Oracle 审计管理

已于 2022-03-28 21:41:58 修改
阅读量315 收藏
点赞数
文章标签: dba
于 2022-03-28 21:05:05 首次发布
原文链接:https://blog.csdn.net/qq_34556414/article/details/83024034
版权

附表

user$ 视图解释
Test cases below show:

?CTIME is the date the user was created.
?LTIME is the date the user was last locked. (Note that it doesn't get NULLed when you unlock the user).
?PTIME is the date the password was last changed.
?LCOUNT is the number of failed logins.

记录用户登录失败触发器:
CREATE OR REPLACE TRIGGER logon_denied_to_alert
  AFTER servererror ON DATABASE
DECLARE
  message   VARCHAR2(168);
  ip        VARCHAR2(15);
  v_os_user VARCHAR2(80);
  v_module  VARCHAR2(50);
  v_action  VARCHAR2(50);
  v_pid     VARCHAR2(10);
  v_sid     NUMBER;
  v_program VARCHAR2(48);
BEGIN
  IF (ora_is_servererror(1017)) THEN
 
    -- get ip FOR remote connections :
    IF upper(sys_context('userenv', 'network_protocol')) = 'TCP' THEN
      ip := sys_context('userenv', 'ip_address');
    END IF;
 
    SELECT sid INTO v_sid FROM sys.v_$mystat WHERE rownum < 2;
    SELECT p.spid, v.program
      INTO v_pid, v_program
      FROM v$process p, v$session v
     WHERE p.addr = v.paddr
       AND v.sid = v_sid;
 
    v_os_user := sys_context('userenv', 'os_user');
    dbms_application_info.read_module(v_module, v_action);
 
    message := to_char(SYSDATE, 'YYYYMMDD HH24MISS') ||
               ' logon denied from ' || nvl(ip, 'localhost') || ' ' ||
               v_pid || ' ' || v_os_user || ' with ' || v_program || ' – ' ||
               v_module || ' ' || v_action;
 
    sys.dbms_system.ksdwrt(2, message);
 
  END IF;
END;
/

特别鸣谢:   附表:

查询错误密码的登录者
select username,
os_username,
userhost,
client_id,
trunc(timestamp),
returncode,
count(*) failed_logins
from dba_audit_trail
where returncode=1017 and --1017 is invalid username/password
timestamp < sysdate
group by username,os_username,userhost, client_id,trunc(timestamp),returncode
order by trunc(timestamp) desc ;

Oracle 审计管理

富士康质检员张全蛋

于 2018-10-12 11:12:43 发布

289
 收藏
分类专栏: Oracle 日常管理 文章标签: oracle
版权

Oracle 日常管理
专栏收录该内容
97 篇文章14 订阅
订阅专栏
下面是实际生产库的一个加固项,是针对于数据库审计。

检查是否记录操作日志;检查是否根据业务要求制定数据库审计策略(需要重启数据库)
注意事项及影响:

 开启审计功能,对于os 级别审计需要部署清理脚本,db 级别审计也需要部署清理脚本
对于开启db 级别的审计时,需要迁移审计表到非系统表空间,迁移前truncate sys.aud$ 表
该项加固需要重启数据库
 

序号

操作内容

操作步骤

责任人

时间

1

登陆数据库

Sqlplus ‘/as sysdba’

2

检查数据库状态

Select open_mode from v$database;

3

修改审计级别

审计级别可以选择os 或者db ,根据需要自己决定

alter system set audit_trail='xxxx' scope=spfile;   ---xxxx为DB或OS,建议DB

4

关闭数据库

Alter system switch logfile;

Alter system checkpoint;

Shutdown immediate;

5

重启数据库

Startup ;

6

查看参数

Show parameter audit ;

查看参数是否已经修改

7

清空审计表

迁移审计前清空审计表,否则迁移速度可能很慢

Truncate table sys.aud$;

8

迁移审计日志11g

将aud$所在的system 表空间迁移到非system 表空间如TBS_DTLDATA:

