文章出处:http://blog.sina.com.cn/s/blog_601a887f0100ndqk.html 感谢作者的分享
Oracle 审计功能(Oracle10g)
· 1、什么是审计
审计(Audit)用于监视用户所执行的数据库操作,审计记录可存在数据字典表(称为审计记录:存储在system表空间中的 SYS.AUD$表中,可通过视图dba_audit_trail查看)或操作系统审计记录中(默认位置为$ORACLE_BASE/admin/$ORACLE_SID/adump/).。默认情况下审计是没有开启的。
当数据库的审计是使能的,在语句执行阶段产生审计记录。
审计记录包含:
(1)有审计的操作、
(2)用户执行的操作、
(3)操作的日期和时间等信息。
不管你是否打开数据库的审计功能,以下这些操作系统会强制记录:用管理员权限连接Instance;启动数据库;关闭数据库。
Oracle审计功能
审计是对选定的用户动作的监控和记录,通常用于:
监视和收集关于指定数据库活动的数据。例如:DBA可收集哪些被修改、执行了多少次逻辑的I/O等统计数据。
ORACLE所允许的审计选择限于下列方面:
审计相关的表安装、转移
安装后要重启数据库
将审计相关的表移动到其他表空间
由于AUD$表等审计相关的表存放在SYSTEM表空间,因此为了不影响系统的性能,保护SYSTEM表空间,最好把AUD$移动到其他的表空间上。可以使用下面的语句来进行移动:
sql>connect / as sysdba;
sql>alter table aud$ move tablespace <new tablespace>;
sql>alter index I_aud1 rebuild online tablespace <new tablespace>;
SQL> alter table audit$ move tablespace <new tablespace>;
SQL> alter index i_audit rebuild online tablespace <new tablespace>;
SQL> alter table audit_actions move tablespace <new tablespace>;
SQL> alter index i_audit_actions rebuild online tablespace <new tablespace>;
2、和审计相关的两个主要参数
Audit_sys_operations:
默认为false,当设置为true时,所有sys用户(包括以sysdba, sysoper身份登录的用户)的操作都会被记录,audit trail不会写在aud$表中,这个很好理解,如果数据库还未启动aud$不可用,那么像conn /as sysdba这样的连接信息,只能记录在其它地方。如果是windows平台,audti trail会记录在windows的事件管理中,如果是linux/unix平台则会记录在audit_file_dest参数指定的文件中。
Audit_trail:
None:是默认值,不做审计;
DB:将audit trail 记录在数据库的审计相关表中,如aud$,审计的结果只有连接信息;
DB,Extended:这样审计结果里面除了连接信息还包含了当时执行的具体语句;
OS:将audit trail 记录在操作系统文件中,文件名由audit_file_dest参数指定;
XML:10g里新增的。
注:这两个参数是static参数,需要重新启动数据库才能生效。
3、审计级别
当开启审计功能后,可在三个级别对数据库进行审计:Statement(语句)、Privilege(权限)、object(对象)。
3.1
语句审计,对某种类型的SQL语句审计,不指定结构或对象。比如audit table 会审计数据库中所有的create table,drop table,truncate table语句,alter session by cmy会审计cmy用户所有的数据库连接。
3.2
权限审计,当用户使用了该权限则被审计,如执行grant select any table to a,当执行了audit select any table语句后,当用户a 访问了用户b的表时(如select * from b.t)会用到select any table权限,故会被审计。注意用户是自己表的所有者,所以用户访问自己的表不会被审计。 特权审计。
3.3
对象审计,对一特殊模式对象上的指定语句的审计. 如审计on关键字指定对象的相关操作,如aduit alter,delete,drop,insert on cmy.t by scott; 这里会对cmy用户的t表进行审计,但同时使用了by子句,所以只会对scott用户发起的操作进行审计。
注意:Oracle没有提供对schema中所有对象的审计功能,只能一个一个对象审计,对于后面创建的对象,Oracle则提供on default子句来实现自动审计,比如执行audit drop on default by access;后,对于随后创建的对象的drop操作都会审计。但这个default会对之后创建的所有数据库对象有效,似乎没办法指定只对某个用户创建的对象有效,想比 trigger可以对schema的DDL进行“审计”,这个功能稍显不足。
4、审计的一些其他选项
4.1 by access / by session:
by access
by session 一个会话里面同类型的操作只会生成一条audit trail,默认为by session。
4.2 whenever [not] successful:
whenever successful 操作成功(dba_audit_trail中returncode字段为0) 才审计,
whenever not successful 反之。省略该子句的话,不管操作成功与否都会审计。
5、和审计相关的视图
5.1 dba_audit_trail:保存所有的audit trail,实际上它只是一个基于aud$的视图。其它的视图dba_audit_session,dba_audit_object, dba_audit_statement都只是dba_audit_trail的一个子集。
