Discussion :

[Albator5151]

Bonjour,

Dans le cadre de la mise en place d'une supervision de réseau j'aurais voulu connaître votre avis sur ce que peux être un comportement anormal sur une base de données Oracle comme par exemple une connexion root à 2h du matin, ou encore des ajouts de privilèges sur des tables sensibles, etc...

Si vous avez des idées je suis preneur.

Merci

Rodolphe

[orafrance]

faudrait peut-être tenter l'exorcisme

Regarde dans le crontab si tu n'as rien de programmer, idem dans les jobs et tu peux traquer les connexions via un trigger on_logon

[Albator5151]

Bonjour,

Merci pour la réponse mais pour l'instant je n'y ai pas accès. j'y regarderai le moment venu.

Je voulais juste connaître vos idées vis à vis es comportements anormaux courant car je ne suis pas forcément un spécialiste en SGBD.

Merci encore.

Rodolphe

[Pomalaix]

Bonjour,

Dans le cadre de la mise en place d'une supervision de réseau j'aurais voulu connaître votre avis sur ce que peux être un comportement anormal sur une base de données Oracle comme par exemple une connexion root à 2h du matin, ou encore des ajouts de privilèges sur des tables sensibles, etc...

Si vous avez des idées je suis preneur.

Merci

Rodolphe

Bonjour

Je ne vois guère comment surveiller au niveau réseau ce qui se passe dans la base ! En plus, la normalité est très variable d'une situation à l'autre.

Un élément qui me paraît digne d'être surveillé, c'est la fréquence des connexions à la base. En effet, des connexions en rafale (par exemple 50 connexions à la seconde) sont sans doute la marque d'une anomalie, voire d'une tentative de nuisance.
Au niveau réseau, vous pouvez en principe distinguer les échanges applicatifs des échanges liés à l'établissement de la connexion.
En effet, les échanges réseau de connexion se font à destination du port défini au niveau du listener (typiquement 1521), et c'est ceux-ci que vous devrez surveiller, alors que les échanges applicatifs se font sur des ports dynamiquement négociés, dans une large plage.

[pifor]

L'utilisation des fonctionnalités d'audit dans Oracle devrait être utile dans ce cas là (http://download-uk.oracle.com/docs/c...t.htm#BABCFIHB). Ceci dit, le détenteur du compte Unix root peut, avec les compétences Oracle nécessaires, modifier ou effacer l'audit trail

[Albator5151]

Bonjour,

merci pour la réponse.

En fait il s'agit de récupérer les fichiers de log de la base de données sur un serveur de log centralisé, puis d'analyser ses logs en fonction des comportements anormaux qu'il peut y avoir.

[Albator5151]

Bonjour,

D'autres idées ?

Merci

Rodolphe