審計(Audit)用于監(jiān)視用戶所執(zhí)行的數(shù)據(jù)庫操作,并且Oracle 會將審計跟蹤結果存放到OS 文件(默認位置為$ORACLE_BASE/admin /$ORACLE_SID/adump/),或數(shù)據(jù)庫(存儲在system 表空間中的SYS.AUD$表中,可通過視圖dba_audit_trail 查看)中。審計可以提供有用的信息,用于揭示權限的濫用和誤用。當需要一定的粒度時,DBA 可以使用細粒度的審計來監(jiān)控對表中某些行或列的訪問,而不僅僅是是否訪問表。
員工經(jīng)過長期磨合與沉淀,具備了協(xié)作精神,得以通過團隊的力量開發(fā)出優(yōu)質(zhì)的產(chǎn)品。創(chuàng)新互聯(lián)建站堅持“專注、創(chuàng)新、易用”的產(chǎn)品理念,因為“專注所以專業(yè)、創(chuàng)新互聯(lián)網(wǎng)站所以易用所以簡單”。公司專注于為企業(yè)提供成都網(wǎng)站設計、成都做網(wǎng)站、微信公眾號開發(fā)、電商網(wǎng)站開發(fā),小程序定制開發(fā),軟件按需策劃等一站式互聯(lián)網(wǎng)企業(yè)服務。
在oracle 11g 中,審計功能(AUDIT_TRAIL)是默認開啟的。審計數(shù)據(jù)默認存放SYSTEM 表空間下的AUD$審計字典基表上。開啟審計數(shù)據(jù)庫會增加消耗,降低業(yè)務性能,因此,如果不是很必要,在安裝好數(shù)據(jù)庫后,可適當選擇關閉數(shù)據(jù)庫審計功能。
Oracle 公司還推薦使用基于OS 文件的審計日志記錄方式(OSaudit trail files),當AUDIT_TRAIL 設置為OS 時,審計記錄文件將在AUDIT_FILE_DEST 參數(shù)所指定的目錄中生成。
一、審計類型
語句審計 |
按照語句類型審計SQL語句,而不論訪問何種特定的模式對象。也可以在數(shù)據(jù)庫中指定一個或多個用戶,針對特定的語句審計這些用戶 |
權限審計 |
審計系統(tǒng)權限,例如CREATE TABLE或ALTER INDEX。和語句審計一樣,權限審計可以指定一個或多個特定的用戶作為審計的目標 |
模式對象審計 |
審計特定模式對象上運行的特定語句(例如,DEPARTMENTS表上的UPDATE語句)。模式對象審計總是應用于數(shù)據(jù)庫中的所有用戶 |
細粒度的審計 |
根據(jù)訪問對象的內(nèi)容來審計表訪問和權限。使用程序包DBMS_FGA來建立特定表上的策略 |
二、審計位置
審計記錄可以發(fā)送到SYS.AUD$數(shù)據(jù)庫表或操作系統(tǒng)文件。為了啟用審計并指定記錄審計記錄的位置,將初始參數(shù)AUDIT_TRAIL 設置為如下幾個值之一:
NONE, FALSE |
禁用審計 |
OS |
啟用審計,將審計記錄發(fā)送到操作系統(tǒng)文件 |
DB, TRUE |
啟用審計,將審計記錄發(fā)送到SYS.AUD$表 |
DB_EXTENDED |
啟用審計,將審計記錄發(fā)送到SYS.AUD$表,并在CLOB列SQLBIND和SQLTEXT中記錄額外的信息 |
XML |
啟用審計,以XML格式寫所有審計記錄 |
EXTENDED |
啟用審計,在審計跟蹤中記錄所有列,包括SqlText和SqlBind的值 |
參數(shù)AUDIT_TRAIL 不是動態(tài)的,為了使AUDIT_TRAIL 參數(shù)中的改動生效,必須關閉數(shù)據(jù)庫并重新啟動。在對SYS.AUD$表進行審計時,應該注意監(jiān)控該表的大小,以避免影響SYS 表空間中其他對象的空間需求。推薦周期性歸檔SYS.AUD$中的行,并且截取該表。
在Oracle11g 中CREATE SESSION 作為受審計的權限來被記錄,因此當SYSTEM 表空間因磁盤空間而無法擴展時將導致這部分審計記錄無法生成,這將最終導致普通用戶的新會話將無法正常創(chuàng)建,普通用戶將無法登陸數(shù)據(jù)庫。在這種場景中仍可以使用SYSDBA 身份的用戶創(chuàng)建會話,在將審計數(shù)據(jù)合適備份后刪除一部分記錄,或者TRUNCATE AUD$都可以解決上述問題。在默認情況下會以AUTOEXTEND ON 自動擴展選項創(chuàng)建SYSTEM 表空間,因此系統(tǒng)表空間在必要時會自動增長,我們所需注意的是磁盤上的剩余空間是否能夠滿足其增長需求,以及數(shù)據(jù)文件擴展的上限,對于普通的8k smallfile 表空間而言單個數(shù)據(jù)文件的最大尺寸是32G。
三、開戶審計功能
SQL> alter system set audit_trail=db_extended scope=spfile;
重啟數(shù)據(jù)庫生效:
SQL> startup force
四、語句審計:
對于語句審計,audit 命令的格式看起來如下所示:
