皆さま、Oracleデータベース監査証跡のメンテナンスってどうしてますか？

標準監査やファイングレイン監査、統合監査等々の監査証跡を取るだけ取って放って置くととんでもないサイズになって、そのせいで表領域が圧迫されたりと良いことがありません。

メンテナンスのため手動やスクリプトでプロシージャを動作させ不要な監査証跡を削除するのもありなのですが、どうせならOracleの設定だけで自動で削除してくれたほうが何かと手間がなくていいですよね。

そこで監査証跡の自動削除を実施するための「LAST_ARCHIVE_TIMESTAMP」の自動設定と「CLEAN_AUDIT_TRAIL」の自動実行ジョブを作ったので参考にしてみてください。

記載内容の例では「AUDIT_TRAIL_AUD_STD」となっていますが、UnifideAuditであれば「AUDIT_TRAIL_UNIFIED」に変更するなど用途によって変更してください。

また、複数指定できる「AUDIT_TRAIL_DB_STD」等だと、ジョブ作成時に失敗することがありますので、個別指定（AUDIT_TRAIL_AUD_STDなど）で設定されることをお勧めします。

以下の設定例はマルチテナント環境で、CDB/PDBすべてに同一の設定を行う場合の内容となります。

非マルチテナント環境で実行したい場合は「container => DBMS_AUDIT_MGMT.CONTAINER_ALL」とその前の行にある「,」（赤字部分）を削除の上、実行してください。

■監査証跡レコードのデフォルトのクリーンアップ間隔の初期設定

BEGIN
DBMS_AUDIT_MGMT.INIT_CLEANUP(
audit_trail_type => DBMS_AUDIT_MGMT.AUDIT_TRAIL_AUD_STD,
default_cleanup_interval => 999,
container => DBMS_AUDIT_MGMT.CONTAINER_ALL);
END;
/

※「AUDIT_TRAIL_UNIFIED」の場合、ORA-46250エラーが発生しますがデフォルトでクリーンアップが実行可能なため、クリーンアップ用の初期化を行う必要はありません。

■LAST ARCHIVE TIMESTAMPの自動設定ジョブ

BEGIN
DBMS_SCHEDULER.CREATE_JOB (
job_name => 'AUDIT_TIMESTAMP_AUD',
job_type => 'PLSQL_BLOCK',
job_action => 'DECLARE
last_timestamp_days NUMBER := <保存期間>;
BEGIN
DBMS_AUDIT_MGMT.SET_LAST_ARCHIVE_TIMESTAMP(
audit_trail_type => DBMS_AUDIT_MGMT.AUDIT_TRAIL_AUD_STD,
last_archive_time => TRUNC(SYSTIMESTAMP)-last_timestamp_days,
container => DBMS_AUDIT_MGMT.CONTAINER_ALL);
END;',
start_date => to_date('<日時指定> <時刻指定>','yyyy/mm/dd hh24:mi:ss'),
repeat_interval => 'FREQ=DAILY;INTERVAL=1',
end_date => NULL,
enabled => TRUE,
comments => 'Set audit last archive time.');
END;
/

<保存期間>：監査証跡を何日前以降を削除対象とするか指定（数値）　例：90
<日時指定>：ジョブを実行開始する日付を指定　例：2023/02/28
<時刻指定>：ジョブを実行開始する時間を指定　例：00:00:00

このジョブは、毎日ジョブ実行日から<保存期間>を引いた日付をLAST ARCHIVE TIMESTAMPに設定します。
但し、時刻はジョブ実行時間に関わらず、必ず「00:00:00（UTC）」で設定されます。

例として2023/02/28 00:00:00から23:59:59の間にジョブが実行された場合、設定されたLAST ARCHIVE TIMESTAMPは2023/02/28から<保存期間>を引いた日付の 「00:00:00（UTC）」となります。
UTCとJSTには+9:00の差がありますので、UTCの「00:00:00」はJSTの「09:00:00」ですのでご注意ください。

