使用此功能,您可以将一些关键的统一审核字段复制到SYSLOG或Windows Event Viewer。
与传统审核不同,仅将UNIFIED_AUDIT_TRAIL数据字典视图中统一审核记录的关键字段复制到SYSLOG。统一审核环境中的SYSLOG记录可提供操作完整性的证明。
您可以在UNIX和Microsoft Windows系统上配置此功能。在Windows系统上,可以启用或禁用它。如果启用,它将记录写入Windows事件查看器。
在UNIX系统上,您可以微调SYSLOG的统一审核跟踪记录的捕获,以指定发送SYSLOG记录的功能和记录的严重性级别(例如,DEBUG如果捕获的是调试相关消息)。
表27-1将分配给写入SYSLOG和Windows Event Viewer的统一审核记录字段的名称映射到UNIFIED_AUDIT_TRAIL视图中的相应列名称。
表27-1 SYSLOG和Windows事件查看器的审核记录字段名称
| 栏位名称 | UNIFIED_AUDIT_TRAIL中的列名 | 列类型 | 栏说明 |
|---|---|---|---|
TYPE |
AUDIT_TYPE |
NUMBER |
审核记录的类型 |
DBID |
DBID |
NUMBER |
数据库标识符 |
SESID |
SESSION_ID |
NUMBER |
会话标识符 |
CLIENTID |
CLIENT_IDENTIFIER |
VARCHAR2 |
会话中的客户端标识符 |
ENTRYID |
ENTRY_ID |
NUMBER |
系统中每个审核记录的标识符 |
STMTID |
STATEMENT_ID |
NUMBER |
系统中运行的每个语句的标识符 |
DBUSER |
DB_USERNAME |
VARCHAR2 |
会话用户 |
CURUSER |
CURRENT_USER |
VARCHAR2 |
审核事件的有效用户 |
ACTION |
ACTION |
NUMBER |
审核事件的动作代码 |
RETCODE |
RETURN_CODE |
NUMBER |
返回已审核事件的代码 |
SCHEMA |
OBJECT_SCHEMA |
VARCHAR2 |
对象的架构名称 |
OBJNAME |
OBJECT_NAME |
VARCHAR2 |
对象名称 |
PDB_GUID |
NULL(UNIFIED_AUDIT_TRAIL此字段中没有任何列) |
VARCHAR2 |
生成统一审核记录的容器的GUID |
为统一审核跟踪启用SYSLOG和Windows Event Viewer捕获
您可以将统一审核跟踪记录的子集写入UNIX SYSLOG或Windows Event Viewer。
-
找到
init.ora初始化文件,默认情况下该文件位于$ORACLE_HOME/dbs目录中。 -
编辑
init.ora文件以包含UNIFIED_AUDIT_SYSTEMLOG参数。您可以
UNIFIED_AUDIT_SYSTEMLOG在CDB根目录或PDB中进行设置。在Oracle数据库实际应用集群(Oracle RAC)环境中,
UNIFIED_AUDIT_SYSTEMLOG在每个Oracle RAC实例上设置为相同的值。-
在Windows上,设置
UNIFIED_AUDIT_SYSTEMLOG为TRUE或FALSE。TRUE将SYSLOG值写入Windows事件查看器;FALSE禁用参数。在Windows上,默认值为FALSE。例如:UNIFIED_AUDIT_SYSTEMLOG = TRUE-
-
在UNIX系统上,使用以下语法:
复制UNIFIED_AUDIT_SYSTEMLOG = 'facility_clause.priority_clause'UNIFIED_AUDIT_SYSTEMLOG在UNIX系统上没有默认设置。在此规范中:
- *
facility_clause*是指您将审核跟踪记录写入到的工具。有效的选择是USER和LOCAL。如果输入LOCAL,则可以选择附加0–7为SYSLOG记录指定本地自定义工具。 - *
priority_clause*指对记录进行分类的警告类型。有效的选择是NOTICE,INFO,DEBUG,WARNING,ERR,CRIT,ALERT,和EMERG。
- *
例如:
UNIFIED_AUDIT_SYSTEMLOG = 'LOCAL7.EMERG' -
-
在UNIX平台上,要将统一审核记录写入SYSLOG,请将
UNIFIED_AUDIT_COMMON_SYSTEMLOG参数设置为TRUE或FALSE在init.ora根文件中。设置
UNIFIED_AUDIT_COMMON_SYSTEMLOG为TRUE将预定义的统一审核记录列从常见的统一审核策略写入SYSLOG。FALSE禁止将这些列写入SYSLOG。您不能在可插拔数据库(PDB)中设置此参数。Windows没有等效的
UNIFIED_AUDIT_COMMON_SYSTEMLOG参数。 -
将审核文件目标添加到SYSLOG配置文件
/etc/syslog.conf。例如,假设您将设置
UNIFIED_AUDIT_SYSTEMLOG为LOCAL7.EMERG,则输入以下内容:local7.emerg /var/log/audit.log此设置将所有紧急消息记录到
/var/log/audit.log文件中。 -
重新启动SYSLOG记录器。
$/etc/rc.d/init.d/syslog restart现在,所有审核记录将
/var/log/audit.log通过syslog守护程序捕获到文件中。 -
重新登录到数据库实例。
-
重新启动数据库。
例如:
SHUTDOWN IMMEDIATE STARTUP如果您设置
UNIFIED_AUDIT_SYSTEMLOG了PDB,请关闭并重新打开PDB:ALTER PLUGGABLE DATABASE pdb_name CLOSE IMMEDIATE; ALTER PLUGGABLE DATABASE pdb_name OPEN;
-
-