BEGIN DBMS_AUDIT_MGMT.set_audit_trail_location(audit_trail_type => DBMS_AUDIT_MGMT.AUDIT_TRAIL_AUD_STD,

                                            --this moves table AUD$

                                           audit_trail_location_value => 'TBS_DTLDATA'); --AUD替换为系统中TBS_DTLDATA表空间

END;

/

BEGIN

  DBMS_AUDIT_MGMT.set_audit_trail_location(audit_trail_type => DBMS_AUDIT_MGMT.AUDIT_TRAIL_FGA_STD,

                                            --this moves table FGA_LOG$

                                           audit_trail_location_value => 'TBS_DTLDATA'); --FGA替换为系统中的TBS_DTLDATA表空间

END;

/

9

迁移审计日志9i,10g

将aud$所在的system 表空间迁移到非系统表空间如tms:

alter table AUDIT$ move tablespace TMS;

alter table AUDIT_ACTIONS move tablespace TMS;

alter table AUD$ move tablespace TMS;

alter table AUD$ move lob(SQLBIND) store as SYS_aud$_sqlbind_0000000384C00040$$ (tablespace TMS);

alter table AUD$ move lob(SQLTEXT) store as SYS_aud$_sqltext_0000000384C00041$$ (tablespace TMS);

alter index I_AUDIT rebuild online tablespace TMS;

alter index I_AUDIT_ACTIONS rebuild online tablespace TMS;

select t.tablespace_name,t.segment_name,t.column_name  from dba_lobs t where t.table_name='AUD$';

10

对于db级别的审计部署清理脚本

清理脚本:

CREATE PROCEDURE P_CLEAR_AUDIT AS

  LVC_SQL VARCHAR2(200);

BEGIN

  LVC_SQL := 'TRUNCATE TABLE SYS.AUD$';

  EXECUTE IMMEDIATE LVC_SQL;

END;

/

--记得修改执行时间,使用job来定时清理aud$表

DECLARE

  JOBS INT;

BEGIN

  SYS.DBMS_JOB.SUBMIT(JOB       => JOBS,

                      WHAT      => 'P_CLEAR_AUDIT;',

                      NEXT_DATE => TO_DATE('2018-10-21 23:59:00',

                                           'YYYY-MM-DD HH24:MI:SS'),

                      INTERVAL  => 'SYSDATE+1');

  COMMIT;

END;

/

SYS.DBMS_JOB.SUBMIT是什么:

用于安排和管理作业队列,通过使用作业,可以使ORACLE数据库定期执行特定的任务。

一、dbms_job涉及到的知识点
1、创建job:
variable jobno number;
dbms_job.submit(:jobno, —-job号  
                'your_procedure;',—-执行的存储过程, ';'不能省略 
                next_date, —-下次执行时间  
                'interval' —-每次间隔时间,interval以天为单位
); 

--查询job 部署情况

COL WHAT FOR A30

COL INTERVAL FOR A30

SET LINES 1000

SELECT JOB,WHAT ,INTERVAL ,T.NEXT_DATE FROM DBA_JOBS T WHERE WHAT LIKE '%AUD%';

11

应用测试

业务测试是否正常


————————————————
版权声明:本文为CSDN博主「富士康质检员张全蛋」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_34556414/article/details/83024034

