文章目錄
- 1. 總覽
- 2. 詳情
- 3. 總覽
- 3.1. 關於Oracle數據庫的Splunk附加組件
- 3.2. Oracle數據庫Splunk附件的源類型
- 3.2.1. 審覈日誌
- 3.2.2. 統一審覈日誌
- 3.2.3. 警報日誌
- 3.2.4. 偵聽器日誌
- 3.2.5. 跟蹤日誌
- 3.2.6. 事件記錄
- 3.2.7. 庫存事件
- 3.2.8. Performance events
- 3.3. Oracle數據庫Splunk附加組件發行說明
- 3.4. Oracle數據庫Splunk附加組件的發行歷史
- 3.5. Oracle數據庫Splunk附件的硬件和軟件要求
- 3.6. 適用於Oracle數據庫的Splunk附加組件的安裝和配置概述
- 4. 安裝
- 5. 配置
- 5.1. 爲Oracle數據庫的Splunk附件配置監視器輸入
- 5.2. 爲Oracle數據庫的Splunk附件配置Splunk DB Connect v2.x輸入
- 5.3. 爲Oracle數據庫的Splunk附件配置Splunk DB Connect v3.1輸入
- 6. 排障
- 7. 參考
1. 總覽
Oracle數據庫的Splunk附加組件允許Splunk軟件管理員從Oracle數據庫服務器收集和提取數據。該插件可以通過在安裝Oracle數據庫服務器的操作系統上監視標準和細粒度的審計跟蹤,跟蹤文件,事件,警報,偵聽器以及其他日誌來直接導入數據。通過日誌文件監視和字段提取,數據庫管理員可以創建警報和儀表板,以實時跟蹤數據庫發生的錯誤,問題或事件。該插件利用Splunk DB Connect從Oracle數據庫表收集基本性能和清單數據。使用跟蹤日誌以及清單和性能指標,數據庫管理員可以關聯事件。
該插件提供了輸入和CIM兼容知識,可以將Oracle數據與其他Splunk應用程序一起使用,例如Splunk Enterprise Security,Splunk應用程序用於PCI合規性以及Splunk IT服務智能。
2. 詳情
該插件的文檔發佈在Splunk Docs中。
3. 總覽
3.1. 關於Oracle數據庫的Splunk附加組件
版本:3.7.0
支持產品:Oracle Database Server 10g/11g/12c
在Splunk Web中可見:不可見
Oracle數據庫的Splunk附加組件允許Splunk軟件管理員從Oracle數據庫服務器收集和提取數據。該插件可以通過在安裝Oracle數據庫服務器的操作系統上監視標準和細粒度的審計跟蹤,跟蹤文件,事件,警報,偵聽器以及其他日誌來直接導入數據。通過日誌文件監視和字段提取,數據庫管理員可以創建警報和儀表板,以實時跟蹤數據庫發生的錯誤,問題或事件。該插件利用Splunk DB Connect從Oracle數據庫表收集基本性能和清單數據。使用跟蹤日誌以及清單和性能指標,數據庫管理員可以關聯事件。
該插件提供了輸入和CIM兼容知識,可以將Oracle數據與其他Splunk應用程序一起使用,例如Splunk Enterprise Security,Splunk應用程序用於PCI合規性以及Splunk IT服務智能。
從 http://splunkbase.splunk.com/app/1910 下載來自Splunkbase的Oracle數據庫Splunk加載項。
在 http://answers.splunk.com/answers/app/1910 上討論有關Splunk Answers的Oracle數據庫Splunk加載項。
3.2. Oracle數據庫Splunk附件的源類型
Oracle數據庫Splunk附加組件從Oracle數據庫服務器中的不同來源收集不同的日誌和事件。附件爲每個不同的日誌或事件源分配不同的源類型。
許多Oracle日誌文件提供純文本格式或XML格式的選項。您可以選擇以這兩種格式之一配置日誌,因爲此加載項支持兩種格式的字段提取。通常,XML格式的日誌具有更多詳細信息,並且更易於解析,但可能會佔用更多OS磁盤空間。
您可以自定義Oracle中大多數日誌文件的位置和名稱。下表提供了每個日誌文件的默認位置以及在位置更改時可以運行的查詢。
下表下方提供了有關此插件支持的不同日誌和事件數據的更多信息。
https://docs.splunk.com/Documentation/AddOns/released/Oracle/Datatypes
3.2.1. 審覈日誌
Oracle審覈是監視和記錄選定的用戶數據庫操作。Oracle數據庫有兩種主要的審計類型:標準審計跟蹤和細粒度審計跟蹤。
標準審覈跟蹤審覈包括:
- 管理權限連接
- 數據庫啓動/關閉
