[Db2] 現在の監査設定を確認する方法

インスタンス・レベルの監査設定は db2audit コマンドの describe オプションで確認できます。

1. インスタンス所有者でデータベース・サーバーにログインします。
2. 以下のコマンドを実行します。

   db2audit describe

   例

   $ db2audit describe
   DB2 AUDIT SETTINGS:
   
   Audit active: "TRUE"
   Log audit events: "FAILURE"
   Log checking events: "FAILURE"
   Log object maintenance events: "FAILURE"
   Log security maintenance events: "FAILURE"
   Log system administrator events: "FAILURE"
   Log validate events: "BOTH"
   Log context events: "NONE"
   Return SQLCA on audit error: "FALSE "
   Audit Data Path: ""
   Audit Archive Path: ""

   上の設定は、audit, checking, objmaint, secmaint, sysadmin の失敗を監査、validate の成功と失敗を監査、context は監査しないというインスタンス・レベルの監査が有効であることを示します。また、インスタンスおよびデータベース・レベルの監査ログは、デフォルトの監査ログ・パスに出力されます。デフォルトの監査ログ・パスは <instance_dir>/security/auditdata です。

データベース・レベルの監査設定
データベース・レベルの監査設定は、SYSCAT.AUDITPOLICIES および SYSCAT.AUDITUSE カタログ表で確認できます。

1. 対象のデータベースに接続します。

   db2 connect to <database_name>

2. SYSCAT.AUDITPOLICIES および SYSCAT.AUDITUSE 表を照会します。

   db2 "SELECT * FROM SYSCAT.AUDITPOLICIES"
   db2 "SELECT * FROM SYSCAT.AUDITUSE"

   例

   $ db2 "select * from SYSCAT.AUDITPOLICIES"
   
   AUDITPOLICYNAME AUDITPOLICYID CREATE_TIME                AUDITSTATUS CONTEXTSTATUS VALIDATESTATUS CHECKINGSTATUS SECMAINTSTATUS OBJMAINTSTATUS SYSADMINSTATUS EXECUTESTATUS EXECUTEWITHDATA ERRORTYPE REMARKS
   --------------- ------------- -------------------------- ----------- ------------- -------------- -------------- -------------- -------------- -------------- ------------- --------------- --------- --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
   POL1                      100 2017-11-21-14.11.42.576000 N           N             N              N              N              N              N              B             Y               N         -

   データベースに監査ポリシー POL1 が定義され、このポリシーは EXECUTE カテゴリーの成功と失敗をデータつきで監査することがわかります。

   $ db2 "select * from SYSCAT.AUDITUSE"
   
   AUDITPOLICYNAME AUDITPOLICYID OBJECTTYPE SUBOBJECTTYPE OBJECTSCHEMA OBJECTNAME    
   --------------- ------------- ---------- ------------- ------------ --------------
   POL1                      100 i          U             -            APPLUSER      
   POL2                      101 i          G             -            APPLGROUP      
   POL3                      102                          -            CURRENT SERVER
   POL4                      103 T                        DB2INST1     T1            

   ユーザー APPLUSER は監査ポリシー POL1 で監査されます。
   グループ APPGROUP は監査ポリシー POL2 で監査されます。
   データベースは監査ポリシー POL3 で監査されます。
   表 DB2INST1.T1 は監査ポリシー POL4 で監査されます。

運用上の考慮点

データベースの監査設定は、AUDIT ステートメントで監査ポリシーと対象オブジェクトが関連付けられた後のトランザクションから有効になり、AUDIT ステートメントで監査ポリシーと対象オブジェクトの関連付けが除去された後のトランザクションから無効になります。