Discussion :

[Laye]

Bonjour a tous,

je souhaite faire un audit de toutes les actions du genre connect, create user etc sur ma base oracle 10g. Quand je me connect en tant que dba et que je lance la commande AUDIT ALL, cela passe. Si apres j'essaye de me connecter autrement ou que je fais des create user, quand je consulte la table sys.aud$ ou dba_audit_trail, ils ne contiennent aucun enregistrement.
Que puis-je faire?

[laurentleturgez]

Bonjour,

Alors, pour ton problème ... deux cas possibles :
1- Tu veux auditer les connexions et les CREATE USER réalisés par un utilisateur lambda (hors SYS ou user ayant escaladé en SYSOPER ou SYSDBA).

La commande AUDIT USER, SESSION devrait réaliser tes rêves, en voici une démo :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
 
SYS@db10g > audit user,session by session; 
 
Audit succeeded.
 
SYS@db10g > connect laurent/laurent        
Connected.
LAURENT@db10g > connect / as sysdba
Connected.
SYS@db10g > connect laurent/laurent 
Connected.
LAURENT@db10g > drop user toto;
 
User dropped.
 
LAURENT@db10g > create user toto identified by toto;
 
User created.
 
LAURENT@db10g > select username,SQL_TEXT,ACTION_NAME, TIMESTAMP from dba_audit_trail;
 
USERNAME   SQL_TEXT                       ACTION_NAME                  TIMESTAMP
---------- ------------------------------ ---------------------------- -------------------
LAURENT                                   LOGON                        23/10/2009 17:50:42
LAURENT    drop user toto                 DROP USER                    23/10/2009 17:50:45
LAURENT    create user toto identified by CREATE USER                  23/10/2009 17:50:52
            ****
 
LAURENT                                   LOGOFF                       23/10/2009 17:50:35

Attention : pour avoir les ordres SQL, tu dois avoir le paramètre audit_trail positionné à "DB,EXTENDED"

2- Tu veux auditer les opérations des utilisateurs SYS ou ayant escaladé en SYSDBA ou SYSOPER. Dans ce cas, dans la mesure où les opérations de ces utilisateurs peuvent se faire instance éteinte. Ils logguent dans des fichiers OS. Dans ce cas, tu dois avoir le paramètre AUDIT_SYS_OPERATIONS à TRUE.
Les fichiers d'audit sont récupérés dans le répertoire pointé par le paramètre d'instance AUDIT_FILE_DEST. De plus, attention, toutes les opérations sont auditées (connexion, create user etc.)

Exemple de contenu :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
 
Instance name: db10g
Redo thread mounted by this instance: 1
Oracle process number: 16
Unix process pid: 4195, image: oracle@linux1 (TNS V1-V3)
 
Fri Oct 23 17:58:53 2009
LENGTH : '137'
ACTION :[7] 'CONNECT'
DATABASE USER:[1] '/'
PRIVILEGE :[6] 'SYSDBA'
CLIENT USER:[6] 'oracle'
CLIENT TERMINAL:[5] 'pts/2'
STATUS:[1] '0'
 
Fri Oct 23 17:58:57 2009
LENGTH : '151'
ACTION :[20] 'noaudit user,session'
DATABASE USER:[1] '/'
PRIVILEGE :[6] 'SYSDBA'
CLIENT USER:[6] 'oracle'
CLIENT TERMINAL:[5] 'pts/2'
STATUS:[1] '0'
 
Fri Oct 23 17:59:03 2009
LENGTH : '414'
ACTION :[282] 'SELECT NAME NAME_COL_PLUS_SHOW_PARAM,DECODE(TYPE,1,'boolean',2,'string',3,'integer',4,'file',5,'
number',        6,'big integer', 'unknown') TYPE,DISPLAY_VALUE VALUE_COL_PLUS_SHOW_PARAM FROM V$PARAMETER WHERE
 UPPER(NAME) LIKE UPPER('%audit%') ORDER BY NAME_COL_PLUS_SHOW_PARAM,ROWNUM'
DATABASE USER:[1] '/'
PRIVILEGE :[6] 'SYSDBA'
CLIENT USER:[6] 'oracle'
CLIENT TERMINAL:[5] 'pts/2'
STATUS:[1] '0'

Est ce que cela répond à ta question ?

[Laye]

j'ai fais exactement ce que vous avez indique et toutes les actions sont concluantes mais quant je fais le select sur DBA_AUDIT_TRAIL, j'ai comme reponse << Aucune ligne selectionnee>>.

[laurentleturgez]

Bonjour,

Est-il possible d'avoir le code passé et surtout avec quel utilisateur il est passé !

Merci

[Laye]

dans quel fichier se trouve le parametre audit_sys_operations ?

[laurentleturgez]

Bonjour,

Si le paramètre AUDIT_SYS_OPERATIONS est positionné à TRUE, les fichiers sont générés dans le répertoire pointé par le paramètre AUDIT_FILE_DEST.

[Laye]

le code que j'ai tape est le suivant:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
sql> connect asokhna/as123 as sysdba;
connecté
sql> audit user,session by session;
audit reussi
sql>create user ali identified by ali123;
utilisateur cree
sql> drop user ali;
utilisateur supprime
 
sql> select * from dba_audit_trail;
aucune ligne selectionnee
 
sql> connect demba/dembis
connecté
 
sql> select * from dba_audit_trail;
aucune ligne selectionnee

je n'obtiens aucun resultat et je ne comprend pas le pourquoi malgre que
que j'ai positionne le parametre dba_audit_trail = DB.
Quel est le probleme? je cherche depuis plusieurs jours aidez moi svp...

[laurentleturgez]

Quel est le résultat de la commande SQL (exécutée en SYSDBA) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
show parameter audit;

[Laye]

le resultat de la commande SHOW parameter audit est:

audit_sys_operations (value : "FALSE")
audit_trail (value : "NONE".

[laurentleturgez]

Ok, la valeur d'AUDIT_TRAIL n'est pas correcte :

1- modifie ce paramètre :

• Si tu es en 10g ou supérieur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
alter system set audit_trail=DB,EXTENDED scope=spfile

• Si tu es en 9i :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
alter system set audit_trail=DB scope=spfile

2- Redémarre ton instance

3- réessaie le bout de code que tu as transmis.

Ca devrait fonctionner.

Laurent