ORACLE审计小结

最新推荐文章于 2020-06-27 10:03:12 发布
最新推荐文章于 2020-06-27 10:03:12 发布
阅读量242 收藏
点赞数
分类专栏: oracle DataBaseNote

1、什么是审计

  审计(Audit)用于监视用户所执行的数据库操作,并且Oracle会将审计跟踪结果存放到OS文件(默认位置为$ ORACLE_BASE/admin/$ORACLE_SID/adump/)或数据库(存储在system表空间中的SYS.AUD$表中,可通过视图 dba_audit_trail查看)中。默认情况下审计是没有开启的。

  不管你是否打开数据库的审计功能,以下这些操作系统会强制记录:用管理员权限连接Instance;启动数据库;关闭数据库。

  2、和审计相关的两个主要参数

  Audit_sys_operations:

  默认为false,当设置为true时,所有sys用户(包括以sysdba,sysoper身份登录的用户)的操作都会被记录,audit trail不会写在aud$表中,这个很好理解,如果数据库还未启动aud$不可用,那么像conn /as sysdba这样的连接信息,只能记录在其它地方。如果是windows平台,audti trail会记录在windows的事件管理中,如果是linux/unix平台则会记录在audit_file_dest参数指定的文件中。

  Audit_trail:

  None:是默认值,不做审计;

  DB:将audit trail 记录在数据库的审计相关表中,如aud$,审计的结果只有连接信息;

  DB,Extended:这样审计结果里面除了连接信息还包含了当时执行的具体语句;

  OS:将audit trail 记录在操作系统文件中,文件名由audit_file_dest参数指定;

  XML:10g里新增的。

  注:这两个参数是static参数,需要重新启动数据库才能生效。

  3、审计级别

  当开启审计功能后,可在三个级别对数据库进行审计:Statement(语句)、Privilege(权限)、object(对象)。

  Statement:

  按语句来审计,比如audit table 会审计数据库中所有的create table,drop table,truncate table语句,alter session by cmy会审计cmy用户所有的数据库连接。

  Privilege:

  按权限来审计,当用户使用了该权限则被审计,如执行grant select any table to a,当执行了audit select any table语句后,当用户a 访问了用户b的表时(如select * from b.t)会用到select any table权限,故会被审计。注意用户是自己表的所有者,所以用户访问自己的表不会被审计。

  Object:

  按对象审计,只审计on关键字指定对象的相关操作,如aduit alter,delete,drop,insert on cmy.t by scott; 这里会对cmy用户的t表进行审计,但同时使用了by子句,所以只会对scott用户发起的操作进行审计。注意Oracle没有提供对schema中所有对象的审计功能,只能一个一个对象审计,对于后面创建的对象,Oracle则提供on default子句来实现自动审计,比如执行audit drop on default by access;后,对于随后创建的对象的drop操作都会审计。但这个default会对之后创建的所有数据库对象有效,似乎没办法指定只对某个用户创建的对象有效,想比 trigger可以对schema的DDL进行“审计”,这个功能稍显不足。

  4、审计的一些其他选项

  by access / by session:

  by access 每一个被审计的操作都会生成一条audit trail。

  by session 一个会话里面同类型的操作只会生成一条audit trail,默认为by session。

  whenever [not] successful:

  whenever successful 操作成功(dba_audit_trail中returncode字段为0) 才审计,

  whenever not successful 反之。省略该子句的话,不管操作成功与否都会审计。

  5、和审计相关的视图

  dba_audit_trail:保存所有的audit trail,实际上它只是一个基于aud$的视图。其它的视图dba_audit_session,dba_audit_object, dba_audit_statement都只是dba_audit_trail的一个子集。

  dba_stmt_audit_opts:可以用来查看statement审计级别的audit options,即数据库设置过哪些statement级别的审计。dba_obj_audit_opts,dba_priv_audit_opts视图功能与之类似

  all_def_audit_opts:用来查看数据库用on default子句设置了哪些默认对象审计。

  6、取消审计

  将对应审计语句的audit改为noaudit即可,如audit session whenever successful对应的取消审计语句为noaudit session whenever successful;

