使用Oracle的审计功能监控数据库中的可疑操作

最新推荐文章于 2022-04-07 15:58:04 发布
最新推荐文章于 2022-04-07 15:58:04 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: Oracle 其它特性 文章标签: oracle 数据库 object schema terminal delete

看一下Oracle的审计功能(包括FGA细粒度审计)能给我们带来些什么的强悍效果。
我将通过这个小文儿向您展示一下Oracle很牛的审计功能。Follow me. 
1.使用审计,需要先激活审计功能
1)查看系统中默认的与审计相关的参数设置
sys@ora10g> conn / as sysdba
Connected.
sys@ora10g> show parameter audit
NAME                  TYPE      VALUE
--------------------- --------- --------------------------------------
audit_file_dest       string    /oracle/app/oracle/admin/ora10g/adump
audit_sys_operations  boolean   FALSE
audit_syslog_level    string
audit_trail           string    NONE
2)对上面所列的参数进行一下解释
(1)AUDIT_FILE_DEST = 路径
指示出审计的文件存放的路径信息,我们这里显示的是“/oracle/app/oracle/admin/ora10g/adump”
不管打开还是不打开审计功能,这个目录项都会记录以sysdba身份的每次登录信息,有兴趣的朋友可以到这个目录中查看一下。
例如:
$ cat ora_9915.aud
Audit file /oracle/app/oracle/admin/ora10g/adump/ora_9915.aud
Oracle Database 10g Enterprise Edition Release 10.2.0.3.0 - 64bit Production
With the Partitioning, Oracle Label Security, OLAP and Data Mining Scoring Engine options
ORACLE_HOME = /oracle/app/oracle/product/10.2.0/db_1
System name:    Linux
Node name:      testdb183
Release:        2.6.18-128.el5
Version:        #1 SMP Wed Dec 17 11:41:38 EST 2008
Machine:        x86_64
Instance name: ora10g
Redo thread mounted by this instance: 1
Oracle process number: 13
Unix process pid: 9915, image: oracle@testdb183 (TNS V1-V3)
Wed Aug 26 19:24:11 2009
ACTION : 'CONNECT'
DATABASE USER: '/'
PRIVILEGE : SYSDBA
CLIENT USER: oracle
CLIENT TERMINAL: pts/1
STATUS: 0
(2)audit_sys_operations
默认值是FALSE,如果开启审计功能,这个参数需要修改为TRUE。
(3)audit_syslog_level
       语句:指定审计语句或特定类型的语句组,象审计表的语句 CREATE TABLE, TRUNCATE TABLE, COMMENT ON TABLE, and DELETE [FROM] TABLE
       权限:使用审计语句指定系统权限,象AUDIT CREATE ANY TRIGGER
       对象:在指定对象上指定审计语句,象ALTER TABLE on the emp table
(4)AUDIT_TRAIL = NONE|DB|OS
        DB--审计信息记录到数据库中
        OS--审计信息记录到操作系统文件中
        NONE--关闭审计(默认值)
3)修改参数audit_sys_operations为“TRUE”,开启审计的功能
sys@ora10g> alter system set audit_sys_operations=TRUE scope=spfile;
System altered.
4)修改参数audit_trail为“db”,审计信息记录到数据库中
sys@ora10g> alter system set audit_trail=db scope=spfile;
System altered.
5)注意,到这里如果需要使这些参数生效,必须重新启动一下数据库
sys@ora10g> shutdown immediate;
Database closed.
Database dismounted.
ORACLE instance shut down.
sys@ora10g> startup;
ORACLE instance started.
Total System Global Area 1073741824 bytes
Fixed Size                  2078264 bytes
Variable Size             293603784 bytes
Database Buffers          771751936 bytes
Redo Buffers                6307840 bytes
Database mounted.
Database opened.
