IBM Support

[Guardium] 一日のデータ保管量に関する考慮点

Question & Answer


Question

InfoSphere Guardium で日々のログ取得量に関する一般的なガイドや考慮点はありますか?

Answer

製品がサポートするディスク所要量はV9.1 において 2TB とされています(V9.0 および V8.2 においては 1TB)。そのうち、キャプチャーされた SQL を保管するための内部データ領域はおよそ半分弱です。

Guardium の内部データベースに保管される情報は、大きく分けて、サーバーIP アドレスのように複数回再利用されるものと、SQL 実行時刻のように SQL ごとに異なるものに分類されます。前者は時間が経過するにつれて増加量が減少する傾向が統計的に見られますが、後者は SQL ごとに単純に増加します。

どちらのデータ量が初期状態において多いかはポリシーの設定に依存しますが、少なくとも半年分のデータをコレクターに蓄えるためには、一日のデータ量は以下に抑えることが重要です。


    [一日のログ保管量] < [ディスク・サイズ] / 2 / [保管日数]

たとえば 1TB HDD の環境で半年分(約180日)のデータを保管するためには、1日の保管データ量は約5GB 以下に抑えるべきとなります。

1日の保管データ量がこのサイズを超える場合は取得するログ量を調整してください。なお、「全詳細をロギング」(LOG FULL DETAILS)アクションを使用すると、SQL ごとの統計情報(実行時刻など)を大量に保管しますので、日々のデータ保管量に大きく影響します。「全詳細をロギング」は、特に詳細な監査が必要な箇所に限定して使用されることを強く推奨します。


なお、短期間でデータをアーカイブすることで、理論的には1日に保管できるデータ量を増やすことが可能ですが、数日でディスクがフルになるような使い方は製品として推奨されません。たとえば Guardium ではデータのアーカイブは一日単位でファイルを分割して書き出していますが、1日のデータ保管量が大きいと必然的にアーカイブ・ファイルのサイズも大きくなります。事例として、1日に 100GB 以上のデータを保管する環境において、そのアーカイブ・ファイルをリストアするのに数日を要したケースが確認されましたが、これは製品として推奨される使用法ではありません。


「全詳細をロギング」を多用する必然性がある場合、もしくは1日のデータ保管量が非常に多いシステムの構築をご検討されている場合、IBM にご相談ください。

参照1) IBM InfoSphere Guardium V9.1 Software Appliance Technical Requirements


http://www-01.ibm.com/support/docview.wss?uid=swg27039720

参照2) System Requirements for IBM InfoSphere Guardium v9.0
http://www-01.ibm.com/support/docview.wss?uid=swg27035836

参照3) System Requirements for IBM InfoSphere Guardium v8.2
http://www-01.ibm.com/support/docview.wss?uid=swg27021801

[{"Product":{"code":"SSMPHH","label":"IBM Security Guardium"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"--","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"}],"Version":"9.1;9.0;8.2","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
16 June 2018

UID

swg21686404

Page Feedback