当初、SYS_EXTRACT_UTCでの設定も考慮しましたが、ジョブ実行が何らかの影響でずれてしまったときなどLAST ARCHIVE TIMESTAMPの時刻がずれてしまい解りずらくなるため、TRUNCで日付のみに切り詰め、設定される時間が必ず「00:00:00（UTC）」にすることにしています。

そのため、例にある90日を<保存期間>としたい場合は、1日プラスして「91」としてください。
この場合、JSTで90日プラス15時間前がセットされます。

■CLEAN_AUDIT_TRAILの自動実行ジョブ

BEGIN
DBMS_SCHEDULER.CREATE_JOB (
job_name => 'AUDIT_DELETE_AUD',
job_type => 'PLSQL_BLOCK',
job_action => 'BEGIN
DBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAIL(
audit_trail_type => DBMS_AUDIT_MGMT.AUDIT_TRAIL_AUD_STD,
use_last_arch_timestamp => TRUE,
container => DBMS_AUDIT_MGMT.CONTAINER_ALL);
END;',
start_date => to_date('<日時指定> <時刻指定>','yyyy/mm/dd hh24:mi:ss'),
repeat_interval => 'FREQ=DAILY;INTERVAL=1',
end_date => NULL,
enabled => TRUE,
comments => 'Auto audit delete.');
END;
/

<日時指定>：ジョブを実行開始する日付を指定　例：2023/02/28
<時刻指定>：ジョブを実行開始する時間を指定　例：00:15:00

ジョブの設定が完了したら、以下のコマンドで確認してみましょう。

■設定したジョブの確認

select
JOB_NAME,
OWNER,
ENABLED,
TO_CHAR(START_DATE, 'YYYY-MM-DD HH24:MI:SS.FF6') as START_DATE,
STATE
from DBA_SCHEDULER_JOBS
where JOB_NAME like '%_AUD';

設定したジョブのSTATEが「SCHEDULED」となっているかと思います。

実際にジョブが実行できたかどうかを確認するためには以下のコマンドを実行して確認します。

■設定したジョブの実行確認（初回実行後に実施）

select
JOB_NAME,
TO_CHAR(ACTUAL_START_DATE, 'YYYY-MM-DD HH24:MI:SS.FF6') as ACTUAL_START_DATE,
RUN_DURATION,
STATUS
from DBA_SCHEDULER_JOB_RUN_DETAILS
where JOB_NAME like '%_AUD';

設定したジョブのSTATUSが「SUCCEEDED」となっていればジョブは正常に実行されています。

ジョブの実行が確認出来たら、LAST ARCHIVE TIMESTAMPの設定時刻を確認します。

■設定されたLAST ARCHIVE TIMESTAMPの確認（初回実行後に実施）

select
AUDIT_TRAIL,
TO_CHAR(LAST_ARCHIVE_TS, 'YYYY-MM-DD HH24:MI:SS.FF6') as LAST_ARCHIVE_TS
from DBA_AUDIT_MGMT_LAST_ARCH_TS;

LAST_ARCHIVE_TSを確認して保存期間に設定した日付を差し引いた日の「00:00:00.000000」に設定されているかと思います。
しつこいようですがこれはUTCですので、JSTでは「09:00:00.000000」となりますのでご注意ください。

なお、AUDIT_TRAILカラムに表示されるDBMS_AUDIT_MGMT定数は以下の通りです。

STANDARD AUDIT TRAIL → AUDIT_TRAIL_DB_STD
FGA AUDIT TRAIL → AUDIT_TRAIL_FGA_STD
OS AUDIT TRAIL → AUDIT_TRAIL_OS
XML AUDIT TRAIL → AUDIT_TRAIL_XML
UNIFIED AUDIT TRAIL → AUDIT_TRAIL_UNIFIED

いかがでしたでしょうか？
皆さまの業務の一助になれば幸いです。

それではまた！

Oracleデータベース監査証跡の自動削除ジョブ作成方法

第7回　文系女子、１日を振り返る。

皆さんこんにちは。N.Aです。前回の第６回ブログは見ていただけましたでしょうか。
私も同じようなIT情報サイトを利用して調べることがありますが、同期でも調べ方が違うのを知ることができて面白かったです！

