Aggiungere gli audit log di oracle 12c al vostro syslog server (SIEM)

Posted on 23 febbraio 2017 di

0


Di default gli audit log di Oracle sono conservati in una tabella del db e se non modificate questo comportamento sarà difficile ottemperare alle nuove regole Europee della Privacy.

Questo è uno dei metodi più semplici che abbiamo provato ed utilizzato e che rispettano le best practice Oracle.

Ricordate che le modifiche fatte sull’OS vanno fatte in tutti i nodi di un eventuale RAC.

Tramite browser andare su https://indirizzoserver:5500/em/login e modificare i parametri di inizializzazione del database in questo modo:
audit_sys_operations con valore: true
audit_trail con valore: OS
audit_syslog_level con valore: local1.info

Sul sistema operativo creare il file /etc/logrotate.d/oracle_audit mettendo:
/var/log/oracle_audit.log {
rotate 14
compress
copytruncate
delaycompress
notifempty
create 0640 oracle oinstall
}

Aggiungere la riga dentro a /etc/rsyslog.conf
*.info;mail.none;cron.none @syslogserver:513
local1.info /var/log/oracle_audit.log

riavviare l’rsyslog daemon per sicurezza

Effettuare a questo punto il restart del db oracle per far prendere le modifiche e verificare che i log vengano scritti correttamente sul filesystem e mandati anche al vostro syslog server/siem

Annunci