- SQL語句
- 權限
- 計劃對象
- 網絡
細粒度的審計跟蹤審計包括:
- 針對數據庫表審覈刪除/合併/更新/查詢等操作
- 通過執行布爾條件檢查進行審覈。例如,如果在星期六訪問表,則會進行審覈。
Oracle數據庫管理員可以配置數據庫以純文本格式或XML格式編寫審覈跟蹤。加載項可以解析文本格式或XML格式的標準審覈跟蹤,但是加載項只能解析XML格式的細粒度審覈跟蹤。
當審覈跟蹤採用XML格式時,audit或AUDITTYPE字段會告知審覈記錄是標準,SYS,細粒度還是強制性審覈跟蹤。您可以通過監視審覈事件來創建Splunk警報和儀表板。例如,警報或儀表板可以顯示何時以及哪個客戶端以SYSDBA的形式連接到數據庫,失敗的操作,何時以及哪個客戶端對目標表進行了拖放/更新/選擇,發生了誰以及發生了多少登錄失敗。
由於該附件旨在監視審覈跟蹤文件,因此Oracle數據庫管理員需要配置審覈跟蹤以寫入操作系統文件系統。在Windows上,純文本審覈記錄寫入Windows Event Viewer服務,而不是保留在OS文件系統中。此版本的加載項不支持從Windows Event Viewer服務提取文件。
有關如何設置Oracle數據庫操作系統審計的更多信息,請參考Oracle數據庫安全指南10g / 11g / 12c: http://docs.oracle.com/cd/E11882_01/network.112/e36292/auditing.htm#DBSEG60061
審覈日誌源類型映射到以下CIM數據模型:
Source Type | CIM數據模型 |
---|---|
oracle:audit:text | Change Analysis數據模型對象:Account_Management Authentication數據模型對象:身份驗證 |
oracle:audit:xml | 同上 |
oracle:accountManagement | Change Analysis數據模型對象:Account_Management |
3.2.2. 統一審覈日誌
在Oracle 12c中,引入了新的數據庫審覈基礎。Oracle Unified Auditing更改了數據庫的基本審覈功能。在Oracle的早期版本中,每個單獨的組件都有單獨的審覈記錄。統一審覈將所有審覈整合到一個存儲庫和視圖中。這提供了兩方面的簡化:現在可以在單個位置找到審覈數據,並且所有審覈數據都採用單一格式。Oracle 12c統一審覈支持:
- 標準數據庫審覈
- SYS操作審覈(AUDIT_SYS_OPERATIONS)
- 細粒度審覈(FGA)
- 數據泵
- Oracle RMAN
- Oracle標籤安全性(OLS)
- 數據庫保管庫(DV)
- 真實應用程序安全性(RAS)
- SQLLoader直接加載
統一審覈是Oracle Enterprise Edition的標準配置。無需其他許可證。默認情況下已安裝,但默認情況下未完全啓用。有兩種操作模式允許從12c之前的審覈過渡:
- 混合模式:默認的12c選項。
所有12c之前的日誌和審覈功能和配置均像以前一樣工作。新的統一審覈功能也可用。在傳統位置和新視圖SYS.UNIFIED_AUDIT_TRAIL中都可以使用日誌數據。另外,使用Syslog時,日誌數據仍將以明文形式寫入。 - 全模式或純模式:
僅通過停止數據庫並重新鏈接Oracle內核才能啓用。啓用後,將忽略12c之前的日誌和審計配置,並使用Oracle SecureFiles(一種專有文件格式)保存審計數據。因此,不支持Syslog。可以在視圖SYS.UNIFIED_AUDIT_TRAIL中找到所有審覈數據。
3.2.3. 警報日誌
警報日誌捕獲消息和錯誤,包括:
- 所有內部錯誤(ORA-600),塊損壞錯誤(ORA-1578)和死鎖錯誤(ORA-60)
- 管理員操作,例如CREATE/ALERT/DROP語句,STARTUP,SHUTDOWN和ARCHIVELOG語句
- 與共享服務器和調度程序過程的功能有關的消息和錯誤
- 在自動刷新實例化視圖期間發生的錯誤
- 系統崩潰
設置附件以監視文本格式或XML格式的警報日誌,具體取決於Oracle數據庫管理員已配置的內容。如本頁頂部的表格中所列,文本格式和XML格式警報日誌共存於11g/12c中。您只需要使用插件監視其中之一即可。請注意,XML格式的警報日誌比純文本格式的警報日誌包含更多信息。
此加載項爲不同類別的錯誤創建事件類型。例如,eventtype = oracle:internalError通過跟蹤日誌和警報日誌搜索所有ORA-00600錯誤。
警報日誌源類型oracle:alert:text和oracle:alert:xml不會映射到公共信息模型。
