在上一篇,初步了解了Audit的作用以及如何使用Audit,本篇记录如何手动清理Audit数据。
(一) 概述
Audit的数据主要存储在sys.aud$表中,该表默认位于system表空间中,我们根据需求,将该表移到了sysaux表空间中。由于审计数据量较大,需要经常关注sysaux表空间的使用情况,同时根据实际情况对sys.aud$表进行数据清理。
(二) 清理步骤
(1)使用sys账号登陆数据库,打开计时功能,方便查看每一个命令的执行时间
SQL> set timing on
(2)在清理数据之前先查看数据量大小
SQL> select count(*) from sys.aud$;
(3)查看Audit表中最早一笔数据的时间,即审计表中记录的最早的时间
SQL> select min(ntimestamp#) from sys.aud$; MIN(NTIMESTAMP#) ---------------------------------------- 23-11月-16 08.18.54.496893 上午
(4)查看审计数据最后归档时间,只有归档的数据才能删除
SQL> SELECT * FROM dba_audit_mgmt_last_arch_ts; AUDIT_TRAIL RAC_INSTANCE LAST_ARCHIVE_TS ----------- ------------ -------------------------------- STANDARD AUDIT TRAIL 0 14-3月 -17 01.22.49.000000 下午 +00:00
(5)初始化清理Audit的功能,该命令只有在第一次执行时需要运行,default_cleanup_interval =>168代表清理周期为168小时。
SQL> BEGIN sys.DBMS_AUDIT_MGMT.init_cleanup( audit_trail_type => sys.DBMS_AUDIT_MGMT.AUDIT_TRAIL_ALL, default_cleanup_interval => 168); END; /
(6)确认清除Audit功能是否开启,yes为开启
SQL> SET SERVEROUTPUT ON BEGIN IF sys.DBMS_AUDIT_MGMT.is_cleanup_initialized(sys.DBMS_AUDIT_MGMT.AUDIT_TRAIL_AUD_STD) THEN DBMS_OUTPUT.put_line('YES'); ELSE DBMS_OUTPUT.put_line('NO'); END IF; END; /
(7)设置需要清理的天数,最后一个数字‘7’代表清理‘7’天前的数据(归档时间大于等于清除时间)
SQL> BEGIN sys.DBMS_AUDIT_MGMT.set_last_archive_timestamp( audit_trail_type => sys.DBMS_AUDIT_MGMT.AUDIT_TRAIL_AUD_STD, last_archive_time => SYSTIMESTAMP-7 /* Day */); END; /
(8) 执行清除,时间长短受数据量大小影响(经测试600万条数据大约20分钟)
SQL> BEGIN sys.DBMS_AUDIT_MGMT.clean_audit_trail( audit_trail_type => sys.DBMS_AUDIT_MGMT.AUDIT_TRAIL_AUD_STD, use_last_arch_timestamp => TRUE); END; /
(9)在清理后,sys.aud$表的大小并没有发生改变,需要收回空间
解释:在上面清理表sys.aud$后,实际上,数据还在磁盘上,只是数据不受保护了而已,其空间并没有释放,需要将其释放回收
SQL> select segment_name,bytes/1024/1024 from dba_segments where segment_name='AUD$'; --查看aud$的大小 SEGMENT_NAME BYTES/1024/1024 -------------------------------------------------------------------------------- --------------- AUD$ 3456 SQL> alter table sys.aud$ enable row movement; --激活行移动 Table altered. SQL> SQL> alter table sys.aud$ shrink space cascade; --进行空间回收 Table altered. SQL> alter table sys.aud$ disable row movement; --关闭行移动 Table altered. SQL> select segment_name,bytes/1024/1024 from dba_segments where segment_name='AUD$'; ----再次查看aud$的大小 SEGMENT_NAME BYTES/1024/1024 -------------------------------------------------------------------------------- --------------- AUD$ 666.8125
经过2次查看空间大小,可以看到空间已经被释放。