※ 本記事は2009年12月14日に公開されたものです。
前回のプロファイル設定の変更に引き続き、今回はOracle Database 11gからの新しい監査設定について紹介しましょう。
Oracle Databaseの監査には標準監査、DBA監査、ファイングレイン監査の3種類があります。デフォルトの動作の挙動が変わったのは、このうち標準監査です。
標準監査を利用するためには、audit_trail初期化パラメータで、監査証跡の出力先を指定する必要があります。10gまではこのパラメータのデフォルト値はnone(監査を行わない)でしたが、11gからはdb(SYS.AUD$表に監査証跡を出力)となりました。そして、主にデータベース管理のための様々なSQL文に監査設定がされています。(具体的な設定はマニュアルでご確認くださいね)
デフォルトで監査設定される操作の1つにデータベースへのログオンがあります。データベースにユーザーが接続されるたびに監査証跡が生成されるのです。コネクション・プーリングを利用していないアプリケーションがある場合、処理ごとに必ず監査証跡が生成されることになります。
つまり、デフォルトの監査設定状態でデータベースを運用していると、SYSTEM表領域にあるSYS.AUD$表に知らず知らずのうちに監査証跡がたまっていきます。監査設定が有効化されていることを知らない場合、監査証跡の削除運用も考慮されていないでしょうから、監査証跡はたまる一方です。
システム構築時には、必ずシステムのセキュリティ要件で必要な監査だけを残して、不必要な監査設定は解除し、定期的に監査証跡を退避・削除する運用を組み込んでください。また、システムに監査要件がない場合には、監査機能自体を無効化することも検討しましょう。
あなたのデータベースのSYSTEM表領域は監査証跡で肥大化していませんか?
今回の参考情報:
Oracle Databaseセキュリティ・ガイド 11g リリース1(11.1)
Oracle Databaseセキュリティの新機能
安全性の高い構成の自動作成
http://otndnld.oracle.co.jp/document/products/oracle11g/111/doc_dvd/network.111/E05730-05/whatsnew.htm#CJAHEFJF
Oracle Databaseセキュリティ・ガイド 11g リリース1(11.1)
監査を使用したセキュリティ・アクセスの検証
セキュリティに関連するSQL文および権限に対するデフォルト監査の使用
http://otndnld.oracle.co.jp/document/products/oracle11g/111/doc_dvd/network.111/E05730-05/auditing.htm#CEGGCIAE