ELK收集Oracle审计日志

最新推荐文章于 2026-06-04 14:48:56 发布
原创 最新推荐文章于 2026-06-04 14:48:56 发布 · 1.9k 阅读 · 4
标签
#filebeat #logstash配置 #oracle审计 #elk收集oracle日志
本文档详细介绍了如何在Oracle数据库中开启审计,迁移审计表空间,设计审计规则以收集DDL语句,并利用ELK(Elasticsearch、Logstash、Kibana)收集审计日志。通过创建视图、Python脚本定期读取审计日志,并配置Filebeat和Logstash进行日志传输和处理,最终在Kibana中查看审计状态。

一、开启审计,记录sql

--Oracle审计
https://max.book118.com/html/2016/1214/72170219.shtm

--开启审计
alter system set audit_sys_operations=TRUE scope=spfile;
alter system set audit_trail=db,extended scope=spfile;
--重启实例
shutdown immediate
startup
--查看审计状态
SYS@orcl>show parameter audit;

NAME				     TYPE	 VALUE
------------------------------------ ----------- ------------------------------
audit_file_dest 		     string	 /u01/app/oracle/admin/orcl/adump
audit_sys_operations		 boolean	 TRUE
audit_syslog_level		     string
audit_trail			         string	 DB, EXTENDED

 

二、迁移审计表空间

--迁移审计表到ogg的表空间
BEGIN
DBMS_AUDIT_MGMT.set_audit_trail_location(
audit_trail_type => DBMS_AUDIT_MGMT.AUDIT_TRAIL_AUD_STD,
audit_trail_location_value => 'OGG');
END;
/

BEGIN
DBMS_AUDIT_MGMT.set_audit_trail_location(
audit_trail_type => DBMS_AUDIT_MGMT.AUDIT_TRAIL_FGA_STD,
audit_trail_location_value => 'OGG');
END;
/

--验证表空间
SELECT table_name, tablespace_name FROM dba_tables WHERE table_name IN ('AUD$', 'FGA_LOG$');
select TABLE_NAME, SEGMENT_NAME, TABLESPACE_NAME from dba_lobs where table_name in ('AUD$', 'FGA_LOG$');