AUDIT sql_statement_clause BY {SESSION |ACCESS}WHENEVER [NOT] SUCCESSFUL;
參數(shù)如下:
sql_statement_clause 包含很多條不同的信息,例如希望審計的SQL 語句類型以及審計什么人。
by access 在每次動作發(fā)生時都對其進行審計,by session 只審計一次。默認是by session。
whenever successful 審計成功的動作:沒有生成錯誤消息的語句。
whenever not successful 審計語句的命令是否失敗
對于大多數(shù)類別的審計方法,如果確實希望審計所有類型的表訪問或某個用戶的任何權限,則可以指定all 而不是單個的語句類型或對象。
表1-1 列出了可以審計的語句類型,并且在每個類別中包含了相關語句的簡要描述。如果指定all,則審計該列表中的任何語句。然而,表1-2 中的語句類型在啟用審計時不屬于all 類別;必須在audit 命令中顯式地指定它們。
表1-1 包括在ALL 類別中的可審計語句
語句 選 項 |
SQL操作 |
ALTER SYSTEM |
所有ALTER SYSTEM選項,例如,動態(tài)改變實例參 數(shù),切換到下一個日志文件組,以及終止用戶會話 |
CLUSTER |
CREATE、ALTER、DROP或TRUNCATE集群 |
CONTEXT |
CREATE CONTEXT或DROP CONTEXT |
DATABASE LINK |
CREATE或DROP數(shù)據(jù)庫鏈接 |
DIMENSION |
CREATE、ALTER或DROP維數(shù) |
DIRECTORY |
CREATE或DROP目錄 |
INDEX |
CREATE、ALTER或DROP索引 |
MATERIALIZED VIEW |
CREATE、ALTER或DROP物化視圖 |
NOT EXISTS |
由于不存在的引用對象而造成的SQL語句的失敗 |
PROCEDURE |
CREATE或DROP FUNCTION、LIBRARY、PACKAGE、 PACKAGE BODY或PROCEDURE |
PROFILE |
CREATE、ALTER或DROP配置文件 |
PUBLIC DATABASE LINK |
CREATE或DROP公有數(shù)據(jù)庫鏈接 |
PUBLIC SYNONYM |
CREATE或DROP公有同義詞 |
ROLE |
CREATE、ALTER、DROP或SET角色 |
ROLLBACK |
SEGMENT CREATE、ALTER或DROP回滾段 |
SEQUENCE |
CREATE或DROP序列 |
SESSION |
登錄和退出 |
SYNONYM |
CREATE或DROP同義詞 |
SYSTEM |
AUDIT系統(tǒng)權限的AUDIT或NOAUDIT |
SYSTEM GRANT |
GRANT或REVOKE系統(tǒng)權限和角色 |
TABLE |
CREATE、DROP或TRUNCATE表 |
TABLESPACE |
CREATE、ALTER或DROP表空間 |
TRIGGER |
CREATE、ALTER(啟用/禁用)、DROP觸發(fā)器;具有 ENABLE ALL TRIGGERS或DISABLE ALL TRIGGERS的ALTER TABLE |
TYPE |
CREATE、ALTER和DROP類型以及類型主體 |
USER |
CREATE、ALTER或DROP用戶 |
VIEW |
CREATE或DROP視圖 |
表1-2 顯式指定的語句類型
語句 選 項 |
SQL操 作 |
ALTER SEQUENCE |
任何ALTER SEQUENCE命令 |
ALTER TABLE |
任何ALTER TABLE命令 |
COMMENT TABLE |
添加注釋到表、視圖、物化視圖或它們中的任何列 |
DELETE TABLE |
刪除表或視圖中的行 |
EXECUTE PROCEDURE |
執(zhí)行程序包中的過程、函數(shù)或任何變量或游標 |
GRANT DIRECTORY |
GRANT或REVOKE DIRECTORY對象上的權限 |
GRANT PROCEDURE |
GRANT或REVOKE過程、函數(shù)或程序包上的權限 |
GRANT SEQUENCE |
GRANT或REVOKE序列上的權限 |
GRANT TABLE |
GRANT或REVOKE表、視圖或物化視圖上的權限 |
GRANT TYPE |
GRANT或REVOKE TYPE上的權限 |
INSERT TABLE |
INSERT INTO表或視圖 |
LOCK TABLE |
表或視圖上的LOCK TABLE命令 |
SELECT SEQUENCE |
引用序列的CURRVAL或NEXTVAL的任何命令 |
SELECT TABLE |
SELECT FROM表、視圖或物化視圖 |
UPDATE TABLE |
在表或視圖上執(zhí)行UPDATE |
注意:
