Transcript 監査機能の向上
DB2 V9.5 最新技術情報 日本アイ・ビー・エム株式会社 ソフトウェア事業 IMテクニカル・セールス ICP ITアーキテクト 岡口 純子 Agenda 進化したワークロード管理 – V9.5でのワークロード管理 コンプライアンスの為のセキュリティー強化 これらを支えるアーキテクチャー変更 2 進化したワークロード管理 とモニタリング 3 効率的なダイニングバー経営を目指して お客様 受付 予約のお客 様の名前を 確認。 満席 時は待っても らう 人数・客層に応 じた席を判断 予約なし 予約なし カップ ル カウンター 団体 個室 予約に応じ て席を案内 予約客2F 2F 予約客3F 3F VIP Room 上客の突然の来店 予約の有無・人数など客層 フロア グラスが空いたら、 注文を聞く 飲み放題客は、 呼ばれるまで行 かない?2時間 で宴会終了 注文・客層に 応じたサービ スレベル提供 店長 特別なサービス 4 DB2 V9.5における新しいワークロード管理 アプリケー ションからの 要求 各接続は、事前定義の 「ワークロード」に分類 ユーザーIDで識別 予測した結果、閾値 を超えるワークロード DB2 のSubclass変更 Superclass 1 Workload A Workload B Workload C Default workload Work Action Set Work Class Subclass A Work Class Subclass B Superclass 2 Default User Class Default System Class システムによる 要求 Workload Service Class 各ワークロードが処理され るサービスクラスを定義 エージェントに割り当てら れるCPUの優先順位、プリ フェッチ要求の処理優先度 の設定可能 各サービスクラスに対して 様々な閾値を定義可能 活動情報 •各ワークロード、サー ビスクラスにおける稼 動情報 •実行時の統計情報 •実行SQL、入力値 •閾値を超えたときの 情報 AIX WLM との連携可能 5 V9.5のワークロード管理では 予測とモニターを組み合わせた安定的な実行環境を提供 活動中のワークをモニターするための負荷の軽く、粒度の細かいモ ニター方法を実現 よりよいリソース管理 – 明示的にワーク間のリソースを配置 (CPU プライオリティー) – 過度の、予想外のリソース消費を制限する(高負荷のクエリーのコント ロール) よりよいリクエスト管理 – ビジネス・プライオリティーベースのワーク管理 – ワークのパフォーマンスのトラッキング エンドツエンドのワークロード管理ソリューション ① ワークロードを分類 ② 実行環境を提供 ③ 分類に応じた活動モニター 6 DB2 V9.5のWLMでどんなことが出来る? 使用例 – アプリケーション毎に優先順位の制御 • “オンラインを優先させて、バッチ処理同時実行によるレスポン ス低下を抑えたい” • “月末の契約処理を優先させたい” – “暴走”クエリーの制御 • “あらかじめコストの高いSQLステートメントは停止したい” • “モニタリング機能を使って、実行時間の長いSQLステートメント を特定したい” – 並列度の制御 • “事前に定義した接続数を超えると、キューに待機させたい” • “部門ごとに重いクエリーは同時に一つだけにしたい” 7 ワークロードのモニタリング DB2 Performance Expert V3.1システム概要画面 KPI サービスクラス毎のワーク ロード管理が可能 それぞれのKPI に対してドリルダ ウンし、詳細を参 照可能 それぞれのKPIに対して、対応策、Tipsなど の情報を参照可能 8 サービスクラス単位のワークロードのモニタリング 9 コンプライアンスの為の セキュリティー強化 10 DB2監査機能の機能拡張 監査対象のより詳細な指定が可能に – ユーザ、グループ、ロールの認証IDのリストを指定可能 – 特定な表オブジェクトを指定可能 – 信頼されるコンテキスト(後述)による監査も可能 オーディットパフォーマンスの向上 静的、動的SQLステートメントのより詳細な監査記録 – コンパイル環境とSQLテキストを含み、オプションで入力 データ値も含めることが可能 監査記録保持方法の改善 – 最大ファイル・サイズと保管場所の変更 DB2 for z/OSとの互換性の向上 11 DB2監査機能(db2audit)の新機能 要件 設定 対象 特定テーブルの 実行SQLを記録したい EXECUTE category TABLE SYSADMIN category SYSADM権限 CHECKING category USER VALIDATE category ROLE 特定権限の 管理者の操作を記録したい 特定ユーザーの 表へのアクセスを記録したい 特定ロールの ユーザ認証を記録したい 12 DB2監査機能(db2audit)の利用方法 ① 取得データの決定 SYSCAT.AUDITPOLICY create audit policy ポリシー作成:create audit policy SYSCAT.AUDITUSE audit オブジェクトとの紐付け:audit db2audit start ② 監査機能の開始と停止 DB DB db2audit start / stop コマンド APPL ③ 監査レコードの抽出 audit buffer DB db2audit.log 監査バッファーのフラッシュ、 db2audit flush コマンド db2audit stop db2audit archive 監査ログのアーカイブ db2audit archive 監査レコードの抽出、db2audit extract コマンド 分析はユーザー tableなど db2audit extract ASCII File 13 DB2 Audit management Expert 監査結果のレポート 14 Trusted Contextによるユーザー特定と監査 監査機能の向上 – これまでは・・・ アプリケーションサーバー DBサーバー TABLE A すべて APPLUS ERによる 接続 APP USER 人事 APP USER TABLE B 開発 – TRUSTED CONTEXTを使用すると・・・ アプリケーションサーバー TRUSTED CONNECTION DBサーバー 誰がどの表に アクセスした か監査可能 TABLE