Oracle审计sys操作记录到操作系统系统日志中

最新推荐文章于 2025-09-25 00:12:00 发布
原创 最新推荐文章于 2025-09-25 00:12:00 发布 · 8.6k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何在Oracle数据库中配置审计,将sys用户的操作记录到Linux操作系统的日志文件中,首先查看数据库审计状态,并设置审计跟踪为none。

此次以Linux系统为例!


1、查看当前数据库版本及状态信息

SQL> select * from v$version;
BANNER
--------------------------------------------------------------------------------
Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - 64bit Production
PL/SQL Release 11.2.0.4.0 - Production
CORE    11.2.0.4.0      Production
TNS for Linux: Version 11.2.0.4.0 - Production
NLSRTL Version 11.2.0.4.0 - Production


SQL> select dbid,name,open_mode from v$database;
      DBID NAME      OPEN_MODE
---------- --------- --------------------
1435632369 ORCL      READ WRITE


2、检查audit默认设置
SQL> show parameter audit
NAME                                 TYPE        VALUE
------------------------------------ ----------- ------------------------------
audit_file_dest                      string      /u01/app/oracle/admin/orcl/adu
                                                 mp
audit_sys_operations                 boolean     FALSE
audit_syslog_level                   string
audit_trail                          string      DB


3、修改如下参数,将sys操作记入/var/log/message中
SQL> alter system set audit_syslog_level='USER.NOTICE' scope=spfile;
System altered.

SQL> alter system set audit_sys_operations=TRUE scope=spfile;
System altered.


SQL> alter system set audit_trail=none scope=spfile;

System altered.


SQL> startup force     ---生产环境中严禁此操作(强烈建议使用shundown immediate--startup)
ORACLE instance started.

