Häufig gestellte Fragen zu Unified Auditing

Technischen Bericht abrufen (PDF)

Häufig gestellte Fragen – Themen

Allgemeines

1. Welche Oracle Database-Versionen unterstützen Unified Auditing?

Unified Auditing ist seit dem Release von Oracle Database 12c verfügbar.

2. Wie aktiviere ich Unified Auditing in Oracle Database?

Unified Auditing ist standardmäßig für Oracle Database 12c und höher aktiviert.

3. Ist Unified Auditing ein lizenzierbares Feature in Oracle Database?

Unified Auditing ist in allen Versionen der Oracle Database ab Oracle Database 12c enthalten.

4. Kann herkömmliches Audit in Oracle Database 23ai verwendet werden?

Herkömmliches Auditing wird in Oracle Database 23ai nicht mehr unterstützt. Wenn Sie eine neue Oracle Database 23ai erstellen, ist das herkömmliche Auditing nicht mehr vorhanden.

Wenn Sie eine ältere Datenbank auf Database 23ai aktualisieren, hängt das Ergebnis von der bestehenden Datenbank ab. Wenn die ältere Datenbank bereits Unified Auditing verwendet und keine herkömmlichen Auditeinstellungen mehr vorhanden sind, wird die aktualisierte Datenbank weiterhin Unified Auditing nutzen.

Wenn Sie jedoch eine Datenbank aktualisieren, die noch herkömmliche Auditeinstellungen verwendet, werden diese weiterhin angewendet und in der alten Audit-Trail-Version aufgezeichnet, bis Sie sie mit dem Befehl NOAUDIT deaktivieren. Neue herkömmliche Auditeinstellungen können nicht mehr erstellt oder bestehende geändert werden.

Oracle empfiehlt, den Umstieg auf Unified Auditing einzuplanen, bevor Sie das Upgrade auf Database 23ai durchführen.

5. Ich bin neu im Bereich Unified Auditing. Wo sollte ich beginnen?

Wenn Sie neu im Bereich Unified Auditing sind, starten Sie am besten mit den sofort einsatzbereiten Audit-Tools und -Features, die die wichtigsten Auditanforderungen abdecken. Hier einige Tipps:

  • Nutzen Sie, was in Ihrer Datenbank bereits „immer aktiv“ ist. Oracle Database verfügt über eine obligatorische Überwachung bestimmter sicherheitsrelevanter Vorgänge. Diese permanenten Audits sind fest integriert und können nicht deaktiviert werden. Daher müssen Sie sie in Ihren eigenen Policys nicht erneut erfassen.

    Ab Database 19c können Sie die Audit-Datensätze aus den obligatorischen Audits über die Ansicht UNIFIED_AUDIT_TRAIL abfragen:

    SELECT * FROM UNIFIED_AUDIT_TRAIL
    WHERE UNIFIED_AUDIT_POLICIES LIKE ' ORA$MANDATORY';
  • Nutzen Sie die vordefinierten Policys: Oracle stellt integrierte Audit-Policys bereit, die die gängigsten sicherheitsrelevanten Ereignisse abdecken. Einige davon sind standardmäßig aktiviert. Sie können die aktivierten Policys mit folgender Abfrage überprüfen:

    SELECT * FROM AUDIT_UNIFIED_ENABLED_POLICIES;

    Sie können die benötigten Policys mit einem einfachen AUDIT-Befehl aktivieren, zum Beispiel:

    AUDIT POLICY ORA_SECURECONFIG;

    Hinweis: Wenn Sie eine Oracle Autonomous Database verwenden, sind viele wichtige Audit-Policys bereits voraktiviert.
  • Nutzen Sie die sofort einsatzbereiten Audit-Policys mit nur einem Klick über Oracle Data Safe und/oder Oracle Audit Vault and Database Firewall.

6. Wie werden Unified Auditing-Datensätze abgefragt?

Sie können Auditdatensätze mit der Ansicht UNIFIED_AUDIT_TRAIL abfragen.

Performance

1. Hat Unified Auditing Auswirkungen auf die Datenbankperformance?

Bei typischen Anwendungsfällen wie der Überwachung privilegierter Benutzer oder wichtiger Datenbankvorgänge ist die Leistungsbeeinträchtigung so gering, dass sie aufgrund des geringen Audit-Volumens über die Woche hinweg praktisch nicht messbar ist. Eine messbare Auswirkung von etwa 1 % kann auftreten, wenn die Audit-Last auf einige Tausend Audit-Einträge pro Minute ansteigt. In den meisten Fällen bleibt die Leistungsbeeinträchtigung jedoch unter diesem Wert. Wenn Organisationen jedoch auch die Nutzung von Anwendungen überwachen möchten, sollten die Audit-Policys entsprechend optimiert werden.

Interne Leistungstests mit einer TPC-C-Mischlast zeigen, dass bei einer Überwachung von mehr als 6.000 Audit-Einträgen pro Minute eine CPU-Mehrbelastung zwischen 2 % und 5 % auftreten kann. Selbst bei extrem hohen Audit-Lasten von bis zu 36.000 Audit-Einträgen pro Minute bleibt der zusätzliche Overhead weiterhin im einstelligen Prozentbereich.

