La centralisation des données d’audit est importante pour faciliter le suivi des alertes. L’audit consiste à capturer et à conserver les informations relatives aux événements survenus dans la base de données. Oracle propose quatre types de capture :
- Mandatory auditing: Il s’agit de l’audit obligatoire, activé par défaut et non désactivable.
- Standard datbase auditing: C’est le mode d’audit traditionnel (pré-Unified Auditing), basé sur des commandes SQL.
- Value-based auditing: Ce type d’audit surveille des événements en fonction des valeurs manipulées.
- Fine-grained auditing: Cet audit offre une surveillance contextuelle et granulaire, adaptée aux environnements hautement sensibles (banques, assurances, administrations…).
Solution courante
Le mode d’audit mixte est activé par défaut lors de la création de la base de données.
Inconvénients :
- Multiples emplacements de stockage (fichiers, tables, alert logs);
- Performance impactée lorsque plusieurs politiques sont activées;
- Sécurité réduite: absence de protections contre l’altération des traces collectées.
Recommandation : Activez le mode Unified Auditing
Le mode Unified Auditing permet de centraliser toutes les données d’audit dans une seule table :
UNIFIED_AUDIT_TRAIL
Pour l’activer, procédez comme suit:
SQL> SHUTDOWN IMMEDIATE
$ lsnrctl stop
$ cd $ORACLE_HOME/rdbms/lib
$ make -f ins_rdbms.mk uniaud_on ioracle
$ lsnrctl start
SQL> STARTUP
Vérification :
SQL> SELECT value FROM v$option WHERE parameter = 'Unified ✨ EN BONUS
✔ Créer un tablespace dédié aux audits : Cema évite de saturer le tablespace SYSAUX.
✔ Limiter les politiques d’audit aux événements critiques : Cela réduit l’impact sur les performances.
✔ Intégrer Oracle Audit Vault : Cela permet de centraliser et corréler les données d’audit de plusieurs bases, idéal pour les environnements multi-serveurs.
