真实的国产乱ⅩXXX66竹夫人,五月香六月婷婷激情综合,亚洲日本VA一区二区三区,亚洲精品一区二区三区麻豆

成都創(chuàng)新互聯(lián)網(wǎng)站制作重慶分公司

ORACLEAUDIT

審計(Audit)用于監(jiān)視用戶所執(zhí)行的數(shù)據(jù)庫操作,并且Oracle 會將審計跟蹤結果存放到OS 文件(默認位置為$ORACLE_BASE/admin /$ORACLE_SID/adump/),或數(shù)據(jù)庫(存儲在system 表空間中的SYS.AUD$表中,可通過視圖dba_audit_trail 查看)中。審計可以提供有用的信息,用于揭示權限的濫用和誤用。當需要一定的粒度時,DBA 可以使用細粒度的審計來監(jiān)控對表中某些行或列的訪問,而不僅僅是是否訪問表。

員工經(jīng)過長期磨合與沉淀,具備了協(xié)作精神,得以通過團隊的力量開發(fā)出優(yōu)質(zhì)的產(chǎn)品。創(chuàng)新互聯(lián)建站堅持“專注、創(chuàng)新、易用”的產(chǎn)品理念,因為“專注所以專業(yè)、創(chuàng)新互聯(lián)網(wǎng)站所以易用所以簡單”。公司專注于為企業(yè)提供成都網(wǎng)站設計、成都做網(wǎng)站、微信公眾號開發(fā)、電商網(wǎng)站開發(fā),小程序定制開發(fā),軟件按需策劃等一站式互聯(lián)網(wǎng)企業(yè)服務。

 

在oracle 11g 中,審計功能(AUDIT_TRAIL)是默認開啟的。審計數(shù)據(jù)默認存放SYSTEM 表空間下的AUD$審計字典基表上。開啟審計數(shù)據(jù)庫會增加消耗,降低業(yè)務性能,因此,如果不是很必要,在安裝好數(shù)據(jù)庫后,可適當選擇關閉數(shù)據(jù)庫審計功能。

 

Oracle 公司還推薦使用基于OS 文件的審計日志記錄方式(OSaudit trail files),當AUDIT_TRAIL 設置為OS 時,審計記錄文件將在AUDIT_FILE_DEST 參數(shù)所指定的目錄中生成。

 

一、審計類型

語句審計

按照語句類型審計SQL語句,而不論訪問何種特定的模式對象。也可以在數(shù)據(jù)庫中指定一個或多個用戶,針對特定的語句審計這些用戶

權限審計

審計系統(tǒng)權限,例如CREATE TABLE或ALTER INDEX。和語句審計一樣,權限審計可以指定一個或多個特定的用戶作為審計的目標

模式對象審計

審計特定模式對象上運行的特定語句(例如,DEPARTMENTS表上的UPDATE語句)。模式對象審計總是應用于數(shù)據(jù)庫中的所有用戶

細粒度的審計

根據(jù)訪問對象的內(nèi)容來審計表訪問和權限。使用程序包DBMS_FGA來建立特定表上的策略

 

二、審計位置

審計記錄可以發(fā)送到SYS.AUD$數(shù)據(jù)庫表或操作系統(tǒng)文件。為了啟用審計并指定記錄審計記錄的位置,將初始參數(shù)AUDIT_TRAIL 設置為如下幾個值之一:

NONE, FALSE

 禁用審計

OS

啟用審計,將審計記錄發(fā)送到操作系統(tǒng)文件

DB, TRUE

 啟用審計,將審計記錄發(fā)送到SYS.AUD$表

DB_EXTENDED

啟用審計,將審計記錄發(fā)送到SYS.AUD$表,并在CLOB列SQLBIND和SQLTEXT中記錄額外的信息

XML

 啟用審計,以XML格式寫所有審計記錄

EXTENDED

 啟用審計,在審計跟蹤中記錄所有列,包括SqlText和SqlBind的值

 

參數(shù)AUDIT_TRAIL 不是動態(tài)的,為了使AUDIT_TRAIL 參數(shù)中的改動生效,必須關閉數(shù)據(jù)庫并重新啟動。在對SYS.AUD$表進行審計時,應該注意監(jiān)控該表的大小,以避免影響SYS 表空間中其他對象的空間需求。推薦周期性歸檔SYS.AUD$中的行,并且截取該表。