從Oracle Database 11g 開始,只有在初始參數(shù)AUDIT_TRAIL 被設置為DB_EXTENDED 時,才填充DBA_AUDIT_TRAIL 中的列SQL_TEXT 和SQL_BIND。默認情況下,AUDIT_TRAIL 的值是DB。
示例:
[oracle@ocp Desktop]$ rlwrap sqlplus / as sysdba
SYS@orcl>show parameter audit_trail
SYS@orcl> alter system set audit_trail=db_extended
scope=spfile;
SYS@orcl> startup force
SYS@orcl>show parameter audit_trail
SYS@orcl> alter user scott account unlock identified by
scott;
SYS@orcl> audit create table by scott by access;
SYS@orcl>select user_name,audit_option,success,failure from
dba_stmt_audit_opts where user_name='SCOTT';
SYS@orcl> conn scott/scott
SCOTT@orcl> create table tt(id int);
SCOTT@orcl> conn / as sysdba
SYS@orcl>select username,to_char(timestamp,'MM/DD/YY
HH24:MI') Timestamp,obj_name, action_name, sql_text from
dba_audit_trail where username= 'SCOTT';
使用noaudit 命令關閉審計,如下所示:
SYS@orcl> noaudit create table by scott;
SYS@orcl> conn scott/scott
SCOTT@orcl> create table ee(id int);
SCOTT@orcl> conn / as sysdba
SYS@orcl>select username,to_char(timestamp,'MM/DD/YY
HH24:MI') Timestamp,obj_name, action_name, sql_text from
dba_audit_trail where username= 'SCOTT';
五、權限統(tǒng)計
審計系統(tǒng)權限具有與語句審計相同的基本語法,但審計系統(tǒng)權限是在sql_statement_clause 中,而不是在語句中,指定系統(tǒng)權限。
例如,將ALTER TABLESPACE 權限授予所有的DBA,生成審計記錄。啟用對這種權限的審計的命令:
audit alter tablespace by access whenever successful;
每次成功使用ALTER TABLESPACE 權限時,都會將一行內(nèi)容添加到SYS.AUD$。
使用SYSDBA 和SYSOPER 權限或者以SYS 用戶連接到數(shù)據(jù)庫的系統(tǒng)管理員可以利用特殊的審計。為了啟用這種額外的審計級別,可以設置初始參數(shù)AUDIT_SYS_OPERATIONS 為TRUE。這種審計記錄發(fā)送到與操作系統(tǒng)審計記錄相同的位置。當使用其中一種權限時執(zhí)行的所有SQL 語句,以及作為用戶SYS 執(zhí)行的任何SQL 語句,都會發(fā)送到操作系統(tǒng)審計位置。
SYS@orcl> alter system set AUDIT_SYS_OPERATIONS=true
scope=spfile;
SYS@orcl> startup force
[oracle@ocp Desktop]$ cd /u01/app/oracle/admin/orcl/adump/
Vi 查看審計內(nèi)容
權限審計示例:
SYS@orcl> audit create table by scott by access;
SYS@orcl> audit session by scott;
SYS@orcl> select user_name,privilege,success,failure from
dba_priv_audit_opts where user_name='SCOTT' order by
user_name;
SYS@orcl> conn scott/scott
SCOTT@orcl> create table tt(id int);
SCOTT@orcl> conn / as sysdba
SYS@orcl>select username,to_char(timestamp,'MM/DD/YY
HH24:MI') Timestamp,obj_name, action_name, sql_text from
dba_audit_trail where username= 'SCOTT';
SYS@orcl> noaudit create table by scott;