  7、10g中的审计告知一切

  Oracle 数据库 10g 审计以一种非常详细的级别捕获用户行为,它可以消除手动的、基于触发器的审计。

  假定用户 Joe 具有更新那张表的权限,并按如下所示的方式更新了表中的一行数据:

  update SCOTT.EMP set salary = 12000 where empno = 123456;

  您如何在数据库中跟踪这种行为呢?在 Oracle 9i 数据库及其较低版本中,审计只能捕获“谁”执行此操作,而不能捕获执行了“什么”内容。例如,它让您知道 Joe 更新了 SCOTT 所有的表EMP,但它不会显示他更新了该表中员工号为 123456 的薪水列。它不会显示更改前的薪水列的值 — 要捕获如此详细的更改,您将不得不编写您自己的触发器来捕获更改前的值,或使用 LogMiner 将它们从存档日志中检索出来。

  细粒度审计(FGA) ,是在 Oracle 9i 中引入的,能够记录 SCN 号和行级的更改以重建旧的数据,但是它们只能用于 select 语句,而不能用于 DML ,如 update 、insert 和delete 语句。因此,对于 Oracle 数据库 10g 之前的版本,使用触发器虽然对于以行级跟踪用户初始的更改是没有吸引力的选择,但它也是唯一可靠的方法。

8、实例讲解

  8.1、激活审计

  SQL> conn /as sysdba

  SQL> show parameter audit

  NAME                                 TYPE        VALUE

  ------------------------------------ ----------- ------------------------------

  audit_file_dest                      string      /u01/app/oracle/admin/ORCL/adump

  audit_sys_operations                 boolean     FALSE

  audit_syslog_level                   string

  audit_trail                          string      NONE

  SQL> alter system set audit_sys_operations=TRUE scope=spfile;    --审计管理用户(以sysdba/sysoper角色登陆)

  SQL> alter system set audit_trail=db,extended scope=spfile;

  SQL> startup force;

  SQL> show parameter audit

  NAME                                 TYPE        VALUE

  ------------------------------------ ----------- ------------------------------

  audit_file_dest                      string      /u01/app/oracle/admin/ORCL/adump

  audit_sys_operations                 boolean     TRUE

  audit_syslog_level                   string

  audit_trail                          string      DB, EXTENDED

  8.2、开始审计

  SQL> conn /as sysdba

  SQL> audit all on t_test;

  SQL> conn u_test

  SQL> select * from t_test;

  SQL> insert into u_test.t_test (c2,c5) values ('test1','2');

  SQL> commit;

  SQL> delete from u_test.t_test;

  SQL> commit;

  SQL> conn /as sysdba

  SQL> col DEST_NAME format a30

  col OS_USERNAME format a15

  col USERNAME format a15

  col USERHOST format a15

  col TERMINAL format a15

  col OBJ_NAME format a30

  col SQL_TEXT format a60

  SQL> select OS_USERNAME,username,USERHOST,TERMINAL,TIMESTAMP,OWNER,obj_name,ACTION_NAME

  ,sessionid,os_process,

  sql_text from dba_audit_trail;

  sql> audit select table by u_test by access;

  如果在命令后面添加by user则只对user的操作进行审计,如果省去by用户,则对系统中所有的用户进行审计(不包含sys用户).

