本文以Linux操作系统为例。实现将SYS用户的动作记录到操作系统系统日志中,对应的操作系统日志文件是“/var/log/messages”。
1.调整数据库参数
实现这个功能最关键的参数便是“audit_syslog_level”和“audit_sys_operations”。
即便audit_trail参数值为“NONE”功能也是能实现的。
1)调整系统参数
sys@ora10g> alter system set audit_syslog_level='USER.NOTICE' scope=spfile;
System altered.
sys@ora10g> alter system set audit_sys_operations=TRUE scope=spfile;
System altered.
sys@ora10g> alter system set audit_trail=none scope=spfile;
System altered.
2)重启数据库使调整后的参数生效
sys@ora10g> shutdown immediate;
Database closed.
Database dismounted.
ORACLE instance shut down.
sys@ora10g> startup;
ORACLE instance started.
Total System Global Area 268435456 bytes
Fixed Size 1218868 bytes
Variable Size 71304908 bytes
Database Buffers 188743680 bytes
Redo Buffers 7168000 bytes
Database mounted.
Database opened.
3)验证参数调整结果
sys@ora10g> show parameter audit
NAME TYPE VALUE
---------------------- -------------------- ----------------
audit_file_dest string /home/oracle
audit_sys_operations boolean TRUE
audit_syslog_level string USER
audit_trail string NONE
注意此时audit_trail参数值是“NONE”。
2.验证审计效果
1)使用root用户实时监控操作系统日志
[root@secdb ~]# tail -100f /var/log/messages
2)在SYS用户下提交SQL语句
sys@ora10g> select 'secooler' secooler from dual;
SECOOLER
--------
secooler
3)系统日志中记录了如下审计信息
Apr 27 22:30:23 secdb Oracle Audit[7761]: ACTION : 'select 'secooler' secooler from dual' DATABASE USER: '/' PRIVILEGE : SYSDBA CLIENT USER: oracle CLIENT TERMINAL: pts/3 STATUS: 0
Apr 27 22:30:23 secdb Oracle Audit[7761]: ACTION : 'BEGIN DBMS_OUTPUT.GET_LINES(:LINES, :NUMLINES); END;' DATABASE USER: '/' PRIVILEGE : SYSDBA CLIENT USER: oracle CLIENT TERMINAL: pts/3 STATUS: 0
可见,在SYS用户下执行的SQL语句已经完整的写入到了操作系统日志中。
其中“[7761]”表示操作系统进程进程ID。
[root@secdb ~]# ps -ef | grep 7761 | grep -v grep
oracle 7761 7761 0 22:39 ? 00:00:00 oracleora10g (DESCRIPTION=(LOCAL=YES)(ADDRESS=(PROTOCOL=beq)))
3.10g官方文档中参数描述
AUDIT_SYS_OPERATIONS描述链接:
http://download.oracle.com/docs/cd/B19306_01/server.102/b14237/initparams014.htm
AUDIT_SYSLOG_LEVEL描述链接:
http://download.oracle.com/docs/cd/B19306_01/server.102/b14237/initparams015.htm
4.小结
这种将SYS用户下的操作写入到操作系统日志的行为需要重点监控,防止出现无人看管的增长文件。针对自己的实际需求选择使用。
Good luck.
secooler
11.04.27
-- The End --
1.调整数据库参数
实现这个功能最关键的参数便是“audit_syslog_level”和“audit_sys_operations”。
即便audit_trail参数值为“NONE”功能也是能实现的。
1)调整系统参数
sys@ora10g> alter system set audit_syslog_level='USER.NOTICE' scope=spfile;
System altered.
sys@ora10g> alter system set audit_sys_operations=TRUE scope=spfile;
System altered.
sys@ora10g> alter system set audit_trail=none scope=spfile;
System altered.
2)重启数据库使调整后的参数生效
sys@ora10g> shutdown immediate;
Database closed.
Database dismounted.
ORACLE instance shut down.
sys@ora10g> startup;
ORACLE instance started.
Total System Global Area 268435456 bytes
Fixed Size 1218868 bytes
Variable Size 71304908 bytes
Database Buffers 188743680 bytes
Redo Buffers 7168000 bytes
Database mounted.
Database opened.
3)验证参数调整结果
sys@ora10g> show parameter audit
NAME TYPE VALUE
---------------------- -------------------- ----------------
audit_file_dest string /home/oracle
audit_sys_operations boolean TRUE
audit_syslog_level string USER
audit_trail string NONE
注意此时audit_trail参数值是“NONE”。
2.验证审计效果
1)使用root用户实时监控操作系统日志
[root@secdb ~]# tail -100f /var/log/messages
2)在SYS用户下提交SQL语句
sys@ora10g> select 'secooler' secooler from dual;
SECOOLER
--------
secooler
3)系统日志中记录了如下审计信息
Apr 27 22:30:23 secdb Oracle Audit[7761]: ACTION : 'select 'secooler' secooler from dual' DATABASE USER: '/' PRIVILEGE : SYSDBA CLIENT USER: oracle CLIENT TERMINAL: pts/3 STATUS: 0
Apr 27 22:30:23 secdb Oracle Audit[7761]: ACTION : 'BEGIN DBMS_OUTPUT.GET_LINES(:LINES, :NUMLINES); END;' DATABASE USER: '/' PRIVILEGE : SYSDBA CLIENT USER: oracle CLIENT TERMINAL: pts/3 STATUS: 0
可见,在SYS用户下执行的SQL语句已经完整的写入到了操作系统日志中。
其中“[7761]”表示操作系统进程进程ID。
[root@secdb ~]# ps -ef | grep 7761 | grep -v grep
oracle 7761 7761 0 22:39 ? 00:00:00 oracleora10g (DESCRIPTION=(LOCAL=YES)(ADDRESS=(PROTOCOL=beq)))
3.10g官方文档中参数描述
AUDIT_SYS_OPERATIONS描述链接:
http://download.oracle.com/docs/cd/B19306_01/server.102/b14237/initparams014.htm
AUDIT_SYSLOG_LEVEL描述链接:
http://download.oracle.com/docs/cd/B19306_01/server.102/b14237/initparams015.htm
4.小结
这种将SYS用户下的操作写入到操作系统日志的行为需要重点监控,防止出现无人看管的增长文件。针对自己的实际需求选择使用。
Good luck.
secooler
11.04.27
-- The End --
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/519536/viewspace-694036/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/519536/viewspace-694036/