Total System Global Area  413372416 bytes
Fixed Size                  2253784 bytes
Variable Size             327158824 bytes
Database Buffers           79691776 bytes
Redo Buffers                4268032 bytes
Database mounted.
Database
最低0.47元/天 解锁文章
利用Oracle审计功能记录数据库操作.doc
10-05
审计功能会跟踪并记录用户在数据库中的操作记录的信息可能存储在操作系统文件(默认位于$ORACLE_BASE/admin/$ORACLE_SID/adump/)或者数据库的SYS.AUD$表中,可以通过DBA_AUDIT_TRAIL视图进行查看。默认情况下,...
Oracle数据库审计功能
cgk_ALEM的博客
11-25 840
audit_sys_operations : 将audit_sys_operations设置成true后,那么做为sysdba或sysoper连接数据库的用户所发布的每条语句都会被写入操作系统审计中,从而能够给出DBA所进行操作的完整记录。【db_extended】:启用审计,把审计结果存放在数据库的sys.aud$表中,并且在clob列的sqlbind和sqltext字段记录额外的信息(与db大致相同,但审核结果包含了具有绑定变量的SQL语句);【xml】:启用审计,以xml格式写所有的审计记录;
oracle用户行为记录,oracle 11gR2启用对sys用户操作行为的审计
weixin_36427002的博客
04-10 225
oracle 11gR2中,缺省在audit_file_dest目录会记录sys用户的登录审计信息,但并不会审计操作内容。启用对sys用户操作行为的审计SQL> alter system set audit_sys_operations=TRUE scope=spfile;System altered.因为是audit_sys_operations是静态参数,需要重新数据库SQL> ...
oracle 审计日志_分享一份标准的Oracle数据库审计启停规范,值得收藏
weixin_39659837的博客
12-06 2379
概述审计(Audit)用于监视用户所执行的数据库操作审计记录可存在数据字典表(称为审计记录:存储在system表空间中的 SYS.AUD$表中,可通过视图dba_audit_trail查看)或操作系统审计记录中(默认位置为$ORACLE_BASE/admin/$ORACLE_SID/adump/).。默认情况下审计是没有开启的。审计记录包含有审计操作、用户执行的操作操作的日期和时间等信息。不...
Oracle体系结构-日志文件汇总
m0_37873601的博客
09-25 522
日志是数据库运行、诊断、审计和恢复的关键组成部分。
Oracle审计日志设置
一天不看代码浑身难受
04-26 6241
Oracle 11g 安装后会默认开启数据库审计功能,并且日志保存在 SYSTEM 表空间中。建议数据库安装完成之后将此功能关闭,当需要时候再进行开启。当已形成很对日志时,可删除里面的记录,目前是直接删除,未对数据库造成影响。一般建议部署完oracle后如不用审计功能,即关闭以节省空间。说明:VALUE值为FALSE,表面审计功能为关闭的状态。根据查询结果可知,已经开启数据库审计功能。a) 执行以下语句关闭数据库审计功能。FALSE 关闭审计功能。NONE 关闭审计功能。最后重启服务即可开启。
【AUDIT】实现将SYS用户的操作信息记录操作系统日志中
cuanchuwei1207的博客
04-27 322
本文以Linux操作系统为例。实现将SYS用户的动作记录操作系统系统日志中,对应的操作系统日志文件是“/var/log/messages”。1.调整数据库参数实现这个功能最关键的参数便是“audit_syslog_leve...
Oracle DB级别审计日志查看及清理
wang_chaodong的专栏
04-30 2324
一、查看审计日志大小 SELECT segment_name, round( sum( bytes / 1024 / 1024 / 1024 ), 2 ) gb FROM dba_segments WHERE segment_type = 'TABLE' and segment_name = 'AUD$' group by segment_name; 二、清理审计日志 truncate table AUD$;
oracle 审计日志清理
pimg2005的专栏
05-19 702
--进入审计日志目录:cd $ORACLE_BASE/admin/$ORACLE_SID/adump--删除3个月前的审计文件:find ./ -type f -name "*.aud" -mtime +91|xargs rm -f--一次清空所有审计文件find ./ -type f -name "*.aud"|xargs rm-ffind ./ -mtime +7 -name "*.aud" ...
ORACLE AUDIT 审计
2301_76957510的博客
03-21 2593
审计(Audit)用于监视用户所执行的数据库操作,并且Oracle会将审计跟踪结果存放到OS文件(默认位置为$ORACLE_BASE/admin/$ORACLE_SID/adump/)或数据库(存储在system表空间中的SYS.AUD$表中,可通过视图dba_audit_trail查看)中。在Oracle11g之前,oracle数据库自带的审计功能是关闭的,考虑到性能和审计管理的复杂性,用户一般不打开审计功能.如果有审计要求,DBA会采用trigger来实现对DDL审计的方法来折中.例如 ...
Oracle审计和日志的记录
互联网知识分享
09-11 4629
数据库提供了审计和日志记录功能,用于跟踪和记录数据库中发生的活动和事件。日志记录是指将数据库的活动和事件记录到日志文件中,以便后续的分析和故障排查。数据库用于恢复和故障恢复的关键组件,它记录了数据库中发生的所有事务操作。数据库提供了多种日志记录功能,包括错误日志、跟踪日志、重做日志和监听器日志等。监听器的活动信息,包括监听器的启动、连接请求的处理等。除了全局的审计配置外,还可以为特定的数据库对象启用审计,例如表、视图、存储过程等。视图:该视图包含了所有的审计日志记录,通过查询该视图可以获取审计的详细信息。