六、對象審計
AUDIT schema_object_clause BY {SESSION | ACCESS}WHENEVER [NOT] SUCCESSFUL;
schema_object_clause 指定對象訪問的類型以及訪問的對象。
可以審計特定對象上14 種不同的操作類型。對象審計選項如下:
對象 選 項 |
說 明 |
ALTER |
改變表、序列或物化視圖 |
AUDIT |
審計任何對象上的命令 |
COMMENT |
添加注釋到表、視圖或物化視圖 |
DELETE |
從表、視圖或物化視圖中刪除行 |
EXECUTE |
執(zhí)行過程、函數(shù)或程序包 |
FLASHBACK |
執(zhí)行表或視圖上的閃回操作 |
GRANT |
授予任何類型對象上的權限 |
INDEX |
創(chuàng)建表或物化視圖上的索引 |
INSERT |
將行插入表、視圖或物化視圖中 |
LOCK |
鎖定表、視圖或物化視圖 |
READ |
對DIRECTORY對象的內(nèi)容執(zhí)行讀操作 |
RENAME |
重命名表、視圖或過程 |
SELECT |
從表、視圖、序列或物化視圖中選擇行 |
UPDATE |
更新表、視圖或物化視圖 |
對象審計示例:
SYS@orcl>show parameter audit_trail
SYS@orcl> alter system set audit_trail=db_extended
scope=spfile;
SYS@orcl>show parameter audit_trail
SYS@orcl> startup force
SYS@orcl> alter user scott account unlock identified by
scott;
SYS@orcl> audit select,insert,delete on scott.dept by
access;
SYS@orcl> select
object_name,object_type,alt,del,ins,upd,sel from
dba_obj_audit_opts;
SYS@orcl> conn scott/scott
SCOTT @orcl> insert into dept values(11,'aa','aa');
SCOTT @orcl> insert into dept values(12,'bb','bb');
SCOTT @orcl> commit;
SCOTT@orcl> conn / as sysdba
SYS@orcl> select timestamp,action_name,sql_text from
dba_audit_trail where owner='SCOTT';
SYS@orcl> noaudit select,insert,delete on scott.dept;
審計查詢
SYS@orcl>show parameter audit_trail
SYS@orcl> alter system set audit_trail=db_extended
scope=spfile;
SYS@orcl> startup force
SYS@orcl>show parameter audit_trail
SYS@orcl> alter user scott account unlock identified by
scott;
SYS@orcl> audit select,insert,delete on scott.dept by
access;
SYS@orcl>delete sys.aud$;
SYS@orcl> conn scott/scott
SCOTT @orcl> insert into dept values(13,'cc','cc');
SCOTT @orcl>select * from dept;
SCOTT @orcl>delete from dept where deptno=11;
SCOTT @orcl>update dept set loc='abc' where deptno=12;
SCOTT@orcl> conn / as sysdba
SYS@orcl>select
username,timestamp,owner,action_name,obj_name from
dba_audit_object;
七、細粒度的審計
細粒度的對象審計,或稱為FGA,審計變得更為關注某個方面,并且更為精確。由稱為DBMS_FGA 的PL/SQL 程序包實現(xiàn)FGA。
使用標準的審計,可以輕松發(fā)現(xiàn)訪問了哪些對象以及由誰訪問,但無法知道訪問了哪些行或列。細粒度的審計可解決這個問題,它不僅為需要訪問的行指定謂詞(或where 子句),還指定了表中訪問的列。通過只在訪問某些行和列時審計對表的訪問,可以極大地減少審計表條目的數(shù)量。
程序包DBMS_FGA 具有4 個過程:
ADD_POLICY 添加使用謂詞和審計列的審計策略
DROP_POLICY 刪除審計策略
DISABLE_POLICY 禁用審計策略,但保留與表或視圖關聯(lián)的策略
