ITPub博客

首页 > Linux操作系统 > Linux操作系统 > 【AUDIT】实现将SYS用户的操作信息记录到操作系统日志中

【AUDIT】实现将SYS用户的操作信息记录到操作系统日志中

原创 Linux操作系统 作者:secooler 时间:2011-04-27 23:39:12 0 删除 编辑
  本文以Linux操作系统为例。实现将SYS用户的动作记录到操作系统系统日志中,对应的操作系统日志文件是“/var/log/messages”。

1.调整数据库参数
实现这个功能最关键的参数便是“audit_syslog_level”和“audit_sys_operations”。
即便audit_trail参数值为“NONE”功能也是能实现的。
1)调整系统参数
sys@ora10g> alter system set audit_syslog_level='USER.NOTICE' scope=spfile;

System altered.

sys@ora10g> alter system set audit_sys_operations=TRUE scope=spfile;

System altered.

sys@ora10g> alter system set audit_trail=none scope=spfile;

System altered.

2)重启数据库使调整后的参数生效
sys@ora10g> shutdown immediate;
Database closed.
Database dismounted.
ORACLE instance shut down.
sys@ora10g> startup;
ORACLE instance started.

Total System Global Area  268435456 bytes
Fixed Size                  1218868 bytes
Variable Size              71304908 bytes
Database Buffers          188743680 bytes
Redo Buffers                7168000 bytes
Database mounted.
Database opened.

3)验证参数调整结果
sys@ora10g> show parameter audit

NAME                   TYPE                 VALUE
---------------------- -------------------- ----------------
audit_file_dest        string               /home/oracle
audit_sys_operations   boolean              TRUE
audit_syslog_level     string               USER
audit_trail            string               NONE

注意此时audit_trail参数值是“NONE”。

2.验证审计效果
1)使用root用户实时监控操作系统日志
[root@secdb ~]# tail -100f /var/log/messages

2)在SYS用户下提交SQL语句
sys@ora10g> select 'secooler' secooler from dual;

SECOOLER
--------
secooler

3)系统日志中记录了如下审计信息
Apr 27 22:30:23 secdb Oracle Audit[7761]: ACTION : 'select 'secooler' secooler from dual' DATABASE USER: '/' PRIVILEGE : SYSDBA CLIENT USER: oracle CLIENT TERMINAL: pts/3 STATUS: 0
Apr 27 22:30:23 secdb Oracle Audit[7761]: ACTION : 'BEGIN DBMS_OUTPUT.GET_LINES(:LINES, :NUMLINES); END;' DATABASE USER: '/' PRIVILEGE : SYSDBA CLIENT USER: oracle CLIENT TERMINAL: pts/3 STATUS: 0

可见,在SYS用户下执行的SQL语句已经完整的写入到了操作系统日志中。
其中“[7761]”表示操作系统进程进程ID。
[root@secdb ~]# ps -ef | grep 7761 | grep -v grep
oracle    7761  7761  0 22:39 ?        00:00:00 oracleora10g (DESCRIPTION=(LOCAL=YES)(ADDRESS=(PROTOCOL=beq)))

3.10g官方文档中参数描述
AUDIT_SYS_OPERATIONS描述链接:
http://download.oracle.com/docs/cd/B19306_01/server.102/b14237/initparams014.htm

AUDIT_SYSLOG_LEVEL描述链接:
http://download.oracle.com/docs/cd/B19306_01/server.102/b14237/initparams015.htm

4.小结
  这种将SYS用户下的操作写入到操作系统日志的行为需要重点监控,防止出现无人看管的增长文件。针对自己的实际需求选择使用。

Good luck.

secooler
11.04.27

-- The End --

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/519536/viewspace-694036/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论
Oracle ACE 总监,阿里云MVP,北京大学理学硕士,恩墨学院创始人,教育专家,中国区 Cloudera 首位官方授权大数据讲师,金牌培训专家,BDA大数据联盟创始人,OCM联盟创始人,ACCUG创始人、ACOUG核心专家,Blogger。

注册时间:2008-03-16

  • 博文量
    797
  • 访问量
    8198927