【审计】基于值审计

最新推荐文章于 2024-07-18 18:43:19 发布
最新推荐文章于 2024-07-18 18:43:19 发布
阅读量96 收藏
点赞数
文章标签: 数据库 操作系统

进行数据库审计时会记录审计对象中发生的插入、更新和删除操作,但是不会捕获更改的实际值。
要扩展数据库审计,可使用基于值的审计,利用数据库触发器(事件驱动的PL/SQL 构造)来捕获更改的值。
用户在连接了相应触发器的表中插入、更新或删除数据时,触发器在后台将审计信息复制到包含审计信息的表中。
因为审计触发器代码在每次插入、更新或删除操作发生时都必须执行,所以与标准数据库审计相比,使用基于值的审计时,性能下降幅度比较大。
性能下降幅度取决于触发器代码的效率。只在标准数据库审计捕获的信息不足的情况下,才使用基于值的审计。
基于值的审计由用户或第三方代码实施。Oracle DB 提供了可用来构建基于值的审计系统的PL/SQL 构造。
基于值的审计的关键部分是审计触发器,这是一个单纯为了捕获审计信息而构造的PL/SQL 触发器。

基于值审计(以触发器为核心)


一、示例

create or replace trigger system.hrsalary_audit
after update of salary on hr.employees
referencing new as new old as old
for each row
begin
if :old.salary != :new.salary then
insert into system.audit_employees
values
(sys_context('userenv', 'os_user'), sysdate,
sys_context('userenv', 'ip_address'),
:new.employee_id || ' salary changed from ' || :old.salary || ' to '||:new.salary);
end if;
end;
/

触发器是创建在 system 用户下的,针对 hr 用户的 employees 表的 salary 字段进行基于值的审计,如果对表 employees 表的 salary
字段进行了更新,那么就会触发 hrsalary_audit,如果更新后的 salary值与原来的值不同,那么就把做更新这个动作的操作系统用户名IP
地址都记录到表system.audit_employees,同时将 salary 的值也记录下来。

 

二、实际应用测试
1) 创建日志表 db_ddl_log

SYS@ORA11GR2>create table db_ddl_log(logdate date default sysdate,username varchar2(200),ddltype varchar2(200),objecttype varchar2(200),objectname varchar2(200),objectownner varchar2(200),ipaddress varchar2(18)) tablespace users;

 

Table created.

 

——解释:【

comment on column DB_DDL_LOG.LOGDATE is '记录日期';
comment on column DB_DDL_LOG.USERNAME is '用户名';
comment on column DB_DDL_LOG.DDLTYPE is 'DDL 类型三种: alter,drop,create;
comment on column DB_DDL_LOG.OBJECTTYPE is '操作对象类型';
comment on column DB_DDL_LOG.OBJECTNAME is '操作对象名称';
comment on column DB_DDL_LOG.OBJECTOWNNER is '操作对象拥有者';
comment on column DB_DDL_LOG.IPADDRESS is 'IP 地址';


2) 创建日志表 eventlog

SYS@ORA11GR2>create table eventlog (

  2  oper_time date default sysdate,

  3  eventname varchar2(20),

  4  obj_type varchar2(20),

  5  obj_name varchar2(20),

  6  obj_owner varchar2(20),

  7  ip_addr  varchar2(18),

  8  os_user  varchar2(200),

  9  terminal varchar2(200),

 10  host_name varchar2(200),

 11  user_name varchar2(200),

 12  session_id number

 13  ) tablespace users;

 

Table created.

