Oracle Audit Vault nach einem Jahr Sven Vetter Technology Manager Principal Consultant, Partner Sven.Vetter@trivadis.com Nürnberg, Dezember 2008 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg München Stuttgart Wien Agenda Übersicht und Komponenten Installation und Konfiguration Microsoft SQL Connector Daten sind immer im Spiel. Weitere Neuigkeiten Fazit Oracle Audit Vault 2 1
Übersicht (1) Zentrales Auditing wird immer interessanter - zum Teil gefordert durch Regularien wie SOX, Basel II, PCI, Genau in diese Richtung geht Oracles Audit Vault In einer zentraler Oracle Datenbank werden Auditeinträge verschiedener Quellen gesammelt Aus einem Warehouse sind die Daten abfragbar (z.b. durch BO) Für Auswertungen stehen über eine Weboberfläche b (ähnlich h Oracle Enterprise Manager) komfortable Reports zur Verfügung Alarme können definiert werden, um bei aussergewöhnlichen Ereignissen schnell informiert zu werden Oracle Audit Vault 3 Übersicht (2) Audit Vault ist jetzt ca. ein Jahr verfügbar Inzwischen gibt es einige Erweiterungen in neuen Patchsets Mein Vortrag beinhaltet die Neuerungen der Version 10.2.3.0 Doch zuerst nochmals ein kurzer Überblick Oracle Audit Vault 4 2
Komponenten Folgende Komponenten werden benötigt: Audit Vault ltagent Audit Vault Server zu überwachende zu überwachende Datenbank Datenbank Source DBAUD Collector OSAUD Collector REDO Collector Data Collection Warehouse Reports Alerts Management Security MSSQL Collector Reporting Alerts Management Oracle Audit Vault 5 Audit Vault Agent Separat zu installierenden Software-Komponente Kann auf dem Audit Vault Server oder auf beliebigem anderen Server installiert werden Kann Datenbanken auf beliebigen (auch entfernten) Servern überwachen Sollen OS-Events überwacht werden, muss der Agent zwingend auf dem Host installiert sein, wo die Events anfallen Oracle empfiehlt, den Agent auf dem jeweiligen Datenbankhost zu installieren Agent sammelt Daten nahezu realtime Wenn Agent nicht auf gleicher Maschine wie DB, können Audit-Daten leichter manipuliert werden Oracle Audit Vault 6 3
Source Logische Komponente, fasst die Zugangsdaten zu einer Datenbank zusammen Username/Passwort werden nicht in XML-Dateien abgelegt, sondern in einem "Secure External Password Store" Aus diesem ist es aber möglich, dass Datenbank-Passwort im Klartext zu extrahieren, wenn das Wallet-Passwort bekannt ist! mkstore -wrl $ORACLE_HOME/network/admin/avwallet/ \ -viewentry oracle.security.client.password1 client Enter password: oracle.security.client.password1 = manager_1 Oracle Audit Vault 7 Collectors Sammeln effektiv die Daten 4 unterschiedliche Collectors: DBAUD Collector Sammelt Auditing-Events aus der Datenbank (Standard Auditing, Fine Grained Auditing) OSAUD Collector Sammelt Audit Events aus den Audit Files der Datenbank (z.b. SYS Operation) REDO Collector Sammelt per LogMiner DML- oder DDL-Änderungen direkt aus den Redo Logs (nur für Datenbanken in der Version 9.2.0.8 und >=10.2.0.3) MSSQL Collector (neu) Sammelt Daten aus Microsoft SQL Servern (Version 2000 und 2005) Oracle Audit Vault 8 4
Audit Vault Server Nimmt die Daten der Agents entgegen und legt diese im zentralen Warehouse ab Stellt Weboberfläche für Administration, Reporting und Alarmierung zur Verfügung Auf Warehouse kann auch durch andere Reporting-Tools (z.b. BO zugegriffen werden) Oracle Audit Vault 9 Agenda Übersicht und Komponenten Installation und Konfiguration Microsoft SQL Connector Daten sind immer im Spiel. Weitere Neuigkeiten Fazit Oracle Audit Vault 10 5