3.2.4. 偵聽器日誌
偵聽器日誌對於網絡服務故障排除和實時安全監視很有用。
偵聽器日誌包括:
- 客戶端連接信息,例如主機IP,端口,程序
- 與TNS相關的錯誤,例如偵聽器或協議錯誤
- 服務註冊/更新信息
偵聽器日誌源類型映射到以下CIM數據模型:
Source Type|CIM數據模型
oracle:listener:text|Authentication數據模型對象:身份驗證
oracle:listener:xml|同上
3.2.5. 跟蹤日誌
跟蹤日誌用於事件,錯誤和事件報告。數據庫中發生的大多數錯誤都記錄在跟蹤文件中。Oracle數據庫管理員還可以打開特定會話的跟蹤。跟蹤文件的格式不正確,因此該加載項無法解析或提取跟蹤文件的字段。相反,它創建事件類型以搜索錯誤(所有ORA-xxx錯誤)。
跟蹤日誌源類型oracle:trace不會映射到公共信息模型。
3.2.6. 事件記錄
在11g中引入了事件日誌。當發生嚴重錯誤(例如,系統崩潰)時,將生成事件並將此事件記錄在警報和跟蹤日誌中。事件日誌與跟蹤日誌的相似之處在於格式不正確。該附加組件創建事件類型oracle:incident來搜索現有事件。Splunk管理員可以創建保存的搜索來監視關鍵事件,發出警報並採取措施。
事件日誌源類型oracle:incident不會映射到公共信息模型。
3.2.7. 庫存事件
Oracle數據庫的Splunk附加組件利用Splunk DB Connect查詢庫存事件。關鍵清單是Oracle實例,數據庫,會話,SGA信息,表空間和表空間使用情況。Oracle數據庫管理員可以在清單與其他跟蹤/審計事件和性能指標之間進行事件關聯,並在一箇中央位置查看所有數據庫實例及其指標。
下表列出了每種源類型映射到的CIM和ITSI數據模型。
Source Type | CIM數據模型 | ITSI數據模型 |
---|---|---|
oracle:instance | Databases數據模型對象: All_Databases | Databases數據模型對象: Inventory |
oracle:instanceReadWrite | Databases數據模型對象: All_Databases | none |
oracle:database | Databases數據模型對象: All_Databases | none |
oracle:session | Databases數據模型對象: All_Databases | Databases數據模型對象: Session |
oracle:sga | Databases數據模型對象: All_Databases | none |
oracle:table | Databases數據模型對象: All_Databases | Databases數據模型對象: Table |
oracle:tablespace | none | none |
oracle:tablespaceMetrics | Databases數據模型對象: Tablespace Databases數據模型對象: Storage |
Databases數據模型對象: Query |
3.2.8. Performance events
Oracle數據庫的Splunk插件利用Splunk DB Connect查詢性能指標。基本性能指標是數據庫文件I / O性能,Oracle系統性能,Oracle庫高速緩存性能和主機OS性能。Oracle系統性能收集了許多性能指標,包括緩存命中率,數據庫CPU性能,網絡流量,SQL服務響應時間以及Oracle物理和邏輯I / O統計信息。Oracle數據庫管理員或Splunk Enterprise管理員可以創建性能趨勢顯示板或警報。
下表列出了每種源類型映射到的CIM和ITSI數據模型。
Source Type | CIM數據模型 | ITSI數據模型 |
---|---|---|
oracle:dbFileIoPerf | none | none |
oracle:sysPerf | Databases data model object: All_Databases | Databases data model object: Performance |
oracle:osPerf | none | none |
oracle:libraryCachePer | none | none |
oracle:connections | Databases data model object: All_Databases | Databases data model object: Performance |
