oracle审计管理

最新推荐文章于 2023-07-19 20:02:00 发布
最新推荐文章于 2023-07-19 20:02:00 发布
阅读量1k 收藏 4
点赞数
分类专栏: oracle
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bbccaaac/article/details/112553254
版权

适用于11g r2及以上版本,通过DBMS_AUDIT_MGMT包来管理审计记录
查看mgmt配置参数:

SELECT * FROM dba_audit_mgmt_config_params;
PARAMETER_NAME		       PARAMETER_VALUE		      AUDIT_TRAIL
------------------------------ ------------------------------ ----------------------------
DB AUDIT TABLESPACE	           TS_AUDIT 		              STANDARD AUDIT TRAIL
DB AUDIT TABLESPACE	           TS_AUDIT 		              FGA AUDIT TRAIL
AUDIT FILE MAX SIZE	           10000			       OS AUDIT TRAIL
AUDIT FILE MAX SIZE	           10000			       XML AUDIT TRAIL
AUDIT FILE MAX AGE	           5			              OS AUDIT TRAIL
AUDIT FILE MAX AGE	           5			              XML AUDIT TRAIL
DB AUDIT CLEAN BATCH SIZE      10000			       STANDARD AUDIT TRAIL
DB AUDIT CLEAN BATCH SIZE      10000			       FGA AUDIT TRAIL
OS FILE CLEAN BATCH SIZE       1000			       OS AUDIT TRAIL
OS FILE CLEAN BATCH SIZE       1000			       XML AUDIT TRAIL
DEFAULT CLEAN UP INTERVAL      24                             STANDARD AUDIT TRAIL

1、审计表空间迁移

详见:oracle-base
审计表默认表空间是SYSTEM

SELECT * FROM dba_segments WHERE segment_name in('AUD$','FGA_LOG$');
SELECT table_name, tablespace_name FROM dba_tables WHERE table_name IN ('AUD$', 'FGA_LOG$') ORDER BY table_name;

创建审计表空间

SQL> create tablespace ts_audit datafile '/u01/app/oracle/oradata/MYCISDB/datafile/audit01.dbf' size 2g autoextend on, '/u01/app/oracle/oradata/MYCISDB/datafile/audit02.dbf' size 2g autoextend on;

迁移aud$和fga_log$至该表空间
迁移aud$
set_audit_trail_location中audit_trail_type参数包括:
DBMS_AUDIT_MGMT.AUDIT_TRAIL_AUD_STD: Standard audit trail (AUD$).
DBMS_AUDIT_MGMT.AUDIT_TRAIL_FGA_STD: Fine-grained audit trail (FGA_LOG$).
DBMS_AUDIT_MGMT.AUDIT_TRAIL_DB_STD: Both standard and fine-grained audit trails.
DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED: (12c) The unified audit tables.

BEGIN
  DBMS_AUDIT_MGMT.set_audit_trail_location(
  audit_trail_type => DBMS_AUDIT_MGMT.AUDIT_TRAIL_AUD_STD,
  audit_trail_location_value => 'TS_AUDIT');
END; /

迁移FGA_LOG$表

BEGIN
  DBMS_AUDIT_MGMT.set_audit_trail_location(
  audit_trail_type => DBMS_AUDIT_MGMT.AUDIT_TRAIL_FGA_STD,
  audit_trail_location_value => 'TS_AUDIT');
END;
/

迁移aud$和FGA_LOG$表

BEGIN
  DBMS_AUDIT_MGMT.set_audit_trail_location(
  audit_trail_type => DBMS_AUDIT_MGMT.AUDIT_TRAIL_DB_STD,
  audit_trail_location_value => 'TS_AUDIT');
END;
/

注意:执行迁移时,11G需要取消对session的创建的审计(noaduit create session;),因为执行期间会锁表,导致连接的审计记录不能插入至审计表从而使数据库连接失败

2、审计日志自动清理

DBMS_AUDIT_MGMT常数参考:constant

1)初始化设置及取消

设置

–AUD$表

BEGIN
DBMS_AUDIT_MGMT.INIT_CLEANUP(
audit_trail_type => DBMS_AUDIT_MGMT.AUDIT_TRAIL_AUD_STD,
default_cleanup_interval => 24);
END;
/

–FGA_LOG$表

BEGIN
DBMS_AUDIT_MGMT.INIT_CLEANUP(
audit_trail_type => DBMS_AUDIT_MGMT.AUDIT_TRAIL_FGA_STD,
default_cleanup_interval => 24);
END;
/

