如何針對Oracle 11g資料庫開啟 auditing

如何針對Oracle 11g資料庫開啟 auditing

1.  使用11g預設的auditing, 所有存取紀錄會寫到sys.aud$, 此方法只是暫解, 久了可能撐爆system tablespace。

2.  把auditing 落地寫到DB 的本機空間, 設定參數AUDIT_TRAIL=OS, 須重啟DB。

此方法會將資料庫軌跡寫到$ORACLE_BASE/admin/adump 裡面,時間久了需注意OS空間使用度

如果整合splunk, 方法如下

http://answers.splunk.com/answers/59094/how-to-customize-the-oracle-audit-trail-app-to-apply-custom-sourcetype-to-data-from-forwarder-instead-of-syslog-input

3.設定auduting 透過syslog方式吐到log Server。

如果整合splunk, 方法如下 :

https://sites.google.com/site/splunkfororacleaudittrails/documentation/howto/howtoenableoracleauditviasyslog

後記: 上述方法1, 缺少一個集中化的log中心紀錄資料庫軌跡, 不太建議用.