如何解决自定义审计日志消息通过系统日志从 Oracle DB 版本 12c 发送到 SIEM
我需要通过 IBM AIX 上的系统日志将审计日志从 Oracle DB 版本 12c 发送到我的 SIEM。问题是它不包括我需要的信息。对于经验:
Mar 4 11:00:25 从 abc 转发的消息:Oracle Audit[5374348]: LENGTH : '494' ACTION :[344] '9'),chartorowid('AAAAJCAABAAAA+nABn'),chartorowid( 'AAAAJCAABAAAA+nABv'),chartorowid('AAAAJCAABAAisBAAP'),chartorowid('AAAAJCAABAAAisBAC9'),chartorowid('AAAAJCAABAAisBADQ'),chartorowid('AAAAJCAABAAAisDACn'),chartorowid('AAAAJCAABAAAisBADQ'),chartorowid('aAAAJCAABAAAisBAC9'),chartorowid('charaJCAABAAAisBADQ'),chartorowid('charaAAJCAABAAAisBAC9'),chartorowid('charaAAJCAABAAAisBAC9' ('AAAAJCAABAAAisEABn'),chartorowid('AAAAJCAABAAAisEACb'),' DATABASE USER:[3] 'SYS' PRIVILEGE :[4] 'NONE' CLIENT USER:[0] ''CLIENT TERMINAL:[7] 'UNKNowN' 状态: [1] '0' DBID:[10] '2346730987'
它没有关于源IP的信息,出于安全目的真正需要解析日志。我们是否可以修改并包含一些我们需要的信息?谢谢!
解决方法
无法修改 Oracle 内部审计生成的信息。如果您需要补充进入 SIEM 的数据,那么要么
-
SIEM 工具需要为审计跟踪生成 SQL 查询 以及数据库中的任何其他必要表,而不是 依赖系统日志;或
-
您需要编写一个自定义的 PL/SQL 函数来运行 适当的查询并使用 UTL_FILE 将输出写入 SIEM 可以读取的外部日志文件。
也就是说,您的日志样本似乎是对 SYS 操作的审计,根据您的特定设置和版本,它甚至可能不存在于内部审计跟踪中。如果是这样,您所看到的就是全部。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
