Пт Ноя 30, 2007 17:12  Собственный Аудит: «за» и «против»
Полезность: 1
А давайте-ка обсудим вот какую вещь.
Я знаю, что все без исключения довольны встроенным в IBSO аудитом. Ну, по крайней мере, мы. Когда надо - ничего не найдешь, либо в ответственный момент обнаруживается, что протоколирование в этой ситуации не включено (by design).
Так вот. Решил я попробовать на тестовой схеме реализовать "классический аудит", триггеры на ВСЕ таблицы, образы ВСЕХ таблиц в пространстве собственного аудита ну и т.д.
Нарушил ли я лицензионные соглашения? Какой подводный камень ожидает меня в ближайшем будущем?
Из вкусностей. Получил интересную картину внутренней кухни IBSO, могу рассказать: кто, что и когда "сломал" в базе ну и т.д. _________________ IT-Команда предлагает свои услуги:
http://www.cftclub.ru/viewtopic.php?t=909
Вс Дек 02, 2007 19:50  Re: Собственный Аудит: «за» и «против»
Полезность: Нет оценки
AlexV пишет:
Так вот. Решил я попробовать на тестовой схеме реализовать "классический аудит", триггеры на ВСЕ таблицы, образы ВСЕХ таблиц в пространстве собственного аудита ну и т.д.
А можно узнать поподробнее что такое "классический аудит" ?
Знаю аудит от Oracle, где можно отслеживать то или иное событие .. оно и есть классическое ?
Из камней - большой объем данных.
И желательно отключать при накате обновлений от ЦФТ _________________ shutdown abort;
shutdowning database in progress ...
Есть таблица: Table1.
Для нее создается образ AUD$Table1 = Table1 + (несколько служебных столбцов: время, пользователь, операция 'I', 'U', 'D' и т.д.)
На Table1 вешается AFTER триггер, который заносит в AUD$Table1:new или :old значения в зависимости от INSERT, UPDATE, DELETE.
Объем данных в AUD$... не так значителен, как ожидалось. Может потому, что схема оказалась тестовой?
Тем более, если применить такую схему в "боевом" режиме, то можно по ночам из таблиц AUD$... средствами exp выгружать значения и чистить (за определенные периоды).
Наконец, "курить" выгруженный лог в *.csv можно через Far, Excel и прочие любимые инструменты. _________________ IT-Команда предлагает свои услуги:
http://www.cftclub.ru/viewtopic.php?t=909
Понятно.
Все хорошо до поры до времени.
Я просто постоянно переношу на то, что сейчас имею.
У меня логов (архивных журналов) в сутки примерно 100-150 гигов.
Даже если часть будет сохранятся, то .. кххх .. много получится, однако
Камни такие
1. Делать образы не в табличном простраснстве System.
2. Появление тормозов при активной работе пользователей. Все зависит на каких объектах и какой аудит.
3. Желательно сделать nologging на данных таблицах.
4. По отчетам статпака посмотреть не появились ли данные таблицы, либо sql в топах. И из этого исходить.
5. Появление лишней работы админу
6. После того как безопасность прознает про данный аудит, его придется постоянно поддерживать, сохранять в течение лет так пяти. И подготавливать им отчеты. _________________ shutdown abort;
shutdowning database in progress ...
1. Делать образы не в табличном простраснстве System.
Ну, дык. Разумеется! В другом ТБС, на другом диске.
2. Появление тормозов при активной работе пользователей. Все зависит на каких объектах и какой аудит.
ЗачОт! В принципе, можно подобрать необходимый для спокойной жизни набор аудируемых таблиц.
3. Желательно сделать nologging на данных таблицах.
Абизательнада!
4. По отчетам статпака посмотреть не появились ли данные таблицы, либо sql в топах. И из этого исходить.
Не думаю, что они там появятся! В них идут только INSERT-ы от DML-ев.
Увеличится и так нехилый объем арклогов. Это да. Но, я думаю, окупится при случае.
5. Появление лишней работы админу.
Зависит от прямизны драйверов руки.sys
Однажды все грамотно настроить и чувствовать потом спокойствие от подконтрольности ситуации.
6. После того как безопасность прознает про данный аудит, его придется постоянно поддерживать, сохранять в течение лет так пяти. И подготавливать им отчеты.
Хай будут лучше выкуривать такие логи и отчеты, нежели имеют МозК вопросами по АРМ-у "Ревизор"!
Открытым остается вопрос нарушения лицензионной политики. Таким образом же, модифицируется (дополняется) ТЯ! _________________ IT-Команда предлагает свои услуги:
http://www.cftclub.ru/viewtopic.php?t=909
2. Появление тормозов при активной работе пользователей. Все зависит на каких объектах и какой аудит.
ЗачОт! В принципе, можно подобрать необходимый для спокойной жизни набор аудируемых таблиц.
Очень-очень хорошо подумать.
4. По отчетам статпака посмотреть не появились ли данные таблицы, либо sql в топах. И из этого исходить.
Не думаю, что они там появятся! В них идут только INSERT-ы от DML-ев.
Увеличится и так нехилый объем арклогов. Это да. Но, я думаю, окупится при случае.
Не согласен.
1. Всегда было то что дисковой системы не хватало.
2. Вставка-то вставка, но если диск один или шина данных, то .... падение и так не быстрой дисковой системы.
3. Секция допустим статпака "Top 20 ITL Waits per Segment for DB"
4. Пошли дальше. Бич ИБСО, да и любой базы - это ожидание "latch free" У меня допустим KgL_latch выкручен. Изначально латчей в больших систмах не хватает, а тут с относительно нехилым выполнением операций связанных с аудитом ... Latch free смотрите когда прикрутите аудит.
Однажды все грамотно настроить и чувствовать потом спокойствие от подконтрольности ситуации.
Немного не согласен Всегда бывает мало .. сначало один отчет .. потом второй .. потов выгрузка в excel, а потом хочу чтобы по почте
Хай будут лучше выкуривать такие логи и отчеты, нежели имеют МозК вопросами по АРМ-у "Ревизор"!
Man Ревизор
Насчет лицензионной политики.
Я сомневаюсь. Настраивать аудит - ваше дело. И как вы его реализует - ваше дело.
Вы собираете дополнительную инфу - что, где, когда.
Ведь написание дополнительного отчета - это не нарушение лицензии.
Я спрошу у своих знакомых в ЦФТ. _________________ shutdown abort;
shutdowning database in progress ...
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах
Домен cftclub.ru не связан с ЗАО "Центр Финансовых Технологий" и ни в коей мере не нарушает авторских и иных прав
Владелец может не разделять мнения Участников и не несет ответственности за их публикации
Powered by phpBB