如何在没有性能和可扩展性问题的情况下审核数据库活动？

Question

我需要审核所有数据库活动，无论它是来自应用程序还是来自其他方式发出某些 SQL 的人。 因此审计必须在数据库级别进行。 有问题的数据库是Oracle。 我考虑通过触发器以及 Oracle 提供的细粒度审计来实现这一点。 在这两种情况下，我们都开启了对特定表和特定列的审计。 然而，我们发现当我们使用这两种方法时，性能真的很糟糕。

由于围绕数据隐私的规定，审计是绝对必须的，因此我想知道在不显着性能下降的情况下执行此操作的最佳方法是什么。 如果有人在这方面有 Oracle 的具体经验，那将会很有帮助，但即使不是围绕数据库活动审计的一般实践也可以。

Answer 1

没有必要“自己动手”。 只需开启审计：

1. 设置数据库参数AUDIT_TRAIL = DB。
2. 启动实例。
3. 使用 SQLPlus 登录。
4. 输入语句

   audit all;

   这会打开对许多关键 DDL 操作的审计，但 DML 和其他一些 DDL 语句仍然不会审计。

5. 要启用对这些其他活动的审核，请尝试以下语句：

   audit alter table;   -- DDL审计 
     审计select表、更新表、插入表、删除表；   -- DML 审核

注意：所有“as sysdba”活动始终会经过操作系统审核。 在 Windows 中，这意味着 Windows 事件日志。 在 UNIX 中，这通常是 $ORACLE_HOME/rdbms/audit。

查看Oracle 10g R2 审计章节。

可以在 SYS.DBA_AUDIT_TRAIL 视图中查看数据库审计跟踪。

应该指出的是，Oracle 内部审计从定义上来说将是高性能的。 它的设计正是如此，很难想象还有什么东西可以在性能上与它相媲美。 此外，Oracle 审计还具有高度的“细粒度”控制。 您可以获得您想要的精确度。 最后，可以将 SYS.AUD$ 表及其索引移动到单独的表空间，以防止填满 SYSTEM 表空间。

亲切的问候，
作品

Answer 2

我不确定这对于制作来说是否足够成熟
系统，但我在监控数据库方面取得了相当大的成功
使用网络流量嗅探器的流量。

将应用程序和数据库之间的原始数据发送到另一个应用程序和数据库
机器并在那里对其进行解码和分析。

我使用 PostgreSQL，解码流量并将其转换为
可以记录的数据库操作流相对而言
直截了当。 我想它可以在任何数据包所在的数据库上工作
格式已记录。

要点是它不会给数据库本身带来额外的负载。

而且，它是被动监控，它记录了所有活动，但是
无法阻止任何操作，因此可能不完全是您正在寻找的内容。

Answer 3

如果您使用的是 Oracle，那么有一个名为 CDC（捕获数据更改）的功能，它是针对审计类型需求的性能更高效的解决方案。

Answer 4

如果您想在目标系统上记录更改记录的副本，您可以使用 Golden Gate Software 来完成此操作，并且不会造成源端资源消耗太多。 此外，您无需对源数据库进行任何更改即可实施此解决方案。

Golden Gate 会抓取引用您感兴趣的表列表的事务的重做日志。这些更改被写入“跟踪文件”，并且可以应用于同一数据库上的不同模式，或者发送到目标系统并应用在那里（非常适合减少源系统的负载）。

将跟踪文件发送到目标系统后，您可以进行一些配置调整，您可以设置一个选项来执行审核，如果需要，您可以调用 2 个 Golden Gate 函数来获取有关事务的信息：

1) 设置 INSERTALLRECORDS Replication 参数以插入一个对源表进行的每个更改操作都会在目标表中产生新记录。 请注意，这可能会占用大量空间，但如果您需要全面审核，这可能是预料之中的。

2) 如果您的记录中尚未附加 CHANGED_BY_USERID 和 CHANGED_DATE，您可以使用目标端的 Golden Gate 函数来获取当前交易的此信息。 查看GG参考指南中的以下函数：
GGHEADER(“用户ID”)
GGHEADER("TIMESTAMP")

所以不，它不是免费的（需要通过 Oracle 许可），并且需要一些努力来启动，但可能比实施和维护自己的自定义解决方案要少得多的努力/成本，并且您拥有将数据传送到远程系统的另一个好处是，您可以保证对源数据库的影响最小。