FGA细粒度审计

于 2022-04-19 10:27:49 发布
阅读量974 收藏 4
点赞数 2
分类专栏: ORACLE 文章标签: 数据库 oracle
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40768088/article/details/124264648
版权

FGA细粒度审计

1. 前言

  • ORACLE的标准审计默认级别是DB,这个级别是不会记录sql语句的,如果需要记录sql语句,则需要将audit_trail参数设置为audit_trail=db,extend。
	AUDIT_TRAIL = { none | os | db | db,extended | xml | xml,extended }

SYS@hfdr>show parameter audit_trail

 NAME				     TYPE	 VALUE
------------------------------------ ----------- ------------------------------
audit_trail			     string	 DB

可是更改audit_trail参数需要重启数据库,就可以使用细粒度审计(FGA:Fine Grained Auditing)来进行实现

2. 细粒度审计(FGA:Fine Grained Auditing)

细粒度审计(FGA:Fine Grained Auditing):实现特定行和列的自定义审计

  • 2.1 创建细粒度审计的语法

DBMS_FGA.ADD_POLICY( 
   object_schema IN VARCHAR2 DEFAULT NULL 
   object_name IN VARCHAR2, 
   policy_name IN VARCHAR2, 
   audit_condition IN VARCHAR2 DEFAULT NULL, 
   audit_column IN VARCHAR2 DEFAULT NULL 
   handler_schema IN VARCHAR2 DEFAULT NULL, 
   handler_module IN VARCHAR2 DEFAULT NULL, 
   enable IN BOOLEAN DEFAULT TRUE, 
   statement IN SELECT,
   audit_trail IN BINARY_INTEGER DEFAULT NULL,
   audit_column_opts IN BINARY_INTEGER DEFAULT ANY_COLUMNS,
   policy_owner IN VARCHAR2 DEFAULT NULL);
   /

  • 2.2 重点参数介绍

object_schema:指定要审计的对象的模式。(如果NULL,则假定当前登录用户。)
object_name:指定要审计的对象的名称。
policy_name:指定要创建的策略的名称。确保此名称是唯一的。
audit_condition:审计的相关条件,如果为null或未指定,则对表执行的任何审计都会被记录
audit_column:指定要审核的一列或多列,包括隐藏列。如果设置为NULL或省略
Enable:使用 true 或 false 启用或禁用策略。
statement_types:指定要审计的 SQL 语句:INSERT、UPDATE、DELETE或SELECT

  • 2.3 举例:

BEGIN
  DBMS_FGA.ADD_POLICY(
   object_schema      => 'HR',
   object_name        => 'EMPLOYEES',
   policy_name        => 'chk_hr_employees',
   audit_column       => 'SALARY',
   enable             =>  TRUE,
   statement_types    => 'INSERT, UPDATE, SELECT, DELETE');
END;
/

3. 使用FGA细粒度审计

  • 3.1 创建审计

ZHANGYUN@hfdr>select * from zy;
	ID NAME 		ADDR
---------- -------------------- --------------------
	 1 zhangyu6		hefei
	 2 zhangyu4		hefei
	 3 zhangyu4444	hefei
	 4 zhangyu3		hefei
	 5 zhangyu2		hefei
	 6 zhangyu1		hefei

  • 3.2 对此表创建细粒度审计

BEGIN
  DBMS_FGA.ADD_POLICY(
   object_schema      => 'ZHANGYUN',
   object_name        => 'ZY',
   policy_name        => 'chk_zhangyun_zy',
   audit_column       => 'name',
   enable             =>  TRUE,
   statement_types    => 'INSERT, UPDATE, SELECT, DELETE');
END;
/

  • 3.3 创建完之后验证创建是否成功

ZHANGYUN@hfdr>select policy_name from dba_audit_policies;

POLICY_NAME
------------------------------
CHK_ZHANGYUN_ZY

4.查看审计是否有效

  • 4.1 查看当前审计内容(此处现在查询为空)

ZHANGYUN@hfdr>select sql_text from dba_fga_audit_trail;

  • 4.2 各种查询进行测试

ZHANGYUN@hfdr>select * from zy where name='zhangyu1';
	ID NAME 		ADDR
---------- -------------------- --------------------
	 6 zhangyu1		hefei

ZHANGYUN@hfdr>select * from zy;
	ID NAME 		ADDR
---------- -------------------- --------------------
	 1 zhangyu6		hefei
	 2 zhangyu4		hefei
	 3 zhangyu4444	hefei
	 4 zhangyu3		hefei
	 5 zhangyu2		hefei
	 6 zhangyu1		hefei

