Oracle 標準審計，設定AUDIT_SYSLOG _LEVEL引數

本次透過對MOS 的學習，瞭解標準審計中涉及的引數AUDIT_SYSLOG _LEVEL 配置

1) AUDIT_SYSLOG_LEVEL引數。當AUDIT_TRAIL引數設定為OS時，使用syslog實用程式將SYS和標準作業系統審計記錄寫入系統審計日誌。

     要對所有使用者(特權使用者和非特權使用者)啟用syslog審計，需要為AUDIT_TRAIL初始化引數指定一個OS值，具體操作請參見“設定AUDIT_TRAIL初始化引數”。我們還必須手動將AUDIT_SYSLOG_LEVEL引數新增到資料庫的初始化引數檔案init.ora中。按照AUDIT_SYSLOG_LEVEL=facility.priority的格式為AUDIT_SYSLOG_LEVEL引數分配一個設施和優先順序。facility引數描述正在記錄訊息的作業系統部分，而priority引數定義事件的嚴重性。

AUDIT_SYSLOG_LEVEL=local1.warning
將AUDIT_SYSLOG_LEVEL初始化引數設定為預設值

(NONE)將導致dba獲得對OS審計記錄的訪問權。

2)啟用syslog日誌審計，請執行以下步驟:

2.1)給AUDIT_TRAIL初始化引數賦一個OS值:

例如:

Sql > alter system set audit_trail = os scope = spfile;

2.2)同時設定AUDIT_SYSLOG_LEVEL引數:

SQL> ALTER SYSTEM SET AUDIT_SYSLOG_LEVEL="local1.warning" SCOPE=SPFILE;

設定AUDIT_SYSLOG_LEVEL引數，以AUDIT_SYSLOG_LEVEL=facility.priority的格式指定設施和優先順序。

facility:描述正在記錄訊息的作業系統部分。可接受的取值為user、local0-local7、syslog、daemon、kern、mail、auth、lpr、news、uucp和cron。

其中： local0-local7值是預定義的標記，我們能夠對syslog訊息進行分類。這些類別可以是日誌檔案或syslog實用程式可以訪問的其他目的地。要查詢有關這些標記型別的更多資訊，請參閱syslog實用程式MAN頁面。

priority:定義訊息的嚴重程度。接受的值是notice、info、debug、warning、err、crit、alert和emergent。

syslog守護程式將分配給AUDIT_SYSLOG_LEVEL引數的facility引數的值與syslog.conf檔案進行比較，以確定在何處記錄資訊。寫入syslog條目的決定不屬於Oracle服務，而屬於syslog守護程式。

例如，下面的語句將設施標識為local1，優先順序級別為警告:

AUDIT_SYSLOG_LEVEL = local1.warning

有關AUDIT_SYSLOG_LEVEL的更多資訊，請參見Oracle資料庫參考。

2.3)將審計檔案destination新增到syslog配置檔案/etc/syslog.conf中。

例如，假設您已經將 AUDIT_SYSLOG_LEVEL to local1.warnin，輸入如下:

local1.warning    /var/log/audit.log

此設定將所有警告訊息記錄到/var/log/audit.log檔案中。

註釋:在syslogd.conf中使用TAB而不是空格分隔條目，否則它可能不適用於所有syslogd版本，所以上面的內容實際上是:

local1.warning <選項卡> <選項卡> / var / log / audit.log

還可以按如下方式預建立檔案(以root使用者):

# touch /var/log/audit.log

檔案syslog.conf中用於訊息的工具行應該出現在“catch all”設定之前，並且您還應該包含適當的.none條目來“catch all”。

2.4)重啟syslog日誌記錄器:

美元到/ etc / init.d / syslog重啟

現在，將透過syslog守護程式在/var/log/audit.log檔案中捕獲所有審計記錄。

在此之後，當使用者從表TEST中選擇並審計操作時(例如透過審計設定:audit select table;)，以下資訊將新增到audit.log檔案中:

2.5)重啟資料庫例項:

CONNECT SYS / AS SYSOPER

Enter password: password
Connected.
SQL> SHUTDOWN;
Database closed.
Database dismounted.
ORACLE instance shut down.
SQL> STARTUP;
ORACLE instance started.

註釋：
由於修復未釋出的錯誤4085593(包含在註釋731908.1引用的補丁中)所做的更改導致以下行為:
設定AUDIT_TRAIL=XML(或XML,EXTENDED)和AUDIT_SYSLOG_LEVEL時，強制審計和SYS審計記錄寫入SYSLOG檔案，常規審計記錄寫入XML格式的OS檔案。

如果日誌檔案變得太大，Oracle不能再寫入它，需要採取以下操作:

1. stop database(s),
2. login as root
3. Stop syslogd
4. clean or archive audit data
5. restart syslogd
6 start database

為了避免這種情況，可以配置logrotate設施。這允許自動刪除和旋轉日誌檔案。可以透過編輯logrotate.conf檔案並新增compress選項來啟用壓縮。有關更多資訊，請參閱logrotate手冊。

參考文件：MOS： 553225.1

‘’