取消初始化配置

BEGIN
DBMS_AUDIT_MGMT.deinit_cleanup(audit_trail_type=>DBMS_AUDIT_MGMT.AUDIT_TRAIL_AUD_STD);
END;
/

2)设置需要清理的审计记录及取消

–创建审计日志的归档job,用来设置过期的审计日志,如保留180天,则将180天以前数据会被清理,清理任务交给下面的清理job,即设置哪些数据需要清理
–DBMS_AUDIT_MGMT可以设置清理比一个时间更旧的数据,SET_LAST_ARCHIVE_TIMESTAMP用来设置这个时间,设置后可以在DBA_AUDIT_MGMT_LAST_ARCH_TS中查询

单独设置

BEGIN 
DBMS_AUDIT_MGMT.SET_LAST_ARCHIVE_TIMESTAMP(
AUDIT_TRAIL_TYPE => DBMS_AUDIT_MGMT.AUDIT_TRAIL_FGA_STD,
LAST_ARCHIVE_TIME => SYSDATE-180); 
END;
/

通过job设置

–AUD$表

BEGIN
DBMS_SCHEDULER.CREATE_JOB (
job_name => 'SET_AUDIT_ARCHIVE_TIMESTAMP',
job_type => 'PLSQL_BLOCK',
job_action => 'BEGIN DBMS_AUDIT_MGMT.SET_LAST_ARCHIVE_TIMESTAMP(AUDIT_TRAIL_TYPE => DBMS_AUDIT_MGMT.AUDIT_TRAIL_FGA_STD,LAST_ARCHIVE_TIME => SYSDATE-180); END;',
start_date => sysdate,
repeat_interval => 'FREQ=DAILY;BYHOUR=22', --每天22点执行
enabled => TRUE,
comments => 'Create an archive timestamp'
);
END;
/

–FGA_LOG$表

BEGIN
DBMS_SCHEDULER.CREATE_JOB (
job_name => 'SET_FGA_AUDIT_ARCHIVE_TIMESTAMP',
job_type => 'PLSQL_BLOCK',
job_action => 'BEGIN DBMS_AUDIT_MGMT.SET_LAST_ARCHIVE_TIMESTAMP(AUDIT_TRAIL_TYPE => DBMS_AUDIT_MGMT.AUDIT_TRAIL_AUD_STD,LAST_ARCHIVE_TIME => SYSDATE-180); END;',
start_date => sysdate,
repeat_interval => 'FREQ=DAILY;BYHOUR=22', --每天22点执行
enabled => TRUE,
comments => 'Create an archive timestamp'
);
END;
/

清除

BEGIN
  DBMS_AUDIT_MGMT.clear_last_archive_timestamp(audit_trail_type => DBMS_AUDIT_MGMT.AUDIT_TRAIL_AUD_STD);
END;
/

3)清理审计记录

手动清理

注意,如果设置了保留时间,则只清理过期的数据,如果参数use_last_arch_timestamp为FALSE,则清理所有审计数据
–AUD$表

BEGIN
  DBMS_AUDIT_MGMT.clean_audit_trail(
   audit_trail_type        => DBMS_AUDIT_MGMT.AUDIT_TRAIL_AUD_STD,
   use_last_arch_timestamp => TRUE);
END;
/

自动清理

–创建自动清理job 每7天执行一次清理,通过DBA_SCHEDULER_JOBS查看job情况

注意:如果下面的job使用了last_arch_timestamp,但没有手动修改这个保留时间,job会运行但没有清理数据(因为此时数据之前已被清理了),所以才有以上第2)步的job,修改这个保留时间
–AUD$表

BEGIN
DBMS_AUDIT_MGMT.CREATE_PURGE_JOB(
audit_trail_type => DBMS_AUDIT_MGMT.AUDIT_TRAIL_AUD_STD,
audit_trail_purge_interval => 168, --7天,168小时
audit_trail_purge_name => 'AUDIT_CLEANUP_JOB',
use_last_arch_timestamp => TRUE);
END;
/

–FGA_LOG$表

BEGIN
DBMS_AUDIT_MGMT.CREATE_PURGE_JOB(
audit_trail_type => DBMS_AUDIT_MGMT.AUDIT_TRAIL_FGA_STD,
audit_trail_purge_interval => 168, --7天,168小时
audit_trail_purge_name => 'AUDIT_FGA_CLEANUP_JOB',
use_last_arch_timestamp => TRUE);
END;
/

–禁用job

BEGIN
  DBMS_AUDIT_MGMT.set_purge_job_status(
    audit_trail_purge_name   => 'AUDIT_CLEANUP_JOB',
    audit_trail_status_value => DBMS_AUDIT_MGMT.PURGE_JOB_DISABLE);