ZHANGYUN@hfdr>select id from zy;
	ID
----------
	 1
	 2
	 3
	 4
	 5
	 6

ZHANGYUN@hfdr>select id from zy where name='zhangyu1';
	ID
----------
	 6

  • 4.3 查询审计的信息

ZHANGYUN@hfdr>select sql_text from dba_fga_audit_trail;
SQL_TEXT
--------------------------------------------------------------------------------
select * from zy where name='zhangyu1'
select * from zy
select id from zy where name='zhangyu1'

可以发现只要涉及到name列的查询语句都被记录了下来,配置成功。

5. 删除细粒度审计

  • 5.1 语法

DBMS_FGA.DROP_POLICY( 
   object_schema VARCHAR2, 
   object_name VARCHAR2, 
   policy_name IVARCHAR2);

  • 5.2 删除已经创建的FGA审计

BEGIN 
 DBMS_FGA.DROP_POLICY( 
  object_schema => 'zhangyun', 
  object_name => 'zy', 
  policy_name => 'chk_zhangyun_zy'); 
END; 
/

  • 5.3 验证

select policy_name from dba_audit_policies;

  • 5.4 附

ZHANGYUN@hfdr>select sql_text from dba_fga_audit_trail;

SQL_TEXT
--------------------------------------------------------------------------------
select * from zy where name='zhangyu1'
select * from zy
select id from zy where name='zhangyu1'

