oracle 生产txt,[20191128]oracle Audit文件管理2.txt

最新推荐文章于 2023-09-11 15:05:26 发布
最新推荐文章于 2023-09-11 15:05:26 发布
阅读量83 收藏
点赞数
文章标签: oracle 生产txt
本文档详细记录了一次针对Oracle数据库审计功能的测试过程,包括audit_file_dest、audit_sys_operations和audit_syslog_level参数的设置与影响。测试涉及审计文件路径、syslog服务配置、审计级别以及参数修改对审计日志的影响。测试结果显示audit_syslog_level的配置需与syslog服务匹配,否则可能导致审计信息丢失。
摘要由CSDN通过智能技术生成

[20191128]oracle Audit文件管理2.txt

--//以前的测试,http://blog.itpub.net/267265/viewspace-2646161/ => [20190530]oracle Audit文件管理.txt

--//今天我检查发现exadata的asm实例配置的是:

SQL> show parameter audit

NAME                 TYPE        VALUE

-------------------- ----------- ------------------------------

audit_file_dest      string      /u01/app/11.2.0.4/grid/rdbms/audit

audit_sys_operations boolean     FALSE

audit_syslog_level   string      LOCAL0.INFO

--//exadate oracle的实施人员修改参数audit_syslog_level指向了LOCAL0.INFO.不过audit_sys_operations=false

--//而且实施人员并没有定义LOCAL0.INFO在/etc/syslog.conf文件中(有一些系统使用rsyslog代替syslog)

# grep -i local0 /etc/syslog.conf

# grep -i 'local0.info' /etc/rsyslog.conf

--//两者都无显示.顺便说一下我们使用的是rsyslog服务.

# service syslog status

syslogd is stopped

klogd is stopped

#  service rsyslog status

rsyslogd (pid  116746) is running...

--//感觉oracle的实施人员有点丢脸.没注意细节....

--//补充测试修改这些参数是否需要重启数据库,以及其它一些细节问题.

1.环境:

SYS@book> @ ver1

PORT_STRING                    VERSION        BANNER

------------------------------ -------------- ----------------------------------------------------------------------------

x86_64/Linux 2.4.xx            11.2.0.4.0     Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - 64bit Production

2.测试1:

--//修改参数是否需要重启.

SYS@book> show parameter audit

NAME                 TYPE    VALUE

-------------------- ------- --------------------------------

audit_file_dest      string  /u01/app/oracle/admin/book/adump

audit_sys_operations boolean TRUE

audit_syslog_level   string  LOCAL0.INFO

audit_trail          string  DB, EXTENDED

# grep "local0" /etc/syslog.conf

local0.info                     /var/log/oracleaudit.log

SYS@book> alter system set audit_sys_operations=false ;

alter system set audit_sys_operations=false

*

ERROR at line 1:

ORA-02095: specified initialization parameter cannot be modified

SYS@book> alter system set audit_syslog_level=LOCAL1.INFO;

alter system set audit_syslog_level=LOCAL1.INFO

*

ERROR at line 1:

ORA-02095: specified initialization parameter cannot be modified

--//不行!!

--//audit_sys_operations,audit_syslog_level都不能在线修改.

3.测试2:

--//如果audit_sys_operations=false,audit_syslog_level=LOCAL0.INFO会怎样?

SYS@book> alter system set audit_sys_operations=false scope=spfile;

System altered.

--//重启数据库.

--//可以发现登录审计依旧记录在/var/log/oracleaudit.log,但是执行的命令不记录在/var/log/oracleaudit.log文件中.

# tail -f  /var/log/oracleaudit.log

--//执行如下可以发现tail -f没有输出.

SYS@book> show sga

Total System Global Area  643084288 bytes

Fixed Size                  2255872 bytes

Variable Size             205521920 bytes

Database Buffers          427819008 bytes

Redo Buffers                7487488 bytes

4.测试3:

SYS@book> alter system set audit_sys_operations=true scope=spfile;

System altered.

SYS@book> shutdown immediate ;

Database closed.

Database dismounted.

ORACLE instance shut down.

SYS@book> startup

ORACLE instance started.

Total System Global Area  643084288 bytes

Fixed Size                  2255872 bytes

Variable Size             205521920 bytes

Database Buffers          427819008 bytes

Redo Buffers                7487488 bytes

Database mounted.

Database opened.

--//另外注意一点不管何种方式模式,启动的时候在目录/u01/app/oracle/admin/book/adump都会有记录.也就是还是有点东西记录在这个

--//目录.不过不会很多,除非你经常重启asm实例.