Installation (1) 10.2.3.0 ist nicht nur ein Patchset, ist eine komplette Installation Wird beim Starten des Installers eine existierende Version entdeckt, wird ein Upgrade angeboten Neu kann zwischen Basic und Advanced Installation gewählt werden. Im Advanced Mode stehen einige wenige Auswahlmöglichkeiten (Benutzer) mehr zur Verfügung Ich habe mich für eine Neuinstallation im Advanced Mode entschieden Achtung: Audit Vault darf nicht in einem Pfad installiert werden, der ein "-" enthält! Also nicht "/u00/app/oracle/product/av-10.2.3" Oracle Audit Vault 11 Installation (2) Auswahl der Installations-Optionen: Oracle Audit Vault 12 6
Installation (2) Installation von Audit Vault Server und Agents ist mit dem bekannten Oracle Universal Installer kein Problem Im Vorfeld sollte man sich aber Gedanken über die Aufgabenverteilung und -trennung ("Separation of duties") machen, da in der Datenbank vier zusätzliche Accounts angelegt werden können: Audit Vault Administrator Audit Vault Auditor Database Vault Owner Database Vault Account Manager Nur wenn dieses System verstanden und durchgesetzt wird, wird sichergestellt, dass nicht eine Person allein Auditdaten verändern kann! Oracle Audit Vault 13 Installation Nacharbeit Datenbank Weiterhin wird nur ein Verzeichnis für die Speicherung der Datenfiles abgefragt, d.h. Alle Files (Datenfiles, RedoLogs, Controlfiles) sind in diesem einen Verzeichnis RedoLogs sind immer noch nicht gespiegelt Controlfiles zwar gespiegelt, aber alle 3 im gleichen Verzeichnis Ansonsten wird die Datenbank vollkommen automatisch angelegt Weitere Nacharbeit: RedoLogs umbebennen (redo01.log) flash_recovery_area verschieben (ist unter $ORACLE_BASE) Archive Logs verschieben (sind in flash_recovery_area) Das gesamte Datawarehouse befindet sich im Tablespaces SYSAUX Oracle Audit Vault 14 7
Konfiguration (1) Wichtig während der gesamten Konfiguration ist, dass TNS_ADMIN nicht gesetzt ist Zu beachten ist ausserdem, dass die meisten Aufrufe aus dem OracleHome des Audit Vault Servers gemacht werden, aber einzelne auch aus dem Agent-Home Bei der Installation der Source wird auf der Zieldatenbank ein neuer User angelegt Dieser hat je nach Collector-Art DBA-Rechte (Redo) oder zumindest RESOURCE (DBAUD, OSAUD) Oracle Audit Vault 15 Konfiguration (2) Ebenfalls ist zu beachten, dass für jede Datenbank der voll qualifizierte Servicenamen angegeben werden muss, nicht die SID Ein Beispiel: Redo Collector anlegen avorcldb add_collector -srcname DB1020.TTC.TRIVADIS.COM \ -agentname agent2 \ -colltype REDO pandora01.ttc.trivadis.com:1521:audvault.ttc.trivadis.com... Konfiguration der Agents und der Kollektoren wurde verbessert Es z.b. nicht mehr notwendig, an diversen Stellen das Passwort im Klartext auf der Befehlszeile einzugeben Oracle Audit Vault 16 8
Auditdefinition (1) Standardmässig werden keine Auditereignisse von Audit Vault gesammelt Diese müssen pro Datenbank zuerst definiert werden Um die Arbeit etwas zu erleichtern, können die Auditdefinitionen einer Datenbank auf eine andere kopiert werden Im Managementinterface werden diese Informationen komfortabel verwaltet Oracle Audit Vault 17 Auditdefinition (2) Zuerst müssen die aktuellen Definitionen empfangen werden: Oracle Audit Vault 18 9
