自定义审计日志消息通过系统日志从 Oracle DB 12c 版发送到 SIEM
Custom audit log message send from Oracle DB version 12c to SIEM via syslog
我需要通过 IBM AIX 上的系统日志将审计日志从 Oracle DB 12c 版发送到我的 SIEM。问题是它不包括我需要的信息。对于 exp:
<134>Mar 4 11:00:25 Message forwarded from abc: Oracle Audit[5374348]: LENGTH : '494' ACTION :[344] '9'),chartorowid('AAAAJCAABAAAA+nABn'),chartorowid('AAAAJCAABAAAA+nABv'),chartorowid('AAAAJCAABAAAisBAAP'),chartorowid('AAAAJCAABAAAisBAC9'),chartorowid('AAAAJCAABAAAisBADQ'),chartorowid('AAAAJCAABAAAisDACn'),chartorowid('AAAAJCAABAAAisEABG'),chartorowid('AAAAJCAABAAAisEABf'),chartorowid('AAAAJCAABAAAisEABn'),chartorowid('AAAAJCAABAAAisEACb'),' DATABASE USER:[3] 'SYS' PRIVILEGE :[4] 'NONE' CLIENT USER:[0] '' CLIENT TERMINAL:[7] 'UNKNOWN' STATUS:[1] '0' DBID:[10] '2346730987'
它没有关于源 IP 的信息,出于安全目的确实需要解析日志。我们是否可以修改并包含一些我们需要的信息?谢谢!
无法修改Oracle 内部审计生成的信息。如果您需要补充进入 SIEM 的数据,则
SIEM 工具需要对审计跟踪生成 SQL 查询
以及数据库中任何其他必要的表,而不是
依赖系统日志;或者
您需要为 运行 编写自定义 PL/SQL 函数
适当的查询并使用 UTL_FILE 将输出写入
SIEM 可以读取的外部日志文件。
也就是说,您的日志样本似乎是对 SYS 操作的审核,根据您的特定设置和版本,它甚至可能不存在于内部审核跟踪中。既然如此,所见即所得。
我需要通过 IBM AIX 上的系统日志将审计日志从 Oracle DB 12c 版发送到我的 SIEM。问题是它不包括我需要的信息。对于 exp:
<134>Mar 4 11:00:25 Message forwarded from abc: Oracle Audit[5374348]: LENGTH : '494' ACTION :[344] '9'),chartorowid('AAAAJCAABAAAA+nABn'),chartorowid('AAAAJCAABAAAA+nABv'),chartorowid('AAAAJCAABAAAisBAAP'),chartorowid('AAAAJCAABAAAisBAC9'),chartorowid('AAAAJCAABAAAisBADQ'),chartorowid('AAAAJCAABAAAisDACn'),chartorowid('AAAAJCAABAAAisEABG'),chartorowid('AAAAJCAABAAAisEABf'),chartorowid('AAAAJCAABAAAisEABn'),chartorowid('AAAAJCAABAAAisEACb'),' DATABASE USER:[3] 'SYS' PRIVILEGE :[4] 'NONE' CLIENT USER:[0] '' CLIENT TERMINAL:[7] 'UNKNOWN' STATUS:[1] '0' DBID:[10] '2346730987'
它没有关于源 IP 的信息,出于安全目的确实需要解析日志。我们是否可以修改并包含一些我们需要的信息?谢谢!
无法修改Oracle 内部审计生成的信息。如果您需要补充进入 SIEM 的数据,则
SIEM 工具需要对审计跟踪生成 SQL 查询 以及数据库中任何其他必要的表,而不是 依赖系统日志;或者
您需要为 运行 编写自定义 PL/SQL 函数 适当的查询并使用 UTL_FILE 将输出写入 SIEM 可以读取的外部日志文件。
也就是说,您的日志样本似乎是对 SYS 操作的审核,根据您的特定设置和版本,它甚至可能不存在于内部审核跟踪中。既然如此,所见即所得。