Auditando conexões com senha incorreta

Olá, amigos leitores!!

Hoje estarei abordando o processo de auditoria para sessões que efetuam tentativas de conexão, com a senha incorreta. Este processo é bastante útil, quando precisamos identificar, por exemplo, de onde estão partindo as conexões que estão causando um bloqueio de usuário, devido tentativas recorrentes de acesso sem sucesso.

Primeiramente, para que possamos ativar esta auditoria de , é preciso que o parâmetro audit_trail esteja definido como db, ou db_extended para que as visões sys.aud$ possam ser populadas com as informações de auditorias que ativarmos. Vale destacar que dependendo da auditoria ativada, o consumo de recursos será maior. Por isso, devemos habilitar apenas o que for realmente necessário.

Vamos confirmar como está definido o parâmetro audit_trail em nosso ambiente.
SQL> show parameter audit_trail;
NAME                                 TYPE        VALUE
------------------------------------ ----------- ------------------------------
audit_trail                          string      DB
O proximo passo é ativar a auditoria para as sessões que não estabelecerem a conexão com sucesso. Para isso, vamos conectar no banco e executar o comando AUDIT CREATE SESSION WHENER NOT SUCCESSFUL . Executando este comando, estaremos auditando todas as tentativas de conexão sem sucesso. 
SQL> 
SQL> AUDIT CREATE SESSION WHENEVER NOT SUCCESSFUL;
Audit succeeded

SQL> 
Após ativar a auditoria, estarei simulando uma tentativa de conexão sem sucesso para validarmos. Porém, antes vamos consultar para mostrar que não temos nenhum registro na dba_audit_trail.
SQL> select username,action_name,returncode from dba_audit_trail where upper(action_name)= upper('logon') and returncode <> 0;

no rows selected

SQL> 

[oracle@lamimtst ~]$ sqlplus lamim/testeaudit

SQL*Plus: Release 11.2.0.4.0 Production on Wed Jul 20 23:37:18 2016

Copyright (c) 1982, 2013, Oracle.  All rights reserved.

ERROR:
ORA-01017: invalid username/password; logon denied
Após realizar a tentativa de conexão sem sucesso, vamos executar nossa consulta novamente. 
SQL> select os_username, username, userhost, terminal,comment_text, timestamp, action_name, os_process from dba_audit_trail where username='LAMIM';
OS_USERNAME                                                                      USERNAME                       USERHOST                                                                         TERMINAL                                                                         COMMENT_TEXT                                                                     TIMESTAMP   ACTION_NAME                  OS_PROCESS
-------------------------------------------------------------------------------- ------------------------------ -------------------------------------------------------------------------------- -------------------------------------------------------------------------------- -------------------------------------------------------------------------------- ----------- ---------------------------- ----------------
oracle                                                                           LAMIM                          spdlvhml002.marfrig.com.br                                                       pts/2                                                                            Authenticated by: DATABASE                                                       20/07/2016  LOGON                        9997

SQL> col os_username for a10
SQL> col userhost for a30
SQL> col terminal for a6
SQL> col COMMENT_TEXT for a30
SQL> select os_username, username, userhost, terminal,comment_text, timestamp, action_name, os_process from dba_audit_trail where username='LAMIM';
OS_USERNAM USERNAME                       USERHOST                       TERMIN COMMENT_TEXT                   TIMESTAMP   ACTION_NAME                  OS_PROCESS
---------- ------------------------------ ------------------------------ ------ ------------------------------ ----------- ---------------------------- ----------------
oracle     LAMIM                          spdlvhml002.marfrig.com.br     pts/2  Authenticated by: DATABASE     20/07/2016  LOGON                        9997
Fonte: https://docs.oracle.com/cd/B28359_01/network.111/b28531/auditing.htm
SHARE

Jhonata Lamim

  • Image
  • Image
  • Image
  • Image
  • Image