Audit trailers
Un audit trail rappresenta la raccolta di record di audit dallo storico del database di destinazione, ad esempio UNIFIED_AUDIT_TRAIL, che fornisce prove documentali della sequenza di attività che si verificano.
Uno storico modifiche del database è l'origine dei record di audit che mostrano ciò che è accaduto nel database di destinazione. Quando la raccolta dei dati di audit è abilitata per lo storico modifiche del database specificato in una risorsa dello storico modifiche, i record di audit vengono copiati dallo storico modifiche del database in Oracle Data Safe in tempo quasi reale. È possibile gestire il volume dei record di audit nel database di destinazione utilizzando la funzione di rimozione automatica.
Informazioni sugli audit trail di Oracle Data Safe
Un audit trail è una tabella di audit in un database di destinazione che memorizza i dati di audit. L'audit trail più comune è la vista del dizionario dati UNIFIED_AUDIT_TRAIL, che consolida tutti gli audit trail di Oracle Database in un'unica posizione e in un formato unificato.
Durante la registrazione del database di destinazione, Oracle Data Safe rileva automaticamente gli audit trail in un database di destinazione e crea una risorsa di audit trail per ogni audit trail del database di destinazione. Queste risorse di audit trail sono elencate nella pagina Audit trail in Security Center. È possibile trovare nuovi audit trail per un database di destinazione in qualsiasi momento e rimuovere le risorse di audit trail in Oracle Data Safe in base alle esigenze.
Quando si avvia un audit trail di Oracle Data Safe, Oracle Data Safe inizia a copiare i record di audit dallo storico modifiche del database di destinazione nel repository di Oracle Data Safe. È possibile avviare e arrestare la raccolta dei dati di audit in base alle esigenze. Nella maggior parte dei casi, è possibile configurare Oracle Data Safe per raccogliere i dati di audit da un solo audit trail nel database di destinazione, anche se è possibile raccoglierli da più di uno.
Audit trail database di destinazione supportati
Nella tabella riportata di seguito sono elencati gli audit trail del database di destinazione che Oracle Data Safe può individuare. Le colonne SQL_TEXT, SQL_BINDS e RLS_INFO nelle colonne UNIFIED_AUDIT_TRAIL e SYS.AUD$ vengono troncate a 32 KB prima di essere memorizzate in Oracle Data Safe. Così sono LSQLTEXT, LSQLBIND e RLS$INFO in SYS.FGA_LOG$.
Il recupero e il provisioning dei criteri di audit unificati in Oracle Data Safe sono supportati solo nelle versioni 12.2 e successive di Oracle Database. Non è possibile recuperare e eseguire il provisioning delle impostazioni di audit tradizionali da Oracle Data Safe, sebbene sia possibile scegliere di farlo all'interno del database di destinazione e configurare gli audit trail tradizionali per la raccolta.
| Versione database | Standard Edition | Enterprise Edition |
|---|---|---|
| Database non autonomi, versioni 11.2.0.4, 12.1.0.1, 12.1.0.2 | SYS.AUD$ |
|
| Database non autonomi, versioni 12.2 e successive |
|
Nota SYS.AUD$, SYS.FGA_LOG$* e DVSYS.AUDIT_TRAIL$ sono disponibili solo in modalità mista. |
| Autonomous Databases (versione più recente) | (non applicabile) | UNIFIED_AUDIT_TRAIL (vedi nota 2) |
Nota 1: quando si abilita la rimozione automatica per un audit trail FGA_LOG$, è possibile che si verifichi un errore e che lo stato dell'audit trail sia Interrotto. Per abilitare la rimozione automatica, eseguire di nuovo datasafe_privileges.sql nel database di destinazione e riavviare l'audit trail.
Nota 2: per i database di destinazione associati ad Active Data Guard, verranno visualizzati:
-
Un
UNIFIED_AUDIT_TRAILche raccoglie i record dalla tabellaAUDSYS.AUD$UNIFIEDdel database primario. Ad esempio,TABLE:PRIMARY. -
Un
UNIFIED_AUDIT_TRAILche raccoglie i record di audit dai file di spillover del sistema operativo del database primario. Ad esempio,FILE:database_unique_name1. -
Un
UNIFIED_AUDIT_TRAILche raccoglie i record di audit dai file di spillover del sistema operativo di ogni database peer registrato. Ad esempio,FILE:database_unique_name2. È possibile distinguere il fileUNIFIED_AUDIT_TRAILche punta ai file di recupero del sistema operativo in base al nome univoco del database associato.
Rimozione automatica
È importante gestire correttamente il volume dei dati di audit sui database per garantire prestazioni efficienti e un uso ottimale dello spazio su disco. Man mano che gli audit trail nei database aumentano di volume, l'esecuzione di query sull'audit trail con un volume elevato di dati di audit può influire sulle prestazioni e causare problemi di scalabilità dello spazio. È consigliabile rimuovere periodicamente i vecchi record di audit dallo storico modifiche del database dopo che sono stati raccolti da Oracle Data Safe. Per questo motivo è consigliabile utilizzare la funzione di rimozione automatica.
La funzione di rimozione automatica di Oracle Data Safe in Audit attività consente di rimuovere i record di audit dai database di destinazione in base a una pianificazione periodica. La funzione di rimozione automatica è un'operazione in un database di destinazione. Quando la rimozione automatica è abilitata per un database di destinazione, viene eseguita ogni giorno un job che esamina l'indicatore orario dell'ultimo archivio ed elimina tutti i record di audit che risalgono a sette giorni prima del valore dell'indicatore orario. Data Safe gestisce la conservazione dei dati di audit nel database di destinazione. Se la rimozione automatica è abilitata, Data Safe aggiorna automaticamente l'indicatore orario dell'ultimo archivio (LAT) dopo ogni raccolta di audit. Se la rimozione automatica è disabilitata, è possibile configurare se aggiornare LAT utilizzando la console o l'API REST.
Attenzione
L'abilitazione della rimozione automatica elimina tutti i record di audit nello storico modifiche del database di destinazione ogni sette giorni, inclusi quelli precedenti alla data di inizio iniziale della raccolta di audit. È possibile che i record vengano eliminati anche se non vengono raccolti in Oracle Data Safe. Dopo aver considerato questo impatto, è necessario abilitare questa funzione con attenzione.
Inoltre, la rimozione dei record di audit in una destinazione di database deve essere gestita solo tramite Data Safe. Sebbene Data Safe raccolga frequentemente i record di audit, la rimozione dei dati di audit dall'esterno del framework Data Safe (ad esempio utilizzando direttamente DBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAIL) può eliminare i record prima della raccolta, soprattutto se Data Safe non aggiorna LAT (ad esempio, quando la rimozione automatica è disabilitata e l'opzione di aggiornamento LAT è disattivata).
Se si abilita la rimozione automatica e si desidera visualizzare ulteriori dettagli quali purgeJobTime, purgeJobStatus e purgeJobDetails, eseguire di nuovo lo script datasafe_privileges.sql per AUDIT_COLLECTION nel database di destinazione. Per ulteriori informazioni, vedere Concedi ruoli all'account di servizio Oracle Data Safe nel database di destinazione.
La rimozione automatica è disabilitata per impostazione predefinita. Anche se si disabilita la rimozione automatica in Oracle Data Safe, tenere presente che il database di destinazione potrebbe comunque rimuovere i dati di audit in base alle impostazioni di conservazione dei dati di audit del database di destinazione. Per i dettagli, fare riferimento alla documentazione del database.