备案控制台
开发者社区 开发与运维 文章 正文

[20170518]11G审计日志清除3.txt

2017-05-18 1088
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: [20170518]11G审计日志清除3.txt --//以前写的链接:http://blog.itpub.net/267265/viewspace-2133145/ --//我当时写存在许多问题,仅仅清除sys.

[20170518]11G审计日志清除3.txt

--//以前写的链接:http://blog.itpub.net/267265/viewspace-2133145/
--//我当时写存在许多问题,仅仅清除sys.aud$内容,参数audit_file_dest目录的文件不清除,而这里参数大量的aud文件,重新测试看看.

1.环境:
SYS@book> @ &r/ver1
PORT_STRING                    VERSION        BANNER
------------------------------ -------------- --------------------------------------------------------------------------------
x86_64/Linux 2.4.xx            11.2.0.4.0     Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - 64bit Production

2.清理工作:
http://www.oracle-base.com/articles/11g/AuditingEnchancements_11gR2.php
======================================================
-- Constants  注意重叠问题.
-- Audit Trail types
--
AUDIT_TRAIL_AUD_STD           CONSTANT NUMBER := 1;
AUDIT_TRAIL_FGA_STD           CONSTANT NUMBER := 2;
--
-- Both AUDIT_TRAIL_AUD_STD and AUDIT_TRAIL_FGA_STD
AUDIT_TRAIL_DB_STD            CONSTANT NUMBER := 3;
--
AUDIT_TRAIL_OS                CONSTANT NUMBER := 4;
AUDIT_TRAIL_XML               CONSTANT NUMBER := 8;
--
-- Both AUDIT_TRAIL_OS and AUDIT_TRAIL_XML
AUDIT_TRAIL_FILES             CONSTANT NUMBER := 12;
--
-- All above audit trail types
AUDIT_TRAIL_ALL               CONSTANT NUMBER := 15;
======================================================

--//注:我当时选择AUDIT_TRAIL_AUD_STD,现在选择全部(AUDIT_TRAIL_ALL).直接使用数字15应该也可以.
--//首先清除前面的设置

exec DBMS_AUDIT_MGMT.DEINIT_CLEANUP(AUDIT_TRAIL_TYPE=>SYS.DBMS_AUDIT_MGMT.AUDIT_TRAIL_DB_STD);
exec dbms_scheduler.drop_job( job_name =>  'SYS.DAILY_AUDIT_ARCHIVE_TIMESTAMP' , force => TRUE);
exec SYS.DBMS_AUDIT_MGMT.DROP_PURGE_JOB( AUDIT_TRAIL_PURGE_NAME =>   'Daily_Audit_Purge_Job');

--//这些参考链接http://blog.itpub.net/267265/viewspace-2133145/,感叹一下看文档不认真.
--//这些步骤都是前面没有配置好,大家可以不看这些内容.我仅仅做一个记录.

3.初始化工作:

BEGIN
  DBMS_AUDIT_MGMT.init_cleanup(
    audit_trail_type         => DBMS_AUDIT_MGMT.AUDIT_TRAIL_ALL,
    default_cleanup_interval => 24 /* hours */);
END;
/

SET SERVEROUTPUT ON
BEGIN
  IF sys.DBMS_AUDIT_MGMT.is_cleanup_initialized(sys.DBMS_AUDIT_MGMT.AUDIT_TRAIL_ALL) THEN
    DBMS_OUTPUT.put_line('YES');
  ELSE
    DBMS_OUTPUT.put_line('NO');
  END IF;
END;
/
YES
PL/SQL procedure successfully completed.

--//返回YES,说明已经做清理的初始化工作.
--//这样设计对全部audit才有效.

SYS@xxxxx> column PARAMETER_VALUE format a30
SYS@xxxxx> column PARAMETER_name format a30
SYS@xxxxx> SELECT *  FROM DBA_AUDIT_MGMT_CONFIG_PARAMS;
PARAMETER_NAME                 PARAMETER_VALUE AUDIT_TRAIL
------------------------------ --------------- ----------------------------
DB AUDIT TABLESPACE            TSP_AUDIT       STANDARD AUDIT TRAIL
DB AUDIT TABLESPACE            TSP_AUDIT       FGA AUDIT TRAIL
AUDIT FILE MAX SIZE            10000           OS AUDIT TRAIL
AUDIT FILE MAX SIZE            10000           XML AUDIT TRAIL
AUDIT FILE MAX AGE             5               OS AUDIT TRAIL
AUDIT FILE MAX AGE             5               XML AUDIT TRAIL
DB AUDIT CLEAN BATCH SIZE      10000           STANDARD AUDIT TRAIL
DB AUDIT CLEAN BATCH SIZE      10000           FGA AUDIT TRAIL
OS FILE CLEAN BATCH SIZE       1000            OS AUDIT TRAIL
OS FILE CLEAN BATCH SIZE       1000            XML AUDIT TRAIL
DEFAULT CLEAN UP INTERVAL      24              FGA AUDIT TRAIL
DEFAULT CLEAN UP INTERVAL      24              OS AUDIT TRAIL
DEFAULT CLEAN UP INTERVAL      24              STANDARD AUDIT TRAIL
DEFAULT CLEAN UP INTERVAL      24              XML AUDIT TRAIL
14 rows selected.

