[20191128]11GR2 asm实例audit文件.txt

--//例行检查,我发现asm实例产生大量audit文件,一直没有清理.感觉oracle在这方面设计不好.

# cd /u01/app/11.2.0/grid/rdbms/audit
$ ls -ltr | grep "2019-11-28" | awk '{print $6,$7}' | xargs -I{} date -d "{}" "+%Y-%m-%d:%T %s" |  awk 'NR==1 {a=$1;b=$2} NR>1 {print $1,"-",a,$2-b;a=$1;b=$2}'  | tail
2019-11-28:08:23:19 - 2019-11-28:08:08:18 901
2019-11-28:08:38:20 - 2019-11-28:08:23:19 901
2019-11-28:08:53:20 - 2019-11-28:08:38:20 900
2019-11-28:09:08:21 - 2019-11-28:08:53:20 901
2019-11-28:09:23:22 - 2019-11-28:09:08:21 901
2019-11-28:09:38:23 - 2019-11-28:09:23:22 901
2019-11-28:09:53:24 - 2019-11-28:09:38:23 901
2019-11-28:10:08:25 - 2019-11-28:09:53:24 901
2019-11-28:10:23:26 - 2019-11-28:10:08:25 901
2019-11-28:10:38:27 - 2019-11-28:10:23:26 901
--//很明显15分钟产生1个audit文件.
--//注意我定义ls显示时间部分与别人的系统不同,我喜欢显示的格式如下.
$ alias ls
alias ls='ls --color=auto --time-style=+"%Y-%m-%d %H:%M:%S"'

--//如果按照这个规律一天大约1440/15 = 96.不过我也遇到一些奇怪的情况:
--//先清除2016年之前的文件,不然ls -ltr感觉有点慢.

$ ls -ltr | grep "2017-01" | awk '{print $6}' | sort | uniq -c
     99 2017-01-01
     98 2017-01-02
     65 2017-01-03
     59 2017-01-09
     98 2017-01-10
     99 2017-01-11
     98 2017-01-12
    165 2017-01-13
     99 2017-01-14
     96 2017-01-15
    110 2017-01-16
    100 2017-01-17
    112 2017-01-18
    108 2017-01-19
     83 2017-01-23
     96 2017-01-24
     96 2017-01-25
     96 2017-01-26
     96 2017-01-27
     96 2017-01-28
     96 2017-01-29
     96 2017-01-30
     96 2017-01-31
--//没有2017-01-04 到  2017-01-08号的audit.

$ ls -ltr | grep "2017-11" | awk '{print $6}' | sort | uniq -c  | head
     98 2017-11-01
     86 2017-11-02
      5 2017-11-03
      5 2017-11-04
      3 2017-11-05
      3 2017-11-06
      4 2017-11-07
      1 2017-11-08
      7 2017-11-09
      1 2017-11-10
--//2017.11.03 号减少许多.oracle这个版本产生的文件是进程号+时间戳的,不可能出现重名情况.
$ ls -ltr | grep "2017-11-03"
-rw-r----- 1 grid oinstall 750 2017-11-03 10:52:09 +ASM1_ora_8436_20171103105209597022143795.aud
-rw-r----- 1 grid oinstall 752 2017-11-03 11:02:10 +ASM1_ora_20672_20171103110210032622143795.aud
-rw-r----- 1 grid oinstall 752 2017-11-03 14:52:18 +ASM1_ora_31213_20171103145218987768143795.aud
-rw-r----- 1 grid oinstall 752 2017-11-03 20:02:32 +ASM1_ora_22418_20171103200232746081143795.aud
-rw-r----- 1 grid oinstall 750 2017-11-03 22:02:37 +ASM1_ora_9347_20171103220237811439143795.aud
..
--//继续1个月1个月查询..

$ ls -ltr | grep "2018-05-" | awk '{print $6}' | sort | uniq -c  | head -13
      1 2018-05-01
      2 2018-05-02
      3 2018-05-03
      3 2018-05-04
      4 2018-05-05
      1 2018-05-06
      2 2018-05-07
      1 2018-05-08
      6 2018-05-09
     53 2018-05-10
     97 2018-05-11
     97 2018-05-12
     96 2018-05-13
--//奇怪到2018-05-10有开始回复一天96个的情况.不知道什么原因激活这样的操作.
--//观察另外1个实例:
# ls -ltr | grep "2017-01" | awk '{print $6}' | sort | uniq -c
      1 2017-01-01
     21 2017-01-03
     17 2017-01-09
      1 2017-01-11
     73 2017-01-13
      1 2017-01-14
      2 2017-01-15
     27 2017-01-16
      7 2017-01-19
     10 2017-01-23
--//另外的实例依旧没有2017-01-04 到  2017-01-08号的audit.    

