IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Oracle Discussion :

Pister une action malveillante


Sujet :

Oracle

  1. #1
    Membre régulier
    Homme Profil pro
    Consultant
    Inscrit en
    Mai 2006
    Messages
    147
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant

    Informations forums :
    Inscription : Mai 2006
    Messages : 147
    Points : 88
    Points
    88
    Par défaut Pister une action malveillante
    bonjour
    j'ai eu un sacré problème ce vendredi.
    les chefs me demandent de faire un audit suite à :
    1-suppression d'une table T1 : drop ?
    2-suppression du contenu d'une autre table de paramétrage T2 probablement par un delete ou truncate ...: table vide !

    L'audit doit préciser dans les 2 cas :

    -l'ordre sql qui a été passé en base .
    -l'heure et jour exacts.
    -l'utilisateur.
    - depuis quel poste et outil utilisé.

    j'ai regardé désespérément dans le fichier alert.log : rien.

    merci infiniment pour votre aide précieuse.

  2. #2
    Membre confirmé
    Femme Profil pro
    Administrateur de base de données
    Inscrit en
    Novembre 2007
    Messages
    419
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Novembre 2007
    Messages : 419
    Points : 616
    Points
    616
    Par défaut
    l'audit n'est pas fait a posteriori. il doit être déjà être en place; tu l'as activé? et à quel degré de finesse? une option FGA peut-être? un trigger qui consigne certaines actions dans une table?
    ce genre d'action n'est pas loggué dans l'alert.log.
    recense les besoins en audit et mets le en place.
    sinon, tu peux essayer de faire des recoupements entre les users qui ont les droits pour faire un drop table sur le une table de ce schema (propriétaire ou user qui aurait des droits drop de manière détournée), avec les sessions actives à ce moment.
    sinon, il reste l'interrogatoire des potentiels suspects
    plus sérieusement, l'intégrité des données est importante. et à réfléchir en amont

  3. #3
    Membre régulier
    Homme Profil pro
    Consultant
    Inscrit en
    Mai 2006
    Messages
    147
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant

    Informations forums :
    Inscription : Mai 2006
    Messages : 147
    Points : 88
    Points
    88
    Par défaut
    merci pour votre réponse.
    puis je utiliser logminer dans cette "enquête" ?
    autres pistes ?
    l'audit n'est pas activé.
    Pas de trigger pour tracer non plus...

  4. #4
    Rédacteur

    Homme Profil pro
    Consultant / formateur Oracle et SQL Server
    Inscrit en
    Décembre 2002
    Messages
    3 460
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Consultant / formateur Oracle et SQL Server

    Informations forums :
    Inscription : Décembre 2002
    Messages : 3 460
    Points : 8 073
    Points
    8 073
    Par défaut
    Citation Envoyé par devkais Voir le message
    ...puis je utiliser logminer dans cette "enquête" ?..
    Oui !
    Consultant / formateur Oracle indépendant
    Certifié OCP 12c, 11g, 10g ; sécurité 11g

    Ma dernière formation Oracle 19c publiée sur Linkedin : https://fr.linkedin.com/learning/oracle-19c-l-administration

  5. #5
    Membre régulier
    Homme Profil pro
    Consultant
    Inscrit en
    Mai 2006
    Messages
    147
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant

    Informations forums :
    Inscription : Mai 2006
    Messages : 147
    Points : 88
    Points
    88
    Par défaut
    avec une base en mode NOARCHIVELOG à suoi ça sert d' utiliser logminer ?

  6. #6
    Expert éminent
    Avatar de pachot
    Homme Profil pro
    Developer Advocate YugabyteDB
    Inscrit en
    Novembre 2007
    Messages
    1 821
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 53
    Localisation : Suisse

    Informations professionnelles :
    Activité : Developer Advocate YugabyteDB
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2007
    Messages : 1 821
    Points : 6 443
    Points
    6 443
    Billets dans le blog
    1
    Par défaut
    Citation Envoyé par devkais Voir le message
    avec une base en mode NOARCHIVELOG à suoi ça sert d' utiliser logminer ?
    Ce sera utile seulement si les online redo logs ont toujours les log de vendredi. Donc peu de chances.
    Franck Pachot - Developer Advocate Yugabyte 🚀 Base de Données distribuée, open source, compatible PostgreSQL
    🗣 twitter: @FranckPachot - 📝 blog: blog.pachot.net - 🎧 podcast en français : https://anchor.fm/franckpachot

  7. #7
    Rédacteur

    Homme Profil pro
    Consultant / formateur Oracle et SQL Server
    Inscrit en
    Décembre 2002
    Messages
    3 460
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Consultant / formateur Oracle et SQL Server

    Informations forums :
    Inscription : Décembre 2002
    Messages : 3 460
    Points : 8 073
    Points
    8 073
    Par défaut
    Citation Envoyé par devkais Voir le message
    avec une base en mode NOARCHIVELOG à suoi ça sert d' utiliser logminer ?
    La question serait plutôt : à quoi ça sert d'avoir une base qui n'est pas en mode ARCHIVELOG...
    Consultant / formateur Oracle indépendant
    Certifié OCP 12c, 11g, 10g ; sécurité 11g

    Ma dernière formation Oracle 19c publiée sur Linkedin : https://fr.linkedin.com/learning/oracle-19c-l-administration

  8. #8
    Membre régulier
    Homme Profil pro
    Consultant
    Inscrit en
    Mai 2006
    Messages
    147
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant

    Informations forums :
    Inscription : Mai 2006
    Messages : 147
    Points : 88
    Points
    88
    Par défaut
    merci pour votre aide.
    en résumé vu le contexte ,l'action à auditer n'est pas traçable...
    et ce qu'on me demande n'est pas faisable.
    j'ai passé mon lundi à chercher dans tous les sens sans résultats...
    merci.

Discussions similaires

  1. [11gR2] Pister une action malveillante
    Par devkais dans le forum Oracle
    Réponses: 0
    Dernier message: 22/06/2013, 12h13
  2. [JSP] [STRUTS] Switch dans une action
    Par babylone7 dans le forum Servlets/JSP
    Réponses: 3
    Dernier message: 28/07/2004, 16h21
  3. Réponses: 4
    Dernier message: 27/04/2004, 15h45
  4. [STRUTS][DOWNLOAD] download d'un fichier via une action
    Par FreshVic dans le forum Struts 1
    Réponses: 3
    Dernier message: 16/04/2004, 17h38
  5. [débutant]Faire appel à une action d'une ActionList
    Par petitours dans le forum C++Builder
    Réponses: 6
    Dernier message: 12/03/2004, 23h53

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo