Период между сообщениями больше года.
|
|
|
оракле аудит
|
|||
|---|---|---|---|
|
#18+
поделитесь, кто куда пишет оракловый аудит в больших объемах в крупных системах - в сислог, в хмл_экстендед, в бд? если в бд - как чистите? делете с дополнительной нагрузкой и кучей архивлогов или трункате в технологические окна (тогда насколько они часты)? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.01.2016, 12:04 |
|
||
|
оракле аудит
|
|||
|---|---|---|---|
|
#18+
Сам ведь понимаешь что вопрос идиотский , или нет ? Смотря какая задача , что аудитишь и т.д. и т.п. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.01.2016, 13:30 |
|
||
|
оракле аудит
|
|||
|---|---|---|---|
|
#18+
Всегда пишу в БД. Но это может зависеть от требований безопасности. Чистить можно и руками, но правильно будет штатным пакетом DBMS_AUDIT_MGMT. Правда, он по умолчанию чистит мелкими порциями (чтобы undo не разнесло) - по 1000 записей и, идиотизм, не дает выставить порцию больше 1000000. Если надо более масштабируемое решение, только руками. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.01.2016, 20:03 |
|
||
|
оракле аудит
|
|||
|---|---|---|---|
|
#18+
Nobody1111Всегда пишу в БД. а объемы? если логирование действий пользователей по изменению данных плюс критичные селекты - то это несколько гигабайт в сутки. при delete архивлоги в /dev/null отправлять? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.01.2016, 07:37 |
|
||
|
оракле аудит
|
|||
|---|---|---|---|
|
#18+
AlexVin, Тогда не парься и пиши в syslog а отуда уже как душа захочет. Можешь дальше отправлять. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.01.2016, 07:48 |
|
||
|
оракле аудит
|
|||
|---|---|---|---|
|
#18+
а в сислог не пишутся бинды ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.01.2016, 08:00 |
|
||
|
оракле аудит
|
|||
|---|---|---|---|
|
#18+
таки никто не пользуется оракловым аудитом в килотоннах? или запрещено делиться секретами? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.02.2016, 07:49 |
|
||
|
оракле аудит
|
|||
|---|---|---|---|
|
#18+
AlexVinтаки никто не пользуется оракловым аудитом в килотоннах? или запрещено делиться секретами? Таки да , но ты ведь не говоришь что тебе надо . Вот например , а дальше по надобности делай отдельный tablespace , или вообще отдельный сервер :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.02.2016, 09:13 |
|
||
|
оракле аудит
|
|||
|---|---|---|---|
|
#18+
ээ, как не говорю-то?) поделитесь, кто куда пишет оракловый аудит в больших (больше гига в сутки) объемах в крупных (хз что это) системах - в сислог, в хмл_экстендед, в бд? если в бд - как чистите? делетите с дополнительной нагрузкой (не напрягает?) и кучей архивлогов (не напрягает?) или трункатите в технологические окна (насколько они часты)? оракле 12. ноты почитал - там всё плоско, но проблемы больших объемов не освящены. партиционирования на aud$ как не было, так и нет, чтоб можно было грохать целой партицией. в том и вопрос - кто как решает такие проблемы и решает ли (или не пиши лишнего - так и удалять не придется)? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.02.2016, 09:57 |
|
||
|
оракле аудит
|
|||
|---|---|---|---|
|
#18+
AlexVin не пиши лишнего - так и удалять не придется)? Ну во первых это . Во вторых смотря сколько нужно хранить и что с логами нужно делать . ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.02.2016, 10:03 |
|
||
|
оракле аудит
|
|||
|---|---|---|---|
|
#18+
логично. но в любом случае хранить вечно при бд не получится и удалять придется ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.02.2016, 10:13 |
|
||
|
оракле аудит
|
|||
|---|---|---|---|
|
#18+
AlexVin(больше гига в сутки) объемахА от этой канализации может быть хоть какой-то толк? Даже если смотреть на приложение как на чужеродного, готового на любые пакости врага? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.02.2016, 10:21 |
|
||
|
оракле аудит
|
|||
|---|---|---|---|
|
#18+