Speicher

1. Wo werden die Auditdaten im Unified Auditing gespeichert?

Audit-Datensätze werden in einer geschützten internen Tabelle AUD$UNIFIED im Schema AUDSYS gespeichert. Diese Tabelle befindet sich standardmäßig im SYSAUX-Tablespace.

Wenn das Schreiben in die Datenbank nicht möglich ist – wie z. B. wenn die Datenbank nicht geöffnet ist oder der Tablespace voll ist – werden die Audit-Datensätze als sogenannte Spillover-Binärdateien im Verzeichnis $ORACLE_BASE/audit/$ORACLE_SID im Betriebssystem abgelegt. Der Zugriff auf die Audit-Daten erfolgt über die Ansicht UNIFIED_AUDIT_TRAIL, die intern sowohl die Datensätze aus AUDSYS.AUD$UNIFIED als auch die Daten aus den Spillover-Dateien ausliest.

2. Wie kann ich die Größe und Aufbewahrung der Unified-Auditing-Daten verwalten?

Es ist empfehlenswert, Audit-Datensätze regelmäßig mithilfe der DBMS_AUDIT_MGMT-Schnittstelle zu archivieren und zu bereinigen. Das Paket DBMS_AUDIT_MGMT bietet Funktionen, um einen Archivierungszeitpunkt festzulegen, den Audittrail zu bereinigen und eine geplante Bereinigungsaufgabe einzurichten.

Eine weitere bewährte Vorgehensweise besteht darin, das Partitionsintervall des Audittrails so festzulegen, dass jede Partition nur eine überschaubare Menge an Audit-Datensätzen enthält.

3. Kann ich die Auditdaten in einen anderen Tablespace verschieben?

Es ist empfehlenswert, die Auditdaten vom standardmäßigen SYSAUX-Tablespace in einen anderen Tablespace zu verschieben. Mit der Prozedur DBMS_AUDIT_MGMT.SET_AUDIT_TRAIL_LOCATION können Sie dies tun.

Umstellung

1. Wie wechsele ich vom herkömmlichen Audit zum Unified Auditing?

Der Übergang ist in den meisten Fällen einfach. Befolgen Sie die folgenden Schritte:

  • Nutzen Sie die stets aktiven Funktionen Ihrer Datenbank.
  • Nutzen Sie die vordefinierten Policys Ihrer Datenbank.
  • Stellen Sie sicher, dass vordefinierte Policys wie ORA_SECURECONFIG, ORA_LOGIN_LOGOUT aktiviert sind.
  • Definieren und aktivieren Sie entsprechende Unified Audit-Policys für benutzerdefinierte traditionelle Audit-Einstellungen, sofern diese vorhanden sind. Beziehen Sie sich bei Bedarf auf MOS 2909718.1 für das Konvertierungstool.
  • Deaktivieren Sie das traditionelle Auditing mit NOAUDIT.
  • Setzen Sie AUDIT_TRAIL=None und AUDIT_SYS_OPERATIONS =False.

Konfigurationen

1. Was sind die empfohlenen Best Practices für die Konfiguration von Unified-Auditing-Policys?

Erstellen Sie gezielte und effektive Audit-Policys, indem Sie Ihre Audit-Konfiguration auf drei Schwerpunkte ausrichten: Aktivitäten privilegierter Benutzer, sicherheitsrelevante Ereignisse und den Zugriff auf sensible Daten. Weitere Informationen finden Sie unter Oracle Database Unified Audit: Best Practice Guidelines.

2. Gibt es Oracle LiveLabs, um Unified Auditing zu erlernen?

Ja, dieses LiveLab hilft Ihnen, die Konfiguration und Nutzung von Unified Auditing in nur 30 Minuten zu verstehen.

Integrität

1. Sind die Daten von Unified Auditing manipulationssicher?

Unified Auditing bietet ein hohes Maß an Integrität des Audittrails, da Benutzer diesen nicht manipulieren können. Der Audittrail wird im Schema AUDSYS gespeichert, auf das sich niemand in der Datenbank anmelden darf. AUD$UNIFIED ist eine spezielle Tabelle, die ausschließlich INSERT-Vorgänge zulässt. Jeder Versuch, den Inhalt der Tabelle AUD$UNIFIED direkt zu löschen, zu kürzen oder zu ändern, schlägt fehl und erzeugt einen zusätzlichen Audit-Eintrag. Die Verwaltung der Audit-Daten erfolgt über das integrierte Paket DBMS_AUDIT_MGMT.

2. Kann ich verhindern, dass DBAs oder privilegierte Benutzer die Unified Audit-Protokolle manipulieren?

Die Daten des Unified Auditing werden sicher gespeichert und können nicht verändert werden. Es wird empfohlen, die Rollen AUDIT_ADMIN und AUDIT_VIEWER ausschließlich speziell geschultem Sicherheitspersonal zuzuweisen – nicht den DBAs. Für eine noch stärkere Durchsetzung von Betriebskontrollen und Zugriffsbeschränkungen sollte Oracle Database Vault verwendet werden.

3. Sind die Audit-Daten verschlüsselt?

Audit-Daten in der Datenbank sind standardmäßig nicht verschlüsselt. Sie können jedoch Transparent Data Encryption (TDE) für den Tablespace aktivieren, in dem die Audit-Daten gespeichert werden.

Verwenden Sie zudem Netzwerkverschlüsselung (SSL/TLS), um Audit-Daten während der Übertragung zu schützen.