5.2 dba_stmt_audit_opts:可以用来查看statement审计级别的audit options,即数据库设置过哪些statement级别的审计。dba_obj_audit_opts,dba_priv_audit_opts视图功能与之类似
5.3 all_def_audit_opts:用来查看数据库用on default子句设置了哪些默认对象审计。
6、取消审计
将对应审计语句的audit改为noaudit即可,
如audit session whenever successful
对应的取消审计语句为noaudit session whenever successful;
7、10g中的审计告知一切
Oracle 数据库 10g 审计以一种非常详细的级别捕获用户行为,它可以消除手动的、基于触发器的审计。
假定用户 Joe 具有更新那张表的权限,并按如下所示的方式更新了表中的一行数据:
update SCOTT.EMP set salary = 12000 where empno = 123456;
您如何在数据库中跟踪这种行为呢?在 Oracle 9i 数据库及其较低版本中,审计只能捕获“谁”执行此操作,而不能捕获执行了“什么”内容。例如,它让您知道 Joe 更新了 SCOTT 所有的表EMP,但它不会显示他更新了该表中员工号为 123456 的薪水列。它不会显示更改前的薪水列的值 — 要捕获如此详细的更改,您将不得不编写您自己的触发器来捕获更改前的值,或使用 LogMiner 将它们从存档日志中检索出来。
细粒度审计(FGA):精细审计 ,是在 Oracle 9i 中引入的,能够记录 SCN 号和行级的更改以重建旧的数据,但是它们只能用于 select 语句,而不能用于 DML ,如 update 、insert 和delete 语句。因此,对于 Oracle 数据库 10g 之前的版本,使用触发器虽然对于以行级跟踪用户初始的更改是没有吸引力的选择,但它也是唯一可靠的方法。
8.审计的相关基本操作
8.1
audit_trail 参数的值可以设置为以下几种
1. NONE:不开启
2. DB:开启审计功能
3. OS:审计记录写入一个操作系统文件。
4. TRUE:与参数DB一样
5. FALSE:不开启审计功能。
这个参数是写道spfile里面的,需要重启数据库
8.2
SQL> show parameter audit
NAME
------------------------------------ ----------- ------------------------------
audit_file_dest
audit_sys_operations
audit_syslog_level
audit_trail
8.3 开启审计
SQL> conn /as sysdba
SQL> show parameter audit
NAME
------------------------------------ ----------- ------------------------------
audit_file_dest
audit_sys_operations
audit_syslog_level
audit_trail
SQL> alter system set audit_sys_operations=TRUE scope=spfile;
SQL> alter system set audit_trail=db,extended scope=spfile;
开启审计要重启实例
SQL> show parameter audit
NAME
------------------------------------ ----------- ------------------------------
audit_file_dest
audit_sys_operations
audit_syslog_level
audit_trail
8.4
SQL> conn /as sysdba
SQL> show parameter audit
SQL> alter system set audit_trail=none;
关闭审计也需要重启实例
9. 审计实例
9.1 激活审计
SQL> conn sys/admin as sysdba
已连接。
SQL> show parameter audit
NAME
------------------------------------
audit_file_dest
audit_sys_operations
audit_trail
SQL> alter system set audit_sys_operations=TRUE scope=spfile; --审计管理用户(以sysdba/sysoper角色登陆)
SQL> alter system set audit_trail=db,extended scope=spfile;
SQL> startup force;
SQL> show parameter audit
NAME
------------------------------------
audit_file_dest
audit_sys_operations
audit_trail
9.2 开始审计
注意:无法对 SYS 用户操作执行 audit 或 noaudit 命令
SQL> conn
SQL> audit all on test;
SQL> commit;
SQL> delete from test;
SQL> commit;
SQL> select OS_USERNAME,USERNAME,USERHOST,TERMINAL,TIMESTAMP,OWNER,
obj_name,ACTION_NAME,sessionid,os_process,sql_text from dba_audit_trail;
OS_USER USERNAME USERHOST
-------
user
SQL> audit select table by test by access;
如果在命令后面添加by user则只对user的操作进行审计,如果省去by用户,则对系统中所有的用户进行审计(不包含sys用户).