  例:

  AUDIT DELETE ANY TABLE;    --审计删除表的操作

  AUDIT DELETE ANY TABLE WHENEVER NOT SUCCESSFUL;    --只审计删除失败的情况

  AUDIT DELETE ANY TABLE WHENEVER SUCCESSFUL;    --只审计删除成功的情况

  AUDIT DELETE,UPDATE,INSERT ON user.table by test;    --审计test用户对表user.table的delete,update,insert操作

  8.3、撤销审计

  SQL> noaudit all on t_test;

9、审计语句

  多层环境下的审计:appserve-应用服务器,jackson-client

  AUDIT SELECT TABLE BY appserve ON BEHALF OF jackson;

  审计连接或断开连接:

  AUDIT SESSION;

  AUDIT SESSION BY jeff, lori;    -- 指定用户

  审计权限(使用该权限才能执行的操作):

  AUDIT DELETE ANY TABLE BY ACCESS WHENEVER NOT SUCCESSFUL;

  AUDIT DELETE ANY TABLE;

  AUDIT SELECT TABLE, INSERT TABLE, DELETE TABLE, EXECUTE PROCEDURE BY ACCESS WHENEVER NOT SUCCESSFUL;

  对象审计:

  AUDIT DELETE ON jeff.emp;

  AUDIT SELECT, INSERT, DELETE ON jward.dept BY ACCESS WHENEVER SUCCESSFUL;

  取消审计:

  NOAUDIT session;

  NOAUDIT session BY jeff, lori;

  NOAUDIT DELETE ANY TABLE;

  NOAUDIT SELECT TABLE, INSERT TABLE, DELETE TABLE,EXECUTE PROCEDURE;

  NOAUDIT ALL;    -- 取消所有statement审计

  NOAUDIT ALL PRIVILEGES;    -- 取消所有权限审计

  NOAUDIT ALL ON DEFAULT;    -- 取消所有对象审计

  10、清除审计信息

  DELETE FROM SYS.AUD$;

  DELETE FROM SYS.AUD$ WHERE obj$name='EMP';

  11、审计视图

  STMT_AUDIT_OPTION_MAP    -- 审计选项类型代码

  AUDIT_ACTIONS    -- action代码

  ALL_DEF_AUDIT_OPTS    -- 对象创建时默认的对象审计选项

  DBA_STMT_AUDIT_OPTS    -- 当前数据库系统审计选项

  DBA_PRIV_AUDIT_OPTS    -- 权限审计选项

  DBA_OBJ_AUDIT_OPTS

  USER_OBJ_AUDIT_OPTS    -- 对象审计选项

  DBA_AUDIT_TRAIL

  USER_AUDIT_TRAIL    -- 审计记录

  DBA_AUDIT_OBJECT

  USER_AUDIT_OBJECT    -- 审计对象列表

  DBA_AUDIT_SESSION

  USER_AUDIT_SESSION    -- session审计

  DBA_AUDIT_STATEMENT

  USER_AUDIT_STATEMENT    -- 语句审计

  DBA_AUDIT_EXISTS    -- 使用BY AUDIT NOT EXISTS选项的审计

  DBA_AUDIT_POLICIES    -- 审计POLICIES

  DBA_COMMON_AUDIT_TRAIL    -- 标准审计+精细审计

  12、将审计结果表从system表空间里移动到别的表空间上

  实际上sys.aud$表上包含了两个lob字段,并不是简单的move table就可以。

  下面是具体的过程:

  alter table sys.aud$ move tablespace users;

  alter table sys.aud$ move lob(sqlbind) store as( tablespace USERS);

  alter table sys.aud$ move lob(SQLTEXT) store as( tablespace USERS);

  alter index sys.I_AUD1 rebuild tablespace users;

===============================================================================================================

启用 oracle 审核
> alter system set audit_trail=db,extended scope=spfile;

重启实例
> shutdown immediate
> startup

审核所有执行的语句(慎用,会产生大量的记录)
> audit all statements by access;

