关于审计

1、什么是审计

简单来讲，就是把对数据库的操作记录下来。不管你是否打开数据库的审计功能，以下这些操作系统会强制记录。
l 用管理员权限连接Instance
l 启动数据库
l 关闭数据库


2、和审计相关的两个主要参数
Audit_sys_operations
默认为false ，当设置为true 时，所有（注意是所有！）sys 用户（包括以sysdba,sysoper 身份登录的用户）的操作都会被记录，audit trail 不会写在aud$ 表中，这个很好理解，如果数据库还未启动aud$ 不可用，那么像conn /as sysdba 这样的连接信息，只能记录在其它地方。如果是windows 平台，audti trail 会记录在windows 的事件管理中，如果是linux/unix 平台则会记录在audit_file_dest 参数指定的文件中


Audit_trail

有三个取值
None ：默认值，不做审计
DB ：将audit trail 记录在数据库的审计相关表中，如aud$
OS ：将audit trail 记录在操作系统文件中，文件名由audit_file_dest 参数指定



注：这两个参数是static 参数，需要重新启动数据库才能生效。


3、审计级别

当开启审计功能后(audit_trail=DB/OS) ，可在四个级别对数据库进行审计：Statement( 语句) 、Privilege （权限）、object （对象）、Fine-Grained


Statement
按语句来审计，比如audit table 会审计数据库中所有的create table,drop table,truncate table 语句，alter session by cmy 会审计cmy 用户所有的数据库连接。



Privilege
按权限来审计，当用户使用了该权限则被审计，如执行grant select any table to a; audit select any table; 语句后，当用户a 访问了用户b 的表时（如select * from b.t; ）会用到select any table 权限，故会被审计。注意用户是自己表的所有者，所以用户访问自己的表不会被审计



Object
按对象审计，只审计on 关键字指定对象的相关操作，如aduit alter,delete,drop,insert on cmy.t by scott; 这里会对cmy 用户的t 表进行审计，但同时使用了by 子句，所以只会对scott 用户发起的操作进行审计. 注意Oracle 没有提供对schema 中所有对象的审计功能，只能一个一个对象审计，对于后面创建的对象，Oracle 则提供on default 子句来实现自动审计，比如执行audit drop on default by access; 后， 对于随后创建的对象的drop 操作都会审计。但这个default 会对之后创建的所有数据库对象有效，似乎没办法指定只对某个用户创建的对象有效，想比trigger 可以对schema 的DDL 进行“审计”，这个功能稍显不足。


4、审计的一些其他选项

by access / by session
：by access 每一个被审计的操作都会生成一条audit trail 。 by session ，一个会话里面同类型的操作只会生成一条audit trail 。 默认为by session

whenever [ not ] successful
：whenever successful 操作成功(dba_audit_trail 中returncode 字段为0) 才审计,whenever not successful 反之。 省略该子句的话，不管操作成功与否都会审计。




5、和审计相关的视图

dba_audit_trail

保存所有的audit trail，实际上它只是一个基于aud$的视图。其它的视图dba_audit_session,dba_audit_object,dba_audit_statement都只是dba_audit_trail的一个子集。

dba_stmt_audit_opts
可以用来查看statement审计级别的audit options，即数据库设置过哪些statement级别的审计。dba_obj_audit_opts,dba_priv_audit_opts视图功能与之类似



all_def_audit_opts

用来查看数据库用on default子句设置了哪些默认对象审计。


6、取消审计

将对应审计语句的audit改为noaudit即可，如audit session whenever successful；取消审计noaudit session whenever successful;

不再赘述。

Oracle审计
1.
AUDIT_SYS_OPERATIONS = TRUE审计管理用户(以sysdba/sysoper角色登陆)
windows平台会保存到Event Viewer日志文件中,诸如
CONNECT / AS SYSDBA;
ALTER SYSTEM FLUSH SHARED_POOL;
UPDATE salary SET base=1000 WHERE name='myname';
的操作都会记录到windows事件中
AUDIT_TRAIL=OS时AUDIT_FILE_DEST定义审计的destination

2.
相关的视图
-- 审计记录
select * from sys.aud$
select * from dba_audit_trail
select * from dba_common_audit_trail
-- action的定义
select * from audit_actions

3.
多层环境下的审计
appserve-应用服务器
jackson-client?
AUDIT SELECT TABLE BY appserve ON BEHALF OF jackson;

4.
审计选项
Statement-诸如CREATE TABLE, TRUNCATE TABLE, COMMENT ON TABLE, and DELETE [FROM] TABLE等语句
Privilege-AUDIT CREATE ANY TRIGGER会审计使用CREATE ANY TRIGGER权限执行的语句
Object-审计特定对象上的特定语句,比如emp表上的ALTER TABLE语句

5.
BY SESSION/BY ACCESS-每个session或者每次访问
WHENEVER SUCCESSFUL/WHENEVER NOT SUCCESSFUL-成功/不成功

6.
审计连接或断开连接:
AUDIT SESSION;
-- 指定用户
AUDIT SESSION BY jeff, lori;
审计权限(使用该权限才能执行的操作):
AUDIT DELETE ANY TABLE BY ACCESS WHENEVER NOT SUCCESSFUL;
AUDIT DELETE ANY TABLE;
AUDIT SELECT TABLE, INSERT TABLE, DELETE TABLE, EXECUTE PROCEDURE
BY ACCESS WHENEVER NOT SUCCESSFUL;
对象审计:
AUDIT DELETE ON jeff.emp;
AUDIT SELECT, INSERT, DELETE ON jward.dept BY ACCESS WHENEVER SUCCESSFUL;

7.
取消审计
NOAUDIT session;
NOAUDIT session BY jeff, lori;
NOAUDIT DELETE ANY TABLE;
NOAUDIT SELECT TABLE, INSERT TABLE, DELETE TABLE,EXECUTE PROCEDURE;
-- 取消所有statement审计
NOAUDIT ALL;
-- 取消所有权限审计
NOAUDIT ALL PRIVILEGES;
-- 取消所有对象审计
NOAUDIT ALL ON DEFAULT;

8.
清除审计信息
DELETE FROM SYS.AUD$;
DELETE FROM SYS.AUD$ WHERE obj$name='EMP';

9.
审计视图
STMT_AUDIT_OPTION_MAP-审计选项类型代码
AUDIT_ACTIONS-action代码
ALL_DEF_AUDIT_OPTS-对象创建时默认的对象审计选项
DBA_STMT_AUDIT_OPTS-当前数据库系统审计选项
DBA_PRIV_AUDIT_OPTS-权限审计选项
DBA_OBJ_AUDIT_OPTS
USER_OBJ_AUDIT_OPTS-对象审计选项
DBA_AUDIT_TRAIL
USER_AUDIT_TRAIL-审计记录
DBA_AUDIT_OBJECT
USER_AUDIT_OBJECT-审计对象列表
DBA_AUDIT_SESSION
USER_AUDIT_SESSION-session审计
DBA_AUDIT_STATEMENT
USER_AUDIT_STATEMENT-语句审计
DBA_AUDIT_EXISTS-使用BY AUDIT NOT EXISTS选项的审计
DBA_AUDIT_POLICIES-审计POLICIES
DBA_COMMON_AUDIT_TRAIL-标准审计+精细审计

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/14999074/viewspace-591492/，如需转载，请注明出处，否则将追究法律责任。

转载于:http://blog.itpub.net/14999074/viewspace-591492/