--审计段大小统计
SELECT owner
      ,table_name
      ,SUM(decode(seg_type, 'table', size_mb)) tab_size_mb
      ,SUM(decode(seg_type, 'index', size_mb)) idx_size_mb
      ,SUM(decode(seg_type, 'lob', size_mb)) lob_size_mb
      ,SUM(size_mb)
  FROM (SELECT /*+ rule */  t.owner
              ,t.table_name
              ,SUM(s.bytes) / 1024 / 1024 size_mb
              ,'table' seg_type
          FROM dba_segments s, dba_tables t
         WHERE s.owner = t.owner
           AND s.segment_name = t.table_name
         GROUP BY t.owner, t.table_name
        UNION ALL
        SELECT /*+ rule */ l.owner
              ,l.table_name
              ,SUM(s.bytes) / 1024 / 1024 size_mb
              ,'lob' seg_type
          FROM dba_segments s, dba_lobs l
         WHERE s.owner = l.owner
           AND s.segment_name = l.segment_name
         GROUP BY l.owner, l.tabl
最低0.47元/天 解锁文章
logstash定时抓取oracle数据
zhoumobushangban的博客
04-21 929
使用logstash 连接mysql挺顺利的,oracle就坑多了。文章后面会提一下历经的坑 logstash版本7.9.3 oracle版本11.2.0.4 环境准备就不多说了 本篇在您已经安装了java、logstash前提下 安装logstash-input-jdbc: 准备好ojdbc6-11.2.0.4.jar 官网下载 https://download.oracle.com/otn/utilities_drivers/jdbc/11204/ojdbc6.jar?AuthParam=16504.
logstashoracle数据库中的使用
盐焗味的小星球的博客
08-17 1591
在我的理解logstash是对数据的收集、解析、写入的过程。最近用到logstash去解析从oracle数据库获取的数据,经过解析,解析成结构化数据,再插入oracle数据库中。 我获取到的参数结构: 我想要获取msg里面的每个字段和字段值,然后给插入到oracle数据库中。 ok,贴出logstash完整配置文件: input { jdbc { jdbc_connection_string => "jdbc:oracle:thin:@localhost:1521/orcl" jdbc_
安全审计第一步:给你的服务器和网络设备装上Syslog‘黑匣子’(含Oracle日志配置思路)
weixin_30443731的博客
05-14 495
本文详细介绍了如何通过部署Syslog服务器构建企业级安全审计系统,实现服务器和网络设备日志的集中收集与保护。内容涵盖Syslog架构设计、网络设备配置、Linux日志加固及Oracle数据库日志集成方案,特别强调传输加密、完整性保护等安全措施,助力企业满足等保2.0等合规要求。
elk收集oracle日志告警,基于ELK实现日志告警
weixin_29416037的博客
04-09 1089
我是一块砖,哪里需要哪里搬!随着项目数量越来越多,总是遇到服务出现问题后都是由客户先发现问题,再一层一层的反馈到开发人员,这样不仅用户体验不好,还会出现服务挂了很长时间后才被发现,日志已经被自动清除,无法进行bug查找。基于这种情况,我们组搭建起了elk,但是仅仅有elk还是不够的,如何在故障产生后,及时的通知到相关人员这也是非常重要的。本着开发量尽量少、功能尽量强大、对内存要求尽量低的原则,分析...
Oracle审计日志的记录
互联网知识分享
09-11 4949
数据库提供了审计日志记录功能,用于跟踪和记录数据库中发生的活动和事件。日志记录是指将数据库的活动和事件记录到日志文件中,以便后续的分析和故障排查。数据库用于恢复和故障恢复的关键组件,它记录了数据库中发生的所有事务操作。数据库提供了多种日志记录功能,包括错误日志、跟踪日志、重做日志和监听器日志等。监听器的活动信息,包括监听器的启动、连接请求的处理等。除了全局的审计配置外,还可以为特定的数据库对象启用审计,例如表、视图、存储过程等。视图:该视图包含了所有的审计日志记录,通过查询该视图可以获取审计的详细信息。
ELK+Filebeat+Kafka搭建Oracle数据库日志平台
qinqinbaobei23344的博客
09-22 1520
数据流向结构图 2 注意:需要JDK支持 安装配置Filebeat收集日志文件 2.1 安装配置 # 解压 tar -xf filebeat-*-linux-x86_64.tar.gz -C /ups/app/elastic cd /ups/app/elastic ln -s filebeat-* filebeat 2.2 配置数据采集conf文件 filebeat.inputs: - type: log enabled: true paths: - /var/log/mes..
elk收集oracle日志,ELK(Elasticsearch + Logstash + Kibana) 日志分析平台
weixin_42297439的博客
04-05 428
