Menu Nous contacter Se connecter à Oracle Cloud

FAQ sur l'audit unifié

Essayer l'audit unifié sur LiveLabs

Accéder au rapport technique (PDF)

FAQ

Généralités
Performances
Stockage
Transition
Configuration
Intégration

Généralités

1. Quelles sont les versions d'Oracle Database qui prennent en charge l'audit unifié ?

L'audit unifié est disponible depuis la version Oracle Database 12c.

2. Comment activer l'audit unifié dans Oracle Database ?

L'audit unifié est activé par défaut pour Oracle Database 12c et versions supérieures.

3. L'audit unifié peut-il faire l'objet d'une licence dans Oracle Database ?

L'audit unifié est inclus dans toutes les versions d'Oracle Database à partir d'Oracle Database 12c.

4. L'audit traditionnel peut-il être utilisé dans Oracle Database 23ai ?

L'audit traditionnel n'est plus pris en charge dans Oracle Database 23ai. Si vous créez une nouvelle instance Oracle Database 23ai, l'audit traditionnel n'existe pas.

Si vous mettez à niveau une ancienne base de données vers Database 23ai, le résultat dépendra de la base de données mise à niveau. Si l'ancienne base de données utilisait déjà l'audit unifié et qu'il ne reste aucun paramètre d'audit traditionnel existant, la base de données mise à niveau continuera d'utiliser l'audit unifié.

Toutefois, si vous mettez à niveau une base de données qui a des paramètres d'audit traditionnels, la base de données mise à niveau continuera d'appliquer ces paramètres d'audit et de les capturer dans l'ancienne trace d'audit jusqu'à ce que vous désactiviez ces paramètres d'audit à l'aide d'une commande NOAUDIT. Vous ne pourrez pas créer de nouveaux paramètres d'audit traditionnels ni modifier les paramètres existants.

Oracle vous recommande de planifier votre transition vers l'audit unifié avant de planifier une mise à niveau vers Database 23ai.

5. Je suis nouveau en matière d'audit unifié. Par quoi commencer ?

Si vous êtes novice en audit unifié, commencez par les outils et fonctionnalités d'audit prêts à l'emploi qui couvrent la plupart des besoins d'audit essentiels. Voici quelques exemples :

Tirez parti de ce qui est toujours actif dans votre base de données : l'audit obligatoire est activé pour certaines opérations sensibles à la sécurité dans Oracle Database. Ces audits permanents sont intégrés et ne peuvent pas être désactivés. Vous n'avez donc pas besoin de les dupliquer dans vos propres politiques.

Pour Database 19c et versions supérieures, pour afficher les enregistrements d'audit à partir des audits obligatoires, interrogez la vue UNIFIED_AUDIT_TRAIL :

SÉLECTIONNEZ * DANS UNIFIED_AUDIT_TRAIL
OÙ UNIFIED_AUDIT_POLICIES COMME ' ORA$MANDATORY' ;
Exploitez les stratégies prédéfinies : Oracle fournit des stratégies d'audit intégrées qui couvrent les événements les plus courants liés à la sécurité. Certaines d'entre elles sont activées par défaut ; vous pouvez les vérifier à l'aide de la requête :

SÉLECTIONNEZ * À PARTIR DE AUDIT_UNIFIED_ENABLED_POLICIES ;

Vous pouvez activer ceux dont vous avez besoin avec une commande AUDIT simple comme

STRATÉGIE D'AUDIT ORA_SECURECONFIG ;

Remarque : si vous utilisez Oracle Autonomous Database, de nombreuses stratégies d'audit essentielles sont déjà pré-activées.
Exploiter les stratégies d'audit prêtes à l'emploi en un seul clic à partir d'Oracle Data Safe et/ou d'Oracle Audit Vault and Database Firewall.

6. Comment interroger des enregistrements d'audit unifié ?

Vous pouvez interroger les enregistrements d'audit à l'aide de la vue UNIFIED_AUDIT_TRAIL.

Performances

1. L'audit unifié a-t-il un impact sur les performances de la base de données ?

Pour les cas d'utilisation courants de l'audit des utilisateurs privilégiés ou de l'audit des opérations de bases de données clés, l'impact sur les performances est si faible qu'il ne peut même pas être mesuré en raison d'une faible répartition du volume d'audit tout au long de la semaine. Vous pouvez commencer à voir un impact sur les performances de 1 % lorsque la charge d'audit passe à quelques milliers d'enregistrements d'audit par minute. La plupart des cas d'usage n'ont pas d'impact sur les performances, mais pour les cas où les entreprises souhaitent auditer l'utilisation des applications, il est préférable de régler les stratégies d'audit.

Les tests de performances internes utilisant une charge globale d'application mixte TPC-C montrent que vous pouvez voir une plage de surcharge de CPU comprise entre 2 % et 5 % lors de l'audit au-delà de 6 000 enregistrements d'audit par minute. Pour les charges d'audit extrêmes, jusqu'à 36 000 enregistrements d'audit par minute, la surcharge supplémentaire est toujours à un seul chiffre.

