Oracle Mysql审计日志等保测评

mysql oracle的审计日志

mysql的审计日志说是有两种方法，一种是需要安装插件模式的审计，一种直接开一个参数

1.安装插件模式

一、 mysql 日志 配置永久配置 ： 保存时间及大小
https://blog.csdn.net/m0_51197424/article/details/124328403
https://www.simaek.com/archives/237/
其他插件应用
插件配置参数详细参看：https://dev.mysql.com/doc/refman/5.7/en/connection-control-variables.html
MySQL数据库安全审计功能参看：https://blog.csdn.net/weixin_39699061/article/details/103482490
MySQL数据库密码安全策略参看：https://blog.csdn.net/weixin_39699061/article/details/103513863

打开my.cnf配置文件

[root@zxy_slave1 mysql]# vim /etc/my.cnf

[mysqld]模块下添加：max_binlog_size
[mysqld]
expire_logs_days = 180
max_binlog_size = 500M

————————————————
下载对应版本插件
查看插件存放位置

    SHOW GLOBAL VARIABLES LIKE 'plugin_dir' 

解压插件 找到 libaudit_plugin.so 放入插件存放位置
编辑 select @@basedir my.ini plugin-load=AUDIT=libaudit_plugin.so
mysql 执行安装插件命令

 install plugin CONNECTION_CONTROL soname
 'connection_control.dll';

重启mysql 查看版本

 show global status like 'AUDIT_version';

2.以下是我们这次的测评建议，开启这个参数就可以了

开启审计

  SET GLOBAL audit_json_file=ON;

https://cloud.tencent.com/developer/article/2016880 具体教程
日志 开启 和查看日志存放位置

show variables like 'gen%';
set global general_log=ON;

Oracle 审计日志

我们使用的是 Oracle12C，这个本来就存在审计日志是在 DB中存储，
之前的11g 更早的默认也是开启的。

这个是他们测评的标准

1)在数据库中输入
show parameter audit;
audit_sys_operations
audit trail
2)在数据库中依次输入
SELECT * FROM DBA_STMT_AUDIT_OPTS;
SELECT * FROM DBA_PRIV_AUDIT_OPTS;
SELECT * FROM DBA_OBJ_AUDIT_OPTS;
推荐值
audit_sys_operations=TRUE
audit_trail=OS或DB EXTENDED

shwo parameter audit; 之后截图是这个

是否打开 审计参数： 已打开，存储形式为DB,

如果不是TRUE,是 FALSE，需要执行

alter system set audit_trail=FALSE scope=spfile;

然后需要 shudown immediate; 关闭再 startup 开启的方式 重启数据库，参数就生效了 。

如果想要查看具体的内容

 select * from v$sql 
	
SELECT * FROM UNIFIED_AUDIT_TRAIL WHERE event_timestamp > to_date( '2050-01-01', 'yyyy-mm-dd' );

截图为这个

可以查询 什么时间，什么用户，做了什么操作，用了什么sql语句
如果在cmd中查询，sqlplus的黑窗口回折叠，不是表的结构，很难查看。
则可以调整sqlplus的属性->布局， 再输入调整页面的大小就可以和plsql一样查询了。

 SQL> set pagesize 100;

 SQL> set linesize 120;

当已形成很对日志时，可删除里面的记录，目前是直接删除，未对数据库造成影响。

查询目前的日志信息：select * FROM SYS.AUD$;

删除已有的审计信息：DELETE FROM SYS.AUD$;

或者快速删除表信息：truncate table SYS.AUD$;

以下为审计日志的 关闭开启与表的查看管理。
https://blog.51cto.com/meiling/2483068
https://www.bbsmax.com/A/QW5YQBnG5m/

这篇好文章是转载于：学新通技术网