ENABLE_POLICY 啟用策略
用戶wl 通常每天訪問HR.EMPLOYEES 表,查找雇員的電子郵件地址。系統(tǒng)管理員懷疑wl 正在查看經(jīng)理們的薪水信息,因此他們建立一個FGA 策略,用于審計任何經(jīng)理對SALARY 列的任何訪問。
可以使用數(shù)據(jù)字典視圖DBA_FGA_AUDIT_TRAIL 訪問細粒度審計的審計記錄。如果一般需要查看標準的審計行和細粒度的審計行,則數(shù)據(jù)字典視圖DBA_COMMON_AUDIT_TRAIL 結合了這兩種審計類型中的行。
示例如下:
[oracle@ocp Desktop]$ rlwrap sqlplus / as sysdba
SYS@orcl>show parameter audit_trail
SYS@orcl> alter system set audit_trail=db_extended
scope=spfile;
SYS@orcl> startup force
SYS@orcl>show parameter audit_trail
SYS@orcl> create user wl identified by wl;
SYS@orcl> grant create session to wl;
SYS@orcl> grant select on hr.employees to wl;
SYS@orcl> alter user hr account unlock identified by hr;
SYS@orcl> begin
dbms_fga.add_policy(object_schema => 'HR',
object_name => 'EMPLOYEES',
policy_name => 'SAL_SELECT_AUDIT',
audit_condition => 'instr(job_id,''_MAN'') > 0',
audit_column => 'SALARY');
end;
/
SYS@orcl> conn wl/wl
WL@orcl> select employee_id, first_name, last_name, email
from hr.employees where employee_id = 114;
WL@orcl> conn / as sysdba
SYS@orcl> select to_char(timestamp,'mm/dd/yy hh34:mi')
timestamp,object_schema, object_name, policy_name,
statement_type from dba_fga_audit_trail where db_user =
'WL';
SYS@orcl> conn wl/wl
WL@orcl> select employee_id, first_name, last_name, salary
from hr.employees where employee_id = 114;
WL@orcl> conn / as sysdba
SYS@orcl> select to_char(timestamp,'mm/dd/yy hh34:mi')
timestamp,object_schema, object_name, policy_name,
statement_type from dba_fga_audit_trail where db_user =
'WL';
第一個查詢訪問經(jīng)理信息,但沒有訪問SALARY 列。第二個查詢與第一個查詢相同,但是訪問了SALARY 列,因此觸發(fā)了FGA 策略,從而在審計跟蹤中生成了一行
八、與審計相關的數(shù)據(jù)字典視圖
數(shù)據(jù)字典視圖 |
說 明 |
AUDIT_ACTIONS |
包含審計跟蹤動作類型代碼的描述,例如 INSERT、DROP VIEW、DELETE、LOGON和LOCK |
DBA_AUDIT_OBJECT |
與數(shù)據(jù)庫中對象相關的審計跟蹤記錄 |
DBA_AUDIT_POLICIES |
數(shù)據(jù)庫中的細粒度審計策略 |
DBA_AUDIT_SESSION |
與CONNECT和DISCONNECT相關的所有審計跟蹤記錄 |
DBA_AUDIT_STATEMENT |
與GRANT、REVOKE、AUDIT、NOAUDIT和ALTER SYSTEM命令相關的審計跟蹤條目 |
DBA_AUDIT_TRAIL |
包含標準審計跟蹤條目。USER_AUDIT_TRAIL只包含已連接用戶的審計行 |
DBA_FGA_AUDIT_TRAIL |
細粒度審計策略的審計跟蹤條目 |
DBA_COMMON_AUDIT_TRAIL |
將標準的審計行和細粒度的審計行結合在一個視圖中 |
DBA_OBJ_AUDIT_OPTS |
對數(shù)據(jù)庫對象生效的審計選項 |
DBA_PRIV_AUDIT_OPTS |
對系統(tǒng)權限生效的審計選項 |
DBA_STMT_AUDIT_OPTS |
對語句生效的審計選項 |