 

在Oracle11g 中CREATE SESSION 作為受審計的權限來被記錄,因此當SYSTEM 表空間因磁盤空間而無法擴展時將導致這部分審計記錄無法生成,這將最終導致普通用戶的新會話將無法正常創(chuàng)建,普通用戶將無法登陸數(shù)據(jù)庫。在這種場景中仍可以使用SYSDBA 身份的用戶創(chuàng)建會話,在將審計數(shù)據(jù)合適備份后刪除一部分記錄,或者TRUNCATE AUD$都可以解決上述問題。在默認情況下會以AUTOEXTEND ON 自動擴展選項創(chuàng)建SYSTEM 表空間,因此系統(tǒng)表空間在必要時會自動增長,我們所需注意的是磁盤上的剩余空間是否能夠滿足其增長需求,以及數(shù)據(jù)文件擴展的上限,對于普通的8k smallfile 表空間而言單個數(shù)據(jù)文件的最大尺寸是32G。

 

三、開戶審計功能

SQL> alter system set audit_trail=db_extended scope=spfile;

重啟數(shù)據(jù)庫生效:

SQL> startup force

 

四、語句審計:

對于語句審計,audit 命令的格式看起來如下所示:

AUDIT sql_statement_clause BY {SESSION |ACCESS}WHENEVER [NOT] SUCCESSFUL;

參數(shù)如下:

sql_statement_clause 包含很多條不同的信息,例如希望審計的SQL 語句類型以及審計什么人。

by access 在每次動作發(fā)生時都對其進行審計,by session 只審計一次。默認是by session。

whenever successful 審計成功的動作:沒有生成錯誤消息的語句。

whenever not successful 審計語句的命令是否失敗

 

對于大多數(shù)類別的審計方法,如果確實希望審計所有類型的表訪問或某個用戶的任何權限,則可以指定all 而不是單個的語句類型或對象。

 

表1-1 列出了可以審計的語句類型,并且在每個類別中包含了相關語句的簡要描述。如果指定all,則審計該列表中的任何語句。然而,表1-2 中的語句類型在啟用審計時不屬于all 類別;必須在audit 命令中顯式地指定它們。

 

表1-1 包括在ALL 類別中的可審計語句

語句 選 項

SQL操作

ALTER SYSTEM

所有ALTER SYSTEM選項,例如,動態(tài)改變實例參

數(shù),切換到下一個日志文件組,以及終止用戶會話

CLUSTER

CREATE、ALTER、DROP或TRUNCATE集群

CONTEXT

CREATE CONTEXT或DROP CONTEXT

DATABASE LINK

CREATE或DROP數(shù)據(jù)庫鏈接

DIMENSION

CREATE、ALTER或DROP維數(shù)

DIRECTORY

 CREATE或DROP目錄

INDEX

CREATE、ALTER或DROP索引

MATERIALIZED VIEW

CREATE、ALTER或DROP物化視圖

NOT EXISTS

由于不存在的引用對象而造成的SQL語句的失敗

PROCEDURE

 CREATE或DROP FUNCTION、LIBRARY、PACKAGE、

PACKAGE BODY或PROCEDURE

PROFILE

 CREATE、ALTER或DROP配置文件

PUBLIC DATABASE LINK

CREATE或DROP公有數(shù)據(jù)庫鏈接

PUBLIC SYNONYM

 CREATE或DROP公有同義詞

ROLE

CREATE、ALTER、DROP或SET角色

ROLLBACK

SEGMENT CREATE、ALTER或DROP回滾段

SEQUENCE

 CREATE或DROP序列

SESSION

 登錄和退出

SYNONYM

 CREATE或DROP同義詞

SYSTEM

 AUDIT系統(tǒng)權限的AUDIT或NOAUDIT

SYSTEM GRANT

 GRANT或REVOKE系統(tǒng)權限和角色

TABLE

CREATE、DROP或TRUNCATE表

TABLESPACE

 CREATE、ALTER或DROP表空間

TRIGGER

 CREATE、ALTER(啟用/禁用)、DROP觸發(fā)器;具有

ENABLE ALL TRIGGERS或DISABLE ALL

TRIGGERS的ALTER TABLE

TYPE

CREATE、ALTER和DROP類型以及類型主體

USER

CREATE、ALTER或DROP用戶

VIEW

CREATE或DROP視圖

 