oracle:pool:connections | Databases data model object: All_Databases | Databases data model object: Performance |
oracle:database:size | Databases data model object: All_Databases | Databases data model object: Performance |
oracle:table | none | Databases data model object: Table |
oracle:user | Databases data model object: All_Databases | Databases data model object: User |
oracle:query | Databases data model object: Database_Query | Databases data model object: Query |
oracle:session | none | Databases data model object: Session |
oracle:cpuLoadPerf | Databases data model object: CPU | none |
oracle:dbIoPerf | Databases data model object: Storage | none |
oracle:memPerf | Databases data model object: Memory | none |
oracle:networkPerf | Databases data model object: Network | none |
oracle:readwrite | Databases data model object: All_Databases | Databases data model object: Performance |
oracle:avgExecutions | Databases data model object: All_Databases | none |
3.3. Oracle數據庫Splunk附加組件發行說明
3.4. Oracle數據庫Splunk附加組件的發行歷史
3.5. Oracle數據庫Splunk附件的硬件和軟件要求
3.6. 適用於Oracle數據庫的Splunk附加組件的安裝和配置概述
完成以下步驟來安裝和配置此加載項。
- 如果尚未執行此操作,則將Splunk DB Connect的最新版本安裝到Splunk Enterprise體系結構的一部分中,該部分負責從Oracle數據庫(通常是重型轉發器)收集數據。在繼續之前,請測試與Oracle數據庫服務器的基本連接。有關詳細信息,請參考DB Connect文檔。
- 安裝用於Oracle數據庫的Splunk附加組件。
- 在正在爲附件執行數據收集的Splunk Enterprise體系結構的一部分中,按照DB Connect的輸入配置說明配置監視器輸入和DB Connect輸入:配置Splunk DB Connect輸入。
4. 安裝
4.1. 安裝適用於Oracle數據庫的Splunk附加組件
- 通過從 https://splunkbase.splunk.com/app/1910 下載或使用Splunk Web中的應用程序瀏覽器來獲取Oracle數據庫的Splunk附加組件。
- 使用此頁面上的表,確定在部署中的位置以及如何安裝此加載項。
- 如果需要並在下表中指定,請在安裝之前執行所有必備步驟。
- 完成安裝。
如果您需要有關如何在特定部署環境中安裝插件的逐步說明,請參閱此頁面底部的安裝演練部分,以獲取特定於單實例部署,分佈式部署,Splunk Cloud或Splunk Light。
4.1.1. 分佈式部署
使用下表確定在Splunk Enterprise的分佈式部署中或在使用轉發器來獲取數據的任何部署中,在何處以及如何安裝此加載項。具體取決於您的環境,首選項和要求。插件,您可能需要在多個位置安裝插件。
4.1.2. 在何處安裝此附加組件
除非另有說明,否則所有受支持的加載項都可以安全地安裝到分佈式Splunk平臺部署的所有層中。有關更多信息,請參見Splunk附加組件中的何處安裝Splunk附加組件。
下表爲將特定附件安裝到Splunk平臺的分佈式部署提供了參考。
Splunk平臺實例類型 | 支持 | 需要 | 需要採取的行動/評論 |
---|---|---|---|
