利用Oracle审计功能记录数据库操作38450.pdf

《利用Oracle审计功能记录数据库操作38450.pdf》由会员分享，可在线阅读，更多相关《利用Oracle审计功能记录数据库操作38450.pdf（10页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1、什么是审计 审计（Audit)用于监视用户所执行的数据库操作，并且 Oracle 会将审计跟踪结果存放到 OS 文件（默认位置为$ORACLE_BASE/admin/$ORACLE_SID/adump/）或数据库（存储在 system 表空间中的$表中，可通过视图 dba_audit_trail 查看）中。默认情况下审计是没有开启的。不管你是否打开数据库的审计功能，以下这些操作系统会强制记录：用管理员权限连接 Instance；启动数据库；关闭数据库。2、和审计相关的两个主要参数 Audit_sys_operations：默认为 false，当设置为 true 时，所有 sys 用户（包括

2、以 sysdba,sysoper身份登录的用户）的操作都会被记录，audit trail 不会写在 aud$表中，这个很好理解，如果数据库还未启动 aud$不可用，那么像 conn/as sysdba这样的连接信息，只能记录在其它地方。如果是 windows 平台，audti trail会记录在 windows 的事件管理中，如果是 linux/unix 平台则会记录在audit_file_dest 参数指定的文件中。Audit_trail：None：是默认值，不做审计；DB：将 audit trail 记录在数据库的审计相关表中，如 aud$，审计的结果只有连接信息；DB_Extended：

3、这样审计结果里面除了连接信息还包含了当时执行的具体语句；OS：将 audit trail 记录在操作系统文件中，文件名由 audit_file_dest参数指定；XML：10g 里新增的。注：这两个参数是 static 参数，需要重新启动数据库才能生效。3、审计级别 当开启审计功能后，可在三个级别对数据库进行审计：Statement(语句)、Privilege（权限）、object（对象）。Statement：按语句来审计，比如 audit table 会审计数据库中所有的 create table,drop table,truncate table 语句，alter session by c

4、my会审计cmy 用户所有的数据库连接。Privilege：按权限来审计，当用户使用了该权限则被审计，如执行 grant select any table to a，当执行了 audit select any table 语句后，当用户 a 访问了用户 b 的表时（如 select*from）会用到 select any table 权限，故会被审计。注意用户是自己表的所有者，所以用户访问自己的表不会被审计。Object：按对象审计，只审计 on 关键字指定对象的相关操作，如 aduit alter,delete,drop,insert on by scott;这里会对 cmy 用户的 t 表

5、进行审计，但同时使用了 by 子句，所以只会对 scott 用户发起的操作进行审计。注意 Oracle 没有提供对 schema 中所有对象的审计功能，只能一个一个对象审计，对于后面创建的对象，Oracle 则提供 on default 子句来实现自动审计，比如执行 audit drop on default by access;后，对于随后创建的对象的 drop 操作都会审计。但这个 default 会对之后创建的所有数据库对象有效，似乎没办法指定只对某个用户创建的对象有效，想比 trigger 可以对 schema 的 DDL 进行“审计”，这个功能稍显不足。4、审计的一些其他选项 by

6、access/by session：by access 每一个被审计的操作都会生成一条 audit trail。by session 一个会话里面同类型的操作只会生成一条 audit trail，默认为 by session。whenever not successful：whenever successful 操作成功(dba_audit_trail 中 returncode 字段为0)才审计,whenever not successful 反之。省略该子句的话，不管操作成功与否都会审计。5、和审计相关的视图 dba_audit_trail：保存所有的 audit trail，实际上它只是一

7、个基于aud$的视图。其它的视图dba_audit_session,dba_audit_object,dba_audit_statement 都只是dba_audit_trail 的一个子集。dba_stmt_audit_opts：可以用来查看 statement 审计级别的 audit options，即数据库设置过哪些 statement 级别的审计。dba_obj_audit_opts,dba_priv_audit_opts 视图功能与之类似 all_def_audit_opts：用来查看数据库用 on default 子句设置了哪些默认对象审计。6、取消审计 将对应审计语句的 audi

8、t 改为 noaudit 即可，如 audit session whenever successful 对应的取消审计语句为 noaudit session whenever successful;8、实例讲解、激活审计 sqlplus/as sysdba SQL show parameter audit NAME TYPE VALUE-audit_file_dest string /u01/app/oracle/admin/ORCL/adump audit_sys_operations boolean FALSE audit_syslog_level string audit_trail s