6)验证一些参数修改后的结果,这里显示已经修改完成
sys@ora10g> show parameter audit;
NAME                  TYPE     VALUE
--------------------- -------- --------------------------------------
audit_file_dest       string   /oracle/app/oracle/admin/ora10g/adump
audit_sys_operations  boolean  TRUE
audit_syslog_level    string
audit_trail           string   DB
2.开启了审计功能后,这里有一个有趣的效果,就是所有sysdba权限下的操作都会被记录到这个/oracle/app/oracle/admin/ora10g/adump审计目录下。这也是为什么开启了审计功能后会存在一些开销和风险。
1)假如我们在sysdba权限用户下执行下面三条命令
sys@ora10g> alter session set nls_date_format='yyyy-mm-dd hh24:mi:ss';
Session altered.
sys@ora10g> select * From dual;
D
-
X
sys@ora10g> show parameter spfile
NAME   TYPE   VALUE
------ ------ ------------------------------------------------------------
spfile string /oracle/app/oracle/product/10.2.0/db_1/dbs/spfileora10g.ora
2)使用tail命令可以看到在相应的trace文件中有如下的详细记录信息,有点意思的发现,可以看到“show parameter spfile”命令背后真正执行了什么样的SQL语句
Wed Aug 26 20:04:03 2009
ACTION : 'alter session set nls_date_format='yyyy-mm-dd hh24:mi:ss''
DATABASE USER: '/'
PRIVILEGE : SYSDBA
CLIENT USER: oracle
CLIENT TERMINAL: pts/2
STATUS: 0
Wed Aug 26 20:04:03 2009
ACTION : 'BEGIN DBMS_OUTPUT.GET_LINES(:LINES, :NUMLINES); END;'
DATABASE USER: '/'
PRIVILEGE : SYSDBA
CLIENT USER: oracle
CLIENT TERMINAL: pts/2
STATUS: 0
Wed Aug 26 20:04:16 2009
ACTION : 'select * From dual'
DATABASE USER: '/'
PRIVILEGE : SYSDBA
CLIENT USER: oracle
CLIENT TERMINAL: pts/2
STATUS: 0
Wed Aug 26 20:04:16 2009
ACTION : 'BEGIN DBMS_OUTPUT.GET_LINES(:LINES, :NUMLINES); END;'
DATABASE USER: '/'
PRIVILEGE : SYSDBA
CLIENT USER: oracle
CLIENT TERMINAL: pts/2
STATUS: 0
Wed Aug 26 20:07:21 2009
ACTION : 'SELECT NAME NAME_COL_PLUS_SHOW_PARAM,DECODE(TYPE,1,'boolean',2,'string',3,'integer',4,'file',5,'number',        6,'big integer', 'unknown') TYPE,DISPLAY_VALUE VALUE_COL_PLUS_SHOW_PARAM FROM V$PARAMETER WHERE UPPER(NAME) LIKE UPPER('%spfile%') ORDER BY NAME_COL_PLUS_SHOW_PARAM,ROWNUM'
DATABASE USER: '/'
PRIVILEGE : SYSDBA
CLIENT USER: oracle
CLIENT TERMINAL: pts/2
STATUS: 0
3.演示一下对sec用户的t_audit表delete操作的审计效果
1)表t_audit信息如下
sec@ora10g> select * from t_audit order by 1;
         X
----------
         1
         2
         3
         4
         5
         6
6 rows selected.
2)这里仅仅开启对表t_audit的delete操作的审计
sec@ora10> audit delete on t_audit;
Audit succeeded.
3)查看审计设置可以通过查询dba_obj_audit_opts视图来完成
sec@ora10g> select OWNER,OBJECT_NAME,OBJECT_TYPE,DEL,INS,SEL,UPD from dba_obj_audit_opts;
OWNER  OBJECT_NAME  OBJECT_TYPE  DEL       INS       SEL       UPD
------ ------------ ------------ --------- --------- --------- ---------
SEC    T_AUDIT      TABLE        S/S       -/-       -/-       -/-
4)尝试插入数据
sec@ora10g> insert into t_audit values (7);
1 row created.