A 人事 開発 APP USER 人事 APP USER 開発 SWITCH TABLE B 適切なアク セス権限 TRUSTED CONNECTION 15 これらを支える アーキテクチャー変更 16 V9.1までのアーキテクチャー プロセスモデル – UNIX、Linux プラットフォームのDB2では、インスタンスやデータベースに おいて、DB2の作業を行うEDU(Engine Dispatcher Unit)は、インスタン ス・ユーザーをオーナーとするプロセス群で構成 UDB Client Library Shared Mem & Semaphores, TCPIP, Named Pipes,… Idle Agent Instance Level Pool db2agent (idle) db2tcpcm db2agent db2ipccm Database Level db2agntp db2agntp Active Logging Subsyste m db2loggr db2loggw Log Disks Log Buffer Deadlo ck db2dlock Detecto r Buffer Pool(s) Idl e Commo n Client UDB Server Listener s Coordinator Agents Subage nts db2pfchr Prefe tcher s Page Process/Thread Organization Per-instance Per-application Per-database Idle, pooled agent or subagent EDUとは、DB2の 作業を行う単位 Health Monitor db2pclnr Cleaners db2acd Data Disks FMP 17 db2fmp V9.5でのアーキテクチャー スレッドモデル – V9.5からは、 UNIX、Linux プラットフォームにおいて、従来のようなプロセ ス・モデルではなく、db2syscプロセスが 1つ存在し、残りのEDUは db2syscプロセス配下にスレッドとして存在するアーキテクチャーに変更 UDB Client Library Shared Mem & Semaphores, TCPIP, Named Pipes,… Idle Agent Instance Level Pool db2agent (idle) db2tcpcm db2agent db2ipccm Database Level db2agntp db2agntp Active Logging Subsyste m db2loggr db2loggw Log Disks Log Buffer Deadlo ck db2dlock Detecto r Buffer Pool(s) Idl e Common Client UDB Server Listener s Coordinator Agents Subage nts db2pfchr Prefe tcher s Page Process/Thread Organization Per-instance Per-application Per-database Idle, pooled agent or subagent V9.5からは、点線 枠で囲まれた部分 は、1つのプロセス となる。各EDUは、 スレッドとして存在 して、 db2syscプロ セスに紐づく。 Health Monitor db2pclnr Cleaners db2acd Data Disks FMP 18 db2fmp スレッドモデルのメリット(1/2) パフォーマンスの向上 – スレッド間での情報引渡しは、プロセス間でのやり取りに比べれば、 一般的に速い。 リソースの節約 – EDUがプロセスだった際には、個別のプロセスで保持していた管理情 報を、db2syscプロセスが持つメモリー空間で共有するので、情報の 二重持ちがなくなる。 モニターや監査の為の負荷軽減! (軽いモニターを実現) 19 スレッドモデルのメリット(2/2) メモリー管理の容易 – インスタンス全体で消費されるメモリー量の把握が、従来より容易になる。 – AUTOMATICに設定、動的に変更可能な構成パラメーターが増える。 – エージェント間で情報が共有されるため、アプリケーション・グループ共用 メモリーが不要になる。 自己チューニングメモリー(STMM)の機能拡張 – アプリケーションも含めたメモリー管理を実現 – V9.1までは、AIX、WindowsのみDATABASE_MEMORYの AUTOMATICが設定可能 – V9.5では、Linux, Solaris, HP-UXにおいても、DATABASE_MEMORYが 固定から、AUTOMATICの設定が可能。 20 進化した自己チューニング・メモリー管理(STMM) DB2 9.5 DB2が自動的にメモリー・チューニングを実施 – – – オペレーティング・シ 管理者がメモリー・チューニングを実施する必要なし ステムのメモリ管理 予期しないワークロードを検知し、タイムリーにチューニング 対象がデータベース共用メモリーからアプリケーションが使うメモリーまで拡大 V9.1までは 共用メモリー まで管理 INSTANCE MEMORY DATABASE MEMORY Buffer Pool 1 Buffer Pool 2 Lock List APPLICATION MEMORY APPL 1 管理・調整対 象が拡大 Sorts & Hash Joins APPL 2 Package Cache 21 まとめ より進化したワークロード管理 – – – – – コンプライアンスを遵守した 安定したパフォーマンスの インフラを提供 ワークロード別の優先順位・リソース制御 ワークロードを予測した事前制御 軽いモニターによる実行中のワークロード管理・制御 Design StudioによるWLM定義 Performance Expertによるモニタリング コンプライアンスの為のセキュリティー強化 – きめ細かな指定による詳細な監査を実現 – DB2 Audit management Expertによる監査レポート – DB2 Encryption Expertによるコンテナー、バックアップの暗号化を実現 スレッドモデルへのアーキテクチャー変更 – 軽いモニター、軽い監査の負荷軽減 – パフォーマンス向上 – STMMによる容易なメモリーチューニング 22