8i会有默认的数据库审计吗？

yangtingkun

想找到问题其实并不难。

你随便找一天的aud文件，记录里面的内容，检查是否都是记录SYSDBA权限登陆系统的。
如果都是这种情况，那么你应该检查应用程序并控制数据库sys的密码以及操作系统上oracle和root的密码。

flyingknife

1G的空间，好象有点说不过去呀。

keich

是呀是呀，文件增长的太快了。几个小时就6M了（我删除了旧的文件）
查了一下show parameter sql_trace参数确实是false。
下面是其中的四个文档，是已经删除后的文档
－－－－－－－－－－－－－－－－－－－－－－
-rw-r-----   1 oracle   dba          674 Jan  6 13:31 ora_3052.aud
-rw-r-----   1 oracle   dba          675 Jan  6 13:31 ora_3038.aud
-rw-r-----   1 oracle   dba          674 Jan  6 13:33 ora_3165.aud
-rw-r-----   1 oracle   dba          675 Jan  6 13:33 ora_3151.aud

$ cat ora_3151.aud
Audit file /export/home1/oracle/app/oracle/product/816/rdbms/audit/ora_3151.aud
Oracle8i Enterprise Edition Release 8.1.6.1.0 - 64bit Production
With the Partitioning option
JServer Release 8.1.6.1.0 - 64bit Production
ORACLE_HOME = /export/home1/oracle/app/oracle/product/816
System name:    SunOS
Node name:      
Release:        5.8
Version:        
Machine:        sun4u
Instance name: 隐藏
Redo thread mounted by this instance: 1
Oracle process number: 0
3151

Thu Jan  6 13:33:31 2005
ACTION : 'connect internal' OSPRIV : DBA
CLIENT USER: oracle
CLIENT TERMINAL:

Thu Jan  6 13:33:31 2005
ACTION : 'connect internal' OSPRIV : DBA
CLIENT USER: oracle
CLIENT TERMINAL:

$ cat ora_3165.aud
Audit file /export/home1/oracle/app/oracle/product/816/rdbms/audit/ora_3165.aud
Oracle8i Enterprise Edition Release 8.1.6.1.0 - 64bit Production
With the Partitioning option
JServer Release 8.1.6.1.0 - 64bit Production
ORACLE_HOME = /export/home1/oracle/app/oracle/product/816
System name:    SunOS
Node name:      
Release:        5.8
Version:        
Machine:        sun4u
Instance name: 隐藏
Redo thread mounted by this instance: 1
Oracle process number: 0
3165

Thu Jan  6 13:33:31 2005
ACTION : 'connect internal' OSPRIV : DBA
CLIENT USER: oracle
CLIENT TERMINAL:

Thu Jan  6 13:33:31 2005
ACTION : 'connect internal' OSPRIV : DBA
CLIENT USER: oracle
CLIENT TERMINAL:

$ cat ora_3038.aud
Audit file /export/home1/oracle/app/oracle/product/816/rdbms/audit/ora_3038.aud
Oracle8i Enterprise Edition Release 8.1.6.1.0 - 64bit Production
With the Partitioning option
JServer Release 8.1.6.1.0 - 64bit Production
ORACLE_HOME = /export/home1/oracle/app/oracle/product/816
System name:    SunOS
Node name:      
Release:        5.8
Version:        
Machine:        sun4u
Instance name: 隐藏
Redo thread mounted by this instance: 1
Oracle process number: 0
3038

Thu Jan  6 13:31:30 2005
ACTION : 'connect internal' OSPRIV : DBA
CLIENT USER: oracle
CLIENT TERMINAL:

Thu Jan  6 13:31:30 2005
ACTION : 'connect internal' OSPRIV : DBA
CLIENT USER: oracle
CLIENT TERMINAL:

$ cat ora_3052.aud
Audit file /export/home1/oracle/app/oracle/product/816/rdbms/audit/ora_3052.aud
Oracle8i Enterprise Edition Release 8.1.6.1.0 - 64bit Production
With the Partitioning option
JServer Release 8.1.6.1.0 - 64bit Production
ORACLE_HOME = /export/home1/oracle/app/oracle/product/816
System name:    SunOS
Node name:      
Release:        5.8
Version:        
Machine:        sun4u
Instance name: 前面隐藏的sid假设为A这个SID＝b
Redo thread mounted by this instance: 1
Oracle process number: 0
3052

Thu Jan  6 13:31:30 2005
ACTION : 'connect internal' OSPRIV : DBA
CLIENT USER: oracle
CLIENT TERMINAL:

Thu Jan  6 13:31:30 2005
ACTION : 'connect internal' OSPRIV : DBA
CLIENT USER: oracle
CLIENT TERMINAL:
不好意思这里删除空格看起来比较累，海涵了。

keich

还有就是在已经移出的文件中，每个文件不但记录当时的登陆记录还记录以前的甚是试2002年的登陆记录。观察了一下感觉这些登陆记录并不准确。经常在变

oracle-plus

經常有用internal來登陸的？奇怪！
沒有病毒？或者其它應用？

yangtingkun

检查你的系统为什么有那么多采用INTERNAL连接的进程

是应用程序、备份软件还是操作系统上定时执行的脚本

keich

我的教本最高也是sys用户登陆也不是internal用户。问题如果是正常的用户没事拿internal用户登陆干什么？没有意义呀也。而且这块也是空的为什么呢CLIENT TERMINAL: ？要是查的化我还真不知道怎么下手呢，打开审计功能？

yangtingkun

sys登陆就会记录audit的。

keich

打算打开audit session和audit connect两个审计功能跟踪一下。

keich

sys用户登陆会记录在默认audit吗？我试验了一下好像不会。至少没有sysdba权限。