起因: 利用zabbix部署了密码失败登录的监控,监控方法是每隔一分钟,检查user$表lcount字段,如果发现大于0,说明该用户存在错误密码登录数据库。
为啥要部署这个监控呢?
1)、如果启用默认的密码延迟登录,则会引起严重的性能问题,一大堆libary cache lock等待。
2)、如果用户密码策略,user profile设置为failed login超过一定次数锁定,那就惨了,会锁定业务用户,导致业务停机。
3)、造成监听日志大小增长特别快,应用日志也是不断的刷屏
数据库中要做一些事情来捕获这些错误密码登录信息:
方法1:使用触发器
CREATE OR REPLACE TRIGGER "LOGON_DENIED_TO_ALERT"
AFTER servererror ON DATABASE
DECLARE
message VARCHAR2(168);
ip VARCHAR2(15);
v_os_user VARCHAR2(80);
v_module VARCHAR2(50);
v_action VARCHAR2(50);
v_pid VARCHAR2(10);
v_sid NUMBER;
v_program VARCHAR2(48);
v_username VARCHAR2(32);
v_host VARCHAR2(32);
BEGIN
IF (ora_is_servererror(1017)) THEN
-- get ip FOR remote connections :
IF upper(sys_context('userenv', 'network_protocol')) = 'TCP' THEN
ip := sys_context('userenv', 'ip_address');
v_host := sys_context('userenv', 'host');
END IF;
SELECT sid INTO v_sid FROM sys.v_$mystat WHERE rownum < 2;
SELECT p.spid, v.program
INTO v_pid, v_program
FROM v$process p, v$session v
WHERE p.addr = v.paddr
AND v.sid = v_sid;
v_os_user := sys_context('userenv', 'os_user');
v_username := sys_context('userenv','authenticated_identity');
dbms_application_info.read_module(v_module, v_action);
message := to_char(SYSDATE, 'YYYYMMDD HH24MISS') ||
'ORA-failed logon denied from ' || nvl(ip, 'localhost')||'(' ||v_host|| ') ' ||
v_pid || ' ' || v_os_user || ' with ' || v_program || ' - ' ||
v_module || ' ' || v_action||' dbuser:' || v_username;
sys.dbms_system.ksdwrt(2, message);
END IF;
END;
alert日志中抓到信息后,及时关闭触发器,减少触发器对数据库性能的损耗:
alter trigger LOGON_DENIED_TO_ALERT disable;
方法2:使用1017事件
alter system set events '1017 trace name errorstack level 10';
同样,alert日志中报出相关trace日志后,应该及时关闭该trace
ALTER SYSTEM SET EVENTS '1017 trace name errorstack off';