jnrjian
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ORACLE的数据库审计 audit
微风
08-10 9612
审计的功能:监控特定用户在database 的action(操作) 审计种类: 1)标准数据库审计(语句审计、权限审计、对象审计) 2)基于值的审计(Value-Based, 触发器审计) 3)精细审计(FGA)
ORACLE_审计内容_DBA_AUDIT_TRAIL.xlsx
11-11
Oracle审计内容DBA_AUDIT_TRAIL数据字典说明,根据开启的Oracle审计功能,读取dba_audit_trail视图的审计内容包含用户名、操作时间、操作类型、SQL文本、数据库操作次数等等,此文档是对dba_audit_trail视图的中文简介,dba_audit_trail详细字段见文档说明
oracle audit_trail,关于Oracle审计(audit)
weixin_36268722的博客
04-05 3284
Oracle审计可以查询到某个用户对DB做了哪些操作,10g后,可以查询到具体的sql语句,很有用。审计功能开户的整个过程:Oracle审计可以查询到某个用户对DB做了哪些操作,10g后,可以查询到具体的sql语句,很有用。审计功能开户的整个过程:1.show parameter audit,可以查询到audit_trail的值,取值包括{none | os | db | db,extended ...
oracle数据库审计(audit)
hanruiding的博客
07-19 6282
oracle数据库审计(audit)audit是否开启audit参数1、audit_file_dest2、audit_sys_operations3、audit_syslog_level4、audit_trail审计级别1、Statement2、Privilege3、Object4、其他选项审计相关视图dba_audit_traildba_stmt_audit_optsall_def_audit_...
oracle audit文件,oracle 参数文件audit_trail的认识
weixin_39603397的博客
04-04 226
近日,逐步开始课题的研究。具体内容可以参考《我的课题》栏目下的内容,那里涉及了课题的主要研究内容。目前仍在探索阶段,尤其是对Oracle的认识,也在随着不断地学习在逐步加深。课题的题目是《安全审计技术在电子政务中的应用研究》,其中一个重要的内容就是利用oracle 9i提供的审计功能,来与应用层的审计相配合。初期的想法,一直想在应用系统层提供一个接口——审计的开/关。即可以允许在应用系统级打开或者...
Oracle审计功能
09-21
Oracle审计功能是数据库安全性的一部分,用于记录和跟踪数据库中的各种活动,以便于数据库管理员(DBA)可以更好地监控和控制数据库中的访问和操作。Oracle审计功能可以分为标准审计和细粒度审计两大类。 标准审计是...
Oracle审计功能.docx
05-02
Oracle审计分为两种主要类型:标准审计和细粒度审计。 一、审计分类 1. 标准审计:这是Oracle的基础审计机制,分为用户级审计和系统级审计。用户级审计允许普通用户审计他们自己的对象,如表和视图,记录所有对...
ORACLE审计小结
08-27
审计(Audit)用于监视用户所执行的数据库操作,并且Oracle会将审计跟踪结果存放到OS文件(默认位置为$ORACLE_BASE/admin/$ORACLE_SID/adump/)或数据库(存储在system表空间中的SYS.AUD$表中,可通过视图dba_audit_...
Oracle审计功能介绍.docx
05-02
1. 标准审计:这是Oracle审计的基础,包括用户级审计和系统级审计。用户级审计允许普通用户审计他们自己的对象,如表和视图,记录所有成功或失败的访问尝试以及SQL操作。系统级审计则由DBA控制,用来监视登录尝试、...
Oracle管理Oracle审计手册.docx
01-12
Oracle管理Oracle审计手册详细解析 Oracle审计是数据库安全的重要组成部分,旨在追踪并记录数据库中的活动,以确保合规性、安全性和数据完整性。Oracle审计手册提供了全面的指南,帮助管理员进行有效的数据库...
ORACLE AUDIT 审计
2301_76957510的博客
03-21 2095
审计(Audit)用于监视用户所执行的数据库操作,并且Oracle会将审计跟踪结果存放到OS文件(默认位置为$ORACLE_BASE/admin/$ORACLE_SID/adump/)或数据库(存储在system表空间中的SYS.AUD$表中,可通过视图dba_audit_trail查看)中。在Oracle11g之前,oracle数据库自带的审计功能是关闭的,考虑到性能和审计管理的复杂性,用户一般不打开审计功能.如果有审计要求,DBA会采用trigger来实现对DDL审计的方法来折中.例如 ...
