Les répertoires de destination des fichiers d'audit pour une instance ASM peuvent croître pour contenir un très grand nombre de fichiers s'ils ne sont pas régulièrement mis à jour. Le fait d'avoir un très grand nombre de fichiers peut entraîner un manque d'espace disque libre ou d'inodes dans le système de fichiers, ou peut entraîner un fonctionnement très lent d'Oracle en raison des limites de mise à l'échelle du répertoire du système de fichiers, ce qui peut donner l'impression que l'instance ASM est suspendue. démarrage.
Cet article explique comment utiliser la fonction Linux syslog pour gérer les enregistrements d'audit ASM afin que les enregistrements d'audit ASM soient enregistrés par la fonction syslog du système d'exploitation au lieu de fichiers individuels dans audit_dump_dest répertoire.
Ces étapes doivent être effectuées pour l'instance ASM sur chaque serveur de base de données. Ce document explique comment gérer les enregistrements d'audit pour les instances ASM uniquement.
Configuration
Ces étapes doivent être effectuées pour l'instance ASM sur chaque serveur de base de données.
Étape 1 – Définir les paramètres d'initialisation ASM AUDIT_SYSLOG_LEVEL et AUDIT_SYS_OPERATIONS
Dans le fichier d'initialisation ASM, définissez les paramètres AUDIT_SYSLOG_LEVEL et AUDIT_SYS_OPERATIONS sur les valeurs suivantes :
AUDIT_SYSLOG_LEVEL='local0.info' AUDIT_SYS_OPERATIONS=TRUE
Étape 2 - Configurer /etc/syslog.conf pour l'audit ASM
Configurer le fichier de configuration syslog /etc/syslog.conf ou /etc/rsyslog.conf pour l'audit ASM en apportant les deux modifications suivantes :
1. Ajoutez la ligne suivante dans /etc/syslog.conf ou /etc/rsyslog.conf
local0.info /var/log/asmaudit.log
2. À la ligne qui configure la journalisation pour /var/log/messages dans /etc/syslog.conf, ajoutez local0.none. Par exemple :
*.info;mail.none;authpriv.none;cron.none;local0.none /var/log/messages
Étape 3 – Configurer logrotate pour gérer les fichiers journaux syslog
L'utilitaire Linux logrotate est utilisé pour gérer la taille et le nombre de fichiers journaux syslog pour l'audit ASM. Créez le fichier /etc/logrotate.d/asmaudit avec le contenu suivant :
# vi /etc/logrotate.d/asmaudit
/var/log/asmaudit.log {
weekly
rotate 4
compress
copytruncate
delaycompress
notifempty
} Étape 4 :Redémarrer les instances ASM et le service syslog
Les instances ASM et le service syslog doivent être redémarrés pour que les modifications prennent effet. Une instance ASM est redémarrée en arrêtant et en démarrant l'infrastructure de grille à l'aide des commandes « crsctl stop » et « crsctl start ». Cette action nécessite l'arrêt des instances de base de données.
# GRID_HOME/grid/bin/crsctl stop cluster # GRID_HOME/grid/bin/crsctl start cluster
Pour redémarrer le service syslog, exécutez la commande "service syslog restart":
# service syslog restart Shutting down kernel logger: [ OK ] Shutting down system logger: [ OK ] Starting system logger: [ OK ] Starting kernel logger: [ OK ]
Étape 5 – Vérifier que les enregistrements d'audit ASM sont créés dans /var/log/asmaudit.log
Vérifiez qu'une connexion privilégiée à ASM (par exemple, une connexion SYSDBA ou SYSASM) entraîne une entrée créée dans /var/log/asmaudit.log semblable à ce qui suit :
Oracle Audit[8738]: LENGTH : '142' ACTION :[7] 'CONNECT' DATABASE USER:[1] '/' PRIVILEGE :[6] 'SYSDBA' CLIENT USER:[5] 'oracle' CLIENT TERMINAL:[0] '' STATUS:[1] '0' DBID:[0]
Dépannage
Si les enregistrements d'audit syslog sont enregistrés dans /var/log/messages, assurez-vous que /etc/syslog.conf a été correctement configuré pour ajouter "local0.none" à l'entrée /var/log/messages.