例:
AUDIT DELETE ANY TABLE; --审计删除表的操作
AUDIT DELETE ANY TABLE WHENEVER NOT SUCCESSFUL; --只审计删除失败的情况
AUDIT DELETE ANY TABLE WHENEVER SUCCESSFUL; --只审计删除成功的情况
AUDIT DELETE,UPDATE,INSERT ON user.table by SYSTEM; --审计SYSTEM用户对表user.table的delete,update,insert操作
9.3 撤销审计
SQL> noaudit all on t_test;
10.FGA策略(细粒度审计)
DBMS_FGA是SYS用户的一个包
10.1 增加 FGA 策略
-- 审计表
GRANT RESOURCE,CONNECT TO BANK IDENTIFIED BY BANK;
CREATE TABLE BANK.ACCOUNTS
(
);
insert into bank.accounts values(1,1,10000);
insert into bank.accounts values(2,2,20000);
commit;
Begin
dbms_fga.drop_policy (
dbms_fga.add_policy (
end;
/
select * from bank.accounts;
select timestamp, db_user,os_user,object_schema,object_name,sql_text
-- 审计列和审计条件, 在add_policy中加入
--
--
Begin
dbms_fga.drop_policy (
dbms_fga.add_policy (
end;
/
select BALANCE from bank.accounts;
select timestamp, db_user,os_user,object_schema,object_name,sql_text
10.2 管理 FGA 策略
--要删除策略,您可以使用以下语句:
begin
dbms_fga.drop_policy (
object_schema => 'BANK',
object_name => 'ACCOUNTS',
policy_name => 'ACCOUNTS_ACCESS'
end;
/
-- 对于更改策略而言,没有随取随用的解决方案。要更改策略中的任何参数,必须删除策略,再使用更改后的参数添加策略。
-- 需要临时禁用审计收集 — 例如,如果您希望将线索表移动到不同的表空间或者要删除线索表。您可以按如下方法禁用 FGA 策略:
begin
dbms_fga.enable_policy (
object_schema => 'BANK',
object_name => 'ACCOUNTS',
policy_name => 'ACCOUNTS_ACCESS',
enable => FALSE
end;
/
-- 重新启用很简单 enable =>; TRUE
--演示何时审计操作以及何时不审计操作的各种情况 SQL 语句 审计状态
select balance from bank.accounts;
select * from
select cust_id from bank.accounts where balance < 10000; 进行审计。即使用户没有明确指定列 BALANCE,where 子句也隐含地选择了它。
select cust_id from bank.accounts;
select count(*) from bank.accounts;
10.3
-- FGA 的功能不只是记录审计线索中的事件;FGA 还可以任意执行过程。
-- 过程可以执行一项操作,比如当用户从表中选择特定行时向审计者发送电子邮件警告,或者可以写到不同的审计线索中。
-- 这种存储代码段可以是独立的过程或者是程序包中的过程,称为策略的处理器模块。
-- 实际上由于安全性原因,它不必与基表本身处于同一模式中,您可能希望特意将它放置在不同的模式中。
-- 由于只要 SELECT 出现时过程就会执行,非常类似于 DML 语句启动的触发器,您还可以将其看作 SELECT 语句触发器。
-- 以下参数指定将一个处理器模块指定给策略:
--
--
-- 处理器模块还可以采用程序包的名称来代替过程名称。在这种情况下,参数 handler_module 在 package.procedure 的格式中指定。
10.4
-- FGA 策略的定义位于数据字典视图 DBA_AUDIT_POLICIES 中。
-- 审计线索收集在 SYS 拥有的表 FGA_LOG$ 中。对于 SYS 拥有的任何原始表,此表上的某些视图以对用户友好的方式显示信息。DBA_FGA_AUDIT_TRAIL 是该表上的一个视图。
-- 一个重要的列是 SQL_BIND,它指定查询中使用的绑定变量的值 — 这是显著增强该工具功能的一项信息。
-- 另一个重要的列是 SCN,当发生特定的查询时,它记录系统更改号。
-- 此信息用于识别用户在特定时间看到了什么,而不是现在的值,它使用了闪回查询,这种查询能够显示在指定的 SCN 值时的数据。
10.5 视图和 FGA
-- 到目前为止已经讨论了在表上应用 FGA;现在让我们来看如何在视图上使用 FGA。假定在 ACCOUNTS 表上定义视图 VW_ACCOUNTS 如下:
create view bank.vw_accounts as select * from bank.accounts;