さて今回は、新卒のエンジニアである私がどんなスケジュールで業務を行っているのかを紹介していきます。

新卒エンジニア、1日の業務スケジュール

現在私はお客様先に常駐し、お客様のGoogleクラウド環境にて、Cloud Identityを利用したアカウント管理業務を行っています。
以下が私のとある1日のタイムスケジュールになります。ちなみに、在宅勤務です！

9:00　出勤

常駐業務用のPCを開いてまず行うことは、メールやチャットを含めた、スケジュールや連絡事項の確認です。前日の夜や出勤に合わせた朝に連絡が入っていることがあるので最初に確認します。
諸所の確認ができたら、今日の業務タスクの流れをイメージします。

9:30　朝会

朝会ではその日どのような作業や会議があるのか、また、業務連絡などを常駐先のチーム内で確認をします。私はこの朝会でその日の大まかなスケジュールなどをメモして整理しています。

10:00　業務タスク：IAM(アクセス権)設定

この日のタスクはお客様クラウド環境のアクセス権設定を行うことでした(IAM設定と呼びます)。誰が、 何に対して(ファイル、サービスなど)、どんなこと(書き込み、読み込みなど)ができるのかを設定をすることで、利用者のアクセスや操作範囲を制限することができます。
アクセス権を設定する一番の目的は、お客様(企業)の「情報漏洩を防ぐこと」です。重要な設定であり、それだけにお客様環境でのミスも許されません。

チームリーダーからパラメーターシート(設定値が指定された資料)を受け取り、その内容を基に作業を行います。
初めに、検証環境で設定の方法や、設定後の動作確認から行いました。
IAMの設定を行ったのは初めてなので、どんな権限を付与しているのか理解をするため、Googleの公式ドキュメントでロール(アクセス権)の意味や種類、作成・設定手順を確認しつつ作業を行っていました。

一番躓いてしまった部分は、カスタムロール(ユーザーが細かい権限管理を行うことのできるロール)の作成方法です。
Google CloudのIAM設定画面でロールを作成しようとしましたが、エラーが出てしまったり、作成できたと思っても実際に思った動作をしなかったり...。様々な資料やサイトを読んで確認も結果は虚しく、結局自分だけでは解決できませんでした。

一旦、頭の中を整理するのも兼ねてお昼休憩に行きます！

12:00　お昼休憩　

前後する時はありますが、大体この時間に1時間のお昼休憩を取ります。
外食はせず、基本的には自宅で昼食を済ませます。最近の昼食は雑炊がマイブームです。家族にも在宅勤務者がいるので、お昼の時間にはキッチンの取り合いをしています(笑)

13:00　業務タスク：IAM(アクセス権)設定　続き

気持ちを切り替えて午前中の続きです！
現在の作業進捗を報告するためにチームリーダーに連絡して、文字だけだと上手く伝わるか不安だったので、オンライン会議をしてもらいました。

躓いたカスタムロールの作成について現在の状況とどんなエラーが出ているかを報告し、何が原因かを質問をしました。自分が(ロールの理解も含め)どんな調べ方をしてどんなことを試したのかを画面共有をしながら説明しつつ、チームリーダーからレビューと作成方法を教えてもらいました。

オンライン会議を終え、検証環境で再度カスタムロールを作成し、無事にパラメータシート通りに作成と動作確認ができました！
検証環境でのテストを行え、実際にお客様の業務が行われている本番環境で設定を行います。本番環境での設定は、自分が間違った設定をしてお客様の業務に影響が出ないかどうかなど不安で緊張しましたが、無事に問題なく設定が完了し、達成感とともにすごく嬉しかったです。

16:00　夕会

夕会ではチーム内で案件の進捗確認を行っています。タスクがどこまで進んでいるのかの共有、躓いている部分の質問や、認識の違いがないか確認をしたりするために行われています。