Auditdefinition (3) Danach werden die zu überwachenden Ereignisse innerhalb Audit Vault definiert: Oracle Audit Vault 19 Agenda Übersicht und Komponenten Installation und Konfiguration Microsoft SQL Connector Daten sind immer im Spiel. Weitere Neuigkeiten Fazit Oracle Audit Vault 20 10
MS SQL Connector (1) Die sicherlich grösste Neuerung ist die Möglichkeit des zentralen Auditings auch für Microsoft SQL Server Datenbanken (aber nur für Versionen 2000 und 2005) Folgende Log-Typen können gesammelt werden: C2 audit logs Server-side trace logs Windows Event log Oracle Audit Vault 21 MS SQL Connector (2) Agent sollte auf dem Datenbank-Server laufen, zumindest aber auf einem Windows System Laut Dokumentation kann auch über NFS- oder Samba-Mount von Linux/Unix auf die Tracefiles zugegriffen werden Mir ist das aber nie gelungen. In den Logfiles des Agents entdeckte ich dann Fehlermeldungen wie z.b.: Thread-14 FINE: C2 Trace file path in config is null Thread-14 FINE: Server Trace file path in config is null Event Log Reader is only supported on Microsoft Windows platforms Nach Installation des Agents auf dem Datenbankserver wurden die Daten ohne Fehler sofort gesammelt Oracle Audit Vault 22 11
MS SQL Connector (3) Übersicht der Ereignisse einer SQL-Server 2005 Datenbank Oracle Audit Vault 23 MS SQL Connector (4) Detailanzeige Oracle Audit Vault 24 12
Agenda Übersicht und Komponenten Installation und Konfiguration Microsoft SQL Connector Daten sind immer im Spiel. Weitere Neuigkeiten Fazit Oracle Audit Vault 25 Weitere Neuigkeiten (1) Neben "netten" Kleinigkeiten wie der Neugestaltung der Report- Auswahlseite sind auch funktionell wichtige Erweiterungen dazu gekommen: Mehr und bessere Filtermöglichkeiten Highlighting von Events Sortierung von Events Erzeugen von Charts Oracle Audit Vault 26 13
Weitere Neuigkeiten (2) Neues Layout der Einsiegsseite Oracle Audit Vault 27 Weitere Neuigkeiten (3) Bessere Filtermöglichkeiten Oracle Audit Vault 28 14
Weitere Neuigkeiten (4) Bessere Anzeigemöglichkeiten durch Highlighting Oracle Audit Vault 29 Weitere Neuigkeiten (5) Bessere Anzeigemöglichkeiten durch Charts Oracle Audit Vault 30 15
Agenda Übersicht und Komponenten Installation und Konfiguration Microsoft SQL Connector Daten sind immer im Spiel. Weitere Neuigkeiten Fazit Oracle Audit Vault 31 Ausblick Nächstes Patchset 10.2.4 ist für Ende Jahr geplant mit folgenden Erweiterungen: Connectors für weitere Oracle Produkte Connectors für Sybase und DB/2 Software Development Kit (SDK) für eigene Auditanbindung per Java und C Löschen von Auditdaten (im Moment wird nur Warehouse gelöscht, nicht aber die Rohdaten und die Daten aus den Source-Datenbanken) Oracle Audit Vault 32 16
Fazit Einige Nacharbeit nach der Installation ist weiterhin notwendig, um Umgebung produktionsreif zu machen Ansonsten ist Oracle Audit Vault durchaus brauchbar erweitert in dieser Version auch für das Auditing von Oracle Datenbanken der Version 11 und für MS SQL Server Diverse kritische Bugs wurden in dieser Version behoben Nicht immer ganz einfach gestalten sich die Installation und die Konfiguration. Aber wir stehen ihnen gern mit unseren gesammelten Erfahrungen zur Verfügung! Oracle Audit Vault 33 Vielen Dank!? www.trivadis.com Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg München Stuttgart Wien 17