转Oracle 审计功能 Audit文档格式.docx
- 文档编号:6945131
- 上传时间:2023-05-07
- 格式:DOCX
- 页数:16
- 大小:22.53KB
转Oracle 审计功能 Audit文档格式.docx
《转Oracle 审计功能 Audit文档格式.docx》由会员分享,可在线阅读,更多相关《转Oracle 审计功能 Audit文档格式.docx(16页珍藏版)》请在冰点文库上搜索。
审计表安装在SYSTEM表空间。
所以要确保SYSTEM表空间又足够的空间存放审计信息。
安装后要重启数据库
将审计相关的表移动到其他表空间
由于AUD$表等审计相关的表存放在SYSTEM表空间,因此为了不影响系统的性能,保护SYSTEM表空间,最好把AUD$移动到其他的表空间上。
可以使用下面的语句来进行移动:
sql>
sysdba;
alter
table
aud$
move
tablespace
<
new
tablespace>
;
index
I_aud1
rebuild
online
SQL>
audit$
i_audit
audit_actions
i_audit_actions
2、和审计相关的两个主要参数
Audit_sys_operations:
默认为false,当设置为true时,所有sys用户(包括以sysdba,
sysoper身份登录的用户)的操作都会被记录,audit
trail不会写在aud$表中,这个很好理解,如果数据库还未启动aud$不可用,那么像conn
/as
sysdba这样的连接信息,只能记录在其它地方。
如果是windows平台,audti
trail会记录在windows的事件管理中,如果是linux/unix平台则会记录在audit_file_dest参数指定的文件中。
Audit_trail:
None:
是默认值,不做审计;
DB:
将audit
trail
记录在数据库的审计相关表中,如aud$,审计的结果只有连接信息;
DB,Extended:
这样审计结果里面除了连接信息还包含了当时执行的具体语句;
OS:
记录在操作系统文件中,文件名由audit_file_dest参数指定;
XML:
10g里新增的。
注:
这两个参数是static参数,需要重新启动数据库才能生效。
3、审计级别
当开启审计功能后,可在三个级别对数据库进行审计:
Statement(语句)、Privilege(权限)、object(对象)。
3.1
Statement:
语句审计,对某种类型的SQL语句审计,不指定结构或对象。
比如audit
会审计数据库中所有的create
table,drop
table,truncate
table语句,alter
session
by
cmy会审计cmy用户所有的数据库连接。
3.2
Privilege:
权限审计,当用户使用了该权限则被审计,如执行grant
any
to
a,当执行了audit
table语句后,当用户a
访问了用户b的表时(如select
b.t)会用到select
table权限,故会被审计。
注意用户是自己表的所有者,所以用户访问自己的表不会被审计。
特权审计。
3.3
Object:
对象审计,对一特殊模式对象上的指定语句的审计.
如审计on关键字指定对象的相关操作,如aduit
alter,delete,drop,insert
on
cmy.t
scott;
这里会对cmy用户的t表进行审计,但同时使用了by子句,所以只会对scott用户发起的操作进行审计。
注意:
Oracle没有提供对schema中所有对象的审计功能,只能一个一个对象审计,对于后面创建的对象,Oracle则提供on
default子句来实现自动审计,比如执行audit
drop
default
access;
后,对于随后创建的对象的drop操作都会审计。
但这个default会对之后创建的所有数据库对象有效,似乎没办法指定只对某个用户创建的对象有效,想比
trigger可以对schema的DDL进行“审计”,这个功能稍显不足。
4、审计的一些其他选项
4.1
access
session:
每一个被审计的操作都会生成一条audit
trail。
一个会话里面同类型的操作只会生成一条audit
trail,默认为by
session。
4.2
whenever
[not]
successful:
successful
操作成功(dba_audit_trail中returncode字段为0)
才审计,
not
反之。
省略该子句的话,不管操作成功与否都会审计。
5、和审计相关的视图
5.1
dba_audit_trail:
保存所有的audit
trail,实际上它只是一个基于aud$的视图。
其它的视图dba_audit_session,dba_audit_object,
dba_audit_statement都只是dba_audit_trail的一个子集。
5.2
dba_stmt_audit_opts:
可以用来查看statement审计级别的audit
options,即数据库设置过哪些statement级别的审计。
dba_obj_audit_opts,dba_priv_audit_opts视图功能与之类似
5.3
all_def_audit_opts:
用来查看数据库用on
default子句设置了哪些默认对象审计。
6、取消审计
将对应审计语句的audit改为noaudit即可,
如audit
successful
对应的取消审计语句为noaudit
successful;
7、10g中的审计告知一切
Oracle
数据库
10g
审计以一种非常详细的级别捕获用户行为,它可以消除手动的、基于触发器的审计。
假定用户
Joe
具有更新那张表的权限,并按如下所示的方式更新了表中的一行数据:
update
SCOTT.EMP
set
salary
=
12000
where
empno
123456;
您如何在数据库中跟踪这种行为呢?