--//看最后4行DEFAULT CLEAN UP INTERVAL,DEFAULT CLEAN UP INTERVAL,DEFAULT CLEAN UP INTERVAL,DEFAULT CLEAN UP INTERVAL
--//已经定义了清理间隔时间.

4.建立schedule,清理日志:
--//oracle处理这些问题的机制有点繁琐,首先是标记那些需要clean,执行SET_LAST_ARCHIVE_TIMESTAMP然后交由清除程序处理.

BEGIN
  DBMS_SCHEDULER.CREATE_JOB (
    job_name   => 'SYS.DAILY_AUDIT_ARCHIVE_TIMESTAMP',
    job_type   => 'PLSQL_BLOCK',
    job_action => 'BEGIN
                       DBMS_AUDIT_MGMT.SET_LAST_ARCHIVE_TIMESTAMP(AUDIT_TRAIL_TYPE => DBMS_AUDIT_MGMT.AUDIT_TRAIL_AUD_STD,LAST_ARCHIVE_TIME => SYSDATE-30);
                       DBMS_AUDIT_MGMT.SET_LAST_ARCHIVE_TIMESTAMP(AUDIT_TRAIL_TYPE => DBMS_AUDIT_MGMT.AUDIT_TRAIL_OS,LAST_ARCHIVE_TIME => SYSDATE-30);
                   END;',
    start_date => sysdate,
    repeat_interval => 'FREQ=HOURLY;INTERVAL=24',
    enabled    =>  TRUE,
    comments   => 'Create an archive timestamp'
  );
END;
/

--//注:这里AUDIT_TRAIL_TYPE 不能使用 DBMS_AUDIT_MGMT.AUDIT_TRAIL_ALL,必须1个1个写.
SYS@xxxxx> BEGIN DBMS_AUDIT_MGMT.SET_LAST_ARCHIVE_TIMESTAMP(AUDIT_TRAIL_TYPE => DBMS_AUDIT_MGMT.AUDIT_TRAIL_ALL,LAST_ARCHIVE_TIME => SYSDATE-1); END;
  2  /
BEGIN DBMS_AUDIT_MGMT.SET_LAST_ARCHIVE_TIMESTAMP(AUDIT_TRAIL_TYPE => DBMS_AUDIT_MGMT.AUDIT_TRAIL_ALL,LAST_ARCHIVE_TIME => SYSDATE-1); END;
*
ERROR at line 1:
ORA-46250: Invalid value for argument 'AUDIT_TRAIL_TYPE'
ORA-06512: at "SYS.DBMS_AUDIT_MGMT", line 61
ORA-06512: at "SYS.DBMS_AUDIT_MGMT", line 2233
ORA-06512: at line 1

--//每个小时检查1次,标记30天前的日志.一些参数可以根据需要自己调整.我自己的测试保留30天.建议生产系统保留100天或者半年.
--//建立清理程序:

BEGIN
  SYS.DBMS_AUDIT_MGMT.CREATE_PURGE_JOB(
    AUDIT_TRAIL_TYPE           => SYS.DBMS_AUDIT_MGMT.AUDIT_TRAIL_ALL,
    AUDIT_TRAIL_PURGE_INTERVAL => 24 /* hours */,
    AUDIT_TRAIL_PURGE_NAME     => 'Daily_Audit_Purge_Job',
    USE_LAST_ARCH_TIMESTAMP    => TRUE
  );
END;
/

4.相关视图查询:
SYS@xxxxx> select * from DBA_AUDIT_MGMT_CLEANUP_JOBS;
JOB_NAME                       JOB_STAT AUDIT_TRAIL                  JOB_FREQUENCY
------------------------------ -------- ---------------------------- -----------------------
DAILY_AUDIT_PURGE_JOB          ENABLED  ALL AUDIT TRAILS             FREQ=HOURLY;INTERVAL=24

SYS@xxxxx> select * from DBA_AUDIT_MGMT_LAST_ARCH_TS;
AUDIT_TRAIL          RAC_INSTANCE LAST_ARCHIVE_TS
-------------------- ------------ ---------------------------------------------------------------------------
STANDARD AUDIT TRAIL            0 2017-04-18 15:25:37.000000 +00:00
OS AUDIT TRAIL                  1 2017-04-18 15:25:37.000000 +08:00

