監査のアーカイブおよび抽出のストアード・プロシージャー

セキュリティー管理者は、 SYSPROC.AUDIT_ARCHIVE ストアード・プロシージャーと表関数、SYSPROC.AUDIT_DELIM_EXTRACT ストアード・プロシージャー、および SYSPROC.AUDIT_LIST_LOGS 表関数を使用して、監査ログをアーカイブしたり、区切り文字で区切られたファイルにデータを抽出したりできます。

セキュリティー管理者は、これらのルーチンの EXECUTE 特権を別のユーザーに付与して、こうしたルーチンの使用をそのユーザーに委任できます。 セキュリティー管理者だけが、これらのルーチンの EXECUTE 特権を付与できます。 これらのルーチンに関して、EXECUTE 特権を WITH GRANT OPTION 付きで付与することはできません (SQLSTATE 42501)。

これらのストアード・プロシージャーや表関数を使用してデータベースの監査ログをアーカイブまたはリストするためには、データベースに接続している必要があります。

アーカイブしたファイルを別のデータベース・システムにコピーする場合で、そのアクセスにストアード・プロシージャーおよび表関数を使用することを望む場合は、データベース名が同じになるようにするか、同じデータベース名を含むようにファイルの名前を変更してください。

これらのストアード・プロシージャーや表関数では、インスタンス・レベルの監査ログはアーカイブまたはリストされません。 インスタンス・レベルの監査ログをアーカイブおよび抽出するためには、システム管理者は db2audit コマンドを使用する必要があります。

これらのストアード・プロシージャーや表関数を使用して、以下の操作を実行できます。
表 1. 監査システムのストアード・プロシージャーおよび表関数
ストアード・プロシージャーおよび表関数 操作 コメント
AUDIT_ARCHIVE 現行監査ログをアーカイブします。 アーカイブのパスを入力として取ります。 アーカイブ・パスが指定されない場合、このストアード・プロシージャーは監査構成ファイルからアーカイブ・パスを取得します。

アーカイブは各メンバーで実行され、同期化されたタイム・スタンプが監査ログ・ファイルのファイル名に付加されます。
AUDIT_LIST_LOGS 現行データベースの指定されたパスにある、アーカイブされた監査ログのリストを戻します。  
AUDIT_
DELIM_EXTRACT
 バイナリー・アーカイブ・ログからデータを抽出し、区切りファイルにロードします。 抽出された監査レコードは、 Db2® データベース表にロードするのに適した区切り形式で配置されます。 出力は区分ごとに 1 つずつ独立したファイルに置かれます。 加えて、監査データに含まれているラージ・オブジェクトを保持するためのファイル auditlobs が作成されます。 これらのファイル名は以下のとおりです。
  • audit.del
  • checking.del
  • objmaint.del
  • secmaint.del
  • sysadmin.del
  • validate.del
  • context.del
  • execute.del
  • auditlobs
ファイルが既に存在する場合は、そこに出力が追加されます。 auditlobs ファイルは、CONTEXT または EXECUTE 区分が抽出される場合に作成されます。 抽出できるのは、現行データベースのアーカイブされた監査ログだけです。 また、コーディネーター・メンバーから見えるファイルだけが抽出されます。

アーカイブされた監査ログは、インスタンスの所有者にしか削除できません。