select * from bank.vw_accounts;
select timestamp, db_user,os_user,object_schema,object_name,sql_text
10.5.1 如果您只希望审计对视图的查询而不是对表的查询,可以对视图本身建立策略。
-- 通过将视图名称而不是表的名称传递给打包的过程 dbms_fga.add_policy 中的参数 object_name,可以完成这项工作。
-- 随后 DBA_FGA_AUDIT_TRAIL 中的 OBJECT_NAME 列将显示视图的名称,并且不会出现有关表访问的附加记录。
10.6 其它用途
--
--
--
--
结论
数据字典视图 DBA_AUDIT_POLICIES 中重要的列
-----------------------------------------------------------------------
OBJECT_SCHEMA
OBJECT_NAME
POLICY_NAME
POLICY_TEXT
POLICY_COLUMN
ENABLED
PF_SCHEMA
PF_PACKAGE
PF_FUNCTION
数据字典视图 DBA_FGA_AUDIT_TRAIL 中重要的列
-----------------------------------------------------------------------
SESSION_ID
TIMESTAMP
DB_USER
OS_USER
USERHOST
CLIENT_ID
EXT_NAME
OBJECT_SCHEMA
OBJECT_NAME
POLICY_NAME
SCN
SQL_TEXT
SQL_BIND
结论:
1.
audit alter table (该命令包含了 alter table ).
2. 对视图的审计:可以单独对视图的create进行审计,如果要对drop操作进行审计需要对视图加audit view(该命令包含有create view,drop view).
3. 对程序包的审计:可以对包(函数,存储过程等)的create进行审计,如果需要对drop操作进行审计需要加audit procedure(该命令对CREATE FUNCTION, CREATE LIBRARY , CREATE PACKAGE, CREATE PACKAGE BODY, CREATE PROCEDURE, DROP FUNCTION, DROP LIBRARY, DROP PACKAGE, DROP PROCEDURE进行审计)
4. 对用户的审计:可以通过audit user(该命令包含 create user,alter user,drop user)进行审计.
5、使用如下语句,
audit insert table;
audit update table;
audit delete table;
audit
可以对所有用户(不包含sys用户)下的表进行insert、update、delete、select 审计。
实例:
3、对于 drop table 语句的审核只能是 audit table;
如果仅仅是对 alter any table 系统权限进行审核,当用户使用 alter table 语句修改用户所拥有的表时,是不会差生任何审核记录,因为没有用到 alter any table 系统权限。
4、AUDIT table BY ACCESS 对 drop table、alter table 和 create table 语句进行审核。
5、若 aud$表中的数据无法删除,则以sys用户进行删除;
例1:
1、查看数据库审计状态:
2、开启数据库审计功能、重启数据库、查看数据库审计状态:
3、查看审计记录表、视图:
select * from sys.aud$; -- 审计记录表,可以删除表里面的数据;
select * from dba_audit_trail t ; -- 审计视图,数据来源于sys.aud$ 表;
select * from dba_stmt_audit_opts;
4、数据库审计相关的表默认在system表空间,把该表移动到其他自定义表空间:
sql>alter table aud$ move tablespace <new tablespace>;
sql>alter index I_aud1 rebuild online tablespace <new tablespace>;
SQL> alter table audit$ move tablespace <new tablespace>;
SQL> alter index i_audit rebuild online tablespace <new tablespace>;
SQL> alter table audit_actions move tablespace <new tablespace>;
SQL> alter index i_audit_actions rebuild online tablespace <new tablespace>;
5、 设置审计项目:
audit alter table (该命令包含了 alter table ).
(2)使用如下语句,
audit insert table;
audit update table;
audit delete table;
audit select table
可以对所有用户(不包含sys用户)下的表进行insert、update、delete、select 审计。
6、 取消审计项目:
把audit换成noaudit 即可,如:audit insert table;