新特性,忽然想查一下审计信息放到了哪个表中,虽然默认不开启,但是还有记录不断产生(惊.jpg)
先不管,就像知道存到哪个表了。
select count(0) from
audsys.aud$unified;
就在这里面!
默认是sysaux表空间,每个月会创建一个分区,建议生产环境及时迁移到其他里面。
挪动位置方法
BEGIN
DBMS_AUDIT_MGMT.set_audit_trail_location(
audit_trail_type => DBMS_AUDIT_MGMT.
AUDIT_TRAIL_UNIFIED,
audit_trail_location_value => 'TBS_AUD');
END;
/
由于采用自动分区,因此下个月的数据才会创建到tbs_aud下,如果是oracle 18.6以前的版本,下个月blob或index没有挪过去,需要打补丁 PATCH 27576342。
检查当前审计数据位置
-
col SEGMENT_NAME for a32
-
col TABLESPACE_NAME for a12
-
set pages 100 lin 120
-
select segment_name,ds.tablespace_name from dba_segments ds where owner = 'AUDSYS';
-
-
COL TABLE_OWNER FOR A10
-
COL TABLESPACE_NAME FOR A15
-
COL partition_name FOR A20
-
COL TABLE_NAME FOR A20
-
SELect table_owner,table_name,tablespace_name,partition_name,partition_position,segment_created,read_only from dba_tab_partitions where table_name like 'AUD%';
-
-
COL DEF_TABLESPACE_NAME FOR A20
-
COL INTERVAL FOR A20
-
Select owner,table_name,interval,partitioning_type,partition_count,def_tablespace_name from dba_part_Tables where owner='AUDSYS';
看看审计了什么:
select AUDIT_TYPE,OS_USERNAME,TERMINAL,ACTION_NAME,
SQL_TEXT,UNIFIED_AUDIT_POLICIES
from UNIFIED_AUDIT_TRAIL;
再深入了解一下:
SELECT VALUE FROM V$OPTION WHERE PARAMETER = 'Unified Auditing'; 看看功能是否开启
TRUE: 代表完全统一审计开启;
FALSE :代表传统审计和统一审计的混合模式
混合审计模式,只要开启了统一审计策略,就会形成统一审计和传统审计并存的局面,此时就是混合审计模式。默认建库时会启用 ORA_SECURECONFIG ,一个统一审计策略,这也就意味着默认建库时,就是混合审计模式
其他审计存放位置:
SYS.AUD$会存放数据库的标准审计结果
SYS.FGA_LOG$ 会存放细粒度审计结果(fine-grained auditing)
DVSYS.AUDIT_TRAIL$会存放Oracle Database Vault和Oracle Label Security等组件的审计结果
使用统一审计重要的是:定期清理审计信息
-
BEGIN
-
DBMS_AUDIT_MGMT.CREATE_PURGE_JOB(
-
audit_trail_type => DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED,
-
audit_trail_purge_interval => 24 /* hours */,
-
audit_trail_purge_name => 'CLEANUP_AUDIT_TRAIL_UNIFIED',
-
use_last_arch_timestamp => TRUE);
-
END;
-
/
-
-
BEGIN
-
DBMS_SCHEDULER.create_job (
-
job_name => 'audit_last_archive_time',
-
job_type => 'PLSQL_BLOCK',
-
job_action => 'BEGIN
-
DBMS_AUDIT_MGMT.SET_LAST_ARCHIVE_TIMESTAMP(DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED, TRUNC(SYSTIMESTAMP)-180); --保留半年
-
END;',
-
start_date => SYSTIMESTAMP,
-
repeat_interval => 'freq=daily; byhour=0; byminute=0; bysecond=0;',
-
end_date => NULL,
-
enabled => TRUE,
-
comments => 'Automatically set audit last archive time.');
-
END;
-
/
参考:
Dbms_Audit_Mgmt.Set_Audit_Trail_Location 不移动 Lob 和索引分区(文档 ID 2428624.1)
阅读(2000) | 评论(0) | 转发(0) |