#下载tar包wget https://download.elastic.co/kibana/kibana/kibana-4.1.1-linux-x64.tar.gz#解压tar zxf kibana-4.1.1-linux-x64.tar.gz -C /usr/local/cd /usr/local/mv kibana-4.1.1-linux-x64 kibana#创建kibana服务vi /e...
CentOS7下Graylog3与ELK对比:轻量级日志管理方案实战指南
u5v6w7的博客
03-01 55
本文提供了在CentOS7系统上部署Graylog3的完整实战指南,并与传统ELK方案进行对比。文章详细阐述了Graylog3作为轻量级日志管理方案的优势,包括其集成的Web界面、更低的资源消耗和更简便的运维流程,并逐步指导了Java、MongoDB、Elasticsearch等核心依赖的安装配置,以及Graylog服务端和Sidecar日志收集器的部署。对于寻求高效、易维护日志解决方案的中小型团队而言,Graylog3是一个极具吸引力的选择。
大型组织AI自动化落地:从Excel宏到可审计流水线的实战路径
最新发布
weixin_30240349的博客
06-04 571
企业级AI自动化并非大模型驱动的概念游戏,而是面向存量IT系统、历史数据与成熟业务流程的工程化演进。其核心在于构建稳定可审计的数据管道、按需嵌入可解释可替换的轻量AI模块、以及面向业务人员的低代码治理界面。技术价值体现在降低重复劳动、提升规则执行一致性、强化合规留痕能力,广泛应用于财务应付账款三单匹配、供应链异常检测、合同关键条款抽取等高确定性场景。本文聚焦大型组织真实约束——异构系统、技术债务、组织惯性与强监管要求,提供基于Debezium+Airflow+PyOD等开源栈的可复用架构与37个已验证避坑方
oracle开启审计日志
一天不看代码浑身难受
05-23 3729
当已形成很对日志时,可删除里面的记录,目前是直接删除,未对数据库造成影响。一般建议部署完oracle后如不用审计功能,即关闭以节省空间。说明:VALUE值为FALSE,表面审计功能为关闭的状态。OS 将审计记录写入操作系统的一个文件。根据查询结果可知,已经开启数据库审计功能。DB (默认)开启审计功能。FALSE 关闭审计功能。TRUE 开启审计功能。NONE 关闭审计功能。最后重启服务即可开启。参数取值 说明。
oracle 跟踪文件--审计日志
weixin_42081167的博客
12-15 2850
清理文件夹:cd /data1/u01/app/oracle/admin/prod/adump/1)参数是否动态 能改是动态,不能改是静态参数。2)是spfile 还是pfile。静态参数只能在文件里改。3) 静态文件需要重启库。启动库时校验是否存在文件。
logstash 输出 oracle,【logstash】 - 使用mutate处理数据
weixin_39827625的博客
04-15 355
使用logstash提取oracle的alter日志的ora错误。日志格式如下:alterdatabaseopenErrorsinfiled:\oracle\diag\rdbms\hxw168\hxw168\trace\hxw168_ora_6148.trc:ORA-01589:要打开数据库则必须使用RESETLOGS或NORESETLOGS选项ORA-1589signall...
ELK采集Mysql、Oracle配置
热门推荐
Hello World
10-09 1万+
进入这篇文章的人默认是已经搭建好ELK日志平台一、概述1、日志有什么用?日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以了解服务器的负荷,性能安全性,从而及时采取措施纠正错误。2、何为ELKELK 由ElasticSearch 、 Logstash 和 Kibana 三个开源工具组成,是一个开
ELK实战--利用auditbeat采集系统审计日志并生成图表
weixin_34220179的博客
01-17 1637
一、背景 Auditbeat是轻量型的审计日志采集器,可以收集linux审计框架的数据、监控文件完整性。能够组合相关消息到一个事件里,生成标准的结构化数据,方便分析,而且能够与Logstash、Elasticsearch和Kibana无缝集成。 二、安装 wget https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-6....
详解Oracle审计(一)
qq_45732829的博客
10-17 3261
本文将详细介绍oracle审计功能,基于11g版本,但对12c,19c也同样适用。
基于ELK系统的设备日志自动化抓取及可视化解决方案
xxxxxxxxxxxaa的博客
08-29 1877
我们部署并开发了基于ELK系统的日志抓取及可视化分析工具,该工具能够实时监控设备的状态信息(充电状态,电量等)。当状态信息的变化触发了特定条件时,设备会自动抓取日志并传入Elasticsearch数据库。此外,该平台可以很方便地扩展至多设备而不需要额外的操作。......
Oracle alert log 的监控并发邮件 (Alert Log Monitoring)
wonderjjm的专栏
01-30 2320
个人觉得这个监控脚本还是集成了各种其他脚本的优点的 1,在性能上,它不必每次都去读取alert log并且对比,只有文件改变了才去匹配 2,在实用上,有白名单管理,获取的错误日志也比较详细 3,在适用上,这个脚本只要拿过去,不用进行任何更改就可以用了,因为它是以Service的形式来写的 基本设计如下: 1,每一分钟检测alert log有没有变化,如果没有变化直接退出 2,如果ale
Logstash数据同步
summer_fish的专栏
10-12 1436
结果:
日志审计】基于ELK搭建日志服务
qdsec的博客
06-13 1935
解决业务日志无监控、无审计,若出现攻击行为无感知问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值