Search Heads | 支持 | 是 | 在需要Oracle知識管理的所有搜索頭上安裝此附加組件。 |
Indexers | 支持 | 可選 | 如果要通過通用轉發器在Oracle服務器上本地監視文件,則爲必需。 |
Heavy Forwarders | 支持 | 查看評論 | 爲了收集清單和性能事件,必須在安裝了Splunk DB Connect的情況下使用重型轉發器。 對於監視器輸入,可以使用直接安裝在運行Oracle服務器的計算機上的通用轉發器。 |
Universal Forwarders | 支持 | 查看評論 | 僅支持監視器輸入。轉發器需要直接安裝在Oracle服務器上,以監視本地日誌。 |
4.1.3. 分佈式部署功能兼容性
下表描述了此插件與Splunk分佈式部署功能的兼容性。
Splunk平臺實例類型 | 支持 | 需要採取的行動/評論 |
---|---|---|
Search Head Clusters | 支持 | 在將此附加組件安裝到羣集之前,請對附加軟件包進行以下更改: 1. 刪除eventgen.conf文件和samples文件夾中的所有文件。 2. 刪除database.conf文件。 |
Indexer Clusters | 支持 | 在將此附加組件安裝到羣集之前,請對附加軟件包進行以下更改: 1. 刪除eventgen.conf文件和samples文件夾中的所有文件。 2. 刪除database.conf文件。 |
Deployment Server | 可選 | 支持將配置的附件部署到多個轉發器,以使用文件監視功能進行本地數據收集。DB Connect輸入不支持。 |
4.1.4. 安裝演練
Splunk加載項手冊包括一個安裝加載項指南,可幫助您將任何Splunk支持的加載項成功安裝到Splunk平臺。
有關安裝過程的演練,請單擊與您的部署方案匹配的鏈接:
4.2. 升級Oracle數據庫的Splunk附加組件
4.2.1. 從3.3.0和更早版本升級到3.5.0
適用於Oracle數據庫的Splunk插件3.5.0版旨在與Splunk DB Connect v2一起使用。Splunk DB Connect v1繼續受支持,但是建議升級到DB Connect v2。此版本中的新源類型只能使用DB Connect v2收集。
如果您是DB Connect v2用戶,並且正在將Oracle Database Splunk附加組件從3.3.0版和更早版本升級到3.5.0,並且想要開始收集新的性能事件(用於Splunk IT Service Intelligence應用程序或否則),複製新源類型的輸入節,即oracle:connections,oracle:pool:connections,oracle:database:size,oracle:table,oracle:user,oracle:query和爲oracle:session更新的輸入節,oracle:sysPerf和oracle:instance,從dbx2.inputs.conf.template到您的DB Connect v2 input.conf文件,並根據需要進行修改。
如果您是DB Connect v1用戶,並且要將Oracle Database Splunk附加組件從3.3.0版和更早版本升級到3.5.0,以開始收集此版本中可用的新性能事件,或者將Oracle數據與 IT Service Intelligence應用程序,您必須首先升級到DB Connect v2。
如果您是DB Connect v1用戶,並且要將Oracle Database Splunk附加組件從3.3.0版和更早版本升級到3.5.0,並且想要繼續收集已經收集的源類型的事件,則需要 按照設置數據庫連接部分中的說明編輯transforms.conf文件,以確保該文件包含正確的行以與DB Connect v1一起使用,因爲在此發行版中默認情況下transforms.conf文件旨在與DB Connect v2一起使用 。
5. 配置
5.1. 爲Oracle數據庫的Splunk附件配置監視器輸入
這些說明假定您的轉發器(或單實例Splunk Enterprise)直接安裝在Oracle數據庫服務器上。
在本地inputs.conf文件中設置監視器節,以配置以下Oracle數據庫服務器日誌文件的輸入:
- 審覈日誌
- 告警日誌
- 監聽器日誌
- 事件日誌
- 跟蹤日誌
請注意,這些說明不適用於清單或性能日誌。有關配置清單和性能日誌的輸入的信息,請參閱配置Splunk DB Connect輸入。
如果您不想收集清單和性能事件,請在local/inputs.conf中不要包含任何依賴於DB Connect的輸入節,否則在啓動時會看到錯誤。