$ ls -ltr | grep 2019-11-28

-rw-r----- 1 oracle oinstall 770 2019-11-28 15:22:15 book_ora_28379_20191128152215303883143795.aud

-rw-r----- 1 oracle oinstall 770 2019-11-28 15:28:26 book_ora_28615_20191128152826802446143795.aud

-rw-r----- 1 oracle oinstall 770 2019-11-28 15:34:17 book_ora_28726_20191128153417006021143795.aud

SYS@book> select sysdate from dual ;

SYSDATE

-------------------

2019-11-28 15:35:32

# tail -f  /var/log/oracleaudit.log

Nov 28 15:34:23 xxxxxxxx Oracle Audit[28777]: LENGTH : '160' ACTION :[7] 'CONNECT' DATABASE USER:[1] '/' PRIVILEGE :[6] 'SYSDBA' CLIENT USER:[6] 'oracle' CLIENT TERMINAL:[6] 'pts/11' STATUS:[1] '0' DBID:[10] '1337401710'

Nov 28 15:34:25 xxxxxxxx Oracle Audit[28777]: LENGTH : '173' ACTION :[19] 'ALTER DATABASE OPEN' DATABASE USER:[1] '/' PRIVILEGE :[6] 'SYSDBA' CLIENT USER:[6] 'oracle' CLIENT TERMINAL:[6] 'pts/11' STATUS:[1] '0' DBID:[10] '1337401710'

Nov 28 15:35:32 xxxxxxxx Oracle Audit[28777]: LENGTH : '179' ACTION :[25] 'select sysdate from dual ' DATABASE USER:[1] '/' PRIVILEGE :[6] 'SYSDBA' CLIENT USER:[6] 'oracle' CLIENT TERMINAL:[6] 'pts/11' STATUS:[1] '0' DBID:[10] '1337401710'

--//最后1条记录记录执行select sysdate from dual命令.

5.测试4:

--//注解如下,也就是exadate遇到的情况:

# grep "local0" /etc/syslog.conf

#local0.info                     /var/log/oracleaudit.log

--//重启syslog服务.

# service syslog restart

Shutting down kernel logger:  [  OK  ]

Shutting down system logger:  [  OK  ]

Starting system logger:       [  OK  ]

Starting kernel logger:       [  OK  ]

SYS@book> select sysdate from dual ;

SYSDATE

-------------------

2019-11-28 15:39:48

# tail -f  /var/log/oracleaudit.log

--//没有输出.这种情况仅仅记录登录的审计.

--//以sys用户登录后检查:

$ ls -ltr | grep 2019-11-28

-rw-r----- 1 oracle oinstall 770 2019-11-28 15:22:15 book_ora_28379_20191128152215303883143795.aud

-rw-r----- 1 oracle oinstall 770 2019-11-28 15:28:26 book_ora_28615_20191128152826802446143795.aud

-rw-r----- 1 oracle oinstall 770 2019-11-28 15:34:17 book_ora_28726_20191128153417006021143795.aud

--//在/u01/app/oracle/admin/book/adump目录下不产生审计文件.

--//也就是这样的情况会出现丢失审计的情况!!!

6.测试5:

--//测试audit_syslog_level参数大小写混合输入会是什么情况?

SYS@book> alter system set audit_syslog_level='Local0.info' scope=spfile ;

System altered.

SYS@book> show spparameter audit

SID      NAME                 TYPE    VALUE

-------- -------------------- ------- --------------------------------

*        audit_file_dest      string  /u01/app/oracle/admin/book/adump

*        audit_sys_operations boolean TRUE

*        audit_syslog_level   string  Local0.info

*        audit_trail          string  DB

*        audit_trail          string  EXTENDED

--//取消注解,注意后面的O我输入的大写.

# grep "local0" /etc/syslog.conf

local0.infO                     /var/log/oracleaudit.log

--//重启syslog服务.

# service syslog restart

Shutting down kernel logger:  [  OK  ]

Shutting down system logger:  [  OK  ]

Starting system logger:       [  OK  ]

Starting kernel logger:       [  OK  ]

--//重启数据库:

SYS@book> show spparameter audit

SID      NAME                 TYPE     VALUE

-------- -------------------- -------- --------------------------------

*        audit_file_dest      string   /u01/app/oracle/admin/book/adump

*        audit_sys_operations boolean  TRUE

*        audit_syslog_level   string   Local0.info

*        audit_trail          string   DB

*        audit_trail          string   EXTENDED

SYS@book> show parameter audit

NAME                 TYPE    VALUE

-------------------- ------- --------------------------------

audit_file_dest      string  /u01/app/oracle/admin/book/adump

audit_sys_operations boolean TRUE

audit_syslog_level   string  LOCAL0.INFO

audit_trail          string  DB, EXTENDED

--//实际上启动后audit_syslog_level定义是大写.

