CftClub.ru
Клуб специалистов ЦФТ-Банк

Собственный Аудит: «за» и «против»

 
Ответить на тему    Клуб специалистов ЦФТ-Банк (IBSO) -> Oracle DBA
Предыдущая тема :: Следующая тема  
Автор Сообщение
AlexV
Гуру


Вступление в Клуб: 29.06.2007
СообщениеПт Ноя 30, 2007 17:12   Собственный Аудит: «за» и «против» Ответить с цитатой
Полезность: 1
А давайте-ка обсудим вот какую вещь.

Я знаю, что все без исключения довольны встроенным в IBSO аудитом. Ну, по крайней мере, мы. Когда надо - ничего не найдешь, либо в ответственный момент обнаруживается, что протоколирование в этой ситуации не включено (by design).

Так вот. Решил я попробовать на тестовой схеме реализовать "классический аудит", триггеры на ВСЕ таблицы, образы ВСЕХ таблиц в пространстве собственного аудита ну и т.д.

Нарушил ли я лицензионные соглашения? Какой подводный камень ожидает меня в ближайшем будущем?

Из вкусностей. Получил интересную картину внутренней кухни IBSO, могу рассказать: кто, что и когда "сломал" в базе ну и т.д.
_________________
IT-Команда предлагает свои услуги:
http://www.cftclub.ru/viewtopic.php?t=909
Denis Scar
Участник со стажем


Вступление в Клуб: 28.09.2007
СообщениеВс Дек 02, 2007 19:50   Re: Собственный Аудит: «за» и «против» Ответить с цитатой
Полезность: Нет оценки
AlexV пишет:


Так вот. Решил я попробовать на тестовой схеме реализовать "классический аудит", триггеры на ВСЕ таблицы, образы ВСЕХ таблиц в пространстве собственного аудита ну и т.д.




А можно узнать поподробнее что такое "классический аудит" ?
Знаю аудит от Oracle, где можно отслеживать то или иное событие .. оно и есть классическое ?
Из камней - большой объем данных.
И желательно отключать при накате обновлений от ЦФТ Wink
_________________
shutdown abort;
shutdowning database in progress ...
Denis Scar
Участник со стажем


Вступление в Клуб: 28.09.2007
СообщениеВс Дек 02, 2007 20:01    Ответить с цитатой
Полезность: Нет оценки
Дополню свой вопрос.
Для меня классический аудит средствами Oracle- то, для примера, было описано в этой статье
https://metalink.oracle.com/metalink/plsql/f?p=130:14:4261734781536144815::::p14_database_id,p14_docid,p14_show_header,p14_show_help,p14_black_frame,p14_font:NOT,167293.1,1,0,1,helvetica
_________________
shutdown abort;
shutdowning database in progress ...
AlexV
Гуру


Вступление в Клуб: 29.06.2007
СообщениеПн Дек 03, 2007 09:24    Ответить с цитатой
Полезность: 1
Я про аудит такого рода:

Есть таблица: Table1.
Для нее создается образ AUD$Table1 = Table1 + (несколько служебных столбцов: время, пользователь, операция 'I', 'U', 'D' и т.д.)

На Table1 вешается AFTER триггер, который заносит в AUD$Table1 :new или :old значения в зависимости от INSERT, UPDATE, DELETE.

Объем данных в AUD$... не так значителен, как ожидалось. Может потому, что схема оказалась тестовой?
Тем более, если применить такую схему в "боевом" режиме, то можно по ночам из таблиц AUD$... средствами exp выгружать значения и чистить (за определенные периоды).
Наконец, "курить" выгруженный лог в *.csv можно через Far, Excel и прочие любимые инструменты.
_________________
IT-Команда предлагает свои услуги:
http://www.cftclub.ru/viewtopic.php?t=909
Denis Scar
Участник со стажем