5.1.1. 配置您的輸入
- 確定要監視Oracle數據庫的Splunk附件使用哪種格式(XML或純文本)的Oracle日誌文件。有關日誌文件及其對應的Splunk源類型的詳細列表,請參見Oracle數據庫Splunk附加模塊的源類型。
- 如果要監視的每個日誌文件與默認位置不同,請確定其位置。Oracle數據庫Splunk附加組件的源類型中的表提供了默認位置和位置查詢,以防位置更改。
- 在$SPLUNK_HOME/etc/apps/Splunk_TA_oracle/local中創建一個inputs.conf文件。
- 爲要監視的每個日誌文件添加監視節。包括的每個節都應包括日誌文件的完整路徑,在數據類型表中定義的該日誌文件的源類型,以及將crcSalt屬性設置爲<SOURCE>。當crcSalt屬性設置爲<SOURCE>時,可確保每個文件都具有唯一的CRC。此設置的作用是Splunk Enterprise假定每個路徑名都包含唯一的內容。
5.1.2. 例子
5.1.2.1. Linux上Oracle 10g第2版的示例
[monitor:///u01/oracle/admin/*/adump/*.xml]
sourcetype = oracle:audit:xml
crcSalt = <SOURCE>
[monitor:///u01/oracle/admin/*/adump/*.aud]
sourcetype = oracle:audit:text
crcSalt = <SOURCE>
[monitor:///u01/oracle/admin/*/bdump/alert*.log*]
sourcetype = oracle:alert:text
crcSalt = <SOURCE>
[monitor:///u01/oracle/product/db_1/network/log/listener.log*]
sourcetype = oracle:listener:text
crcSalt = <SOURCE>
[monitor:///u01/oracle/admin/orcl/udump/*.trc]
sourcetype = oracle:trace
crcSalt = <SOURCE>
5.1.2.2. Linux上Oracle 11g第2版的示例
[monitor:///u01/app/oracle/admin/*/adump/*.xml]
sourcetype = oracle:audit:xml
crcSalt = <SOURCE>
[monitor:///u01/app/oracle/admin/*/adump/*.aud]
sourcetype = oracle:audit:text
crcSalt = <SOURCE>
[monitor:///u01/app/oracle/diag/rdbms/*/*/alert/log*.xml]
sourcetype = oracle:alert:xml
crcSalt = <SOURCE>
[monitor:///u01/app/oracle/diag/tnslsnr/*/listener/alert/log*.xml]
sourcetype = oracle:listener:xml
crcSalt = <SOURCE>
[monitor:///u01/app/oracle/diag/rdbms/*/*/trace/*.trc]
sourcetype = oracle:trace
crcSalt = <SOURCE>
[monitor:///u01/app/oracle/diag/rdbms/*/*/incident/incdir*/*.trc]
sourcetype = oracle:incident
crcSalt = <SOURCE>
5.1.2.3. Linux上Oracle 12c第1版的示例
[monitor:///u01/app/oracle/admin/*/adump/*.xml]
sourcetype = oracle:audit:xml
crcSalt = <SOURCE>
[monitor:///u01/app/oracle/admin/*/adump/*.aud]
sourcetype = oracle:audit:text
crcSalt = <SOURCE>
[monitor:///u01/app/oracle/diag/rdbms/*/*/alert/log.xml*]
sourcetype = oracle:alert:xml
crcSalt = <SOURCE>
[monitor:///u01/app/oracle/diag/tnslsnr/*/listener/alert/log.xml*]