 

 

表1-2 顯式指定的語句類型

語句 選 項

SQL操 作

ALTER SEQUENCE

 任何ALTER SEQUENCE命令

ALTER TABLE

任何ALTER TABLE命令

COMMENT TABLE

 添加注釋到表、視圖、物化視圖或它們中的任何列

DELETE TABLE

 刪除表或視圖中的行

EXECUTE PROCEDURE

 執(zhí)行程序包中的過程、函數(shù)或任何變量或游標

GRANT DIRECTORY

 GRANT或REVOKE DIRECTORY對象上的權限

GRANT PROCEDURE

 GRANT或REVOKE過程、函數(shù)或程序包上的權限

GRANT SEQUENCE

GRANT或REVOKE序列上的權限

GRANT TABLE

 GRANT或REVOKE表、視圖或物化視圖上的權限

GRANT TYPE

 GRANT或REVOKE TYPE上的權限

INSERT TABLE

 INSERT INTO表或視圖

LOCK TABLE

 表或視圖上的LOCK TABLE命令

SELECT SEQUENCE

 引用序列的CURRVAL或NEXTVAL的任何命令

SELECT TABLE

 SELECT FROM表、視圖或物化視圖

UPDATE TABLE

 在表或視圖上執(zhí)行UPDATE

 

注意:

從Oracle Database 11g 開始,只有在初始參數(shù)AUDIT_TRAIL 被設置為DB_EXTENDED 時,才填充DBA_AUDIT_TRAIL 中的列SQL_TEXT 和SQL_BIND。默認情況下,AUDIT_TRAIL 的值是DB。

 

示例:

[oracle@ocp Desktop]$ rlwrap sqlplus / as sysdba

SYS@orcl>show parameter audit_trail

SYS@orcl> alter system set audit_trail=db_extended

scope=spfile;

SYS@orcl> startup force

SYS@orcl>show parameter audit_trail

SYS@orcl> alter user scott account unlock identified by

scott;

SYS@orcl> audit create table by scott by access;

SYS@orcl>select user_name,audit_option,success,failure from

dba_stmt_audit_opts where user_name='SCOTT';

SYS@orcl> conn scott/scott

SCOTT@orcl> create table tt(id int);

SCOTT@orcl> conn / as sysdba

SYS@orcl>select username,to_char(timestamp,'MM/DD/YY

HH24:MI') Timestamp,obj_name, action_name, sql_text from

dba_audit_trail where username= 'SCOTT';

 

使用noaudit 命令關閉審計,如下所示:

SYS@orcl> noaudit create table by scott;

SYS@orcl> conn scott/scott

SCOTT@orcl> create table ee(id int);

SCOTT@orcl> conn / as sysdba

SYS@orcl>select username,to_char(timestamp,'MM/DD/YY

HH24:MI') Timestamp,obj_name, action_name, sql_text from

dba_audit_trail where username= 'SCOTT';

 

五、權限統(tǒng)計

審計系統(tǒng)權限具有與語句審計相同的基本語法,但審計系統(tǒng)權限是在sql_statement_clause 中,而不是在語句中,指定系統(tǒng)權限。

 

例如,將ALTER TABLESPACE 權限授予所有的DBA,生成審計記錄。啟用對這種權限的審計的命令:

audit alter tablespace by access whenever successful;

每次成功使用ALTER TABLESPACE 權限時,都會將一行內(nèi)容添加到SYS.AUD$。

 

使用SYSDBA 和SYSOPER 權限或者以SYS 用戶連接到數(shù)據(jù)庫的系統(tǒng)管理員可以利用特殊的審計。為了啟用這種額外的審計級別,可以設置初始參數(shù)AUDIT_SYS_OPERATIONS 為TRUE。這種審計記錄發(fā)送到與操作系統(tǒng)審計記錄相同的位置。當使用其中一種權限時執(zhí)行的所有SQL 語句,以及作為用戶SYS 執(zhí)行的任何SQL 語句,都會發(fā)送到操作系統(tǒng)審計位置。

 

SYS@orcl> alter system set AUDIT_SYS_OPERATIONS=true

scope=spfile;

SYS@orcl> startup force

[oracle@ocp Desktop]$ cd /u01/app/oracle/admin/orcl/adump/

Vi 查看審計內(nèi)容

 