 

——解释:【

comment on column EVENTLOG.OPER_TIME is 'DDL 时间';
comment on column EVENTLOG.EVENTNAME is '事件类型: create alter drop';
comment on column EVENTLOG.OBJ_TYPE is '目标类型: table procedure function ';
comment on column EVENTLOG.OBJ_NAME is '目标名称';
comment on column EVENTLOG.OBJ_OWNER is '目标所在用户';
comment on column EVENTLOG.IP_ADDR is '终端 IP';

comment on column EVENTLOG.OS_USER is '终端操作系统用户名';
comment on column EVENTLOG.TERMINAL is '终端名称';
comment on column EVENTLOG.HOST_NAME is '终端主机名';
comment on column EVENTLOG.USER_NAME is '执行 DDL oracle 用户名';
comment on column EVENTLOG.SESSION_ID is '会话 ID';

 

1)  创建写入日志的过程包

SYS@ORA11GR2>create or replace package pkg_ddl

  2  is

  3  /*

  4  * author:wangxuebing

  5  * created date:2016-09-22

  6  */

  7  procedure sp_trg_ddlcreate;

  8  procedure sp_trg_ddlalter;

  9  procedure sp_trg_ddldrop;

 10  procedure sp_ddlall;

 11  end pkg_ddl;

 12  /

 

Package created.

 

SYS@ORA11GR2>create or replace package body pkg_ddl

  2  is

  3  /*

  4  * author:wangxuebing

  5  * created date:2016-09-22

  6  */

  7  procedure sp_trg_ddlcreate

  8  is

  9  begin

 10  insert into db_ddl_log

 11  values (sysdate, user, 'create', sys.dictionary_obj_type,

 12  sys.dictionary_obj_name, sys.dictionary_obj_owner,

 13  sys_context ('userenv', 'ip_address'));

 14  end sp_trg_ddlcreate;

 15  procedure sp_trg_ddlalter

 16  is

 17  begin

 18  insert into db_ddl_log

 19  values (sysdate, user, 'alter', sys.dictionary_obj_type,

 20  sys.dictionary_obj_name, sys.dictionary_obj_owner,

 21  sys_context ('userenv', 'ip_address'));

 22  end sp_trg_ddlalter;

 23  procedure sp_trg_ddldrop

 24  is

 25  begin

 26  insert into db_ddl_log

 27  values (sysdate, user, 'drop', sys.dictionary_obj_type,

 28  sys.dictionary_obj_name, sys.dictionary_obj_owner,

 29  sys_context ('userenv', 'ip_address'));

 30  end sp_trg_ddldrop;

 31  procedure sp_ddlall

 32  is

 33  begin

 34  insert into eventlog

 35  (eventname, obj_type, obj_name, obj_owner, ip_addr,

 36  os_user, terminal, host_name, user_name, session_id)

 37  select sys.sysevent, sys.dictionary_obj_type,

 38  sys.dictionary_obj_name, sys.dictionary_obj_owner,

 39  sys_context ('userenv', 'ip_address'),

 40  sys_context ('userenv', 'os_user'),

 41  sys_context ('userenv', 'terminal'),

 42  sys_context ('userenv', 'host'), ora_login_user,

 43  sys_context ('userenv', 'sessionid')

 44  from dual;

 45  end sp_ddlall;

 46  end pkg_ddl;

 47  /

 

Package body created.

 

2)  创建基于值审计的触发器(触发器的处理动作都源于 pkg_ddl 包,请仔细阅读此包)

SYS@ORA11GR2>create or replace trigger trg_dbddl_alter_log

  2  after alter on database

  3  begin

  4  pkg_ddl.sp_trg_ddlalter;

  5  end trg_dbddl_alter_log;

  6  /

 

Trigger created.

 

SYS@ORA11GR2>create or replace trigger trg_dbddl_create_log

  2  after create on database

  3  begin

  4  pkg_ddl.sp_trg_ddlcreate;

  5  end trg_dbddl_create_log;

  6  /

 

Trigger created.

 

SYS@ORA11GR2>create or replace trigger trg_dbddl_drop_log

  2  after drop on database

  3  begin

  4  pkg_ddl.sp_trg_ddldrop;

  5  end trg_dbddl_drop_log;

  6  /

 

trigger created.

 

--注,下面这个触发器约等同于上面三个触发器

SYS@ORA11GR2>create or replace trigger trg_dbddl_log

  2  after ddl on database

  3  begin

  4  pkg_ddl.sp_ddlall;

  5  end trg_dbddl_alter_log;

  6  /

 

Trigger created.