# ls -ltr | grep "2017-11" | awk '{print $6}' | sort | uniq -c  | head
      5 2017-11-01
     47 2017-11-02
     96 2017-11-03
     96 2017-11-04
     95 2017-11-05
     96 2017-11-06
     96 2017-11-07
     97 2017-11-08
     97 2017-11-09
     97 2017-11-10

# ls -ltr | grep "2018-05-" | awk '{print $6}' | sort | uniq -c  | head -13
     98 2018-05-01
     97 2018-05-02
     97 2018-05-03
     96 2018-05-04
     98 2018-05-05
     97 2018-05-06
     97 2018-05-07
     95 2018-05-08
     96 2018-05-09
     68 2018-05-10
     10 2018-05-11
      3 2018-05-12
      3 2018-05-13
--//噢,跑到另外1个实例做这些操作.
--//像这样的文件命名格式不能使用logrotate清理.只能采用原始的方式:

2.建立脚本如下:

#  cat /usr/local/bin/purge_oracle_aud.sh
#! /bin/bash
# purge oracle audit log
echo
echo "start purge oracle audit asm at : " $(/bin/date +'%Y/%m/%d %T')
/usr/bin/find /u01/app/11.2.0/grid/rdbms/audit/ -mtime +90  -name "+ASM1_ora_*.aud" -print -delete
echo "end   purge oracle audit asm at : " $(/bin/date +'%Y/%m/%d %T')
echo
--//注意另外实例要修改为-name "+ASM2_ora_*.aud".

# chmod 750 /usr/local/bin/purge_oracle_aud.sh

--//crontab.d目录建立一个文件加入如下:
32 6 * * * root /usr/local/bin/purge_oracle_aud.sh >> /var/log/purge_oracle_aud.log 2>&1

--///var/log/purge_oracle_aud.log的清理由logrotate完成.
# cat   /etc/logrotate.d/oracle
/var/log/purge_oracle_aud.log
{
    size=20M
    rotate 5
    copytruncate
    compress
    notifempty
    missingok
}

3.我感到奇怪的是管理的exadata的机器竟然仅仅有2014年的audit文件,以后零星的出现几个,真不知道问题在哪里.也不知道为什么产生
  这样的情况.仔细查看才明白....

--//exadata asm实例配置参数如下:
SQL> show parameter audit
NAME                 TYPE        VALUE
-------------------- ----------- ------------------------------
audit_file_dest      string      /u01/app/11.2.0.4/grid/rdbms/audit
audit_sys_operations boolean     FALSE
audit_syslog_level   string      LOCAL0.INFO

--//噢明白了,exadate oracle的实施人员修改参数audit_syslog_level指向了LOCAL0.INFO.不过audit_sys_operations=false
--//而且实施人员并没有定义在/etc/rsyslog.conf配置参数中,有机会我给自己测试看看.

# grep -i local0 /etc/syslog.conf
# grep -i local0 /etc/rsyslog.conf
--//无显示.

--//当前有问题的系统如下:
SQL> show parameter audit
NAME                 TYPE        VALUE
-------------------- ----------- ------------------------------
audit_file_dest      string      /u01/app/11.2.0/grid/rdbms/audit
audit_sys_operations boolean     FALSE
audit_syslog_level   string

--//这部分内容参考:http://blog.itpub.net/267265/viewspace-2646161/=>[20190530]oracle Audit文件管理.txt

--//我仔细检查exadata的alert文件发现如下:
Fri Oct 10 21:23:09 2014
ALTER SYSTEM SET cluster_interconnects='10.10.10.70:10.10.10.71' SCOPE=SPFILE SID='+ASM1';
ALTER SYSTEM SET cluster_interconnects='10.10.10.72:10.10.10.73' SCOPE=SPFILE SID='+ASM2';
ALTER SYSTEM SET sga_target='2048M' SCOPE=SPFILE SID='*';
ALTER SYSTEM SET pga_aggregate_target='400M' SCOPE=SPFILE SID='*';
ALTER SYSTEM SET memory_target='0' SCOPE=SPFILE SID='*';
ALTER SYSTEM SET processes=1024 SCOPE=SPFILE SID='*';
ALTER SYSTEM SET audit_syslog_level='local0.info' SCOPE=SPFILE SID='*';
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
ALTER SYSTEM SET asm_power_limit=1 SCOPE=SPFILE SID='*';
Fri Oct 10 21:23:10 2014
ALTER SYSTEM SET memory_max_target='0' SCOPE=SPFILE SID='*';
ALTER SYSTEM RESET memory_max_target SCOPE=SPFILE SID='*';
Fri Oct 10 21:24:05 2014

--//很明显实施人员有文档执行上面的步骤,确忘记了修改/etc/rsyslog.conf或者/etc/syslog.conf配置.导致我仅仅看见2014年的audit.
--//在exadata执行以上操作:
#  grep "local0" /etc/rsyslog.conf
local0.info                                             /var/log/oracleaudit.log
daemon.*                                                /var/log/messages

# service rsyslog restart
Shutting down system logger:  [  OK  ]
Starting system logger:       [  OK  ]

--//在asm实例上登录执行如下:
SYS@+ASM1> select sysdate from dual ;

SYSDATE
---------
28-NOV-19

#  cat /var/log/oracleaudit.log
2019-11-28T16:09:29.980476+08:00 dm01dbadm01 Oracle Audit[63191]: LENGTH : '143' ACTION :[7] 'CONNECT' DATABASE USER:[1]
'/' PRIVILEGE :[6] 'SYSDBA' CLIENT USER:[6] 'oracle' CLIENT TERMINAL:[0] '' STATUS:[1] '0' DBID:[0] ''

--//仅仅看到登录,没有执行命令的审计.
--//修改/etc/logrotate.d/oracle,追加如下内容,定期清理审计,实际上这个大小足够保持很久的内容.
/var/log/oracleaudit.log {
  size=40M
  rotate 4
  copytruncate
  delaycompress
  notifempty
}