oracle数据库审计(audit)
随着数据安全变得越来要重要,数据库审计的重要性也与日俱增,工作中也经常用到需要查询用户都有那些操作行为,所级记录一下oracle的审计功能。
audit是否开启
SQL> show parameter audit;
NAME TYPE VALUE
------------------------------------ ----------- ------------------------------
audit_file_dest string /u01/app/admin/oradb/adump
audit_sys_operations boolean FALSE
audit_syslog_level string
audit_trail string DB
audit参数
1、audit_file_dest
操作系统中审计记录的存放位置
2、audit_sys_operations
默认为false,当设置为true时,所有sys用户(包括以sysdba, sysoper身份登录的用户)的操作都会被记录,审计记录(audit trail)不会写在aud$ 表中,因为可能数据库还未启动,aud$不可用,像conn /as sysdba这样的连接信息,只能记录在其它地方。windows平台,audti trail会记录在windows的事件管理中,linux/unix平台则会记录在audit_file_dest参数指定的文件。
3、audit_syslog_level
默认情况下,aduit_syslog_level参数是关闭的,该参数的作用原理是利用操作系统的审计记录方法,像Linux/Unix平台上的syslog命令,和audit_sys_operations配合使用,可以把sys等用户的行为,记录到操作系统日志。
可参考:https://blog.csdn.net/hanruiding/article/details/96968406
4、audit_trail
None:不做审计;
DB:将audit trail 记录在数据库的审计相关表中,如aud$,审计的结果只有连接信息,适用于对数据库进行一般管理;
oracle 11g,正常安装后,DB是默认选项。
DB,Extended:审计结果里面除了连接信息,还包含了当时执行的具体语句,执行audit_trail=db的所有操作,并填充sys.aud$表的sql_bind和sql_text clob类型列;
OS:将audit trail 记录在操作系统文件中,文件名由audit_file_dest参数指定;
xml:以XML格式写入操作系统审核记录文件。记录审计节点的所有元素,但SQL_文本和SQL_绑定到操作系统XML审核文件除外。
xml, extended:执行audit_trail=xml的所有操作,并尽可能填充sys.aud$表的SQL绑定和SQL文本CLOB类型列
注:参数是static参数,需要重新启动数据库才能生效。
审计级别
当开启审计功能后,可在三个级别对数据库进行审计:Statement(语句)、Privilege(权限)、object(对象)。
1、Statement
语句审计,对某种类型的SQL语句审计,不指定结构或对象。比如
audit table
会审计数据库中所有的create table,droptable,truncate table语句
audit session by cmy
会审计cmy用户所有的数据库连接。
2、Privilege
权限审计,当用户使用了该权限则被审计,如执行:
grant select any table to a
当执行
audit select any table
用户a 访问了用户b的表时如,会用到select any table权限,故会被审计。
select * from b.t
注意用户访问自己的表不会被审计。
3、Object
对象审计,对一特殊模式对象上的指定语句的审计。 如对指定对象的相关操作:
aduit alter,delete,drop,insert on cmy.t by scott
这里会对cmy用户的t表进行审计,但同时使用了by子句,所以只会对scott用户发起的操作进行审计。
注意:Oracle没有提供对schema中所有对象的审计功能,只能一个一个对象审计,对于后面创建的对象,Oracle则提供on default子句来实现自动审计,比如执行
audit drop on default by access;
对于随后创建的对象的drop操作都会审计。但这个default会对之后创建的所有数据库对象有效,似乎没办法指定只对某个用户创建的对象有效,想比 trigger可以对schema的DDL进行“审计”,这个功能稍显不足。
4、其他选项
by access:每一个被审计的操作都会生成一条audit trail。
by session:一个会话里面同类型的操作只会生成一条audit trail,默认为by session。
whenever successful:操作成功(dba_audit_trail中returncode字段为0) 才审计。
whenever not successful:反之。省略该子句的话,不管操作成功与否都会审计。
审计相关视图
aud$ 是存放审计记录的表
dba_audit_trail
保存所有的audit trail,实际上它只是一个基于aud$的视图。其它的视图user_audit_trail,dba_audit_session,user_audit_session,dba_audit_object,user_audit_object,dba_audit_statement,user_audit_statement都只是dba_audit_trail的一个子集。
dba_audit_exists,使用BY AUDIT NOT EXISTS选项的审计
dba_audit_policies,审计POLICIES
dba_common_audit_trail,标准审计+精细审计
dba_stmt_audit_opts
可以用来查看statement审计级别的audit options,即数据库设置过哪些statement级别的审计。dba_obj_audit_opts,user_obj_audit_opts,dba_priv_audit_opts视图功能与之类似
all_def_audit_opts
用来查看数据库用on default子句设置了哪些默认对象审计。
STMT_AUDIT_OPTION_MAP – 审计选项类型代码
AUDIT_ACTIONS – action代码
取消审计
noaudit
将对应审计语句的audit改为noaudit即可,
audit session whenever successful; ----审计
noaudit session whenever successful; ----取消审计
示例
SQL> alter system set audit_trail=db_extended scope=spfile; ----开启审计
SQL> shutdown immediate;
SQL> startup ----重启数据库
SQL> AUDIT UPDATE,DELETE,INSERT ON test by access; ----针对test表的更新、删除、插入开启审计,错误的也记录
用scott用户对test表进行操作
SQL> conn scott/scott
SQL> create table test as select * from emp;
SQL> update test set emp1='111';
*
第 1 行出现错误:
ORA-00904: "EMP1": 标识符无效
SQL> delete from test where rownum=1;
已删除 1 行。
SQL> commit;
查询审计记录
SQL> select EXTENDED_TIMESTAMP,SESSION_ID,SQL_TEXT from DBA_COMMON_AUDIT_TRAIL ORDER BY EXTENDED_TIMESTAMP DESC;
EXTENDED_TIMESTAMP SESSION_ID SQL_TEXT
---------------------------------------- ---------- ----------------------------
------------
14-8月 -18 04.14.45.187000 下午 +08:00 190125 update test set emp1='111'
14-8月 -18 04.26.02.968000 下午 +08:00 190125 delete from test where rownum=1
---------------------
3036
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