 

3)  测试:(自行测试)
创建、修改、删除一张表,测试触发器的结果

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/31397003/viewspace-2126851/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/31397003/viewspace-2126851/

congjiu2607
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Oracle PL/SQL进阶编程(第十三弹:系统事件触发器)
艺术就是爆炸的专栏
08-11 1418
DML触发器和替代触发器都是在DML事件上触发的 ,而系统触发器是在DDL事件和数据库服务器事件时触发的。 定义系统触发器 语法如下: CREATE [OR REPLACE] TRIGGER trigger_name {BEFORE | AFTER} {DDL event |DATABASE event} ON {DATABASE | SCHEMA} [WHEN [...]] plsql_b...
Oracle 基于审计
小楼一夜听春雨,深巷明朝卖杏花
10-15 300
Value-Based Auditing:基于审计   进行数据库审计时会记录审计对象中发生的插入、更新和删除操作,但是不会捕获更改的实际。 要扩展数据库审计,可使用基于审计,利用数据库触发器(事件驱动的PL/SQL 构造)来捕获更改的。 用户在相应触发器的表中插入、更新或删除数据时,触发器在后台将审计信息复制到包含审计信息的表中。 因为审计触发器代码在每次插入、更新或删除操...
Oracle基于的审核
cldh1492的博客
09-21 117
Oracle通过使用触发器,可以实现基于的审核。 基于的审核实验: 1、用户scott有一张员工表emp,其中字段sal记录了每位员工的工资信息 ...
[Oracle 11g r2(11.2.0.4.0)]sql实现ddl记录日志
a743044559的专栏
10-29 1267
打算做一个ddl触发器, 对于所有的ddl的操作进行记录,同时 针对不允许删除的表不允许删除 编写如下。—ddl日志 –drop table sys_ddl_log; create table sys_ddl_log ( c_ora_sysevent varchar2(100), c_login_user varchar2(100), c_dictionary_obj_type var
Oracle数据库(十四)——触发器下
三林浦桥
02-27 361
触发器执行顺序 在同一个对象上可以作用多个触发器,因此触发器被激活是有先后顺序的: 首先触发的是前语句级触发器(before statement trigger),该触发器执行一次 如果有行级的触发器则接下来执行前行级触发器(before row trigger)该触发器域SQL修改的记录次数一致 当SQL修改记录完成后会触发行级触发器,这是的行级触发器为后触发(after statemen...
Oracle触发器
weixin_33901926的博客
03-15 69
--触发器的分类 1、数据库操作语言(DML)触发器。 2、数据库定义语言(DDL)触发器。 3、复合触发器。 4、Instead of 触发器。此类触发器通常作用在视图上。对于多个源表的视图做DML操作 通常是不被允许的,如果遇到这种情况就可以利用 instead of 类型触发器 解决问题。利用它可以把对视图的DML操作转换成对多个源表进行操作。 5、用户和系统事件触发器。 ...
oracle自带的几个触发器(最简单触发器格式)
eNet
01-29 1484
--create or replace trigger MDSYS.sdo_drop_userafter drop on DATABASEdeclare    stmt varchar2(200);BEGIN     if dictionary_obj_type = USER THEN       stmt := DELETE FROM SDO_GEOM_METADATA_TABLE
oracle 触发器全扫描
yanleigis的专栏
11-30 1033
第二章 触发器2.1 触发器的创建CREATE TRIGGER [schema.]trigger_name{BEFORE|AFTER} {UPDATE|INSERT|DELETE} ON [schema.]table_name[ [REFERENCING correlation_names] FOR EACH ROW [WHEN (condition)] ]DECLAREdeclarationBE
Oracle触发器用法实例详解
墨 尘
04-12 440
触发器的定义就是说某个条件成立的时候,触发器里面所定义的语句就会被自动的执行。因此触发器不需要人为的去调用,也不能调用。然后,触发器的触发条件其实在你定义的时候就已经设定好了。这里面需要说明一下,触发器可以分为语句级触发器和行级触发器。 行级触发器:改一行数据,触发一次。语句级触发器:这条SQL语句无论影响多少条记录,触发器都只触发一次。 触发器的语法: create [or repl...
