[Db2] データベースの監査ログを自動でアーカイブする方法

Answer

1. インスタンス・オーナーで管理用タスク・スケジューラーを有効にします。

   db2set DB2_ATS_ENABLE=YES

   データベースによっては、SYSTOOLSPACE 表スペースの作成や、インスタンス・オーナーへの DBADM 権限の付与が必要な場合があります。
   詳細は以下のページを参照してください。
   管理用タスク・スケジューラーのセットアップ
2. データベース管理者で監査ログをアーカイブするタスクを追加します。
   以下の例では毎日 0 時に、/audit_archive パスに監査ログがアーカイブされます。

   db2 connect to <データベース名> user <データベース管理者>
   db2 "call SYSPROC.ADMIN_TASK_ADD('DAILY AUDIT ARCHIVE',CURRENT_TIMESTAMP,NULL,NULL,'0 0 * * *','SYSPROC','AUDIT_ARCHIVE','VALUES(''/audit_archive'', -2)',NULL,NULL)"

   タスクの追加の詳細は以下のページを参照してください。
   管理用タスク・スケジューラーへのタスクの追加
3. (インスタンス・オーナーが SECADM でない場合)
   セキュリティ管理者で AUDIT_ARCHIVE プロシージャーの EXECUTE 特権をインスタンス・オーナーに付与します。

   db2 connect to <データベース> user <セキュリティ管理者>
   db2 grant execute on procedure sysproc.audit_archive to user <インスタンス・オーナー名>

運用上の注意点

• 管理タスク・スケジューラーを動かすために、データベースは常に活動化している必要があります。
  データベースを明示的に活動するには、以下のコマンドを実行します。

  db2 activate db <データベース名>

• インスタンス・レベルの監査ログは db2audit describe コマンドでのみアーカイブできるため、cron などを利用して定期的なアーカイブを検討してください。
• 各データベースのデータベース管理者 (DBADM) とセキュリティ管理者 (SECADM) は以下の SQL で確認できます。

  $ db2 "select char(grantee,18), dbadmauth, securityadmauth from syscat.dbauth"
  
  1                  DBADMAUTH SECURITYADMAUTH
  ------------------ --------- ---------------
  DB2INST1           Y         Y
  PUBLIC             N         N
  
    2 record(s) selected.

関連情報
パスポート・アドバンテージによく寄せられる質問
監査のアーカイブおよび抽出のストアード・プロシージャー

お問合せ先
技術的な内容に関して、パスポート・アドバンテージの契約のもと Db2 テクニカル・サポートへお問い合わせください。
Db2 テクニカル・サポート