16:30　チームリーダーとミーティング

週に1回、週報の確認をチームリーダーと1対1で行います。週報に記載したタスクの確認が中心ですが、私の思っている疑問を聞いていただいたり、たまに雑談もしたりします。この間は、先日休みの日に行った旅行の話を聞いていただきました。

仕事への悩みや、困っていることに関しても相談できるので大切な時間になっています。

17:30　常駐先退勤

常駐先の退勤時間は17:30なので、特に何もなければこの時間に業務終了となります。その他の業務がある際には17:30以降に行っています。

18:00　部会

第4回ブログでも少しお話させていただきましたが、Re:Qの多くの部署では月に1度、部会があります。

私が所属するクラウド技術2部(旧：クラウド基盤技術部)では技術紹介、毎回特定のテーマを決めてのディスカッション、次回の部会や、月報の提出日の確認などの業務連絡などを行っています。

その後には、ちょっとした懇親会があるかも...！？

今回は、私のとある1日の業務スケジュールを紹介しました。

この1日のスケジュールは、必ずしも全員がこのスケジュールというわけではありませんが、少しでもインフラエンジニアって「こんな感じなんだ～」とイメージしてもらえたらなと思います。

次回▶▶　「第8回 文系女子、初めてのプロジェクトに参加する。～その後～」

前回▶▶　「第6回 文系女子、IT情報をリサーチする。」

---

執筆者プロフィール

【新卒ブログ】文系女子、インフラエンジニアになる。7

こんにちは。クラウド技術統括部のM.Y.です。
Googleの方にお声がけいただき、なんと海を越えアメリカ・シリコンバレーのGoogle本社に来ました！

3/11-15のスケジュールで、Googleさん、SCSKさん、Avayaさんとの協業ミーティング参加が目的です。

到着日の3/11(土)は4社で会食（キックオフディナーと言ったところでしょうか）、翌日の3/12(日)は当社メンバーだけでコンピュータの聖地シリコンバレーに来たからには訪問すべきComputer History Museumに行きました。（この訪問は後日UPします）

3日目の今日3/13がメインイベントの1つで、Google本社でこれからの協業ビジネスについてミーティングしたあと、Googleのオフィスを案内していただきました。
せっかくなのでアメリカから、ブログを読んでいただいている皆さんにも共有します。

今回オフィスツアーで回ったルートはマップをご覧ください。ちなみに移動はすべてUberです。

\

MP6

Googleのオフィスの1つで、MP6というオフィスです。
主にGoogle Cloud部隊の拠点で、入口にもGoogle Cloudという看板がありました。

入り方がわからず右往左往していたら日本語ができる親切な社員の方が案内してくれました。
Googleの方は親切でフレンドリーな方が多いです。

Googleに限らず、シリコンバレーのどこの企業のオフィスも超高層ということはありません。
さすがアメリカ、広い土地を有効活用した解放感のある街並みです。
このMP6も8階建ての建物です。
ミーティングには2Fの会議室を利用させていただきましたが、部屋の名前が映画のタイトルになっていて、会議室の中にも映画のポスターが描かれていました。

ミーティングを受けての技術の話はまた後日ブログにしてアップしたいと思います。

ランチ＠カフェテリア

ビュッフェ形式でご飯が食べられるカフェテリアです。
連日のヘビーなご飯と予想外の朝食からのリカバリのためにソフトなメニューをチョイスしました。

Miso Soup with Noodleです！
味噌ラーメンかな？と思いましたが味噌汁にソフトなうどんが入っているような感じです。
疲れた胃に染み渡る出汁の味でした。

Google Merchandise Store

GoogleやGoogle製品のロゴが入ったグッズを扱うショップです。

コロナ以前は一般の方も入ることができたようなのですが、現在はGoogleの方のアテンドなしには入れなくなっています。
Tシャツやステーショナリー、犬の首輪などなど...多種多様なグッズがありました。
Googleの方ならロゴ入りグッズはもらえるのでは？と思いましたが、もちろん配られることもあるけどやっぱりGoogleが好きなので自分でも買うんだそうです。社員の方もいっぱい買われていました。
こういう一人ひとりの社員の会社や技術への愛が会社を大きくするんですね。