drop与truncate的区别
关注系统性能调优
03-26 4332
公司有同事清除大表的时候先truncate,然后drop。问为什么不直接drop,答这样效率高,那真的高吗?其实差不多,先测量下redo,drop 比truncate产生的还少,重点是标黄部分。                              产生redo                  执行时间        truncate         53k
基于MySQL 数据库审计设计方案
上帝之手&传奇 - MartinLee
01-18 3454
点击打开链接  --源地址信息  目录   1  xxx基于数据库审计基本信息 2  场景描述 3  使用范围规则 4  角色与职责 5  审计系统环境的部署 5.1 MySQL数据库部署 5.2 Replicate 部署 5.3 半同步复制配置 5.4 备份策略  6 审计操作 6.1数据库层面审计操作
谈一谈Oracle11gR2的审计管理
weixin_34001430的博客
02-09 429
谈一谈Oracle11gR2的审计管理作者:赵全文 网名:guestart 在Oracle数据库的安全特性当中,审计被作为特别重要的一个方面。数据库审计功能主要是用来审计各种类型的DDL和DML语句,而审计管理作为一项新特性被引进到Oracle的11g R1版本当中,此时它的审计功能并不强大而且还有许多bug,然而到了11gR2时,已经修复了很多bug及它的审计功能进一步...
Dictionary对象
12-22 699
// // main.m // OC语言学习 #import int main(int argc, const char * argv[]) { @autoreleasepool { //字典对象 //dictionary是由 键-》对象 组成的数据集合。 //键必须的单的,通常是字符串,也可以是其
创建表对象时,oracle做了些什么?
csnd32068的博客
05-03 292
我们通过10046事件来分析: [oracle@localhost ~]$ cat /etc/redhat-release Red Hat Enterprise Linux Server release 5.5 (Tik...
ORACLE的数据库审计 audit
微风
08-10 9625
审计的功能:监控特定用户在database 的action(操作) 审计种类: 1)标准数据库审计(语句审计、权限审计、对象审计) 2)基于审计(Value-Based, 触发器审计) 3)精细审计(FGA)
Oracle 数据库事件触发器
luobailian的专栏
08-13 4147
数据库事件触发器有数据库级和模式级两种。前者定义在整个数据库上,触发事件是数据库事件,如数据库的启动、关闭,对数据库的登录或退出。后者定义在模式上,触发事件包括模式用户的登录或退出,或对数据库对象的创建和修改(DDL事件)。 数据库事件触发器的触发事件的种类和级别如表9-3所示。Sql代码种   类     关 键 字    说     明   模式级 CREATE   在创建新对象时触发       ALTER    修改数据库数据库对象时触发       DROP     删除对象时触发   数据库
Object与Dictionary的一些细节
06-16 826
重读黑羽的书,发现了一些以前忽略的小细节: Object的键全部都是String类型的,内部元素是无序的,Object可以用来创建关联数组,当使用for...in来进行循环访问时,它会以反向顺序(从新到旧)来遍历Object对象。 Dictionary的键可以使用任何类型,使用===(严格等于)来进行键比较,内部元素是无序的 Array和Vector的优点是能够进行排序,毫无疑问内部元
基于语音识别的会议记录系统
最新发布
qq_51688022的博客
07-18 806
本文简要介绍了本科毕设“基于语音识别的会议记录系统”的开发思路与成果
【星海随笔】vCenter Server 和主机管理。
weixin_41997073的博客
07-16 191
1.方法:删除页面信息,然后断连这个受管主机,断开受管主机的连接不会将其从 vCenter Server 中移除,而只是临时挂起 vCenter Server 执行的所有监控活动。2.方法:在分布式存储中找到该虚拟设备的存储盘,文件里找到相关的vmdk磁盘文件,点击注册虚拟机。当资料不匹配时候,可以删除展示页面,孤立的设备的 匹配位置的信息。断开后,然后重新连接,既可以重新识别受监管的主机。数据库在Vserver中展示的是一个数据库的资料,应该是client的资料。1.确定为资料不匹配导致的展示问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值