Comportements anormaux sur une base

Albator5151 · 07/02/2007, 12h32

Bonjour,

Dans le cadre de la mise en place d'une supervision de réseau j'aurais voulu connaître votre avis sur ce que peux être un comportement anormal sur une base de données Oracle comme par exemple une connexion root à 2h du matin, ou encore des ajouts de privilèges sur des tables sensibles, etc...

Si vous avez des idées je suis preneur.

Merci

Rodolphe

orafrance · 07/02/2007, 12h40

faudrait peut-être tenter l'exorcisme

Regarde dans le crontab si tu n'as rien de programmer, idem dans les jobs et tu peux traquer les connexions via un trigger on_logon

Albator5151 · 07/02/2007, 12h46

Bonjour,

Merci pour la réponse mais pour l'instant je n'y ai pas accès. j'y regarderai le moment venu.

Je voulais juste connaître vos idées vis à vis es comportements anormaux courant car je ne suis pas forcément un spécialiste en SGBD.

Merci encore.

Rodolphe

Pomalaix · 07/02/2007, 12h53

Citation:

Envoyé par Albator5151

Bonjour,

Dans le cadre de la mise en place d'une supervision de réseau j'aurais voulu connaître votre avis sur ce que peux être un comportement anormal sur une base de données Oracle comme par exemple une connexion root à 2h du matin, ou encore des ajouts de privilèges sur des tables sensibles, etc...

Si vous avez des idées je suis preneur.

Merci

Rodolphe

Bonjour

Je ne vois guère comment surveiller au niveau réseau ce qui se passe dans la base ! En plus, la normalité est très variable d'une situation à l'autre.

Un élément qui me paraît digne d'être surveillé, c'est la fréquence des connexions à la base. En effet, des connexions en rafale (par exemple 50 connexions à la seconde) sont sans doute la marque d'une anomalie, voire d'une tentative de nuisance.
Au niveau réseau, vous pouvez en principe distinguer les échanges applicatifs des échanges liés à l'établissement de la connexion.
En effet, les échanges réseau de connexion se font à destination du port défini au niveau du listener (typiquement 1521), et c'est ceux-ci que vous devrez surveiller, alors que les échanges applicatifs se font sur des ports dynamiquement négociés, dans une large plage.

pifor · 07/02/2007, 13h30

L'utilisation des fonctionnalités d'audit dans Oracle devrait être utile dans ce cas là (http://download-uk.oracle.com/docs/c...t.htm#BABCFIHB). Ceci dit, le détenteur du compte Unix root peut, avec les compétences Oracle nécessaires, modifier ou effacer l'audit trail

Albator5151 · 07/02/2007, 13h52

Bonjour,

merci pour la réponse.

En fait il s'agit de récupérer les fichiers de log de la base de données sur un serveur de log centralisé, puis d'analyser ses logs en fonction des comportements anormaux qu'il peut y avoir.

Albator5151 · 09/02/2007, 13h59

Bonjour,

D'autres idées ?

Merci

Rodolphe

07/02/2007, 12h32	#1
Albator5151 Invité de passage Inscription : février 2006 Messages : 35 Détails du profil Informations forums : Inscription : février 2006 Messages : 35 Points : 3 Points : 3	Comportements anormaux sur une base Bonjour, Dans le cadre de la mise en place d'une supervision de réseau j'aurais voulu connaître votre avis sur ce que peux être un comportement anormal sur une base de données Oracle comme par exemple une connexion root à 2h du matin, ou encore des ajouts de privilèges sur des tables sensibles, etc... Si vous avez des idées je suis preneur. Merci Rodolphe
	00

07/02/2007, 12h40	#2
orafrance Rédacteur/Modérateur Inscription : janvier 2004 Messages : 15 861 Détails du profil Informations personnelles : Âge : 35 Informations forums : Inscription : janvier 2004 Messages : 15 861 Points : 16 212 Points : 16 212	faudrait peut-être tenter l'exorcisme Regarde dans le crontab si tu n'as rien de programmer, idem dans les jobs et tu peux traquer les connexions via un trigger on_logon __________________ Règles et liens du forum Oracle Guide Oracle Pense-bête du DBA Oracle : Exemple
	00

07/02/2007, 13h30	#5
pifor Expert Confirmé Inscription : février 2006 Messages : 3 433 Détails du profil Informations forums : Inscription : février 2006 Messages : 3 433 Points : 3 462 Points : 3 462	L'utilisation des fonctionnalités d'audit dans Oracle devrait être utile dans ce cas là (http://download-uk.oracle.com/docs/c...t.htm#BABCFIHB). Ceci dit, le détenteur du compte Unix root peut, avec les compétences Oracle nécessaires, modifier ou effacer l'audit trail __________________ P. Forstmann AskTom Forums OTN doc 8, 9, 10 et 11
	00

07/02/2007, 12h46	#3
Albator5151 Invité de passage Inscription : février 2006 Messages : 35 Détails du profil Informations forums : Inscription : février 2006 Messages : 35 Points : 3 Points : 3	Bonjour, Merci pour la réponse mais pour l'instant je n'y ai pas accès. j'y regarderai le moment venu. Je voulais juste connaître vos idées vis à vis es comportements anormaux courant car je ne suis pas forcément un spécialiste en SGBD. Merci encore. Rodolphe
	00

07/02/2007, 13h52	#6
Albator5151 Invité de passage Inscription : février 2006 Messages : 35 Détails du profil Informations forums : Inscription : février 2006 Messages : 35 Points : 3 Points : 3	Bonjour, merci pour la réponse. En fait il s'agit de récupérer les fichiers de log de la base de données sur un serveur de log centralisé, puis d'analyser ses logs en fonction des comportements anormaux qu'il peut y avoir.
	00

09/02/2007, 13h59	#7
Albator5151 Invité de passage Inscription : février 2006 Messages : 35 Détails du profil Informations forums : Inscription : février 2006 Messages : 35 Points : 3 Points : 3	Bonjour, D'autres idées ? Merci Rodolphe
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email