Bay View 200

Googleの一番新しく作られたオフィスで、設計からGoogleが実施した、という建物です。

不思議な形の屋根が目を引きます。
すべてソーラーパネルになっていて、必要な電力の40%ほどを賄っているとか。
Googleはサステナブルであることも大事にしているんですね。

1Fは会議室やフリースペースなどコミュニケーションしながら仕事をするスペース、2Fは静かに一人で仕事をするスペースで立ち入りできないスペースでVisitorは立ち入り禁止のスペースでした。

こんな会議室で会議してみたいです。

1Fと2Fは吹き抜けになっているので、騒音防止のために10人以上での行動は禁止されています。

至るところに不思議なオブジェや装飾がありました。
画像はすべて自動車のボンネットで作られたというオブジェです。

Bay View 100

Bay View200に隣接した建物で、200と似たような造りになっていますが200よりも大きな建物です。
Pedal ParkというG Bikeが置かれたコーナーがありました。
G BikeというのはGoogleオフィス間の移動にも利用できる自転車ですが、ここではこの場所に固定されています。
なんと自家発電でスマホの充電ができるようになっています（type-C限定）！！

弊社メンバーは全員iPhoneユーザーのために充電を試せませんでしたが、弊社代表の貴重な？自転車姿を見ることができました。

ところでこのBay ViewのRest Roomには男女の表記がありません。
Gender NeutralなRest Roomですべて個室になっているそうです。
近頃日本でもトランスジェンダーが話題になっていますが、Googleはジェンダーフリーへの取り組みを既に進めていることが実感できる設備ですね。

また、建物内のところどころにMicro Kitchenという飲み物や食べ物を入手できるスぺースがあります。

冷蔵庫の一番下の段だけスモークガラスになっています。
これは甘い炭酸飲料などのヘルシーでないものは目につきにくくなっているそうです。
健康への気遣いなんですね。

Google Plex

最後はGoogleの本社、Google Plexです。

残念ながら中に入ることはできませんでしたが、ニュースなどでよく使われる見覚えのある建物にテンションが上がります。

白いロゴのついた建物は、そのときの一番コアなサービスを担当しているチームが入居しているんだとか。
じゃあ今入っているチームは...？というとAI/MLのチームなんだそうです。
普段私はGoogle Cloudを扱うチームにいて、日々GoogleのAI/ML技術のパワーを感じているので納得という気持ちでいっぱいです。

Google Plexのカフェテリアには、Googleカラーのライトで照らされた小さなステージがあります。

Google にはTGIF(Thanks Google It's Friday)という全社ミーティングのイベントがありますが、かつてはこのステージでGoogle創業者のラリー・ペイジ氏やセルゲイ・ブリン氏がマイクを持ってGoogleのビジネスについて話していたんだとか。
質問にもその場で答えてくれるような、対話型のイベントだったそうです。
そういう風通しのよい文化が、良い技術やサービスを生み出して、Googleをこんなに大きな会社に成長させたんだろうなと思いました。

帰り際、Uberの配車を待っていると、道路の標識が「Google」になっていることに気が付きました。

SunnyvaleやMountain ViewにはGoogleのオフィスがいくつもありますが、やはり一番古くからあるこの場所が、Googleの中心なんでしょうね。
Googleの最新と歴史を感じられるオフィスツアーでした。

おわりに

いかがだったでしょうか。
私にとってはGoogleの空気や文化に触れたことで、よりGoogleに親近感が湧きました。
もっとRe:QのGoogle Cloudのビジネスを大きくして、Google Cloudを広めていきたいという気持ちです。

少しでもシリコンバレーの、Googleの空気が伝わっていたなら幸いです。
日本に帰国したらまた改めてブログで今回の旅と今後のRe:Qのクラウドビジネスをご紹介したいと思います。

シリコンバレーGoogle本社訪問記