Stockage

1. Où sont stockées les données d'audit dans l'audit unifié ?

Les enregistrements d'audit sont stockés dans une table interne sécurisée AUD$UNIFIED dans le schéma AUDSYS. Cette table réside par défaut dans le tablespace SYSAUX.

Lorsqu'il n'est pas possible d'écrire dans la base de données, par exemple, lorsque la base de données n'est pas ouverte et que le tablespace est plein, les enregistrements d'audit sont écrits dans le système d'exploitation sous forme de fichiers binaires de débordement dans le répertoire $ORACLE_BASE/audit/$ORACLE_SID. Les enregistrements d'audit sont accessibles à l'aide de la vue UNIFIED_AUDIT_TRAIL, qui extrait en interne les enregistrements d'audit de la table AUDSYS.AUD$UNIFIED et les données des fichiers de basculement.

2. Comment gérer la taille et la conservation des données d'audit unifié ?

Il est recommandé d'archiver et de purger régulièrement les enregistrements d'audit à l'aide de l'interface DBMS_AUDIT_MGMT. Le package DBMS_AUDIT_MGMT fournit des utilitaires permettant de définir l'horodatage d'archivage, de purger la trace d'audit et de programmer un travail de purge.

Une autre bonne pratique consiste à définir l'intervalle de partition de la piste d'audit de sorte que chaque partition dispose d'un ensemble gérable d'enregistrements d'audit.

3. Puis-je déplacer les données d'audit vers un autre tablespace ?

Il est recommandé de déplacer les données d'audit du tablespace SYSAUX par défaut vers un autre tablespace. La procédure DBMS_AUDIT_MGMT.SET_AUDIT_TRAIL_LOCATION vous permet de le faire.

Transition

1. Comment passer d'un audit traditionnel à un audit unifié ?

La transition est simple dans la plupart des cas. Suivez les étapes ci-dessous :

Tirez parti de l'activité permanente de votre base de données.
Tirez parti des stratégies prédéfinies dans votre base de données.
Assurez-vous que les stratégies prédéfinies, telles que ORA_SECURECONFIG et ORA_LOGIN_LOGOUT, soient activées.
Définissez et activez des stratégies d'audit unifié équivalentes pour les paramètres d'audit traditionnels personnalisés, le cas échéant. Reportez-vous à MOS 2909718.1 pour connaître l'utilitaire de conversion si nécessaire.
Désactivez l'audit traditionnel à l'aide de NOAUDIT.
Définissez AUDIT_TRAIL=None et AUDIT_SYS_OPERATIONS =False.

Configuration

1. Quelles sont les meilleures pratiques recommandées pour la configuration des stratégies d'audit unifié ?

Créez des stratégies d'audit efficaces sélectives et adaptées à vos besoins en concentrant la configuration d'audit sur trois facteurs : l'activité des utilisateurs privilégiés, les événements liés à la sécurité et l'accès aux données sensibles. Pour plus d'informations, reportez-vous aux instructions sur les meilleures pratiques pour Oracle Database Unified Audit.

2. Oracle LiveLabs est-il disponible pour la formation à l'audit unifié ?

Oui. Ce fichier LiveLab vous aidera à comprendre comment configurer et utiliser l'audit unifié dans les 30 minutes.

Integrity

1. Les données d'audit unifié sont-elles inviolables ?

L'audit unifié offre un haut degré d'intégrité de la piste d'audit en empêchant les utilisateurs d'altérer la piste d'audit. La trace d'audit est stockée dans le schéma AUDSYS et personne n'est autorisé à se connecter à ce schéma dans la base de données. AUD$UNIFIED est une table spécialisée qui autorise uniquement les activités INSERT. Toute tentative de troncation, de suppression ou de mise à jour directe du contenu de la table AUD$UNIFIED échoue et génère des enregistrements d'audit. Les données d'audit sont gérées à l'aide du package DBMS_AUDIT_MGMT intégré de gestion des données d'audit.

2. Puis-je empêcher les administrateurs de bases de données ou les utilisateurs privilégiés d'altérer les journaux d'audit unifié ?

Les données d'audit unifiées sont stockées de manière sécurisée et ne peuvent pas être modifiées. Il est recommandé d'utiliser la séparation des rôles AUDIT_ADMIN et AUDIT_VIEWER pour le personnel de sécurité dédié au lieu des administrateurs de bases de données. Utilisez Oracle Database Vault pour renforcer l'application des contrôles opérationnels et des restrictions d'accès.

3. Les données d'audit sont-elles cryptées ?

Bien que les enregistrements d'audit de la base de données ne soient pas cryptés par défaut, vous pouvez utiliser le cryptage transparent des données sur le tablespace stockant les données d'audit.

Utilisez le cryptage réseau (SSL/TLS) pour protéger les données d'audit en transit.