–启用job

  DBMS_AUDIT_MGMT.set_purge_job_status(
    audit_trail_purge_name   => 'AUDIT_CLEANUP_JOB',
    audit_trail_status_value => DBMS_AUDIT_MGMT.PURGE_JOB_ENABLE);
END;
/

–修改job执行间隔为2天

BEGIN
  DBMS_AUDIT_MGMT.SET_PURGE_JOB_INTERVAL(
    audit_trail_purge_name     => 'AUDIT_CLEANUP_JOB',
    audit_trail_interval_value => 48);
END;
/

–删除自动清理job

BEGIN
  DBMS_AUDIT_MGMT.drop_purge_job(
     audit_trail_purge_name     => 'AUDIT_CLEANUP_JOB');
END;
/

–查看清理job执行情况,delete_count应该不为0

select * from dba_audit_mgmt_clean_events;
A-CSer
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
oracle审计日志时长,oracle 审计日志清理
weixin_39618956的博客
04-14 1373
--进入审计日志目录:cd $ORACLE_BASE/admin/$ORACLE_SID/adump--删除3个月前的审计文件:find ./ -type f -name "*.aud" -mtime +91|xargs rm -f--一次清空所有审计文件find ./ -type f -name "*.aud"|xargs rm-ffind ./ -mtime +7 -name "*.aud" ...
Auditing Enhancements (DBMS_AUDIT_MGMT) in Oracle Database 11g Release 2
coabmixr238253的博客
09-05 298
Auditing Enhancements (DBMS_AUDIT_MGMT) in Oracle Database 11g Release 2 Oracle 11g Release 1 turned on auditng...
DBMS_AUDIT_MGMT.FLUSH_UNIFIED_AUDIT_TRAIL过程
m0_72787342的博客
08-21 189
DBMS_AUDIT_MGMT.FLUSH_UNIFIED_AUDIT_TRAIL过程强制将队列中的记录写入磁盘,以便于立即查看审计线索记录。审计记录在写入审计线索之前是不可见的。统一审计引擎的默认行为是将审计记录排队并在队列填满时将它们写入统一审计线索。
Oracle归档日志管理
Box_L的专栏
03-11 710
Oracle中,数据一般是存放在数据文件中,不过数据库与Oracle最大的区别之一就是数据库可以在数据出错的时候进行恢复。这个也就是我们常见的Oracle中的重做日志(REDO FILE)的功能了。在重做日志分成2部分,一个是在线重做日志文件,另外一个就是归档日志文件。   这里不详细说明在线重做日志,而是说一下归档日志(Archive Log)。在线重做日志大小毕竟是有限的,当都写满了的时候
oracle等保,打开审计并定期清理
kevinyu998的博客
07-19 1206
-63根据查询的,根据实际情况调整。最近经常遇到等保需求,需要打开审计并定期清理。2、配置保留180天,并定期清理。
oracle12c审计功能,oracle 12c开启关闭统一审计
weixin_39973196的博客
04-09 240
--------------------开启统一审计-------------------------------------------SQL> conn /as sysdbaSQL> shutdown immediateSQL> exit$ lsnrctl stop$ cd $ORACLE_HOME/rdbms/lib$ make -f ins_rdbms.mk uniaud...
Oracle审计功能
09-21
Oracle审计功能是数据库安全性的一部分,用于记录和跟踪数据库中的各种活动,以便于数据库管理员(DBA)可以更好地监控和控制数据库中的访问和操作。Oracle审计功能可以分为标准审计和细粒度审计两大类。 标准审计是...
Oracle审计功能.docx
05-02
Oracle审计分为两种主要类型:标准审计和细粒度审计。 一、审计分类 1. 标准审计:这是Oracle的基础审计机制,分为用户级审计和系统级审计。用户级审计允许普通用户审计他们自己的对象,如表和视图,记录所有对...
ORACLE审计小结
08-27
审计(Audit)用于监视用户所执行的数据库操作,并且Oracle会将审计跟踪结果存放到OS文件(默认位置为$ORACLE_BASE/admin/$ORACLE_SID/adump/)或数据库(存储在system表空间中的SYS.AUD$表中,可通过视图dba_audit_...
Oracle审计功能介绍.docx
05-02
1. 标准审计:这是Oracle审计的基础,包括用户级审计和系统级审计。用户级审计允许普通用户审计他们自己的对象,如表和视图,记录所有成功或失败的访问尝试以及SQL操作。系统级审计则由DBA控制,用来监视登录尝试、...
