Oracle 审计参数:AUDIT_TRAIL 和 AUDIT_SYS_OPERATIONS

Oracle 审计参数:AUDIT_TRAIL 和 AUDIT_SYS_OPERATIONS

一 AUDIT_TRAIL 参数

1.1 参数功能

AUDIT_TRAIL 是 Oracle 数据库中最核心的审计控制参数,决定审计记录的存储位置和记录方式。

1.2 参数取值及含义

取值 说明 适用场景
NONE 禁用数据库审计 测试环境或不需审计的场景
OS 审计记录写入操作系统文件 需要操作系统级审计记录时
DB 审计记录写入数据库表 SYS.AUD$ 常规审计需求,记录到数据库表中
DB,EXTENDED 同 DB,但包含 SQLBIND 和 SQLTEXT 字段 需要记录完整SQL语句和绑定变量的深度审计
XML 审计记录以XML格式写入操作系统文件 需要结构化审计日志且不使用数据库存储时
XML,EXTENDED 同 XML,包含完整SQL文本 需要XML格式且包含完整SQL语句的审计

1.3 配置方法

sql 复制代码
-- 查看当前设置
SELECT name, value FROM v$parameter WHERE name = 'audit_trail';

-- 修改设置(需要重启数据库)
ALTER SYSTEM SET audit_trail='DB,EXTENDED' SCOPE=SPFILE;

1.4 注意事项

  • 修改此参数需要重启数据库生效
  • 使用 DB/DB,EXTENDED 时会写入 SYS.AUD$ 表,需监控该表大小
  • EXTENDED 选项会显著增加存储空间需求
  • 使用OS时会生成审计文件,这会占用目录空间及文件系统的inode

二 AUDIT_SYS_OPERATIONS 参数

2.1 参数功能

控制是否审计 SYS 用户(包括 SYSDBA/SYSOPER 权限用户)的操作。

2.2 参数取值

  • TRUE:审计 SYS 用户的所有操作
  • FALSE:不审计 SYS 用户操作(默认值)

2.3 配置方法

sql 复制代码
-- 查看当前设置
SELECT name, value FROM v$parameter WHERE name = 'audit_sys_operations';

-- 修改设置(需要重启数据库)
ALTER SYSTEM SET audit_sys_operations=TRUE SCOPE=SPFILE;

2.4 审计记录存储

  • AUDIT_TRAIL=OS/XML 时:记录到 $ORACLE_HOME/rdbms/audit/ 目录下的 .aud 文件
  • AUDIT_TRAIL=DB/DB,EXTENDED 时:仍写入操作系统文件(不写入 SYS.AUD$)

2.5 典型记录内容

log 复制代码
Thu May 15 10:23:45 2025 +08:00
LENGTH: "144"
ACTION: "CONNECT"
DATABASE USER: "/"
PRIVILEGE: "SYSDBA"
CLIENT USER: "oracle"
CLIENT TERMINAL: "pts/1"
STATUS: "0"
DBID: "1234567890"

三 生产环境最佳实践组合

3.1 高安全级别配置

sql 复制代码
ALTER SYSTEM SET audit_trail='DB,EXTENDED' SCOPE=SPFILE;
ALTER SYSTEM SET audit_sys_operations=TRUE SCOPE=SPFILE;
ALTER SYSTEM SET audit_file_dest='/u01/app/oracle/admin/ORCL/adump' SCOPE=SPFILE;

3.2 配套维护措施

sql 复制代码
-- 创建专用审计表空间
CREATE TABLESPACE audit_ts DATAFILE '+DATA' SIZE 2G AUTOEXTEND ON;

-- 迁移审计表
ALTER TABLE sys.aud$ MOVE TABLESPACE audit_ts;
ALTER INDEX sys.I_AUD1 REBUILD TABLESPACE audit_ts;

-- 设置自动清理任务
BEGIN
  DBMS_AUDIT_MGMT.INIT_CLEANUP(
    audit_trail_type => DBMS_AUDIT_MGMT.AUDIT_TRAIL_ALL,
    default_cleanup_interval => 24 /*小时*/);
  
  DBMS_AUDIT_MGMT.SET_LAST_ARCHIVE_TIMESTAMP(
    audit_trail_type => DBMS_AUDIT_MGMT.AUDIT_TRAIL_AUD_STD,
    last_archive_time => SYSTIMESTAMP-30);
END;
/

四 参数间关系与注意事项

  1. 依赖关系

    • AUDIT_SYS_OPERATIONS 的存储位置由 AUDIT_TRAIL 决定
    • AUDIT_TRAIL=NONE 时,AUDIT_SYS_OPERATIONS 仍可独立工作
  2. 性能影响

    • DB,EXTENDED 会记录完整SQL文本,对性能影响较大
    • 审计 SYSDBA 操作可能产生大量日志
  3. 存储管理

    • 使用 DB/DB,EXTENDED 时需定期维护 SYS.AUD$ 表
    • 建议每月至少清理一次30天前的审计记录
  4. 安全检查脚本

sql 复制代码
-- 检查关键审计配置
SELECT 
  (SELECT value FROM v$parameter WHERE name = 'audit_trail') AS audit_trail,
  (SELECT value FROM v$parameter WHERE name = 'audit_sys_operations') AS audit_sys_ops,
  (SELECT COUNT(*) FROM dba_audit_trail WHERE timestamp > SYSDATE-1) AS audit_recs_24h,
  (SELECT bytes/1024/1024 FROM dba_segments WHERE owner='SYS' AND segment_name='AUD$') AS aud_table_size_mb
FROM dual;

通过合理配置这两个核心审计参数,可以实现对Oracle数据库活动的全面监控,特别是对特权操作的跟踪,是满足安全合规要求的基础配置。

相关推荐
张璐月21 分钟前
mysql join语句、全表扫描 执行优化与访问冷数据对内存命中率的影响
数据库·mysql
全干engineer2 小时前
ClickHouse 入门详解:它到底是什么、优缺点、和主流数据库对比、适合哪些场景?
数据库·clickhouse
Hellyc4 小时前
基于模板设计模式开发优惠券推送功能以及对过期优惠卷进行定时清理
java·数据库·设计模式·rocketmq
lifallen4 小时前
Paimon LSM Tree Compaction 策略
java·大数据·数据结构·数据库·算法·lsm-tree
AmosTian6 小时前
【系统与工具】Linux——Linux简介、安装、简单使用
linux·运维·服务器
YC运维7 小时前
RIP实验以及核心原理
运维·网络·智能路由器
{⌐■_■}8 小时前
【Kafka】登录日志处理的三次阶梯式优化实践:从同步写入到Kafka多分区批处理
数据库·分布式·mysql·kafka·go
isNotNullX8 小时前
数据中台架构解析:湖仓一体的实战设计
java·大数据·数据库·架构·spark
leo__5208 小时前
自动化运维:使用Ansible简化日常任务
运维·自动化·ansible