sourcetype = oracle:listener:xml
crcSalt = <SOURCE>
[monitor:///u01/app/oracle/diag/rdbms/*/*/trace/*.trc]
sourcetype = oracle:trace
crcSalt = <SOURCE>
[monitor:///u01/app/oracle/diag/rdbms/*/*/incident/incdir*/*.trc]
sourcetype = oracle:incident
crcSalt = <SOURCE>
5.1.2.4. Windows上的Oracle 11g第2版示例
[monitor://C:\app\Administrator\admin\*\adump\*.xml]
sourcetype = oracle:audit:xml
crcSalt = <SOURCE>
[monitor://C:\app\Administrator\admin\*\adump\*.aud]
sourcetype = oracle:audit:text
crcSalt = <SOURCE>
[monitor://C:\app\Administrator\diag\rdbms\*\*\alert\log.xml*]
sourcetype = oracle:alert:xml
crcSalt = <SOURCE>
[monitor://C:\app\Administrator\diag\tnslsnr\*\listener\alert\log.xml*]
sourcetype = oracle:listener:xml
crcSalt = <SOURCE>
[monitor://C:\app\Administrator\diag\rdbms\*\*\trace\*.trc]
sourcetype = oracle:trace
crcSalt = <SOURCE>
[monitor://C:\app\Administrator\diag\rdbms\*\*\incident\incdir*\*.trc]
sourcetype = oracle:incident
crcSalt = <SOURCE>
5.1.2.5. Windows上Oracle 12c第1版的示例
[monitor://C:\app\oracle\admin\*\adump\*.xml]
sourcetype = oracle:audit:xml
crcSalt = <SOURCE>
[monitor://C:\app\oracle\admin\*\adump\*.aud]
sourcetype = oracle:audit:text
crcSalt = <SOURCE>
[monitor://C:\app\oracle\diag\rdbms\*\*\alert\log.xml*]
sourcetype = oracle:alert:xml
crcSalt = <SOURCE>
[monitor://C:\app\oracle\diag\tnslsnr\*\listener\alert\log.xml*]
sourcetype = oracle:listener:xml
crcSalt = <SOURCE>
[monitor://C:\app\oracle\diag\rdbms\*\*\trace\*.trc]
sourcetype = oracle:trace
crcSalt = <SOURCE>
[monitor://C:\app\oracle\diag\rdbms\*\*\incident\incdir*\*.trc]
sourcetype = oracle:incident
crcSalt = <SOURCE>
5.2. 爲Oracle數據庫的Splunk附件配置Splunk DB Connect v2.x輸入
5.3. 爲Oracle數據庫的Splunk附件配置Splunk DB Connect v3.1輸入
爲了從您的Oracle數據庫服務器收集清單和性能數據,用於Oracle數據庫的Splunk附加組件利用Splunk DB Connect。本主題介紹了DB Connect 3.1版的說明。
5.3.1. 設置數據庫連接
- 從 http://www.oracle.com/technetwork/database/enterprise-edition/jdbc-112010-090769.html 下載Oracle數據庫的JDBC驅動程序。