SYS@book> show sga

Total System Global Area  643084288 bytes

Fixed Size                  2255872 bytes

Variable Size             205521920 bytes

Database Buffers          427819008 bytes

Redo Buffers                7487488 bytes

SYS@book> select Sysdate from dual;

SYSDATE

-------------------

2019-11-28 15:54:19

# tail -f  /var/log/oracleaudit.log

Nov 28 15:54:19 gxqyydg4 Oracle Audit[29236]: LENGTH : '178' ACTION :[24] 'select Sysdate from dual' DATABASE USER:[1]

'/' PRIVILEGE :[6] 'SYSDBA' CLIENT USER:[6] 'oracle' CLIENT TERMINAL:[6] 'pts/11' STATUS:[1] '0' DBID:[10] '1337401710'

weixin_39959192
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
oracle开启audit(审计)
09-28
oracle开启audit(审计)的详细过程.
oracle的查询结果保存成txt,Oracle表中数据导Txt格式的方案
weixin_28949049的博客
04-04 653
我们大家都知道数据库所提供的SQL的功能是十分强大的,对其用的越多,就会觉的自己在其方面的知识懂得太少,上次我们做相关系统演示时,就需要相关手工制造一些文本Oracle表中的数据充当数据源,想偷偷懒就用了Toad工具直接查询后导成csv格式。今天正好有点时间,整理了一下思路,用sql去实现文本数据的生成。写了大致框架,有空时再来完善吧。步骤如下:新建一个sql脚本 d:\czrk.sql,代码如...
Oracle审计日志设置
一天不看代码浑身难受
04-26 4266
Oracle 11g 安装后会默认开启数据库审计功能,并且日志保存在 SYSTEM 表空间中。建议数据库安装完成之后将此功能关闭,当需要时候再进行开启。当已形成很对日志时,可删除里面的记录,目前是直接删除,未对数据库造成影响。一般建议部署完oracle后如不用审计功能,即关闭以节省空间。说明:VALUE值为FALSE,表面审计功能为关闭的状态。根据查询结果可知,已经开启数据库审计功能。a) 执行以下语句关闭数据库审计功能。FALSE 关闭审计功能。NONE 关闭审计功能。最后重启服务即可开启。
Oracle审计和日志的记录
最新发布
互联网知识分享
09-11 3185
数据库提供了审计和日志记录功能,用于跟踪和记录数据库中发生的活动和事件。日志记录是指将数据库的活动和事件记录到日志文件中,以便后续的分析和故障排查。数据库用于恢复和故障恢复的关键组件,它记录了数据库中发生的所有事务操作。数据库提供了多种日志记录功能,包括错误日志、跟踪日志、重做日志和监听器日志等。监听器的活动信息,包括监听器的启动、连接请求的处理等。除了全局的审计配置外,还可以为特定的数据库对象启用审计,例如表、视图、存储过程等。视图:该视图包含了所有的审计日志记录,通过查询该视图可以获取审计的详细信息。
ORACLE动态完全数据日志(AUDIT LOG)批处理生成脚本
weixin_30284355的博客
09-15 172
目标: 1)实现对数据更新CRUD的记录 2)可以对动态调整需要做日志的表/列 3)可对比更新前后的数据差别。 4)记录操作的用户和操作方式等等 效果: 1)在T_AUDIT_LOGS中记录动态指定所有的CRUD操作 2)更新后前后数据对比用HTML <TABLE>呈现,比如: 列表值 VALUE TestVal TestVal-修改后 列表...
ORACLE_审计内容_DBA_AUDIT_TRAIL.xlsx
11-11
Oracle审计内容DBA_AUDIT_TRAIL数据字典说明,根据开启的Oracle审计功能,读取dba_audit_trail视图的审计内容包含用户名、操作时间、操作类型、SQL文本、数据库操作次数等等,此文档是对dba_audit_trail视图的中文简介,...
官方资料:用Oracle Audit Vault发现威胁.pdf
06-19
官方资料:用Oracle Audit Vault发现威胁 用户安全( Oracle Identity Management、Enterprise User Security) 访问控制(Oracle Database Vault、Oracle Label Security) 数据保护(Oracle Advanced Security、...
Oracle dbf文件移动的方法
09-08
Oracle数据库环境中,dbf文件(数据文件)是存储数据库数据和对象的主要文件。当遇到空间不足的问题时,有时需要将这些文件移动到其他更大的存储位置。本篇将详细介绍如何安全地移动Oracle dbf文件。 1. **背景...
Oracle.txt
12-15
### Oracle.txt 文件解析与知识点梳理 #### 文件基本信息 - **文件名**:Oracle.txt - **文件类型**:UEdit32 的着色文件 - **功能用途**:该文件包含Oracle数据库的所有关键字,用于数据库开发时代码高亮显示。 ...
Oracle审计功能Audit.pdf