5)因为我们没有对insert语句进行审计,所以没有审计信息可以得到
sec@ora10g> select count(*) from dba_audit_trail;
  COUNT(*)
----------
         0
6)再尝试delete操作
sec@ora10g> delete from t_audit where x=1;
1 row deleted.
7)不出所料,delete操作被数据库捕获
这里可以通过查询dba_audit_trail视图或者sys.aud$视图得到详细的审计信息,这种审计方法可以得到操作的时间,操作用户等较粗的信息(相对后面介绍的细粒度审计来说)
sec@ora10g> select count(*) from dba_audit_trail;
  COUNT(*)
----------
         1
select * from dba_audit_trail;
select * from sys.aud$;
4.如想要取消对表t_audit的全部审计,需要使用手工方式来完成
sec@ora10> noaudit all on t_audit;
Noaudit succeeded.
通过查询dba_obj_audit_opts视图,确认确实已经取消的审计
sec@ora10g> select * from dba_obj_audit_opts;
no rows selected
5.【FGA】【细粒度审计】上面得到的审计信息是较粗的,我们进一步演示一下“细粒度审计FGA”的效果:可以通过FGA得到操作的SQL语句级别的信息
1)细粒度审计t_audit表上的增删改查的一切操作
sec@ora10g> conn / as sysdba
Connected.
sys@ora10g> exec dbms_fga.add_policy(object_schema=>'SEC', object_name=> 't_audit', policy_name=> 'check_t_audit',statement_types => 'INSERT, UPDATE, DELETE, SELECT');
PL/SQL procedure successfully completed.
2)对t_audit表增删改查操作一番
sys@ora10g> conn sec/sec
Connected.
sec@ora10g> select * from t_audit;
         X
----------
         2
         3
         4
         5
         6
         7
6 rows selected.
sec@ora10g> delete from t_audit where x=5;
1 row deleted.
sec@ora10g> update t_audit set x=8 where x=7;
1 row updated.
sec@ora10g> insert into t_audit values (1);
1 row created.
sec@ora10g> commit;
Commit complete.
3)OK,查看dba_fga_audit_trail视图得到了4条审计记录
sec@ora10g> select count(*) from dba_fga_audit_trail;
  COUNT(*)
----------
         4
4)详细查看一下对应的SQL操作,FGA还是很强悍的
sec@ora10g> col DB_USER for a10
sec@ora10g> col SQL_TEXT for a50
sec@ora10g> select db_user,sql_text from dba_fga_audit_trail;
DB_USER    SQL_TEXT
---------- --------------------------------------------------
SEC        select * from t_audit
SEC        delete from t_audit where x=5
SEC        update t_audit set x=8 where x=7
SEC        insert into t_audit values (1)
5)最后再看一下这个dba_fga_audit_trail视图的结构,可以看到这个视图中记录了非常详尽的审计信息列
sec@ora10g> desc dba_fga_audit_trail
 Name                Null?    Type
 ------------------- -------- ----------------------------
 SESSION_ID          NOT NULL NUMBER
 TIMESTAMP                    DATE
 DB_USER                      VARCHAR2(30)
 OS_USER                      VARCHAR2(255)
 USERHOST                     VARCHAR2(128)
 CLIENT_ID                    VARCHAR2(64)
 ECONTEXT_ID                  VARCHAR2(64)
 EXT_NAME                     VARCHAR2(4000)
 OBJECT_SCHEMA                VARCHAR2(30)
 OBJECT_NAME                  VARCHAR2(128)
 POLICY_NAME                  VARCHAR2(30)
 SCN                          NUMBER
 SQL_TEXT                     NVARCHAR2(2000)
 SQL_BIND                     NVARCHAR2(2000)
 COMMENT$TEXT                 VARCHAR2(4000)
 STATEMENT_TYPE               VARCHAR2(7)
 EXTENDED_TIMESTAMP           TIMESTAMP(6) WITH TIME ZONE
 PROXY_SESSIONID              NUMBER
 GLOBAL_UID                   VARCHAR2(32)
 INSTANCE_NUMBER              NUMBER
 OS_PROCESS                   VARCHAR2(16)
 TRANSACTIONID                RAW(8)
 STATEMENTID                  NUMBER
 ENTRYID                      NUMBER

6)针对上面添加的审计策略进行调整:disable_policy、enable_policy和drop_policy的方法
使策略失效的方法:
sys@ora10g> exec dbms_fga.disable_policy(object_schema=>'SEC', object_name=> 't_audit', policy_name=> 'check_t_audit');
使策略生效的方法:
sys@ora10g> exec dbms_fga.enable_policy(object_schema=>'SEC', object_name=> 't_audit', policy_name=> 'check_t_audit');
彻底删除策略的方法:
sec@ora10g> exec dbms_fga.drop_policy(object_schema=>'SEC', object_name=> 't_audit', policy_name=> 'check_t_audit');
PL/SQL procedure successfully completed.