SYS@xxxxx> select * from DBA_AUDIT_MGMT_CLEAN_EVENTS;
AUDIT_TRAIL          RAC_INSTANCE CLEANUP_TIME                      DELETE_COUNT WAS
-------------------- ------------ --------------------------------- ------------ ---
STANDARD AUDIT TRAIL            0 2017-05-17 00:52:47.741345 +00:00           87 NO
STANDARD AUDIT TRAIL            0 2017-05-18 00:52:47.701398 +00:00            1 NO
OS AUDIT TRAIL                  1 2017-05-18 07:25:13.354238 +00:00          285 NO

SYS@xxxxx> @ &r/pt2 'SELECT OWNER,JOB_NAME,JOB_STYLE,JOB_CREATOR,JOB_TYPE,JOB_ACTION,START_DATE,REPEAT_INTERVAL,ENABLED,STATE,SYSTEM,NLS_ENV,COMMENTS FROM dba_scheduler_jobs WHERE job_name LIKE ''%AUDIT%'''
   ROW_NUM    COL_NUM COL_NAME         COL_VALUE
---------- ---------- ---------------- ----------------------------------------------------------------------------------------------------
         1          1 OWNER            SYS
                    2 JOB_NAME         DAILY_AUDIT_PURGE_JOB
                    3 JOB_STYLE        REGULAR
                    4 JOB_CREATOR      SYS
                    5 JOB_TYPE         PLSQL_BLOCK
                    6 JOB_ACTION       BEGIN DBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAIL(15, TRUE);  END;
                    7 START_DATE       2017-05-18 12:03:39.838620 +08:00
                    8 REPEAT_INTERVAL  FREQ=HOURLY;INTERVAL=24
                    9 ENABLED          TRUE
                   10 STATE            SCHEDULED
                   11 SYSTEM           TRUE
                   12 NLS_ENV          NLS_LANGUAGE='AMERICAN' NLS_TERRITORY='AMERICA' NLS_CURRENCY='$' NLS_ISO_CURRENCY='AMERICA' NLS_NUME
                   13 COMMENTS         Audit clean job = 'Daily_Audit_Purge_Job'
         2          1 OWNER            SYS
                    2 JOB_NAME         DAILY_AUDIT_ARCHIVE_TIMESTAMP
                    3 JOB_STYLE        REGULAR
                    4 JOB_CREATOR      SYS
                    5 JOB_TYPE         PLSQL_BLOCK
                    6 JOB_ACTION       BEGIN
                                                              DBMS_AUDIT_MGMT.SET_LAST_ARCHIVE_TIMESTAMP(AUDIT_TRAIL_TYPE => DBMS_AUD

                    7 START_DATE       2017-05-18 15:21:40.000000 +08:00
                    8 REPEAT_INTERVAL  FREQ=HOURLY;INTERVAL=24
                    9 ENABLED          TRUE
                   10 STATE            SCHEDULED
                   11 SYSTEM           TRUE
                   12 NLS_ENV          NLS_LANGUAGE='AMERICAN' NLS_TERRITORY='AMERICA' NLS_CURRENCY='$' NLS_ISO_CURRENCY='AMERICA' NLS_NUME
                   13 COMMENTS         Create an archive timestamp
26 rows selected.