oracle审计日志大小,oracle- 审计日志
weixin_42500739的博客
04-03 593
一、审计功能关闭1、查看审计功能是否开启?su – oraclesqlplus “/as sysdba”SQL> show parameter audit_trailNAME TYPE VALUE------------------------------------ ----------- -----------...
oracle 跟踪文件--审计日志
weixin_42081167的博客
12-15 2718
清理文件夹:cd /data1/u01/app/oracle/admin/prod/adump/1)参数是否动态 能改是动态,不能改是静态参数。2)是spfile 还是pfile。静态参数只能在文件里改。3) 静态文件需要重启库。启动库时校验是否存在文件。
开启oracle日志审计命令
weixin_50204541的博客
09-11 1141
开启oracle日志审计命令。1.切换oracle用户。5.重启oracle
Oracle数据库审计功能使用简介
geriletuma
07-12 1616
Oracle数据库审计功能使用简介及示例说明。
Oracle数据库中如何正确清理审计日志
驰兔的博客
11-25 2862
正确清理 Oracle 数据库的审计日志需要根据你的审计配置选择合适的清理方法。对于操作系统文件中的审计日志,可以直接删除文件;对于数据库表中的审计日志,可以通过删除表记录并清理未使用的空间来实现。为了确保操作的安全性和有效性,建议在低峰时段进行清理,并定期监控审计日志的大小和增长情况。希望这些步骤和注意事项对你有所帮助!
oracle11g审计日志,oracle11g-关闭日志审计
weixin_32493541的博客
04-10 402
oracle 11g推出了审计功能,但这个功能会针对很多操作都产生审计文件.aud,日积月累下来这些文件也很多,默认情况下,系统为了节省资源,减少I/0操作,其审计功能是关闭的1、查看审计功能是否开启?su – oraclesqlplus “/as sysdba”SQL> show parameter audit_trailNAMETYPEVALUE-------------------...
oracle日志文件位置
liuyuehui的专栏
03-25 5162
oracle的日志文件有几种:警告日志,trace日志,audit日志,redo日志,归档日志 警告日志:也就是alert log,在系统初始化参数文件设置的background_dump_dest对应的就是它的位置。 trace日志:一般放seesion追踪的信息,对应系统初始化参数文件参数user_dump_dest 对应的就是它的位置。 audit日志:审计的信息,对应系统初始化参数
基于Oracle的数据库审计系统
lifeneedyou的专栏
12-19 1276
       通常,应用程序访问数据库,执行各种各样的业务SQL或者存储过程,都会对数据产生影响,为了使我们的数据库更加安全,都需要我们在对来访问的各种工具软件或者应用进行合理的管控或者授权,对他们所做的操作进行审计,这样才能增加数据库的安全性          我们都知道,想要执行一条SQl,首先要做的就是先登录数据库,不管是匿名还是有帐户的,都是要登录,登录也可以采用不同的软件,有开源...
配置操作系统日志审计
最新发布
10-10
<think>我们正在讨论如何配置操作系统的日志审计。根据用户提供的引用内容,我们可以了解到Windows和Linux系统日志审计的相关信息,以及Oracle数据库的审计配置。用户特别询问了配置方法,因此我们需要分别说明Windows和Linux的日志审计配置步骤。 首先,对于Windows系统: - Windows使用事件查看器来管理日志,包括安全日志、应用程序日志和系统日志等。 - 配置方法主要是通过组策略(gpedit.msc)来设置审计策略。 对于Linux系统: - 引用中提到了多种日志文件的位置和用途,如/var/log/secure(认证日志)、/var/log/audit/audit.log(auditd服务的日志)等。 - 配置Linux审计主要使用auditd服务,通过编辑/etc/audit/audit.rules文件来添加审计规则。 另外,引用[3]提到了Oracle数据库的审计配置,特别是针对sys用户的审计。我们可以简要提及,但用户的问题主要集中在操作系统层面。 因此,回答将分为两部分:Windows配置和Linux配置。 ### 一、Windows系统日志审计配置 1. **开启审计策略**: - 按`Win+R`,输入`gpedit.msc`打开本地组策略编辑器。 - 导航到:计算机配置 → Windows设置 → 安全设置 → 本地策略 → 审核策略。 - 根据需要配置审核策略,如审核登录事件、对象访问等。例如: - 审核登录事件:成功和失败 - 审核对象访问:成功和失败(需要结合文件系统的审计设置) 2. **配置文件系统审计(示例)**: - 右键点击需要审计的文件夹 → 属性 → 安全 → 高级 → 审核。 - 添加要审计的用户或组,并选择要审计操作(如创建文件/写入数据)。 3. **查看日志**: - 事件查看器(eventvwr.msc)中查看安全日志。 ### 二、Linux系统日志审计配置(使用auditd) 1. **安装auditd**(通常默认安装): ```bash sudo apt-get install auditd audispd-plugins # Debian/Ubuntu sudo yum install audit audit-libs # CentOS/RHEL ``` 2. **配置审计规则**: - 编辑`/etc/audit/audit.rules`文件,添加规则。