oracle 審計日誌清理

--進入審計日誌目錄：

cd $ORACLE_BASE/admin/$ORACLE_SID/adump

--刪除3個月前的審計檔案：

find ./ -type f -name "*.aud" -mtime +91|xargs rm -f

--一次清空所有審計檔案

find ./ -type f -name "*.aud"|xargs rm-f

find ./ -mtime +7 -name "*.aud" -type f –delete

通常我們新裝好一個資料庫中查詢審計開關的時候，可能會發現它的設定為DB。（預裝設定，如果為其他表示被認為設定過）

SQL>show parameter audit_trail 
Name 　　　　　　TYPE 　　　　VALUE 

 --------------------------------------------------------------

  audit_trail 　　string 　　　　DB

audit_trail=DB，代表的是，oracle將把每次審計跟蹤記錄在資料庫的一張叫做AUD$的表中。

SQL>select owner,table_name,tablespace_name from dba_tables a where a.table_name ='AUD$'  OWNER        TABLE_NAME        TABLESPACE_NAME

 --------------------------------------------------------------

 SYS                AUD$                    SYSTEM

而這張表所在的表空間，正式oracle資料庫最重要的SYSTEM表空間。

由於這個表空間非常特殊：如果此時它正好被設定為自動擴充套件（AUT=YES）的話：

SQL>select a.tablespace_name,a.bytes,a.autoextensible from dba_data_files a where a.tablespace_name='SYSTEM' TABLESPACE_NAME        BYTES              AUT

 -------------------------------------------------------- 

SYSTEM 2147473648 YES    

長此以往，SYSTEM表空間最終會因為過度肥胖把磁碟撐爆。

（反過來，如果SYSTEM表空間的autoextensible=NO,AUD$表就沒地方寫就會報錯無法分配空間）

SO，有點資料庫就會根據情況，將審計功能“關閉”：

1.設定審計引數關閉

SQL>alter system set audit_trail=none scope=spfile;

2.重啟資料庫

SQL>shutdown immediate;
SQL>startup;

這時候小夥伴以為高枕無憂了，其實，oracle早有準備，有一個叫強制審計的變態功能在等著你。

只要你敢

• 用SYSDBA或者SYSOPER許可權登入資料庫
• 敢startup
• 敢shutdown

oracle就給你在$ORACLE_BASE/admin/$ORACLE_SID/adump 目錄中記.aud的檔案

所以，

開了DB功能，會同時將審計日誌記在AUD$表中和作業系統aud檔案中。

設定為NONE，仍然會而且毫無其他辦法的將記錄在作業系統aud檔案中。

*資料庫的表為：sys.aud$

*作業系統目錄為：$ORACLE_BASE/admin/例項名/adump/

可透過SQL>show parameter audit 查詢到）

是不是很變態？

所以這個目錄長期不清理的話，會積壓大量*.aud檔案

長期大量不刪除的話，會影響到作業系統inodes

所以，小夥伴們：

• 如果為DB，記得定期清空aud$表

SQL>truncate table sys.aud$;

• 如果你不想用DB功能，可以設定關閉

SQL>alter system set audit_trail=none scope=spfile;

注意，需要重啟資料庫

SQL>shutdown immediate;
SQL>startup;

• 如果為NONE，記得清空aud檔案或者配置crontab定時任務定時清空aud檔案。

注意：不要直接刪除adump目錄，否則，你會sqlplus不了資料庫。