- 將名爲ojdbc*.jar的驅動程序文件放在$SPLUNK_HOME/etc/apps/splunk_app_db_connect/drivers/中,該文件位於Splunk Enterprise體系結構中執行數據收集的部分。
- 仍然是執行數據收集的Splunk Enterprise體系結構的一部分,請轉到Splunk Web中的Splunk DB Connect。
- 創建用於建立與數據庫的連接的標識。確保此身份的數據庫用戶有權訪問Oracle審覈數據。
5.3.2. 使用Splunk DB Connect GUI創建數據庫連接
要使用Splunk DB Connect GUI創建與Oracle數據庫服務器的數據庫連接,請執行以下操作:
有關使用GUI設置新數據庫連接的分步說明,請參閱Splunk DB Connect手冊中的創建和管理數據庫連接。
5.3.3. 使用Splunk DB Connect GUI配置輸入
如果要創建Oracle數據庫輸入,請在DB Connect的模板字段下選擇爲Oracle數據庫的Splunk附件創建的模板。請注意,如果創建oracle:audit:unified輸入,則需要將時區字段設置爲UTC。
6. 排障
6.1. 對Oracle數據庫的Splunk加載項進行故障排除
6.1.1. 常規故障排除
有關可應用於所有加載項的疑難解答提示,請參閱對Splunk加載項中的加載項進行故障排除。有關其他資源,請參閱Splunk附件中的附件支持和資源鏈接。
6.1.2. 無法啓動加載項
該加載項沒有視圖,因此不能在Splunk Web中看到。如果您嘗試啓動或加載該加載項的視圖,並且遇到意外的結果,請關閉加載項的可見性。
有關附加組件可見性的更多詳細信息以及關閉可見性的說明,請參閱“Splunk附加組件疑難解答”主題中的檢查該附加組件是否是可見的。
6.1.3. “文字與格式字符串不匹配”錯誤
輸入節oracle:sysPerf在尾模式下使用END_TIME作爲上升列,在$SPLUNK_HOME/var/log/splunk/dbx2.log中產生錯誤日誌。例如:
04/07/2015 15:12:17 [ERROR] [ws.py] [DBInput Service] ERROR: ORA-01861: literal does not match format string .
04/07/2015 15:12:17 [ERROR] [websocket.py] ERROR: ORA-01861: literal does not match format string
這是將END_TIME轉換並比較爲上升列而不會影響功能的良性副作用。
有關更多信息,請參見 http://stackoverflow.com/questions/22542882/sql-error-ora-01861-literal-does-not-match-format-string-01861 。
6.1.4. 故障排除資源
適用於Oracle數據庫的Splunk附加組件依賴於重型轉發器上的標準監視器輸入和DB Connect託管輸入。有關故障排除的建議,請參考以下資源:
對Splunk DB Connect進行故障排除:Splunk DB Connect手冊中的故障排除。
對監視器輸入進行故障排除:http://wiki.splunk.com/Community:Troubleshooting_Monitor_Inputs
對轉發器設置進行故障排除:Splunk Enterprise文檔的一部分《轉發數據》手冊中的對轉發器/接收器連接進行故障排除。
7. 參考
7.1. 適用於Oracle數據庫的Splunk附件的查找
用於Oracle數據庫的Splunk附加組件具有以下查找,這些查找將Oracle數據庫系統中的字段映射到Splunk平臺中符合CIM的值。查找文件位於$SPLUNK_HOME/etc/apps/Splunk_TA_oracle/lookups中。
文件名 | 描述 |
---|---|
oracle_audit_action.csv | 映射ACTION到NAME |
oracle_audit_type.csv | 映射AUDITTYPE到audit |
oracle_fga_statement_type.csv | 映射SYMTTYPE到statementtype |
oracle_ora_codes.csv | 映射ORACODE到DESCRIPTION, CAUSE, ACTION |
oracle_returncode.csv | 映射RETURNCODE到result |
oracle_system_privilege_map.csv | 映射PRIVILEGE到PRIVUSED, PRIVGRANTED, privilege |