Pister une action malveillante

**devkais** · 22/06/2013, 10h42

bonjour
j'ai eu un sacré problème ce vendredi.
les chefs me demandent de faire un audit suite à :
1-suppression d'une table T1 : drop ?
2-suppression du contenu d'une autre table de paramétrage T2 probablement par un delete ou truncate ...: table vide !

L'audit doit préciser dans les 2 cas :

-l'ordre sql qui a été passé en base .
-l'heure et jour exacts.
-l'utilisateur.
- depuis quel poste et outil utilisé.

j'ai regardé désespérément dans le fichier alert.log : rien.

merci infiniment pour votre aide précieuse.

**Heaven93** · 23/06/2013, 01h50

l'audit n'est pas fait a posteriori. il doit être déjà être en place; tu l'as activé? et à quel degré de finesse? une option FGA peut-être? un trigger qui consigne certaines actions dans une table?
ce genre d'action n'est pas loggué dans l'alert.log.
recense les besoins en audit et mets le en place.
sinon, tu peux essayer de faire des recoupements entre les users qui ont les droits pour faire un drop table sur le une table de ce schema (propriétaire ou user qui aurait des droits drop de manière détournée), avec les sessions actives à ce moment.
sinon, il reste l'interrogatoire des potentiels suspects

plus sérieusement, l'intégrité des données est importante. et à réfléchir en amont

**devkais** · 23/06/2013, 08h27

merci pour votre réponse.
puis je utiliser logminer dans cette "enquête" ?
autres pistes ?
l'audit n'est pas activé.
Pas de trigger pour tracer non plus...

**Pomalaix** · 23/06/2013, 13h12

Envoyé par devkais

...puis je utiliser logminer dans cette "enquête" ?..

Oui !

**devkais** · 24/06/2013, 09h11

avec une base en mode NOARCHIVELOG à suoi ça sert d' utiliser logminer ?

**pachot** · 24/06/2013, 10h22

Envoyé par devkais

avec une base en mode NOARCHIVELOG à suoi ça sert d' utiliser logminer ?

Ce sera utile seulement si les online redo logs ont toujours les log de vendredi. Donc peu de chances.

**Pomalaix** · 24/06/2013, 13h26

Envoyé par devkais

avec une base en mode NOARCHIVELOG à suoi ça sert d' utiliser logminer ?

La question serait plutôt : à quoi ça sert d'avoir une base qui n'est pas en mode ARCHIVELOG...

**devkais** · 25/06/2013, 07h45

merci pour votre aide.
en résumé vu le contexte ,l'action à auditer n'est pas traçable...
et ce qu'on me demande n'est pas faisable.
j'ai passé mon lundi à chercher dans tous les sens sans résultats...
merci.

Pister une action malveillante

Oracle

Discussions similaires

Partager

Partager