Is het mogelijk om met bestaande (of gespecialiseerde) audit tools de Oracle software en licenties op een sluitende manier inventariseren en beheren?
De vraag wordt regelmatig gesteld. Helaas: Het is onmogelijk. Wél zijn er diverse paketten die (delen van) de inventarisatie kunnen ondersteunen. Op basis hiervan conclusies trekken is echter levensgevaarlijk. In dit artikel leest u wat (on)mogelijk is. Voor Oracle software – en andere alle andere software waarbij gebruikersprofielen niet worden afgedwongen en licenties niet ‘per installatie’ verplicht zijn – kunnen geen automatische audit tools gemaakt worden. Ook Oracle heeft dit gemerk: Het bedrijf is al ruim 12 jaar bezig om tools te maken en verbeteren om goede Oracle compliance metingen kunnen verrichten. 1 ding zal Oracle echter niet doen: Op basis van de meetgegevens een conclusie trekken. En daarom wil Oracle (terecht) voorkomen dat bedrijven over deze tools beschikken. Voorbarige conclusies trekken uit de gegevens is namelijk verleidelijk en levensgevaarlijk.
Tóch is er regelmatig een nieuwsbericht te vinden over een tool die ’the holy grail’ zou betekenen zijn voor Oracle klanten. Enkele voorbeelden waarover ik in de afgelopen weken vragen heb gekregen zijn:
Tideway Systems: Maakt bijzonder indrukwekkende software om het serverpark in kaart te brengen. In dit artikel lijkt het alsof ook Oracle software out-of-the-box gescand kan worden (mijn tegenargumenten in het artikel zijn op alle tools van toepassing). Aansluitend op mijn reactie op het bericht ben ik uitgenodigd voor een websessie met Tideway Systems. Hierin is bevestigd dat het niet mogelijk is om enige conclusie te trekken met de software. Wél kan het pakket delen van de geïnstalleerde Oracle in het serverpark vinden, waardoor er een (bijna compleet) overzicht van Oracle installaties kan worden opgeleverd. Handig om door een compliance auditor gebruik te worden voor verdere vraagstelling, analyse en conclusie. Een aardig fenomeen is dat Tideway het mogelijk gemaakt wordt om scripts naar databases te schieten die additionele informatie kan opleveren over bijvoorbeeld Database Opties en geregistreerde gebruikers.
Scalable: Een érg mooi pakket als het gaat om desktop inventarisaties (en enkele Server inventarisaties). Houdt informatie over het type gebruik v/d applicatie bij, en kan zelfs zien of een Visio Pro user het met een ‘read-only’ versie zou kunnen doen omdat de muiscursor wordt gevolgd. Aardig voor contractonderhandelingen. Beperkte mogelijkheden voor Oracle e-Business Suite, echter lijkt dit niet nodig omdat e-Business Suite inventarisaties, zonder enige tooling, een peuleschilletje zijn.
Lime Software: De verpakking lezend lijkt het de leukste oplossing van de drie. De realiteit is minder: Aan de ‘achterkant’ is Lime een verzameling van a) SQL scripts die worden losgelaten op de database b)TNS Listener Sniffer die uw netwerk afspeurt naar actieve Oracle installaties. In feite een pre-historische versie van de tools die Oracle zelf gebruikt. Twee klanten hebben het geprobeerd en zeiden: “Was niks, is niks en gaat ook niks worden”. Lime Software is gevaarlijk omdat u een advies krijgt zonder te weten hoe dit tot stand is gekomen, en zonder dat de bron-data is geïnterpreteerd.
Conclusie: Elke tool die fysieke Oracle software installaties in uw serverpark kan herkennen is bijzonder behulpzaam. Scripts die nodig zijn om het software gebruik van deze installaties te meten kunt u vervolgens gemakkelijk zelf maken of bij ons gratis krijgen: Het zijn immers slechts enkele regels aan SQL code (aangezien uw DBA vaak alles al weet wat relevant is, is deze stap vaak echter overbodig). U heeft alles al in huis wat er nodig is om een conclusie te trekken. Behalve: Interpretatie! Creativiteit en veel ervaring inzake Oracle licenties, praktijkscenario’s en Oracle audits. Als u meekijkt met de auditor, leert u het interpreteren ook. Dit is veiliger, leerzamer en héél wat goedkoper dan een pakket installeren wat niet kan wat het beloofd.