在
9i
数据库及其较低版本中,审计只能捕获“谁”执行此操作,而不能捕获执行了“什么”内容。
例如,它让您知道
更新了
SCOTT
所有的表EMP,但它不会显示他更新了该表中员工号为
123456
的薪水列。
它不会显示更改前的薪水列的值
—
要捕获如此详细的更改,您将不得不编写您自己的触发器来捕获更改前的值,或使用
LogMiner
将它们从存档日志中检索出来。
细粒度审计(FGA):
精细审计
,是在
中引入的,能够记录
SCN
号和行级的更改以重建旧的数据,但是它们只能用于
语句,而不能用于
DML
,如
、insert
和delete
语句。
因此,对于
之前的版本,使用触发器虽然对于以行级跟踪用户初始的更改是没有吸引力的选择,但它也是唯一可靠的方法。
8.审计的相关基本操作
8.1
审计功能的参数控制
audit_trail
参数的值可以设置为以下几种
1.
NONE:
不开启
2.
开启审计功能
3.
审计记录写入一个操作系统文件。
4.
TRUE:
与参数DB一样
5.
FALSE:
不开启审计功能。
这个参数是写道spfile里面的,需要重启数据库
8.2
查看是否审计功能是否启动
show
parameter
audit
NAME
TYPE
VALUE
------------------------------------
-----------
------------------------------
audit_file_dest
string
/u01/app/oracle/admin/ORCL/adump
audit_sys_operations
boolean
FALSE
audit_syslog_level
string
NONE
8.3
开启审计
conn
sysdba
system
audit_sys_operations=TRUE
scope=spfile;
--审计管理用户(以sysdba/sysoper角色登陆)
audit_trail=db,extended
开启审计要重启实例
TRUE
DB,
EXTENDED
8.4
关闭审计
audit_trail=none;
关闭审计也需要重启实例
9.
审计实例
9.1
激活审计
sys/admin
已连接。
D:
\ORACLE\ADMIN\DBA\ADUMP
startup
force;
EXTENDED
9.2
开始审计
无法对
SYS
用户操作执行
audit
或
noaudit
命令
system/admin
all
test;
commit;
delete
OS_USERNAME,USERNAME,USERHOST,TERMINAL,TIMESTAMP,OWNER,
obj_name,ACTION_NAME,sessionid,os_process,sql_text
OS_USER
USERNAME
USERHOST
TERMINAL
TIMESTAMP
OWNER
-------
--------
---------------
--------------
----------------
user
SYSTEM
WORKGROUP\HFCC-
HFCC-KF-3068
22-10月-09
SYSTEM
test
如果在命令后面添加by
user则只对user的操作进行审计,如果省去by用户,则对系统中所有的用户进行审计(不包含sys用户).
例:
AUDIT
DELETE
ANY
TABLE;
--审计删除表的操作
TABLE
WHENEVER
NOT
SUCCESSFUL;
--只审计删除失败的情况
--只审计删除成功的情况
DELETE,UPDATE,INSERT
ON
user.table
SYSTEM;
--审计SYSTEM用户对表user.table的delete,update,insert操作
9.3
撤销审计
t_test;
10.FGA策略(细粒度审计)
DBMS_FGA是SYS用户的一个包
10.1
增加
FGA
策略
--
审计表
GRANT
RESOURCE,CONNECT
TO
BANK
IDENTIFIED
BY
BANK;
CREATE
BANK.ACCOUNTS
(
ACCT_NO
NUMBER
PRIMARY
KEY,
CUST_ID
NULL
BALANCE
NUMBER(15,2)
NULL
);
insert
into
bank.accounts
values(1,1,10000);
values(2,2,20000);
Begin
dbms_fga.drop_policy
object_schema=>
'
BANK'
object_name=>
ACCOUNTS'
policy_name=>
ACCOUNTS_ACCESS'
dbms_fga.add_policy
end;
/
bank.accounts;
timestamp,
db_user,os_user,object_schema,object_name,sql_text
dba_fga_audit_trail;
审计列和审计条件,
在add_policy中加入
audit_column
=>
BALANCE'
audit_condition
>
11000'
10.2
管理
--要删除策略,您可以使用以下语句:
begin
object_schema
object_name
policy_name
对于更改策略而言,没有随取随用的解决方案。
要更改策略中的任何参数,必须删除策略,再使用更改后的参数添加策略。
需要临时禁用审计收集
例如,如果您希望将线索表移动到不同的表空间或者要删除线索表。
您可以按如下方法禁用
策略:
dbms_fga.enable_policy
enable
重新启用很简单
--演示何时审计操作以及何时不审计操作的各种情况
SQL
语句
审计状态
balance
进行审计。
用户选择了在添加策略时所指定的审计列
BALANCE。
即使用户没有明确指定列
BALANCE,*
也隐含地选择了它。
cust_id
10000;
BALANCE,where
子句也隐含地选择了它。
不进行审计。
用户没有选择列
count(*)
用户没有明确或隐含地选择列
10.3
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 转Oracle 审计功能 Audit Oracle 审计 功能