9、tring NONE SQL alter system set audit_sys_operations=TRUE scope=spfile;-审计管理用户(以 sysdba/sysoper 角色登陆)SQL alter system set audit_trail=db_extended scope=spfile;SQL startup force;SQL show parameter audit NAME TYPE VALUE-audit_file_dest string /u01/app/oracle/admin/ORCL/adump audit_sys_operations boole

10、an TRUE audit_syslog_level string audit_trail string DB_EXTENDED 、开始审计 sqlplus/as sysdba-记录对一个表的所有操作 SQL audit all on t_test;SQL conn u_test SQL select*from t_test;SQL insert into (c2,c5)values(test1,2);SQL commit;SQL delete from;SQL commit;SQL conn/as sysdba SQL select OS_USERNAME,username,USERHOST

11、,TERMINAL,TIMESTAMP,OWNER,obj_name,ACTION_NAME,sessionid,os_process,sql_bind,sql_text from dba_audit_trail;sql audit select table by u_test by access;如果在命令后面添加 by user 则只对 user 的操作进行审计,如果省去 by用户,则对系统中所有的用户进行审计(不包含 sys 用户).例：AUDIT DELETE ANY TABLE;-审计删除表的操作 AUDIT DELETE ANY TABLE WHENEVER NOT SUCCESS

12、FUL;-只审计删除失败的情况 AUDIT DELETE ANY TABLE WHENEVER SUCCESSFUL;-只审计删除成功的情况 AUDIT DELETE,UPDATE,INSERT ON by test;-审计 test 用户对表的delete,update,insert 操作、撤销审计 SQL noaudit all on t_test;9、审计语句 多层环境下的审计：appserve-应用服务器，jackson-client AUDIT SELECT TABLE BY appserve ON BEHALF OF jackson;审计连接或断开连接：AUDIT SESSION;

13、AUDIT SESSION BY jeff,lori;-指定用户 审计权限(使用该权限才能执行的操作)：AUDIT DELETE ANY TABLE BY ACCESS WHENEVER NOT SUCCESSFUL;AUDIT DELETE ANY TABLE;AUDIT SELECT TABLE,INSERT TABLE,DELETE TABLE,EXECUTE PROCEDURE BY ACCESS WHENEVER NOT SUCCESSFUL;对象审计：AUDIT DELETE ON;AUDIT SELECT,INSERT,DELETE ON BY ACCESS WHENEVER S

14、UCCESSFUL;取消审计：NOAUDIT session;NOAUDIT session BY jeff,lori;NOAUDIT DELETE ANY TABLE;NOAUDIT SELECT TABLE,INSERT TABLE,DELETE TABLE,EXECUTE PROCEDURE;NOAUDIT ALL;-取消所有 statement 审计 NOAUDIT ALL PRIVILEGES;-取消所有权限审计 NOAUDIT ALL ON DEFAULT;-取消所有对象审计 10、清除审计信息 DELETE FROM$;DELETE FROM$WHERE obj$name=EMP

15、;11、审计视图 STMT_AUDIT_OPTION_MAP -审计选项类型代码 AUDIT_ACTIONS -action 代码 ALL_DEF_AUDIT_OPTS -对象创建时默认的对象审计选项 DBA_STMT_AUDIT_OPTS -当前数据库系统审计选项 DBA_PRIV_AUDIT_OPTS -权限审计选项 DBA_OBJ_AUDIT_OPTS USER_OBJ_AUDIT_OPTS ;-对象审计选项 DBA_AUDIT_TRAIL USER_AUDIT_TRAIL -审计记录 DBA_AUDIT_OBJECT USER_AUDIT_OBJECT -审计对象列表 DBA_AUDI

16、T_SESSION USER_AUDIT_SESSION -session 审计 DBA_AUDIT_STATEMENT USER_AUDIT_STATEMENT -语句审计 DBA_AUDIT_EXISTS -使用 BY AUDIT NOT EXISTS 选项的审计 DBA_AUDIT_POLICIES -审计 POLICIES DBA_COMMON_AUDIT_TRAIL -标准审计+精细审计 12、将审计结果表从 system 表空间里移动到别的表空间上 实际上$表上包含了两个 lob 字段，并不是简单的 move table 就可以。下面是具体的过程:alter table$move tablespace users;alter table$move lob(sqlbind)store as(tablespace USERS);alter table$move lob(SQLTEXT)store as(tablespace USERS);alter index rebuild tablespace u