Oracle管理Oracle审计手册.docx
01-12
Oracle管理Oracle审计手册详细解析 Oracle审计是数据库安全的重要组成部分,旨在追踪并记录数据库中的活动,以确保合规性、安全性和数据完整性。Oracle审计手册提供了全面的指南,帮助管理员进行有效的数据库...
oracle日志保存时间,Oracle ALert日志时间保存脚本
weixin_36303283的博客
04-06 873
以下脚本可以通过定时任务,每天0点执行,让警告日志按照时间分类,自动保存到相应目录中。方便对每天所产生的Alart日志进行查看。windows下脚本rem 复制日志文件并改名,请根据SID情况修改脚本set year=%DATE:~0,4%set month=%DATE:~5,2%set day=%DATE:~8,2%copy C:\app\Administrator\diag\rdbms\orc...
oracle日志可以存多久,oracle存档日志
weixin_39811842的博客
04-16 2236
oracle归档日志查看归档日志大小及使用情况select * from v$recovery_file_destSQL> select * from v$recovery_file_dest;NAME--------------------------------------------SPACE_LIMIT SPACE_USED SPACE_RECLAIMABLE NUMBER_OF_F...
oracle日志保存时间设置,关于日志设置的详细介绍
weixin_35933239的博客
04-07 2126
这篇文章主要介绍了MySQL日志设置及查看方法,需要的朋友可以参考下MySQL有以下几种日志:错误日志: -log-err查询日志: -log慢查询日志: -log-slow-queries更新日志: -log-update二进制日志: -log-bin默认情况下,所有日志创建于mysqld数据目录中。通过刷新日志,你可以强制 mysqld来关闭和重新打开日志文件(或者在某些情况下切换到一个新的日...
Oracle Mysql审计日志等保测评
老秦的博客
01-11 1203
Oracle\Mysql的审计日志
Oracle审计篇 —— 系统审计表表空间迁移问题小结
Hehuyi_In的博客
02-26 2257
一、迁移中的阻塞 DBMS_AUDIT_MGMT.set_audit_trail_location 根据网上资料是一种在线迁移方法,但在迁移过程中发现有大量会话等待enq: ZA - add std audit table partition事件,如果时间过长,实际对业务还是会有影响。 SQL> select sid,blocking_session,final_blocking_s...
oracle 12c\18c\19c安全审计规则
Du.的博客
04-07 4729
12c新特性 12c开始oracle引入了统一审计(unified auditing)的概念,统一审计默认是关闭的。 如果保持默认(关闭统一审计),传统的审计方式生效,将audit_trail设为none\os\db\xml,与11g无异 如果开启统一审计,传统的审计方式设置的audit_trail无效,审计记录会自动存储在AUDSYS用户下(AUDSYS.AUD$UNIFIED表),SYSAUX表空间中。 参考:AUDIT (Traditional Auditing) 有一段描述如下: AU
Oracle 审计管理
jnrjian的博客
03-28 338
Oracle 审计管理 富士康质检员张全蛋 于 2018-10-12 11:12:43 发布 289 收藏 分类专栏: Oracle 日常管理 文章标签: oracle 版权 Oracle 日常管理 专栏收录该内容 97 篇文章14 订阅 订阅专栏 下面是实际生产库的一个加固项,是针对于数据库审计。 检查是否记录操作日志;检查是否根据业务要求制定数据库审计策略(需要重启数据库) 注意事项及影响: 开启审计功能,对于os 级别审计需要部署清理脚本,db 级别审计也需要部署清理脚本 对于开启db..
oracle 审计
最新发布
07-27
Oracle审计是指对Oracle数据库进行监控和记录,以确保数据库的安全性和合规性。审计可以跟踪和记录数据库中发生的各种操作,如登录、查询、修改、删除等,以及对数据库对象的访问和权限控制。通过审计,可以追踪数据库的使用情况,发现潜在的安全风险和数据泄露,并且满足合规要求。 Oracle提供了一系列的工具和功能来实现审计,包括Oracle Audit Vault and Database Firewall、Oracle Database Vault、Oracle Database Security检查器等。这些工具可以帮助管理员设置审计策略、配置审计参数、收集审计日志,并提供报告和警报功能。 管理员可以根据需求和安全要求,选择不同的审计级别和对象进行审计,如用户级别、操作级别、对象级别等。审计日志可以保存在数据库中或者外部存储中,管理员可以通过查询日志或使用审计工具进行分析和监控。 总之,Oracle审计是保证数据库安全和合规性的重要手段,通过对数据库操作的监控和记录,可以及时发现和应对安全威胁,确保数据的机密性、完整性和可用性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值