我目前正在尝试从Sybase ASE 15.7 sysaudits表中收集审核日志。 SIEM将使用查询来读取审核日志。 由于具有SSO角色的用户可以读取sysaudits表,因此我们不得不找到替代方案,因为我们无法将权限赋予SIEM。我们的DBA尝试为此目的创建视图,但由于SIEM使用的帐户没有SSO角色,因此失败了。 所以DBA建议我们创建另一个具有相同结构的表(event,eventmod,spid,eventtime,sequence,suid,dbid,objid,xactid,loginname,dbname,objname,objowner,extrainfo,nodeid),然后他会编写一个脚本将从sysaudits表读取并每5分钟写入此新表。 所以我们继续解决这个问题,但是我遇到了一个问题,这就是我需要帮助的原因
SIEM解决方案将使用DBA提供的查询进行读取,但SIEM解决方案需要一个唯一的列来跟踪上次读取的记录。我注意到sysaudits中没有这样的唯一列。此外,我注意到某些命令被分成多个条目并跟踪它们使用的序列ID。
我应该如何构建查询?或者有更好的方法来解决这个问题吗?
另外,我注意到我们在事件列事件中只获得了92,虽然sybase指定我们可以获得事件字段的不同值。我还应该得到其他价值吗?
提前致谢