Documentation Oracle Cloud Infrastructure

Audit en cours

Vous pouvez étendre la piste d'audit unifiée d'Oracle Database pour capturer les attributs d'application en configurant l'audit pour les valeurs de contexte d'application. L'espace de noms du contexte d'application est rempli avec les attributs requis et ces valeurs sont capturées dans la piste d'audit unifié.

Les attributs d'application fournis par Database Tools peuvent être utilisés pour :

  • Identifiez le principal IAM authentifié à l'origine de l'accès à la base de données à l'aide du service Database Tools.
  • Corréler un enregistrement de piste d'audit unifié avec un événement d'audit OCI.

Identification du principal IAM authentifié

Pour capturer les attributs de contexte d'application dans la trace d'audit unifié, vous devez d'abord exécuter la commande AUDIT CONTEXT en indiquant les attributs supplémentaires à inclure dans l'enregistrement d'audit.

Par exemple, l'instruction suivante capture les valeurs des attributs d'espace de noms CLIENTCONTEXT IAM_PRINCIPAL_OCID à RESOURCE_COMPARTMENT_OCID dans tous les enregistrements d'audit. 

AUDIT CONTEXT NAMESPACE CLIENTCONTEXT ATTRIBUTES IAM_PRINCIPAL_OCID,IAM_PRINCIPAL_TYPE, 
IAM_PRINCIPAL_SUB_TYPE,IAM_PRINCIPAL_RESOURCE_TYPE,IAM_PRINCIPAL_TENANCY_OCID, 
OPC_REQUEST_ID,RESOURCE_OCID,RESOURCE_COMPARTMENT_OCID

Après avoir ajouté les attributs, vous pouvez utiliser l'instruction suivante pour vérifier les attributs de contexte d'application capturés dans la piste d'audit unifié.

SELECT * FROM AUDIT_UNIFIED_CONTEXTS;

Les enregistrements d'audit renseignés dans UNIFIED_AUDIT_TRAIL par le service Database Tools fournissent des informations sur les colonnes suivantes.

Tableau 7-1 Colonnes auditées

Colonne Valeur
OS_USERNAME Identificateur de principal authentifié IAM peut être tronqué
CLIENT_IDENTIFIER Caractères restants de l'identificateur de principal authentifié IAM
USERHOST Nom d'hôte du niveau intermédiaire
TERMINAL inconnu
CLIENT_PROGRAM_NAME Outils de paramétrage ORDS
EXECUTION_ID opc-request-id tronqué à 64 caractères
APPLICATION_CONTEXTS Reportez-vous au Tableau 7-2

La colonne APPLICATION_CONTEXTS est remplie avec les valeurs des attributs CLIENTCONTEXT suivants, ce qui vous permet d'identifier le principal IAM authentifié qui a lancé l'opération de base de données.

Tableau 7-2 Colonne Application_Contexts

Contexte Attribut Description
CLIENTCONTEXT IAM_PRINCIPAL_OCID ID prinicipal IAM
IAM_PRINCIPAL_TENANCY_OCID ID de location prinicipale IAM
IAM_PRINCIPAL_TYPE

Type prinicipal IAM

  • utilisateur
  • ressource
  • instance
  • service
IAM_PRINCIPAL_SUB_TYPE

Sous-type de principal IAM

  • natv (utilisateur natif)
  • natf (utilisateur fédéré natif)
  • fed (utilisateur fédéré)
  • Aucun
IAM_PRINCIPAL_RESOURCE_TYPE Type de ressource de principal IAM
OPC_REQUEST_ID ID de demande OPC
RESOURCE_OCID ID de ressource
RESOURCE_COMPARTMENT_OCID ID de compartiment de ressource

Corrélation d'un enregistrement de piste d'audit unifié avec un événement d'audit OCI

A l'aide des attributs OPC_REQUEST_ID et RESOURCE_COMPARTMENT_OCID fournis dans la colonne APPLICATION_CONTEXTS et EVENT_TIMESTAMP, il est possible de trouver l'événement d'audit correspondant à l'enregistrement de trace d'audit unifié.

Utilisation de la console Oracle Cloud Infrastructure

  1. Dans la console, ouvrez le menu de navigation et cliquez sur Observation & gestion, sélectionnez Journalisation, puis Audit.
  2. Dans le panneau gauche, sélectionnez le compartiment.
  3. Dans le panneau de droite, dans Filtres, entrez data.request.id= '<opc-request-id value>'.
  4. Dans Filtrer par heure, sélectionnez l'intervalle de temps dans la liste déroulante.
  5. Cliquez sur Appliquer.

    Les résultats apparaissent dans l'onglet Explorer les événements.

Utilisation de l'interface de ligne de commande (CLI)

Entrez <REGION ID>, <RESOURCE_COMPARTMENT_OCID> et <OPC_REQUEST_ID> dans le script suivant pour rechercher l'événement d'audit correspondant à l'enregistrement de trace d'audit unifié. 

#!/bin/sh
 
read -r -d '' body <<EndOfBody
{
  "searchQuery": "search \"<RESOURCE_COMPARTMENT_ID>/_Audit\" | (data.request.id='<OPC_REQUEST_ID>') | sort by datetime desc",
  "timeStart":"2024-07-19T11:03:56.167Z",
  "timeEnd":"2024-07-19T14:03:56.167Z",
  "isReturnFieldInfo":false
}
EndOfBody
 
oci raw-request --target-uri https://logging.<REGION_ID>.oci.oraclecloud.com/20190909/search --http-method POST --request-body "${body}"