AlexVinлогично. но в любом случае хранить вечно при бд не получится и удалять придется Что делать с логами ? Зачем они нужны ? Кому они нужны ? Вот с этого надо начинать . --- Остальное давно написано . Делай трунк - не будет реду . ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.02.2016, 11:04 |
|
||
|
оракле аудит
|
|||
|---|---|---|---|
|
#18+
ElicА от этой канализации может быть хоть какой-то толк? алерты безопасности и ай-яй-яии, скандалы-расследования задним числом кто куда кого... JebrailДелай трунк - не будет реду здесь есть подвох: не стопать ходоков - есть шанс потерять некий промежуток (если куда-то всё забираешь) стопать - это "технологические окна" - часто=плохо, редко=надо много места под аудит в 12м всё движется по направлению unified audit, а там пока, если я правильно понял доку, всё пишется только в бд (партиционирования на aud$ как не было, так и нет и т.д.) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.02.2016, 11:16 |
|
||
|
оракле аудит
|
|||
|---|---|---|---|
|
#18+
AlexVinалерты безопасности и ай-яй-яии, скандалы-расследования задним числом кто куда кого... Ну так пиши в файлы и архивируй . ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.02.2016, 11:37 |
|
||
|
оракле аудит
|
|||
|---|---|---|---|
|
#18+
AlexVin, Можно, например, самому aud$ переделать в партиционированную, да и перенести при желании в другой тэйблспэйс. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.02.2016, 11:39 |
|
||
|
оракле аудит
|
|||
|---|---|---|---|
|
#18+
AlexVinалерты безопасности и ай-яй-яииAlexVinбольше гига в суткиНе верю. Кругом сплошные враги? AlexVinскандалы-расследования задним числом кто куда когоЛучше самого приложения никто не за-аудит-ит. И главное гораздо компактнее. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.02.2016, 11:52 |
|
||
|
оракле аудит
|
|||
|---|---|---|---|
|
#18+
Ежедневно удаляй день логов, с гигом данных система то твоя справится У меня 60gb логов сейчас ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.02.2016, 13:02 |
|
||
|
оракле аудит
|
|||
|---|---|---|---|
|
#18+
ElicЛучше самого приложения никто не за-аудит-ит. И главное гораздо компактнее. это прекрасная мысль, но обеспечить, чтоб кроме приложения никто, частенько бывает дороже, чем писать тонны всего на всякий случай) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.02.2016, 13:28 |
|
||
|
оракле аудит
|
|||
|---|---|---|---|
|
#18+
Здравствуйте, 1\ Опасения о том, что вот сейчас включу аудит и приемник быстро заполнится, обосноваными . Приемником в случае, если AUDIT_TRAIL - база данных, является таблица aud$ из SYSTEM tablespace со всеми вытекающими последствиями. 2\ Для того, чтобы оценить размер прироста таблицу aud$ в единицу времени, сначала включается реальный audit и потом выключается. То есть он включается, если Вы готовы его выключить. Команда для полного отключения аудита "noaudit all" может и не помочь в полном объеме, как не помогла нам недавно при работе с одной из баз данных - нагруженной и очень OLTP. Не помогла, так как мы вынуждены были включить весь аудит для всего . Пришлось искать специфические команды noaudit для специфических команд audit. До тех пор, пока не нашли все команды, чувствовали себя "не очень". 3\ Для сохранения накопленных данных аудита для их дальнейшего анализа я делаю следующее. а) Создаю отдельный a tablespace и таблицу для архивирования, в которой данные будут сохранятся. б) Периодически запускаю командный файл, переносящий новые данные в таблицу для архивирования и удаляющие сохраненные данные из aud$. При этом я это делаю, используя ранее подготовленные и проверенные командные файлы. 4\ Любые пользовательские операции по изменению структуры таблицы sys.aud$ превращают базу данных в неподдерживаемую by the Oracle Support. Спасибо за внимание, solidit.pro ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.02.2016, 18:51 |
|
||
|
оракле аудит
|
|||
|---|---|---|---|
|
#18+