最后列一下dbms_fga提供给我们使用的方法都有哪些
sec@ora10g> desc dbms_fga
PROCEDURE ADD_POLICY
 Argument Name                  Type                    In/Out Default?
 ------------------------------ ----------------------- ------ --------
 OBJECT_SCHEMA                  VARCHAR2                IN     DEFAULT
 OBJECT_NAME                    VARCHAR2                IN
 POLICY_NAME                    VARCHAR2                IN
 AUDIT_CONDITION                VARCHAR2                IN     DEFAULT
 AUDIT_COLUMN                   VARCHAR2                IN     DEFAULT
 HANDLER_SCHEMA                 VARCHAR2                IN     DEFAULT
 HANDLER_MODULE                 VARCHAR2                IN     DEFAULT
 ENABLE                         BOOLEAN                 IN     DEFAULT
 STATEMENT_TYPES                VARCHAR2                IN     DEFAULT
 AUDIT_TRAIL                    BINARY_INTEGER          IN     DEFAULT
 AUDIT_COLUMN_OPTS              BINARY_INTEGER          IN     DEFAULT
PROCEDURE DISABLE_POLICY
 Argument Name                  Type                    In/Out Default?
 ------------------------------ ----------------------- ------ --------
 OBJECT_SCHEMA                  VARCHAR2                IN     DEFAULT
 OBJECT_NAME                    VARCHAR2                IN
 POLICY_NAME                    VARCHAR2                IN
PROCEDURE DROP_POLICY
 Argument Name                  Type                    In/Out Default?
 ------------------------------ ----------------------- ------ --------
 OBJECT_SCHEMA                  VARCHAR2                IN     DEFAULT
 OBJECT_NAME                    VARCHAR2                IN
 POLICY_NAME                    VARCHAR2                IN
PROCEDURE ENABLE_POLICY
 Argument Name                  Type                    In/Out Default?