例如: ``` # 监视/etc/passwd文件的写操作和属性更改 -w /etc/passwd -p wa -k identity_changes # 监视/etc/group文件的写操作和属性更改 -w /etc/group -p wa -k identity_changes # 监视所有系统调用(谨慎使用,会生成大量日志) -a always,exit -F arch=b64 -S all -k full_audit ``` 3. **常用规则说明**: - `-w [文件路径]`: 监视指定文件或目录 - `-p [权限]`: 监视的权限(r=读,w=写,x=执行,a=属性更改) - `-k [关键字]`: 为事件标记关键字,便于搜索 4. **重启auditd服务**: ```bash sudo systemctl restart auditd ``` 5. **查看审计日志**: - 日志默认存储在`/var/log/audit/audit.log` - 使用`ausearch`工具查询: ```bash ausearch -k identity_changes # 按关键字查询 ``` ### 三、Oracle数据库审计日志输出到操作系统(可选) 如引用[3]所示,可以将Oracle审计日志(特别是sys用户的操作)输出到操作系统系统日志中。配置步骤: 1. 设置参数: ```sql ALTER SYSTEM SET audit_trail=os SCOPE=SPFILE; ALTER SYSTEM SET audit_sys_operations=TRUE SCOPE=SPFILE; ALTER SYSTEM SET audit_syslog_level='USER.NOTICE' SCOPE=SPFILE; ``` 2. 重启数据库实例。 ### 四、日志集中管理建议 将各服务器的日志集中收集到日志审计服务器(如ELK堆栈)中,便于统一分析和报警。 ### 五、测试审计配置 - 在Windows上:尝试登录失败,然后在事件查看器的安全日志中检查是否有相应事件。 - 在Linux上: ```bash sudo touch /etc/test_audit # 测试文件创建 ausearch -k file_access # 如果规则中监视了该路径,应能查到 ``` §§相关问题§§ 1. 如何验证Linux审计日志的完整性? 2. Windows事件日志的存储大小如何配置? 3. 如何将Linux的审计日志实时传输到远程服务器? </think>### 操作系统日志审计配置指南 #### 一、Windows系统审计配置 1. **启用基础审计策略** 打开组策略编辑器(`gpedit.msc`): ```powershell 计算机配置 → Windows设置 → 安全设置 → 本地策略 → 审核策略 ``` - 启用关键策略: - 审核登录事件(成功/失败) - 审核对象访问(成功/失败) - 审核策略更改(成功)[^1] 2. **高级文件审计配置** 对敏感文件(如`C:\Windows\System32\config\SAM`)配置审计: ```powershell 文件属性 → 安全 → 高级 → 审核 → 添加 ``` 设置审计主体:`Everyone`,勾选"写入"、"删除"、"更改权限"操作 3. **验证配置** 查看安全事件日志: ```powershell eventvwr.msc → Windows日志 → 安全日志 ``` 筛选事件ID: - 4624:成功登录 - 4625:失败登录 - 4663:文件访问 #### 二、Linux系统审计配置(基于auditd) 1. **安装与启服** ```bash # Debian/Ubuntu sudo apt install auditd audispd-plugins sudo systemctl enable --now auditd # RHEL/CentOS sudo yum install audit sudo service auditd start ``` 2. **核心配置文件** `/etc/audit/audit.rules` 添加规则: ```bash # 监控敏感文件 -w /etc/passwd -p wa -k identity_changes -w /etc/sudoers -p wa -k priv_escalation # 监控用户命令执行 -a always,exit -F arch=b64 -S execve -k user_cmds # 监控特权命令 -a always,exit -F arch=b64 -S chmod -S chown -k file_perms_changes ``` 3. **日志文件位置** - 主日志:`/var/log/audit/audit.log` - 关键日志路径[^2]: ```bash /var/log/secure # 认证日志 /var/log/boot.log # 系统启动日志 /var/log/cron # 计划任务日志 ``` #### 三、Oracle数据库审计配置 1. **启用SYS操作审计** ```sql SQL> ALTER SYSTEM SET audit_sys_operations=TRUE SCOPE=SPFILE; SQL> ALTER SYSTEM SET audit_trail=OS SCOPE=SPFILE; SQL> SHUTDOWN IMMEDIATE; SQL> STARTUP; ``` 2. **验证日志输出** Oracle审计日志将输出到: ```bash $ORACLE_BASE/admin/$ORACLE_SID/adump/*.aud ``` 使用操作系统命令查看: ```bash tail -f $ORACLE_BASE/admin/$ORACLE_SID/adump/ora_*.aud ``` #### 四、审计策略优化建议 1. **日志保护配置** Linux审计日志防篡改: ```bash chattr +a /var/log/audit/audit.log ``` 2. **日志轮转策略** 编辑`/etc/audit/auditd.conf`: ```ini max_log_file = 50 # 保留50个日志文件 max_log_file_action = keep_logs ``` 3. **集中日志收集** 配置`audispd`转发到SIEM系统: ```ini # /etc/audisp/plugins.d/syslog.conf active = yes direction = out path = /sbin/audisp-syslog ``` > **审计覆盖率公式**: > 定义有效审计覆盖率: > $$ > \text{Coverage} = \frac{\text{已审计事件数}}{\text{应审计事件总数}} \times 100\% > $$ > 建议生产环境覆盖率 ≥ 95%[^4]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值