 

權限審計示例:

SYS@orcl> audit create table by scott by access;

SYS@orcl> audit session by scott;

SYS@orcl> select user_name,privilege,success,failure from

dba_priv_audit_opts where user_name='SCOTT' order by

user_name;

SYS@orcl> conn scott/scott

SCOTT@orcl> create table tt(id int);

SCOTT@orcl> conn / as sysdba

SYS@orcl>select username,to_char(timestamp,'MM/DD/YY

HH24:MI') Timestamp,obj_name, action_name, sql_text from

dba_audit_trail where username= 'SCOTT';

SYS@orcl> noaudit create table by scott;

 

六、對象審計

AUDIT schema_object_clause BY {SESSION | ACCESS}WHENEVER [NOT] SUCCESSFUL;

schema_object_clause 指定對象訪問的類型以及訪問的對象。

 

可以審計特定對象上14 種不同的操作類型。對象審計選項如下:

對象 選 項

說 明

ALTER

改變表、序列或物化視圖

AUDIT

審計任何對象上的命令

COMMENT

添加注釋到表、視圖或物化視圖

DELETE

從表、視圖或物化視圖中刪除行

EXECUTE

執(zhí)行過程、函數(shù)或程序包

FLASHBACK

執(zhí)行表或視圖上的閃回操作

GRANT

 授予任何類型對象上的權限

INDEX

 創(chuàng)建表或物化視圖上的索引

INSERT

將行插入表、視圖或物化視圖中

LOCK

鎖定表、視圖或物化視圖

READ

對DIRECTORY對象的內(nèi)容執(zhí)行讀操作

RENAME

重命名表、視圖或過程

SELECT

從表、視圖、序列或物化視圖中選擇行

UPDATE

更新表、視圖或物化視圖

 

 

對象審計示例:

SYS@orcl>show parameter audit_trail

SYS@orcl> alter system set audit_trail=db_extended

scope=spfile;

SYS@orcl>show parameter audit_trail

SYS@orcl> startup force

SYS@orcl> alter user scott account unlock identified by

scott;

SYS@orcl> audit select,insert,delete on scott.dept by

access;

SYS@orcl> select

object_name,object_type,alt,del,ins,upd,sel from

dba_obj_audit_opts;

SYS@orcl> conn scott/scott

SCOTT @orcl> insert into dept values(11,'aa','aa');

SCOTT @orcl> insert into dept values(12,'bb','bb');

SCOTT @orcl> commit;

SCOTT@orcl> conn / as sysdba

SYS@orcl> select timestamp,action_name,sql_text from

dba_audit_trail where owner='SCOTT';

SYS@orcl> noaudit select,insert,delete on scott.dept;

 

審計查詢

SYS@orcl>show parameter audit_trail

SYS@orcl> alter system set audit_trail=db_extended

scope=spfile;

SYS@orcl> startup force

SYS@orcl>show parameter audit_trail

SYS@orcl> alter user scott account unlock identified by

scott;

SYS@orcl> audit select,insert,delete on scott.dept by

access;

SYS@orcl>delete sys.aud$;

SYS@orcl> conn scott/scott

SCOTT @orcl> insert into dept values(13,'cc','cc');

SCOTT @orcl>select * from dept;

SCOTT @orcl>delete from dept where deptno=11;

SCOTT @orcl>update dept set loc='abc' where deptno=12;

SCOTT@orcl> conn / as sysdba

SYS@orcl>select

username,timestamp,owner,action_name,obj_name from

dba_audit_object;

 

七、細粒度的審計

細粒度的對象審計,或稱為FGA,審計變得更為關注某個方面,并且更為精確。由稱為DBMS_FGA 的PL/SQL 程序包實現(xiàn)FGA。

 

使用標準的審計,可以輕松發(fā)現(xiàn)訪問了哪些對象以及由誰訪問,但無法知道訪問了哪些行或列。細粒度的審計可解決這個問題,它不僅為需要訪問的行指定謂詞(或where 子句),還指定了表中訪問的列。通過只在訪問某些行和列時審計對表的訪問,可以極大地減少審計表條目的數(shù)量。

 

程序包DBMS_FGA 具有4 個過程:

