Amazon RDS for Oracleの制約

No

制約

制約機能

ID

ログ

1

Amazon RDS for Oracleのアカウントは、iDoperationと同期できません。非同期での管理となります。貸出対象のアカウントは、手動で登録し、パスワードを設定してください。

〇

-

2

Amazon RDS for Oracleの監査ログはリアルタイムでは出力されないため、iDoperationのログ収集タイミングで、ログ出力が10分遅れるとそのログは収集されません。
Amazon RDS for Oracleの監査ログ出力は、実測した結果、約5分の遅延を確認しています。そのためiDoperationでは、遅延したログを収集できるように、収集時刻から10分前までのログを収集しているため、それ以上遅延した場合は収集されません。

-

〇

3

Amazon RDS for Oracleの監査ログでは、SYSDBA、SYSOPER権限でアクセスした場合、Amazon RDS for Oracleの監査ログにログアウト情報とアクセス元IPアドレスが含まれません。
そのため、特権IDの利用点検レポート、および、アクセス履歴レポートでは、ログアウト日時は"ログアウト情報なし"と表示され、アクセス元IP アドレスは空欄になります。

-

〇

4

Amazon RDS for Oracleの監査ログでは、SYSDBA、SYSOPER権限でOracleデータベースにOS認証のアクセスした場合は、アカウントが"/（半角スラッシュ）"で出力されます。
そのため、特権IDの利用点検レポート、および、アクセス履歴レポートでも同様に、SYSDBA、SYSOPER権限でOracleデータベースにOS認証のアクセスした場合は、アカウントが"/（半角スラッシュ）"で出力されます。

-

〇

5

Amazon RDS for Oracleの内部処理で「RDSADMIN」ユーザの大量アクセスが行われます。
その場合、大量のアクセス情報が特権IDの利用点検レポート、および、アクセス履歴レポートに出力されます。
その場合は、必要に応じて「RDSADMIN」ユーザのアクセスがレポートに表示されないように、除外する必要があります。

-

〇

6

Amazon RDS for Oracleのログイン失敗ログには、失敗理由がリターンコードで出力されます。
ログイン失敗履歴レポートにはリターンコードから失敗理由を判別した結果のメッセージが表示されます。判別結果のメッセージは下記6種類です。

• パスワード誤り(return code=%s)
• アカウント誤り (return code=%s)
• アカウントもしくはパスワード誤り(return code=%s)
• ロックされたアカウント(return code=%s)
• ログイン権限なし(return code=%s)
• その他の理由(return code=%s)

※「%s」の箇所は、ログに出力されたリターンコードが表示されます。

-

〇

7

Amazon RDS for Oracleのログイン失敗ログは、SYSDBA、SYSOPER の権限がないアカウントでSYSDBA、SYSOPER 権限のログインをしようとした場合、「アカウントもしくはパスワード誤り」のリターンコードでログが出力されます。
そのため、ログイン失敗履歴レポートの失敗理由には、「ログイン権限なし(return code=%s)」ではなく、「アカウントもしくはパスワード誤り (return code=%s)」で表示されます。

-

〇

8

ログファイルの保存期間（Amazon RDS for Oracleの、デフォルトは7日間）が存在します。
ログ収集を保存期間以上停止していた場合は、アクセスログの欠損が発生する可能性があります。
その場合、特権IDの利用点検レポートで、「未ログアウト」「申請あり未利用」と出力される可能性があります。

-

〇

インスタンスにリードレプリカを作成している場合は、プライマリのみが管理対象となます。レプリカへのID 管理操作やログ収集はできません。

-

〇