Oracle_Audit_审计
zll4859291的博客
03-29 814
之前的版本,使用触发器虽然对于以行级跟踪用户初始的更改是没有吸引力的选择,但它也是唯一可靠的方法。会对之后创建的所有数据库对象有效,似乎没办法指定只对某个用户创建的对象有效,想比。注重用户是自己表的所有者,所以用户访问自己的表不会被审计审计以一种非常具体的级别捕捉用户行为,它可以消除手动的、基于触发器的审计。要捕捉如此具体的更改,您将不得不编写您自己的触发器来捕捉更改前的值,或使用。中所有对象的审计功能,只能一个一个对象审计,对于后面创建的对象,身份登录的用户)的操作都会被记录,
ORACLE审计管理
IIOOHHHSSSS的博客
01-04 1917
审计(audit)用于监视用户所执行的数据库操作,审计记录可存在数据字典表,存储在system表空间中的 sys.aud$表中,可通过视图dba_audit_trail查看 默认位置为$oracle_base/admin/$oracle_sid/adump/ oracle 10g 默认情况下审计是没有开启的 oracle 11g 默认情况下审计是开启的 审计的三个视图 dba_audit_trail:保存所有的audit trail,实际上它只是一个基于aud$的视图。其它的视图dba_audit_sess
Oracle 审计功能
茄肥猫的窝
07-26 766
Oracle 审计功能(Oracle10g) · 1、什么是审计 审计(Audit)用于监视用户所执行的数据库操作,审计记录可存在数据字典表(称为审计记录:存储在system表空间中的 SYS.AUD$表中,可通过视图dba_audit_trail查看)或操作系统审计记录中(默认位置为$ORACLE_BASE/admin/$ORACLE_SID/adump/).。默认情况下审计是没
审计日志删除 oracle,oracle audit,怎么审计ORACLE日志
weixin_29202687的博客
04-02 342
Oracle审计实在是鸡肋,审计日志增加猛速,而且加大系统负荷,降低系统性能。依我们在生产系统的作法就是禁用审计,禁用后清除审计日志。处理方法:1、查看审计功能是否开启sqlplus "/as sysdba"SQL> show parameter audit;NAME TYPE VALUE-------------------- ------- ...
【简单易懂】Oracle审计功能
最新发布
HQC66666的博客
11-18 3872
设置为true那么sys用户的操作也会被审计,但此值默认为false,此参数控制以sysdba和sysoper权限登陆的用户以及sys用户本身的登陆,审计记录一定会写在操作系统文件中(无论AUDIT_TRAIL参数如何设置)。
Oracle归档日志管理
Box_L的专栏
03-11 706
Oracle中,数据一般是存放在数据文件中,不过数据库与Oracle最大的区别之一就是数据库可以在数据出错的时候进行恢复。这个也就是我们常见的Oracle中的重做日志(REDO FILE)的功能了。在重做日志分成2部分,一个是在线重做日志文件,另外一个就是归档日志文件。   这里不详细说明在线重做日志,而是说一下归档日志(Archive Log)。在线重做日志大小毕竟是有限的,当都写满了的时候
oracle 12c\18c\19c安全审计规则
Du.的博客
04-07 4619
12c新特性 12c开始oracle引入了统一审计(unified auditing)的概念,统一审计默认是关闭的。 如果保持默认(关闭统一审计),传统的审计方式生效,将audit_trail设为none\os\db\xml,与11g无异 如果开启统一审计,传统的审计方式设置的audit_trail无效,审计记录会自动存储在AUDSYS用户下(AUDSYS.AUD$UNIFIED表),SYSAUX表空间中。 参考:AUDIT (Traditional Auditing) 有一段描述如下: AU
oracle日志保存时间设置,关于日志设置的详细介绍
weixin_35933239的博客
04-07 2108
这篇文章主要介绍了MySQL日志设置及查看方法,需要的朋友可以参考下MySQL有以下几种日志:错误日志: -log-err查询日志: -log慢查询日志: -log-slow-queries更新日志: -log-update二进制日志: -log-bin默认情况下,所有日志创建于mysqld数据目录中。通过刷新日志,你可以强制 mysqld来关闭和重新打开日志文件(或者在某些情况下切换到一个新的日...
oracle 审计
07-27
Oracle审计是指对Oracle数据库进行监控和记录,以确保数据库的安全性和合规性。审计可以跟踪和记录数据库中发生的各种操作,如登录、查询、修改、删除等,以及对数据库对象的访问和权限控制。通过审计,可以追踪...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值