Если хочется аудитить достаточно часто выполняемые селекты стандартным аудитом Oracle - надо заготовить хорошие емкости под данные аудита, может быть, даже превосходящие размеры всей остальной базы. Или очень быстро их чистить, но если так, зачем они вообще нужны, если их завтра (или через 2 часа) уже зачистят? На основной базе я сделал так: стандартным аудитом логирую входы на базу и DDL. Селекты по списку таблиц тоже логирую (руководству стала нужна сравнительная частота использования разных данных), но FGA-аудитом - он позволяет настроить аудит по условиям. Я написал условие, которое логирует запросы к таблицам только от конечных пользователей и не логирует от учеток демонов. А можно условие и на подмножество записей настроить, на отдельные колонки, на программу, с которой клиент работает, на машины с которых клиент работает, на IP и т.д... Но fga_log$ все равно разбухал непозволительно. Пришлось написать процедуру его зачистки с агрегированием его данных посуточно в отдельную таблицу и последующую зачистку этих суток. Вот так меня полностью устроило. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.02.2016, 19:32 |
|
||
|
оракле аудит
|
|||
|---|---|---|---|
|
#18+
Да, еще была засада, при аудите на селект пользователи стали жаловаться на производительность, пришлось еще протьюнить функцию, которой пользовался fga-аудит. Но одному приложению это все равно не помогло, пришлось для него отключить fga-аудит. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.02.2016, 10:17 |
|
||
|
оракле аудит
|
|||
|---|---|---|---|
|
#18+
Здравствуйте, В статье на www.oracle-base.com "Auditing Enhancements (DBMS_AUDIT_MGMT) in Oracle Database 11g Release 2": https://oracle-base.com/articles/11g/auditing-enhancements-11gr2 как обычно очень прилично описано то, как решены вопросы с управлением данными аудита всех типов в 11.2 и далее. Идет разговор об их удобном хранении, архивировании и очистке. Спасибо за внимание, solidit.pro ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 18.02.2016, 22:48 |
|
||
|
оракле аудит
|
|||
|---|---|---|---|
|
#18+
solidit.proЗдравствуйте, 1\ Опасения о том, что вот сейчас включу аудит и приемник быстро заполнится, обосноваными . Приемником в случае, если AUDIT_TRAIL - база данных, является таблица aud$ из SYSTEM tablespace со всеми вытекающими последствиями. 2\ Для того, чтобы оценить размер прироста таблицу aud$ в единицу времени, сначала включается реальный audit и потом выключается. То есть он включается, если Вы готовы его выключить. Команда для полного отключения аудита "noaudit all" может и не помочь в полном объеме, как не помогла нам недавно при работе с одной из баз данных - нагруженной и очень OLTP. Не помогла, так как мы вынуждены были включить весь аудит для всего . Пришлось искать специфические команды noaudit для специфических команд audit. До тех пор, пока не нашли все команды, чувствовали себя "не очень". 3\ Для сохранения накопленных данных аудита для их дальнейшего анализа я делаю следующее. а) Создаю отдельный a tablespace и таблицу для архивирования, в которой данные будут сохранятся. б) Периодически запускаю командный файл, переносящий новые данные в таблицу для архивирования и удаляющие сохраненные данные из aud$. При этом я это делаю, используя ранее подготовленные и проверенные командные файлы. 4\ Любые пользовательские операции по изменению структуры таблицы sys.aud$ превращают базу данных в неподдерживаемую by the Oracle Support. Спасибо за внимание, solidit.pro Добрый день. Очень заинтересовал 2 пункт. Судя по таблице aud$, у меня пишутся все select определённого пользователя, но все варианты noaudit select table by... или noaudit all и т.д. не помогают. Подскажите, пожалуйста, как вычислить, что именно нужно отключить, чтобы таблица aud$ не заполнялась (audit_sys_operations = false; audit_trail = none не предлагать, аудит нужен, но узконаправленный) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.06.2017, 13:44 |
|
||
|
|
start [/forum/topic.php?fid=52&msg=39156927&tid=1885680]: |
0ms |
get settings: |
8ms |
get forum list: |
19ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
156ms |
get topic data: |
10ms |
get forum data: |
2ms |
get page messages: |
65ms |
get tp. blocked users: |
2ms |
| others: | 216ms |
| total: | 484ms |
| 0 / 0 |