 ------------------------------ ----------------------- ------ --------
 OBJECT_SCHEMA                  VARCHAR2                IN     DEFAULT
 OBJECT_NAME                    VARCHAR2                IN
 POLICY_NAME                    VARCHAR2                IN
 ENABLE                         BOOLEAN                 IN     DEFAULT
6.小结
以上的实验展示了Oracle的审计功能,包括Oracle引以为傲的FGA细粒度审计。
警告:这种审计的方法是需要付出一定的代价的,如磁盘的开销,性能的开销,以及您的系统是否允许反复的停启数据库实例等等。在生产环境中使用之前需要多方面评估。 

lovely可爱欧辰
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用oracle审计功能监控测试数据库的变化
笨笨狗!~罗望军~的专栏
05-27 8354
利用oracle审计功能来监测试环境的变化         做过测试的人都应该会碰到这样的情况:测试发现的bug在开发机器上没有出现,显然这是环境差异的原因。相当多情况下,因为测试使用数据库结构和开发使用数据库结构不一致造成的。尤其是一些公司在提交测试版本的时候,注重应用程序的版本提交,往往忽略提交和程序匹配的数据库结构,在这种情况下,如果程序和数据库结构不匹配的话,系统稳定就怪了
[Oracle] 数据库安全之 - 审计Audit
Zhu_Julian's Notes (朱显杰的技术博客)
06-09 3726
Oracle审计是一个事后的工作,即数据库出现安全问题后,为了定位、发现问题的根源,可以通过审计追根溯源。Oracle审计主要包含以下3个部分: Trigger-based Auditing(触发器)Auditing the sys User-(SYS用户审计)Standard Auditing (标准审计) 触发器审计 下面是一个触发器审计的例子,一旦emp表的sal字段
oracle 12c\18c\19c安全审计规则
Du.的博客
04-07 4458
12c新特性 12c开始oracle引入了统一审计(unified auditing)的概念,统一审计默认是关闭的。 如果保持默认(关闭统一审计),传统的审计方式生效,将audit_trail设为none\os\db\xml,与11g无异 如果开启统一审计,传统的审计方式设置的audit_trail无效,审计记录会自动存储在AUDSYS用户下(AUDSYS.AUD$UNIFIED表),SYSAUX表空间。 参考:AUDIT (Traditional Auditing) 有一段描述如下: AU
【实验】【审计】【FGA】使用Oracle审计功能监控数据库可疑操作
cuanchuwei1207的博客
08-26 220
看一下Oracle审计功能(包括FGA细粒度审计)能给我们带来些什么的强悍效果。我将通过这个小文儿向您展示一下Oracle很牛的审计功能。Follow me.1.使用审计,需要先激活审计功能1)查看系统默认的与审计相关的参数...
oracle数据库审计架构
yq272393925的博客
04-09 409
架构概述 审计始终关注问责制,进行审计通常是为了保护数据库存储的信息的隐私。随着数据库在企业和互联网上的普遍使用,对隐私政策和做法的担忧也在持续增加。Oracle Database 提供了深度审计,让系统管理员能够实施增强的保护措施,及时发现可疑活动,做出精心优化的安全应对。 有条件的统一审计 Oracle Database 12c 统一审计功能利用策略和条件在 Oracle 数据库...
Oracle审计
Just Do IT
12-08 479
1、审计功能监控用户在database 的 action (操作) 2、审计分类: 1) session :在同一个session,相同的语句只产生一个审计结果(默认) 2) access : 在同一个session,每一个语句产生一个审计结果 3、启用审计(默认不启用)SYS@LGR> show parameter audit;NAME
oracle审计脚本,Oracle审计策略例子
weixin_36373013的博客
04-06 310
首先确保Oracle初始化参数audit_trail值为DB或OS,通过“show parameter audit_trail;”查看。1 语句审计audit table by test by access;select * from dba_stmt_audit_opts; --查看是否创建语句审计成功select * from employee_log;delete from employee...
利用Oracle审计功能记录数据库操作.doc
10-05
利用Oracle审计功能记录数据库操作.doc
利用Oracle审计功能记录数据库操作.docx
01-12
利用Oracle审计功能记录数据库操作.docx
Oracle审计仓库和数据库防火墙
最新发布
04-07
Oracle审计仓库和数据库防火墙
如何在LoadRunner监控Oracle数据库
02-27
1、使用LR自带的监控引擎在LR的controller上安装oracle客户端:这一步就不用说了,安装直接Setup,安装就OK了。1)安装完后,先配置一下NetConfigurationAssistant。记住配置的服务名。配置成功会显示:正在连接......
JavaScript连接操作Oracle数据库实例
12-12
无论是b/s还是c/s的开发,基本上不使用javascript来对数据库进行操作。而我了印证我的一个想法,需要往数据库增加大量的新闻类信息,因此,我想从各个rss站点上获取信息并将信息导入到数据库里去。其实我也可以...
