Oracle Database ログの活用
Oracle Database ログの活用
Logstorageが直接、Oracle Database から監査ログを収集する場合、Logstorage SBTプログラムを Oracle Database サーバに導入します。
Logstorage SBTはOracleの監査ログをLogstorageに自動転送するプログラムで、WindowsタスクやUNIXのcronに設定して1時間~1日毎に実行させます。
常駐型のエージェントではありませんので、Oracle Databaseサーバに与える負荷は殆どありません。
Oracle Databaseから監査ログを取得する場合、「AUDIT_TRAIL」の設定を行います。(AUDIT_TRAILの詳細については、Oracle Databaseのマニュアルをご覧下さい)
「AUDIT_TRAIL」には下記5つの設定があり(Oracle 10g R2以降)、それぞれログの出力のされ方や、出力項目が異なります。
・OS
・XML
・XML, extended
・DB
・DB, extended
上記のうち、「DB」「DB, extended」は文字通りOracle Database上(SYS.AUD$表)にログを記録するもので、Oracle Database のパフォーマンス低下が生じやすく、推奨されません。それに対し、「OS」「XML」「XML, extended」はテキストログや、Windowsの場合はイベントログに出力されるため、相対的にOracle Databaseのパフォーマンス低下が生じにくいとされており、Logstorage で Oracle Database の監査ログを取得する際は、こちらを指定します。
Oracle監査ログ
| 項目 | AUDIT_TRAIL設定 | ||||
|---|---|---|---|---|---|
| OS | XML | XML,extended | |||
| 誰が | DBユーザ名/OSユーザ名 | ○ | ○ | ○ | |
| いつ | タイムスタンプ | ○ | ○ | ○ | |
| どこで | ホスト名/IPアドレス | ○ | ○ | ○ | |
| 何を | アクセス対象のオブジェクト名 | ○ | ○ | ○ | |
| どうやって | アクション | ○ | ○ | ○ | |
| SQL | × | × | ○ | ||
| どうなった | アクションの成功/失敗 | ○ | ○ | ○ | |
Oracle監査ログの項目 (Oracle 10g R2以降)
| 項目名 | 記録される内容 |
|---|---|
| Session_Id | セッションID |
| StatementId | ユーザーが実行するSQL文に割り当てられるID |
| EntryId | セッションの各監査証跡エントリの数値ID |
| Extended_Timestamp | タイムスタンプ(UTC,協定世界時) |
| DB_User | DBユーザ名 |
| OS_User | OSユーザ名 |
| Userhost | クライアントのホスト名 |
| OS_Process | Oracleプロセスのオペレーティング・システムのプロセス識別子 |
| Terminal | ユーザの端末の識別子 |
| Instance_Number | インスタンス番号 |
| Action | ユーザが実行したアクション |
| TransactionId | オブジェクトがアクセスまたは変更された際のトランザクションID |
| Returncode | アクションの成功/失敗 |
| Comment_Text | 監査レコードのコメント(認証時などは、認証方式などが出力される) |
| Priv_Used | 操作の実行に使用されたシステム権限 |
| Sql_Bind | バインド変数 (XML,extended 指定時のみ) |
| Sql_Text | SQL文 (XML,extended 指定時のみ) |
画面例
標準集計画面例
検索結果画面例
対応製品
・Oracle Database 10g R2
・Oracle Database 11g
・Oracle Database 11g R2
・Oracle Database 12c R1
・Oracle Database 12c R2
・Oracle Database 18c
・Oracle Database 19c
※AUDIT_TRAIL設定は「XML」「XML, extended」のいずれかをお客様に設定いただきます。
データベース監査ログ取得ツールとの連携