10-01
Oracle数据库的审计功能是数据库管理员用以监控和记录用户对数据库的操作活动,以确保数据库操作的合规性和安全性。在给定的文件片段中,提到了Oracle审计功能的一些关键知识点,下面将详细解释这些内容。 首先,...
## linux 系统 auditlog 是什么?
深耕嵌入式领用多年, 致力于分享嵌入式领域技术!
05-12 1376
## linux 系统 auditlog 是什么?
oracle集群管理-测试将RAC GRID_HOME下所有文件属组修改后的修复方式permission.pl
oradbm的博客
04-13 532
测试将GRID_HOME下所有文件属组改变为ORACLE用户的,集群现异常后的修复方式。 参考MOS文档:Script to capture and restore file permission in a directory (for eg. ORACLE_HOME) (文档 ID 1515018.1) 测试环境:LINUX-x64+oracle11gR2两节点RAC 1.测试,修改节点1 G...
Oracle 11g 审计功能的使用 —— 筑梦之路
筑梦之路
05-25 1909
--启用sys审计 alter system set audit_sys_operations='TRUE' --启用db审计 alter system set audit_trail='DB_EXTENDED' scope=spfile ; --迁移aud$表到用户自定义表空间 BEGIN DBMS_AUDIT_MGMT.set_audit_trail_location( audit_trail_type => DBMS_AUDIT_MGMT.AUDIT_TRAIL_AUD_STD, .
定期清理oracle审计日志
热门推荐
qq_34721505的博客
09-25 1万+
一、ORACLE 审计功能 审计是对选定的用户动作的监控和记录,通常用于: u          审查可疑的活动。例如:数据被非授权用户所删除,此时安全管理员可决定对该 数据库的所有连接进行审计,以及对数据库的所有表的成功地或不成功地删除进行审计。 u          监视和收集关于指定数据库活动的数据。例如:DBA可收集哪些被修改、执行了多少次逻辑的I/O等统计数据。
oracle audit logging,Oracle Audit 审计功能
weixin_39707725的博客
04-03 184
仅使用权限、角色、视图甚至细粒度安全策略建立访问控制系统还不能保证数据库的安全。因此,开启审计数据库的使用能让我们知道访问控制机制是否确实像所希望的那样工作。审计分为标准审计和细粒度审计,标准审计基于语句级、权限级和对象级。而细粒度审计涉及某种粒度的数据访问。比如某个经理应该能够看到为他工作的雇员工资有关信息。那么,怎样才能知道这位经理是否还查看了他的顶头上司的工资信息?是否要审计这位经理的所有的...
Linux定时清理Oracle alert、trace、audit等日志文件
longfeiwlf的博客
05-21 3181
Oracle 12cR2 RAC on linux上,通过crontab计划任务和清理脚本,定时清理Oracle rac相关的alert、trace、audit等日志文件
12c ASM audit目录增长过快的bug
cuibaodun6837的博客
05-18 733
问题描述: 公司的一套12.1.0.1 ADG数据库现问题。该ADG包含4个PDB,是2节点RAC。其中一个节点的audit目录在短时间内生成海量.aut文件,最终将该目录所在挂载点撑满,导致数...
oracle audit logging,Oracle 审计参数AUDIT_SYSLOG_LEVEL介绍
weixin_31290291的博客
04-03 238
Applies to:Oracle Server – Enterprise Edition – Version: 10.2.0.3 to 11.1.0.7 – Release: 10.2 to 11.1Oracle Audit Vault – Version: 10.2.3 to 10.2.3]Information in this document applies to any platform...
ELK收集Oracle审计日志
demonson的专栏
04-26 1498
一、开启审计,记录sql --Oracle审计 https://max.book118.com/html/2016/1214/72170219.shtm --开启审计 alter system set audit_sys_operations=TRUE scope=spfile; alter system set audit_trail=db,extended scope=spfile; --重启实例 shutdown immediate startup --查看审计状态 SYS@orcl>sh
Oracle Audit Vault新手指南:10.2.3.2版详解
Oracle Audit Vault管理员指南是专为Oracle数据库初学者设计的一份实用教程,针对Oracle审计 Vault的管理和配置提供详细的指导。该手册适用于Oracle审计 Vault Release 10.2.3.2版本,发布日期为2012年2月,版权由...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值