标准审计
好记性不如烂博客
10-05 2117
标准审计 审计是对选定的用户动作进行监控和记录,用来监视用户对oracle数据库所做的各种操作。 在语句执行阶段产生审计记录。审计记录包含有审计的时间、审计的对象,用户执行的操作操作的结果等信息审计记录可存在数据字典表(称为审计记录)或操作系统审计记录数据库审计记录均保存在AUD$表。 SYS用户默认不被审计,除非AUDIT_SYS_OPERATIONS 参数置为true.审计结果
Oracle audit_sys_operations参数详解
zhangziyueup
10-26 1747
1 定义 audit_sys_operations审计SYSDBA的活动。默认值是false。相关的审计信息不会记录在aud$,因为有可能此时数据库还未启动,只能记录在操作系统层面的文件。默认为false,不意味着没有审计信息,像conn / as sysdba这样的操作仍然会被记录。audit_file_dest参数指定的审计信息的文件夹。 将audit_sys_operations...
audit相关参数及SYS用户对普通用户进行审计
还不算晕的专栏
09-06 4068
一、对普通用户进行审计 1.修改参数audit_trail = db,extended并重启: SYS@ bys001>show parameter audit_trail NAME TYPE VALUE ------------------------------------ ----------- -----
ORACLE AUDIT_SYS_OPERATIONS 参数
allway2的博客
06-04 1996
AUDIT_SYS_OPERATIONS Property Description Parameter type Boolean Default value TRUE Modifiable No Modifiable in a PDB ...
关于ORA-01720: 不存在 '+++' 的授权选项的错误解决方法
热门推荐
jinlinxie的博客
08-16 1万+
在用A用户创建视图的时候,引用了sys用户下的一张视图,创建时报错 ORA-01720: 不存在 'SYS.DBA_ARGUMENTS' 的授权选项。然后我登录sys用户,grant select on DBA_ARGUMENTS to A,但还是报ORA-01720的错误,经过查询,解决方法如下: 在grant select on DBA_ARGUMENTS to A 后面加上 with gr
采用审计数据库监视数据库的更改
冯立彬的博客
07-26 5635
有些时候我们需要知道数据表做了什么样的更改,写入了什么样的语句,这个时候可以采用审计数据库来做这个工作,用以记录需要的信息,但是配置过程有点烦,下面是一篇CHINAUNIX上面的文章,说如何配置审计数据库: http://bbs.chinaunix.net/archiver/?tid-560903.html 本文出自:冯立彬的博客
使用prometheus 监控Oracle数据库
07-15
可以使用 Prometheus 和 Oracle 的 Exporter 来监控 Oracle 数据库。下面是一些步骤: 1. 安装 Prometheus:首先,您需要安装和配置 Prometheus。您可以从 Prometheus 官方网站下载适合您操作系统的二进制文件,并按照官方文档进行安装和配置。 2. 下载和配置 Oracle Exporter:Oracle Exporter 是一个用于将 Oracle 数据库指标暴露给 Prometheus 的工具。您可以从该项目的 GitHub 页面下载 Exporter 的二进制文件。下载完成后,您需要创建一个配置文件,其包含连接到 Oracle 数据库的详细信息,例如用户名、密码、主机和端口等。 3. 启动 Oracle Exporter:使用您在上一步创建的配置文件,运行 Oracle Exporter。这将启动 Exporter 并开始将 Oracle 数据库的指标暴露给 Prometheus。 4. 配置 Prometheus:在 Prometheus 的配置文件添加一个新的 job 来收集 Oracle Exporter 暴露的指标。您需要指定 Exporter 的地址和端口。 5. 重启 Prometheus:完成配置后,您需要重启 Prometheus 以使更改生效。 6. 访问 Prometheus Web UI:在浏览器访问 Prometheus 的 Web UI,通常是 http://localhost:9090。在这里,您可以查看和查询收集到的 Oracle 数据库指标。 请注意,这只是一个基本的概述。您可能还需要进一步了解 Prometheus 和 Oracle Exporter 的详细配置和用法,以满足您的特定需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值