Oracle Database: настройка источника
Данное руководство описывает процесс настройки сбора событий Oracle Database с помощью протокола syslog и их отправки в R-Vision SIEM.
Предварительные требования
Перед началом настройки убедитесь, что выполнены следующие условия:
-
На машине, с которой планируется сбор событий, установлен сервис
rsyslogилиsyslog-ng. -
Пользователь, выполняющий настройку, имеет права администратора.
Настройка Oracle Database
Настройка журналирования
В версиях 23ai и 26ai Unified Auditing включен по умолчанию. Проверьте статус:
+
SQL> SELECT value FROM v$option WHERE parameter = 'Unified Auditing';-
Создайте политику аудита сессий через
Unified Auditing:SQL> CREATE AUDIT POLICY audit_sessions ACTIONS LOGON,LOGOFF; -
Примените политику к пользователям:
SQL> AUDIT POLICY audit_sessions; -
Аналогично для DDL:
SQL> CREATE AUDIT POLICY audit_ddl ACTIONS CREATE TABLE, ALTER TABLE, DROP TABLE, CREATE VIEW, DROP VIEW, CREATE SYNONYM, CREATE SEQUENCE; SQL> AUDIT POLICY audit_ddl; -
Создайте политику аудита DML для каждой схемы/таблицы, действия на которых вы хотите логировать. Для SIEM важно выбрать только чувствительные таблицы, иначе объем логов будет огромный:
SQL> CREATE AUDIT POLICY audit_dml ACTIONS SELECT, INSERT, UPDATE, DELETE ON <таблица>; SQL> AUDIT POLICY audit_dml; -
Создайте политику аудита привилегий:
SQL> CREATE AUDIT POLICY audit_privileges ACTIONS GRANT, REVOKE, CREATE USER, DROP USER, ALTER USER, CREATE ROLE, DROP ROLE; SQL> AUDIT POLICY audit_privileges; -
Проверьте активные политики
Unified Auditing:SQL> SELECT policy_name, enabled_option, entity_name, success, failure FROM audit_unified_enabled_policies;
В версии 23ai режим записи в базу данных и в syslog обычно исключают друг друга для минимизации нагрузки. Настраивайте unified_audit_systemlog, если вас интересует сбор событий только через syslog.
|
Чтобы Oracle начал писать события в системный лог, измените параметры инициализации базы:
-
В базе (под
SYS):SQL> ALTER SYSTEM SET audit_syslog_level='local1.info' SCOPE=SPFILE; -
Примените изменения, перезапустив базу:
SQL> SHUTDOWN IMMEDIATE; SQL> STARTUP;
Настройка отправки событий в R-Vision SIEM
| В настоящем руководстве рассматривается передача событий с помощью сервиса rsyslog. |
События сервера Oracle Database могут отправляться на централизованный сервер syslog или напрямую в систему SIEM.
Чтобы настроить отправку событий сервера Oracle Database, выполните следующие шаги:
-
Создайте конфигурационный файл
rsyslogв директории/etc/rsyslog.d/. -
Добавьте в файл следующие правила:
if $programname startswith 'oracle' then { action(type="omfwd" target="<target>" port="<port>" protocol="<protocol>") stop }-
<target>: IP-адрес или полное доменное имя (FQDN) коллектора R-Vision SIEM. -
<port>: порт точки входаSyslogна конвейере R-Vision SIEM. -
<protocol>: сетевой протокол (tcpилиudp).
-
-
Перезапустите
rsyslogдля применения изменений:sudo systemctl restart rsyslog
Настройка в R-Vision SIEM
Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Добавьте на конвейер элемент Нормализатор с правилом Oracle Database (идентификатор правила: RV-N-210).
-
Соедините нормализатор с точкой входа.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
-
Соедините конечную точку с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Oracle Database.
|
Найти события Oracle Database в хранилище можно по следующему фильтру:
|
Была ли полезна эта страница?