Вступление в Клуб: 28.09.2007
СообщениеПн Дек 03, 2007 09:31    Ответить с цитатой
Полезность: 1
Понятно.
Все хорошо до поры до времени.
Я просто постоянно переношу на то, что сейчас имею.
У меня логов (архивных журналов) в сутки примерно 100-150 гигов.
Даже если часть будет сохранятся, то .. Smile кххх .. много получится, однако Smile
Камни такие
1. Делать образы не в табличном простраснстве System.
2. Появление тормозов при активной работе пользователей. Все зависит на каких объектах и какой аудит.
3. Желательно сделать nologging на данных таблицах.
4. По отчетам статпака посмотреть не появились ли данные таблицы, либо sql в топах. И из этого исходить.
5. Появление лишней работы админу Wink
6. После того как безопасность прознает про данный аудит, его придется постоянно поддерживать, сохранять в течение лет так пяти. И подготавливать им отчеты.
_________________
shutdown abort;
shutdowning database in progress ...
AlexV
Гуру


Вступление в Клуб: 29.06.2007
СообщениеПн Дек 03, 2007 10:00    Ответить с цитатой
Полезность: Нет оценки
1. Делать образы не в табличном простраснстве System.
Ну, дык. Разумеется! В другом ТБС, на другом диске.

2. Появление тормозов при активной работе пользователей. Все зависит на каких объектах и какой аудит.
ЗачОт! В принципе, можно подобрать необходимый для спокойной жизни набор аудируемых таблиц.

3. Желательно сделать nologging на данных таблицах.
Абизательнада!

4. По отчетам статпака посмотреть не появились ли данные таблицы, либо sql в топах. И из этого исходить.
Не думаю, что они там появятся! В них идут только INSERT-ы от DML-ев.
Увеличится и так нехилый объем арклогов. Это да. Но, я думаю, окупится при случае.

5. Появление лишней работы админу.
Зависит от прямизны драйверов руки.sys
Однажды все грамотно настроить и чувствовать потом спокойствие от подконтрольности ситуации.

6. После того как безопасность прознает про данный аудит, его придется постоянно поддерживать, сохранять в течение лет так пяти. И подготавливать им отчеты.
Хай будут лучше выкуривать такие логи и отчеты, нежели имеют МозК вопросами по АРМ-у "Ревизор"!

Открытым остается вопрос нарушения лицензионной политики. Таким образом же, модифицируется (дополняется) ТЯ!
_________________
IT-Команда предлагает свои услуги:
http://www.cftclub.ru/viewtopic.php?t=909
Denis Scar
Участник со стажем


Вступление в Клуб: 28.09.2007
СообщениеПн Дек 03, 2007 11:25    Ответить с цитатой
Полезность: Нет оценки
2. Появление тормозов при активной работе пользователей. Все зависит на каких объектах и какой аудит.
ЗачОт! В принципе, можно подобрать необходимый для спокойной жизни набор аудируемых таблиц.


Очень-очень хорошо подумать.


4. По отчетам статпака посмотреть не появились ли данные таблицы, либо sql в топах. И из этого исходить.
Не думаю, что они там появятся! В них идут только INSERT-ы от DML-ев.
Увеличится и так нехилый объем арклогов. Это да. Но, я думаю, окупится при случае.


Не согласен.
1. Всегда было то что дисковой системы не хватало.
2. Вставка-то вставка, но если диск один или шина данных, то .... падение и так не быстрой дисковой системы.
3. Секция допустим статпака "Top 20 ITL Waits per Segment for DB"
4. Пошли дальше. Бич ИБСО, да и любой базы - это ожидание "latch free" У меня допустим KgL_latch выкручен. Изначально латчей в больших систмах не хватает, а тут с относительно нехилым выполнением операций связанных с аудитом ... Latch free смотрите когда прикрутите аудит.

Однажды все грамотно настроить и чувствовать потом спокойствие от подконтрольности ситуации.

Немного не согласен Smile Всегда бывает мало .. сначало один отчет .. потом второй .. потов выгрузка в excel, а потом хочу чтобы по почте Wink

Хай будут лучше выкуривать такие логи и отчеты, нежели имеют МозК вопросами по АРМ-у "Ревизор"!

Man Ревизор Wink

Насчет лицензионной политики.
Я сомневаюсь. Настраивать аудит - ваше дело. И как вы его реализует - ваше дело.
Вы собираете дополнительную инфу - что, где, когда.
Ведь написание дополнительного отчета - это не нарушение лицензии.
Я спрошу у своих знакомых в ЦФТ.
_________________
shutdown abort;
shutdowning database in progress ...
Показать сообщения:   
Ответить на тему    Клуб специалистов ЦФТ-Банк (IBSO) -> Oracle DBA Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Рейтинг@Mail.ru