ADD_POLICY 添加使用謂詞和審計列的審計策略

DROP_POLICY 刪除審計策略

DISABLE_POLICY 禁用審計策略,但保留與表或視圖關聯(lián)的策略

ENABLE_POLICY 啟用策略

 

用戶wl 通常每天訪問HR.EMPLOYEES 表,查找雇員的電子郵件地址。系統(tǒng)管理員懷疑wl 正在查看經(jīng)理們的薪水信息,因此他們建立一個FGA 策略,用于審計任何經(jīng)理對SALARY 列的任何訪問。

 

可以使用數(shù)據(jù)字典視圖DBA_FGA_AUDIT_TRAIL 訪問細粒度審計的審計記錄。如果一般需要查看標準的審計行和細粒度的審計行,則數(shù)據(jù)字典視圖DBA_COMMON_AUDIT_TRAIL 結合了這兩種審計類型中的行。

 

示例如下:

[oracle@ocp Desktop]$ rlwrap sqlplus / as sysdba

SYS@orcl>show parameter audit_trail

SYS@orcl> alter system set audit_trail=db_extended

scope=spfile;

SYS@orcl> startup force

SYS@orcl>show parameter audit_trail

SYS@orcl> create user wl identified by wl;

SYS@orcl> grant create session to wl;

SYS@orcl> grant select on hr.employees to wl;

SYS@orcl> alter user hr account unlock identified by hr;

SYS@orcl> begin

dbms_fga.add_policy(object_schema => 'HR',

object_name => 'EMPLOYEES',

policy_name => 'SAL_SELECT_AUDIT',

audit_condition => 'instr(job_id,''_MAN'') > 0',

audit_column => 'SALARY');

end;

/

SYS@orcl> conn wl/wl

WL@orcl> select employee_id, first_name, last_name, email

from hr.employees where employee_id = 114;

WL@orcl> conn / as sysdba

SYS@orcl> select to_char(timestamp,'mm/dd/yy hh34:mi')

timestamp,object_schema, object_name, policy_name,

statement_type from dba_fga_audit_trail where db_user =

'WL';

SYS@orcl> conn wl/wl

WL@orcl> select employee_id, first_name, last_name, salary

from hr.employees where employee_id = 114;

WL@orcl> conn / as sysdba

SYS@orcl> select to_char(timestamp,'mm/dd/yy hh34:mi')

timestamp,object_schema, object_name, policy_name,

statement_type from dba_fga_audit_trail where db_user =

'WL';

 

第一個查詢訪問經(jīng)理信息,但沒有訪問SALARY 列。第二個查詢與第一個查詢相同,但是訪問了SALARY 列,因此觸發(fā)了FGA 策略,從而在審計跟蹤中生成了一行

 

 

八、與審計相關的數(shù)據(jù)字典視圖

數(shù)據(jù)字典視圖

說 明

AUDIT_ACTIONS

包含審計跟蹤動作類型代碼的描述,例如

INSERT、DROP VIEW、DELETE、LOGON和LOCK

DBA_AUDIT_OBJECT

 與數(shù)據(jù)庫中對象相關的審計跟蹤記錄

DBA_AUDIT_POLICIES

 數(shù)據(jù)庫中的細粒度審計策略

DBA_AUDIT_SESSION

與CONNECT和DISCONNECT相關的所有審計跟蹤記錄

DBA_AUDIT_STATEMENT

與GRANT、REVOKE、AUDIT、NOAUDIT和ALTER SYSTEM命令相關的審計跟蹤條目

DBA_AUDIT_TRAIL

 包含標準審計跟蹤條目。USER_AUDIT_TRAIL只包含已連接用戶的審計行

DBA_FGA_AUDIT_TRAIL

細粒度審計策略的審計跟蹤條目

DBA_COMMON_AUDIT_TRAIL

 將標準的審計行和細粒度的審計行結合在一個視圖中

DBA_OBJ_AUDIT_OPTS

 對數(shù)據(jù)庫對象生效的審計選項

DBA_PRIV_AUDIT_OPTS

 對系統(tǒng)權限生效的審計選項

DBA_STMT_AUDIT_OPTS

 對語句生效的審計選項


分享題目:ORACLEAUDIT
URL地址:http://weahome.cn/article/gsdddj.html

其他資訊

在線咨詢

微信咨詢

電話咨詢

028-86922220(工作日)

18980820575(7×24)

提交需求

返回頂部