查看审核记录
> select userna……

lohas609
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Oracle11gr2 审计语句增强(一)
ckawt40802的专栏
02-08 91
在11.2中,Oracle对于AUDIT语句进行了增强。 这一篇介绍将AUDIT的ALL STATEMENT语句。 在以前的版本中,审计只支持AUDIT ALL和AUDIT ALL PRIVILEGES,在1...
Oracle审计功能
cuixunan6912的博客
11-25 503
本文参考文章: 5 概述: 5 审计功能分类: 5 一、 审计相关实例参数 6 ? audit_sys_operations 6 一..1 linux/unix ...
OCP-042 AUDIT BY SESSION
有梦就别怕痛
08-29 1764
12. You execute the following command to audit the database activities: SQL> AUDIT DROP ANY TABLE BY scott BY SESSION WHENEVER SUCCESSFUL; What is the effect of this command? A. One audit record is
OracleAudit All命令并不能真正全部审计
allway2的博客
06-27 1124
当试图使他们的Oracle数据库尽可能安全时,许多组织都打开了Oracle审计功能。Oracle具有非常强大的审核功能,使我们能够记录数据库中执行的所有操作。我们可以审核连接,对象创建,数据更新,删除以及许多其他数据库活动。 一些组织为了遵守法规或公司安全策略而进行审核,并且可能直到怀疑存在违反安全性的情况,才可能实际检查所产生的日志。 如果这些组织使用Oracle提供的配置审核的快捷方式,可能会感到惊讶。快捷方式是配置审核的便捷方法。无需指定要审核的每个活动,而是可以一次指定一组活动。但是,这些快捷
AUD$ 引起的SYSTEM表空间过大
congyan3522的博客
03-01 668
oracle 11g 默认审计开启DB,数据库在实际运行中,会将审计放入aud$ 中,因此SYSTEM表空间会出现的比较大,system表空间过大会影响数据库性能,因此处理方法是 (1) truncate table aud$...
Oracle自学(学习)材料 (共18章 偏理论一点)
09-27
16-13 使用 WITH GRANT OPTION 选项时回收对象权限 16-14 获取权限信息 16-15 审计 16-16 审计指南 16-17 审计种类 16-19 数据库审计 16-20 审计选项 16-21 查看审计选项 16-23 获取审计记录 16-24 小结 16-25 17 ...
Oracle编程艺术
07-19
1.4 小结....................................................................................121 第 2章体系结构概述........................................................................123 2.1 定义...
ORACLE9i_优化设计与系统调整
12-09
为了使读者对本资料所描述的内容有直接的理解,这里从总结的角度出发,给出了深入了解Oracle8i/9i的管理所需的准备知识小结,如果读者对基本的概念已经很熟悉,则可以跳过本章。 §1.1 Oracle数据库结构 主要介绍...
node-v10.22.0-darwin-x64.tar.xz
05-03
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基于JAVA的物流管理系统的源码设计与实现.zip
05-03
毕业设计-->物流管理系统的设计与实现(Java版本) 采用Struts2+hibernate+Oracle10g+Tomcat 涉及车辆管理,配送点管理,运输方式管理,订单管理,员工管理,用户管理,部门管理,权限管理,角色管理等基础管理功能。
基于VB+access实现的成绩分析统计系统(论文+源代码).zip
05-03
基于VB+access实现的成绩分析统计系统(论文+源代码) 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
node-v10.14.2-linux-x64.tar.xz
05-03
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
ASP+ACCESS网上购物系统设计(源代码+设计说明书+调研报告).zip
05-03
ASP+ACCESS网上购物系统设计(源代码+设计说明书+调研报告).zip
AO工艺设计计算(全).xls
05-03
污水处理计算书
node-v7.3.0-x86.msi
05-03
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
ASP+ACCESS在线考试系统设计(源代码+设计说明书).zip
05-03
ASP+ACCESS在线考试系统设计(源代码+设计说明书).zip
node-v11.10.0-linux-ppc64le.tar.xz
最新发布
05-03
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
oracle 审计
07-27
Oracle审计是指对Oracle数据库进行监控和记录,以确保数据库的安全性和合规性。审计可以跟踪和记录数据库中发生的各种操作,如登录、查询、修改、删除等,以及对数据库对象的访问和权限控制。通过审计,可以追踪...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值