩn
hóa trong kho lưu trữ. Nếu bạn muốn xem dữ liệu trong một báo cáo và nó
không có ở đó, bạn có thể xem trang Hoạt động làm mới để xác định lần cuối
cùng công việc kho làm mới chạy là khi nào. Sử dụng Bảng điều khiển Audit
Vault để quản lý hoặc xem lịch sử làm mới, xóa và tải kho dữ liệu.

3.2.5.1 Sử dụng tiện ích dòng lệnh AVCA để quản lý kho dữ liệu

Sử dụng tiện ích dòng lệnh AVCA để điền vào lược đồ hình sao với dữ liệu từ
kho lưu trữ dữ liệu kiểm tra thô, để làm mới thứ nguyên kho dữ liệu và bảng
thực tế với dữ liệu trong kho lưu trữ dữ liệu kiểm tra thô kể từ lần làm mới gần
đây nhất và để xóa dữ liệu kiểm tra từ kho dữ liệu. Xem
AVCTL load_warehouse, purge_warehouse và refresh_warehouse lệnh cho
thông tin tham khảo.

Ví dụ: sau khi các bản ghi kiểm tra được thu thập và gửi đến kho lưu trữ dữ liệu
kiểm tra thô, hãy làm mới kho để đưa vào kho tập hợp các bản ghi kiểm tra mới
được thu thập này để phân tích. Trong vỏ máy chủ Audit Vault Server, hãy đưa
ra lệnh refresh_warehouse AVCTL xác định -waitđối số, như trong Ví dụ 3-1 .

3.2.5.2 Sử dụng Audit Vault Console để quản lý Data Warehouse

Để sử dụng Bảng điều khiển Audit Vaultđể xem thông tin lịch sử kho hàng, hãy
đăng nhập vào Audit Vault Console với tư cách là người dùng có
vai AV_ADMINtrò được cấp. Sử dụng các tab, nhấp vào Quản lý , sau đó nhấp
vào Kho để hiển thị trang Lịch sử tải kho . Từ trang này, bạn có thể chọn
trang Lịch sử làm mới (xem Hình 3-10 ), Lịch sử tải hoặc trang Lịch sử thanh
lọc .

Hình 3-10 Lịch sử tải kho: Lịch sử làm mới trang

Trên trang History of Refreshing, bạn có thể xem thông tin lịch sử làm mới kho
ở định dạng bảng bao gồm các tiêu đề cột sau:

 Scheduled– Thời gian đã lên lịch để thực hiện thao tác làm mới
 Start  – Thời gian bắt đầu khi hoạt động làm mới bắt đầu
 Duration (minutes)– Tổng thời gian cần thiết để hoàn thành thao tác làm
mới
 CPU used – Lượng thời gian được sử dụng để hoàn thành thao tác làm
mới
 Error Number– Số lỗi ORA của Oracle, nếu có, do thao tác làm mới
 Message– Bất kỳ thông báo lỗi nào, nếu có, do thao tác làm mới
 Status– Trạng thái hiện tại của thao tác làm mới: ĐÃ DỪNG hoặc ĐÃ
THÀNH CÔNG

Nhấp vào Refresh Now để làm mới kho với dữ liệu kiểm tra.

Từ trang  Warehouse Load History , nhấp vào History of Loading để hiển thị

trang History of Loading. Trang này hiển thị thông tin về thông tin kho lưu trữ
được tải lại vào kho. Các tiêu đề cột ở định dạng bảng xuất hiện giống với các
tiêu đề trong trang History of Refreshing được mô tả trước đây.

Nhấp vào Load Now để tải kho với dữ liệu kiểm tra kho đã lưu trữ.

Từ trang Warehouse Load History, nhấp vào History of Purging đểhiển

thị History of Purging trang. Trang này hiển thị thông tin về dữ liệu kiểm toán
kho bị xóa khỏi kho. Các tiêu đề cột ở định dạng bảng xuất hiện giống với các
tiêu đề trong trang Purge Now được mô tả trước đây.
Nhấp vào Xóa ngay bây giờ để xóa dữ liệu kiểm toán kho hiện tại khỏi kho.

Nhấp vào Trợ giúp trên bất kỳ trang lịch sử kho hàng nào để biết thêm thông
tin.

3.2.6 Viewing Audit Vault Errors

Audit Vault errors are logged in to an error table. You can view these errors
using the Audit Vault Console.

To use the Audit Vault Console to view Audit Vault errors, log in to the Audit
Vault Console as the user with AV_ADMIN role granted. Using the tabs,
click Management tab, then Audit Errors to display the Audit Errors page
(see Figure 3-11).

On the Audit Errors page, you can search for audit errors for a given time
period. To do this, select one of the Error Time field options: Last 24
Hours, Last One Week, or Last One Month, and then click Go.

You can also search for audit errors for a given time period by selecting The
Period field option and in the From field, enter a date and time or click the
calendar icon to select a date and time, in the To field, enter a date and time or
click the calendar icon to select a date and time, and then click Go.

On the Audit Errors page, you can view the error information in tabular format
with the following column headings:

 Error Time – Local time when the audit error was generated
  Audit Source – The audit source on which the audit error originated
 Collector – The collector on which the audit error originated
 Module – The module name involved in the audit error
 Message – The content of the audit error message

Click Help for more information.