ネットワーク暗号化監査の概要
ネットワーク暗号化監査では、データベースへのメッセージ送信時にクライアント インターフェースがネットワーク上で使用するセキュリティ レベルが記録されます。メッセージはゲートウェイ ログに記録されます。
- Plaintext
- Integrity、Default
- Integrity、Low
- Integrity、Medium
- Integrity、High
- Confidentiality、Default
- Confidentiality、Low
- Confidentiality、Medium
- Confidentiality、High
次の3つの監査オプションがあります。
- 監査なし: 機能が無効になっているため、何も記録されません。
- すべて監査: セッションにクライアント インターフェースで使用されるセキュリティ レベルの変更は、現在のゲートウェイ ログ ファイルに記録されます。
- クリアテキストを監査: 機密性が保証されないセキュリティ レベルになるセキュリティ レベルの変更のみを記録します。
この機能はgtwcontrolから有効になります。デフォルトでは無効になっています。 gtwcontrolの詳細については、<Teradata Vantage™ - データベース ユーティリティ>を参照してください。
ゲートウェイ ログについて
ネットワーク暗号化監査がゲートウェイ ログに記録されます。監査情報は、独自のノードの現在のログへのセッションのゲートウェイによって(その他のエントリと共に)記録されるため、ログ ファイル全体に分散されます。
新しいログは、再起動時、または古いログが特定のサイズに達したときに開かれます。7日を経過したログは、ゲートウェイが新しいログを開いたときに削除されます。
監査情報はデータベース テーブルに入力されないため、高度な分析を行なえるようにするにはログから抽出してデータベースにインポートする必要があります。
例: ネットワーク暗号化監査を有効にして、セキュリティのすべての変更を記録する
この例では、ネットワーク暗号化監査を有効にして、受信メッセージのセキュリティ レベルのすべての変更を記録するコマンドを示します。有効にすると、セッションのログオン後に最初のメッセージのセキュリティ レベルが記録され、各セッションの後続のセキュリティ レベルの変更も記録されます。次を実行します。
gtwcontrol --auditnetsecurity=yes
例: ネットワーク暗号化監査を有効にして、セキュリティ レベルのすべてのクリアテキストの変更を記録する
この例では、暗号化を使用していないクライアント ソフトウェアを特定する方法を示します。次のコマンドを使用してネットワーク暗号化監査を有効にし、すべてのクリアテキストのセキュリティ レベル、つまり、明示的に機密性レベルではないレベルを記録します。次を実行します。
gtwcontrol --auditnetsecurity=ct
セッションで暗号化が使用されていない場合、次のようなメッセージが記録されます。
gtwnetio.cpp @1816 (117455456): Thu Jan 5 20:10:30 2017
Client Security Level: Plaintext for Request 2 from HG 1, Session 1115, IPAddr 192.0.2.2, Port 50117, User "TESTUSER"
例: ネットワーク暗号化監査を無効にする
この例では、ネットワーク暗号化監査を無効にするコマンドを示します。次を実行します。
gtwcontrol --auditnetsecurity=no