文章标签:
日志服务
数据库审计
监控
数据格式
XML
关键词:
日志服务审计
相关实践学习
日志服务之数据清洗与入湖
本教程介绍如何使用日志服务接入NGINX模拟数据,通过数据加工对数据进行清洗并归档至OSS中进行存储。
lfreeali
目录
相关文章
EMQ
|
2月前
|
JSON 安全 API
EMQX Enterprise 5.3 发布:审计日志、Dashboard 访问权限控制与 SSO 一站登录
EMQX Enterprise 5.3.0 版本已正式发布! 新版本带来多个企业特性的更新,包括审计日志,Dashboard RBAC 权限控制,以及基于 SSO(单点登录)的一站式登录,提升了企业级部署的安全性、管理性和治理能力。此外,新版本还进行了多项改进以及 BUG 修复,进一步提升了整体性能和稳定性。
EMQ
297 0
开放平台
|
2月前
|
SQL 弹性计算 监控
构建多账号云环境的解决方案|多账号云上操作日志统一审计
操作审计(ActionTrail)是阿里云提供的云账号资源操作记录的查询和投递服务,可用于安全分析、资源变更追踪以及合规性审计等场景。企业在阿里云采用多账号的资源结构时,如何满对跨账号跨地域的云上操作日志进行统一归集留存和分析,是企业上云管云过程的必备环节。此次分享为您介绍如何使用操作审计产品进行中心化的审计,提升云上多账号操作的可控可见性,及时发现问题、响应问题,规避潜在风险。
开放平台
298 0
晚风_END
|
2月前
|
存储 Kubernetes Cloud Native
云原生|kubernetes|apiserver审计日志的开启
云原生|kubernetes|apiserver审计日志的开启
晚风_END
97 0
阿甘兄
|
8月前
|
SQL 关系型数据库 MySQL
微服务轮子项目(15) -审计日志
微服务轮子项目(15) -审计日志
阿甘兄
55 0
xiejava
|
11月前
|
存储 监控 安全
网络安全之认识日志采集分析审计系统
日志对于大家来说非常熟悉,机房中的各种系统、防火墙、交换机、路由器等等,都在不断地产生日志。无数实践告诉我们,健全的日志记录和分析系统是系统正常运营与优化以及安全事故响应的基础。我们一起来认识日志采集分析审计系统。
xiejava
251 0
早九晚十二
|
11月前
|
存储 运维 监控
mysql开启审计日志
mysql开启审计日志
早九晚十二
349 0
姚远OracleACE
|
SQL Oracle 关系型数据库
rman备份产生800G的审计日志(select action from gv$session )
一个客户反映,我们的备份软件在备份过程中产生了大量审计日志,多大800多G,把根分区都塞满了,日志里面都是下面这条SQL:
姚远OracleACE
76 0
不背锅运维
|
SQL 存储 监控
从Zabbix数据库入手,获取更详细的审计日志
从Zabbix数据库入手,获取更详细的审计日志
不背锅运维
322 0
羿莉(萧羿)
|
存储 运维 监控
一键式开启:IDaaS日志接入SLS日志审计发布
本文主要介绍IDaaS EIAM两种日志(管理操作+用户行为)接入SLS日志审计的最佳实践
羿莉(萧羿)
307 0
xaubllxwtvaqiu
|
SQL 监控 安全
【笔记】用户指南—诊断与优化—SQL审计与分析—日志报表
PolarDB-X 支持SQL审计与分析功能,依托日志服务,提供了运营中心、性能中心、安全中心等开箱即用的报表,方便您快速查看了解PolarDB-X数据库的执行状况、性能指标、潜在安全问题等情况。
xaubllxwtvaqiu
130 0
【笔记】用户指南—诊断与优化—SQL审计与分析—日志报表

热门文章

最新文章

  • 1
    查询提速11倍、资源节省70%,阿里云数据库内核版 Apache Doris 在网易日志和时序场景的实践
  • 2
    mongoDB查看数据的插入日志
  • 3
    聊聊日志硬扫描,阿里 Log Scan 的设计与实践
  • 4
    MySQL通过 bin-log 恢复从备份点到灾难点之间数据
  • 5
    neo4j如何查看日志信息
  • 6
    JNI Log 日志输出
  • 7
    中间件应用日志记录和监控
  • 8
    Linux ContOS7 日志管理(rsyslog)
  • 9
    Android 截屏 录屏 与获取log
  • 10
    Python中精通异常日志记录
  • 1
    LNMP详解(十四)——Nginx日志详解
    57
  • 2
    用logrote和split分割nohup.out日志
    41
  • 3
    使用Java代码打印log日志
    274
  • 4
    提升日志管理效率:掌握CKA认证中的边车容器技巧
    179
  • 5
    CKA备考攻略:掌握Pod日志收集,事半功倍的秘诀!
    91
  • 6
    【嵌入式开源库】EasyLogger的使用, 一款轻量级且高性能的日志库
    328
  • 7
    QT实现一个简单的日志打印系统
    63
  • 8
    Linux手动清理Linux脚本日志定时清理日志和log文件执行表达式
    261
  • 9
    MySQL数据库,可以使用二进制日志(binary log)进行时间点恢复
    142
  • 10
    【深入探究 C++ 日志库清理策略】glog、log4cplus 和 spdlog 的日志文件管理策略
    186

    • 相关课程

    更多
  • 基于MongoDB构建实时日志分析平台
  • 日志服务SLS实现云产品可观测
  • 日志服务 SLS 可观测数据分析平台介绍
  • 大数据知识图谱系列—基于ELK+Flink日志全观测最佳实践
  • 场景实践-基于阿里云Quick BI 对MOOC网站日志分析

    • 相关电子书

    更多
  • PostgresChina2018_赖思超_PostgreSQL10_hash索引的WAL日志修改版final
  • Kubernetes下日志实时采集、存储与计算实践
  • 日志数据采集与分析对接

    • 相关实验场景

    更多
  • 通过日志服务实现云资源OSS的安全审计
  • 如何将OSS数据导入至SLS中进行分析
  • 日志服务之使用Nginx模式采集日志
  • 日志服务之数据清洗与入湖
  • 揭秘如何通过日志服务实现个人敏感信息保护
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)