即使删除了创建的FGA审计策略,已经记录下的语句不会删除

6. 常用视图

SYS.FGA_LOG$:基表。如果audit_trail参数包含DB,审计记录会被记录在FGA_LOG$表中。
V$XML_AUDIT_TRAIL:如果audit_trail参数包含XML,审计记录会记录在AUDIT_FILE_DEST初始化参数指定的目的地下的XML文件中,Oracle会读取这些XML文件,生成V$XML_AUDIT_TRAIL动态性能视图,方便DBA查看审计详细信息。
DBA_AUDIT_POLICIES:详细记录了审计配置的策略信息。
DBA_FGA_AUDIT_TRAIL:查看到审计的SQL语句和绑定变量。
DBA_COMMON_AUDIT_TRAIL:包含V$XML_AUDIT_TRAIL动态性能视图的内容,是标准和细粒度审计记录。
七海琉璃
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fag oracle 审计_oracle审计
weixin_39805409的博客
12-18 522
审计1.审计是什么?审计就是对选定用户在数据库中操作进行监控和记录。包括数据库用户和非数据库层次用户。(非数据库层次用户就是使用client_identifier属性标识的应用用户。要对这些用户进行审计,可以使用fine-grained audit policy)。可以对单个操作进行审计,比如sql语句的执行类型,或者包括用户名、应用、时间等的结合。你既可以审计成功的活动,也可以审计失败的。要使用...
Oracle 粒度审计(FGA)初步认识
09-10
Oracle 粒度审计(Fine-Grained Auditing, FGA)是一种强大的安全特性,它允许数据库管理员(DBA)精确地控制并记录数据库中特定操作的详信息。这一功能自Oracle 9i版本开始引入,最初仅限于记录SELECT语句,但...
现实中的粒度审计(转载)
congwuqin7037的博客
08-02 127
http://www.oracle.com/technology/global/cn/oramag/webcolumns/2003/techarticles/nanda_fga.html 作者:Arup Nanda 了解如...
粒度审计(FGA)
weixin_34112181的博客
03-13 213
1.粒度审计粒度审计允许将单个的SELECT语句联同用户提交的确切语句一起进行审计。除了简单的跟踪语句之外,FGA还通过在每次用户选择特定的数据集时执行一段代码,提供了一种方法来模拟用于SELECT语句的触发器。可按表或视图中的单个列设置重点的FGA审计选项,FGA审计选项设置可设置为条件选项,以便只在符合特定管理员定义的规范时才捕获审计FGA支持多个相关列。默认情况下...
粒度审计
weixin_34416754的博客
12-01 163
粒度审计 (FGA)(通过 Oracle9i 引入)可以理解为“基于策略的审计”。与标准的审计功能相反,FGA 可用于指定生成审计记录必需的条件: FGA 策略通过使用“dbms_fga”程序包以编程方式绑定到对象(表、视图)。类似于用于通过 VPD ("dbms_rls") 进行访问控制的程序包,它允许您创建任何需要的条件一、创建策略 语法: D...
Oracle粒度审计的安全性应用.pdf
10-10
Oracle粒度审计(Fine-Grained Auditing, FGA)是Oracle数据库提供的一种高级安全特性,用于增强审计功能,特别适用于需要详监控特定操作和数据访问情况的场景。传统的Oracle审计选项只能在宏观级别跟踪用户对...
DQL DML刻度审计.txt
11-01
oracle粒度审计(FGA) 是oracle提供的对表粒度的级别的审计功能,可以捕获DML、SELECT等客户端发起的操作。
oracle审计资料
10-11
4. **粒度审计FGA)**: 粒度审计是一种更高级的审计机制,它允许基于表的行级或列级访问来审计。DBA 可以使用 `DBMS_FGA` 程序包创建策略,以监控对表中特定行或列的访问。这种审计适用于需要精确追踪数据...
FGA审计
u013585794的博客
05-21 353
createuser test identifiedby test; grantconnect,resource,dbato test;     createuser test2 identifiedby test2; grantconnect,resourceto test2; grantselect  on all_objects  to test2;    
Oracle FGA策略(粒度审计
weixin_34234823的博客
09-06 281
1、FGA策略(粒度审计)DBMS_FGA是SYS用户的一个包(1)增加 FGA 策略-- 审计表GRANT RESOURCE,CONNECT TO BANK IDENTIFIED BY BANK;CREATE TABLE BANK.ACCOUNTS(ACCT_NO NUMBER PRIMARY KEY,CUST_ID NUMBER NOT NULL ,BALANCE NU...
审计FGA粒度审计
comk08263401的博客
11-18 145
全称是Fine-Grained Audit ,是Audit的一种特殊方式。使用FGA只要调用Oracle的包DBMS_FGA.ADD_POLICY创建一些policy(审计策略)就行,每个policy只能针一个表或视图...
Oracle FGA(Fine-Grained Audit)粒度审计的用法
aaron8219's Oracle&Linux Technology Blog
07-01 3901
大家对trigger可能比较熟悉,但Oracle还有一个叫FGA的功能,它的作用和trigger类似,但功能更强大.它的全称是Fine-Grained Audit ,是Audit的一种特殊方式.使用FGA只要调用Oracle的包DBMS_FGA.ADD_POLICY创建一些policy(审计策略)就行.每个policy只能针对一个表或视图.建好策略后所以对表或视图的DML操作(select,ins
审计粒度审计
congjiu2607的博客
10-21 277
从Oracle9i开始,通过引入粒度的对象审计,或称为FGA审计变得更为关注某个方面,并且更为精确, 由称为DBMS_FGA的PL/SQL程序包实现FGA。 使用标准的审计,可以轻松发...
审计-FGA
csi83845的博客
05-12 153
FGA从oracle9i开始引入,FGA不但对行和列精审计,而且还记录触发审计的语句通过调用DBMS_FGA包来实现FGA,将需要审计的数据内容作为一个策略,在数据库里面进行定义。审计信息记录在数据字典表fga...
粒度审计+删除粒度审计
zhou920786312的博客
05-27 903
粒度审计 1粒度审计可以在访问某些行和列时审计对表的访问,从而减少审计表的纪录数量 2使用标准的审计,可以发现访问了哪些对象,以及是谁访问,但是无法指定访问了哪些行或者列,但是粒度审计可以解决。粒度审计FGA),由dbms_FGA的PL/SQL程序来实现。 dbms_FGA包含4个过程 add_policy():添加使用谓词和审计列的审计策略 drop_policy():删
Oracle 粒度审计(FGA)详解及应用示例
aaron8219's Oracle&Linux Technology Blog
07-01 4650
安全性和身份管理 现实中的粒度审计 作者:Arup Nanda 了解如何使用 Oracle 数据库的粒度审计特性来跟踪对表中特定行的只读访问 — 以及更多信息 传统的 Oracle 数据库审计选件允许您在宏观级别上跟踪用户在对象上所执行的操作 — 例如,如果您审计对某个表的 SELECT 语句,则可以跟踪是谁从表中选择了数据。但是,您不知道他们选择了 什么 。利用数据操
fga 例子 oracle,利用Oracle FGA实现审计
weixin_29111593的博客
04-09 206
原文出处:http://blog.sina.com.cn/s/blog_3f2ef11801000aad.htmlOracle9i Database 推出了一种称为粒度审计 (FGA) 的新特性。现在下面就利用FGA实现审计对表的审计。其中,EDMS是数据库的一个测试帐户。1.建立测试表(用户EDMS下)CreateTableT_AUDIT_DEMO(CIDINTNOTNULL,CN...
Oracle FGA审计的使用
独孤清扬玩DB
07-31 664
文章目录0、参考资料1、FGA审计1.1、简单使用步骤:1.2、使用FGA制作蜜罐 0、参考资料 Oracle® Database Security Guide 11g Release 2 (11.2) E16543-059 Verifying Security Access with Auditin Oracle Audit Vault Administrator’s Guid (about Oracle Audit Vault, which provides advanced auditing fe
Oracle审计功能.docx
05-02
**粒度审计(Fine-Grained Auditing, FGA)**提供了更高级别的控制,允许DBA对特定用户、操作、条件甚至行级别的事件进行审计FGA在Oracle 10G及以后版本中变得更为强大,可以用于满足更复杂的审计需求,比如只...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值