oracle数据审计 AUDIT

 

• 何为审计
数据库审计，就是对数据库的活动做跟踪记录，主要包括数据库连接， SQL 语句执行，数据库对象访问这些方面的跟踪记录。

• 现实作用
安全控制、跟踪数据变化、程序 BUG 调试、自定义的数据汇总分析、操作日志

• 存储方式
一种是存储在操作系统文件中，一种是存储在 system 表空间中的 SYS.AUD$ 表中

• 性能影响
审计必然需要占用 CPU ，因此，需要综合平衡审计需求与性能之间的平衡性问题，以确定出最好的审许策略。

• 包含信息
  操作系统用户名、数据库用户名、连接会话标识、终端标识、被访问的 schema 对象名、尝试的操作、操作完整代码、日期时间戳

• 三种级别的审计 ： Statement( 语句 ) 、 Privilege （ 权限）、 object （ 对象）。

• 审计的一些其他选项
by access / by session ：
by access 每一个被审计的操作都会生成一条 audit trail 。
by session 一个会话里面同类型的操作只会生成一条 audit trail ， 默认为 by session 。
whenever [not] successful ：
whenever successful 操作成功 ( dba_audit_trail 中 returncode 字段为 0) 才审计 ,
whenever not successful 反之。省略该子句的话，不管操作成功与否都会审计。

• 细粒度的审计

– 从 Oracle9i 开始，通过引入细粒度的对象审计，或称为 FGA ，审计变得更为关注某个方面，并且更为精确。

– 使用标准的审计，可以轻松发现访问了哪些对象以及由谁访问，但无法知道访问了哪些行或列。

– 细粒度的审计可解决这个问题，它不仅为需要访问的行指定谓词 ( 或 where 子句 ) ，还指定了表中访问的列。

– 通过只在访问某些行和列时审计对表的访问，可以极大地减少审计表条目的数量。

– 以使用数据字典视图 DBA_FGA_AUDIT_TRAIL 访问细粒度审计的审计记录。（默认只有 SYS 有权查看）

– 程序包 DBMS_FGA 具有 4 个过程（ ADD_POLICY 、 DROP_POLICY 、 DISABLE_POLICY 、 ENABLE_POLICY ）

• 注意

– Oracle 在 9i 10g 有安全漏洞，   如果 SYS 用户登录后操作，审计将失效！（ BUGTRAQ  ID: 13510 ）

– 所以测试时请用其他用户登录，如 SCOTT；DBMS_FGA 默认只有用户有执行权，建立审计规则时还需用 SYS 登录。

• 参见 : http://blog.chinaunix.net/u2/66903/showart_2082884.html

 

cmd>sqlplus sys/sys as sysdba

SQL> show parameter audit_trail

NAME                                 TYPE        VALUE

------------------------------------ ----------- ------

audit_trail                          string      NONE

  NONE：不开启审计功能。
 DB：开启审计功能，并将审计记录保存在数据库系统提供的审计视图，要求用于审计功能的视图已创建。
DB,Extended：这样审计结果里面除了连接信息还包含了当时执行的具体语句；

  OS：审计记录写入一个操作系统文件。
TRUE：与参数DB效果等同。
.FALSE：不开启审计功能。

SQL> alter system set audit_trail=db,extended scope=spfile; --审计管理用户(以sysdba/sysoper角色登陆)

SQL> alter system set audit_trail ='DB' scope=spfile;

系统已更改。

SQL>startup force;

SQL> audit insert,update,delete on scott.emp whenever successful;

审计已成功。

SQL> select * from dba_audit_trail;   停用：noaudit all on scott.emp;

修改scott用户emp表的字段，再用select * from dba_audit_trail 查看审计结果