數(shù)據(jù)庫(kù)審計(jì)全

1、.數(shù)據(jù)庫(kù)審計(jì)查看數(shù)據(jù)庫(kù)審計(jì)是否打開SQL> show parameter audit;NAMETYPEVALUE- - -audit_file_deststring/oracle/app/oracle/admin/PTBCS/adumpaudit_sys_operationsbooleanFALSEaudit_syslog_levelstringaudit_trailstringDB_EXTENDEDaudit_sys_operations:默認(rèn)為 false ，當(dāng)設(shè)置為true時(shí)，所有 sys （包括以sysdba， sysopr 身份登錄的用戶）操作都會(huì)被記錄，但記錄不會(huì)被寫在 au

2、d$表中。如果為 windows 平臺(tái)，會(huì)記錄在 windows 事件管理當(dāng)中。audit_trail：none 為默認(rèn)值， 11G 之后默認(rèn)值為db，如果默認(rèn)值為none，那么不做審計(jì)DB:將 audit trail記錄在數(shù)據(jù)庫(kù)審計(jì)相關(guān)的表中，審計(jì)只有連接信息DB_EXTENDED：這樣審計(jì)還包含當(dāng)時(shí)的執(zhí)行的具體語句OS：將 audit trail記錄在系統(tǒng)文件中，文件名有audit_file_dest參數(shù)指定修改語句為SQL> alter system set audit_trail='db_extended' scope=spfile;注：參數(shù) audit_trai

3、l不是動(dòng)態(tài)，為了使此參數(shù)中的改動(dòng)生效，必須關(guān)閉數(shù)據(jù)庫(kù)并重新啟動(dòng)。在對(duì)sys.aud$ 進(jìn)行審計(jì)時(shí)，還需要監(jiān)控該表的大小，以免影響system 表空間中其他對(duì)象的空間需求。推薦周期性歸檔sys.aud$ 中的行，并截取該表。目前采用計(jì)劃任務(wù)，每日刪除上月數(shù)據(jù)，只保留當(dāng)月數(shù)據(jù)。Audit_file_dest:audit_trail=os時(shí)，文件位置。語句審計(jì)SQL> audit on table by access;每次動(dòng)作發(fā)生時(shí)都對(duì)其進(jìn)行審計(jì)SQL> audit on table by session;只審計(jì)一次 ,默認(rèn)為 by session.有時(shí)希望審計(jì)成功的動(dòng)作：沒有生成錯(cuò)誤消

4、息的語句。對(duì)于這些語句，添加wheneversuccessful 。而有時(shí)只關(guān)心使用審計(jì)語句的命令是否失敗，失敗原因是權(quán)限違犯、用完表空間中的空間還是語法錯(cuò)誤。對(duì)于這些情況，使用whenever not successful。對(duì)于大多數(shù)類別的審計(jì)方法，如果確實(shí)希望審計(jì)所有類型的表訪問或某個(gè)用戶的任何權(quán)限，則可以指定all 而不是單個(gè)的語句類型或?qū)ο?。SQL> audit alter system ;所有 ALTER SYSTEM 選項(xiàng)，例如，動(dòng)態(tài)改變實(shí)例參數(shù)，切換到下一個(gè)日志文件組，以及終止用戶會(huì)話SQL> audit cluster;CREATE、 ALTER、 DROP 或 T

5、RUNCATE 集群SQL> audit context;CREATE CONTEXT 或 DROP CONTEXT;SQL> audit database link;CREATE 或 DROP 數(shù)據(jù)庫(kù)鏈接 ;SQL> audit dimension;CREATE、 ALTER 或 DROP 維數(shù)SQL> audit directory;CREATE 或 DROP 目錄 ;SQL> audit index;CREATE、 ALTER 或 DROP 索引SQL> audit materialized view;CREATE、 ALTER 或 DROP 物化視圖

6、SQL> audit not exists;由于不存在的引用對(duì)象而造成的SQL 語句的失敗 ;SQL> audit procedure;CREATE 或 DROP FUNCTION 、LIBRARY 、 PACKAGE、 PACKAGE BODY 或 PROCEDURESQL> audit profile;CREATE、 ALTER 或 DROP 配置文件SQL> audit public database link;CREATE 或 DROP 公有數(shù)據(jù)庫(kù)鏈接.SQL> audit public synonym;CREATE 或 DROP 公有同義詞SQL>

7、 audit role;CREATE、 ALTER、 DROP 或 SET 角色SQL> audit rollback segment;CREATE、 ALTER 或 DROP 回滾段SQL> audit sequence;CREATE 或 DROP 序列SQL> audit session;登錄和退出SQL> audit system audit;系統(tǒng)權(quán)限的AUDIT 或 NOAUDITSQL> audit system grant;GRANT 或 REVOKE 系統(tǒng)權(quán)限和角色SQL> audit table;CREATE、 DROP 或 TRUNCATE

8、 表SQL> audit tablespace;CREATE、 ALTER 或 DROP 表空間SQL> audit trigger;CREATE、 ALTER( 啟用 / 禁用 ) 、 DROP 觸發(fā)器；具有 ENABLE ALL TRIGGERS 或 DISABLE ALL TRIGGERS 的 ALTER TABLESQL> audit type;CREATE、 ALTER 和 DROP 類型以及類型主體SQL> audit user;CREATE、 ALTER 或 DROP 用戶SQL> audit view;CREATE 或 DROP 視圖.顯式指定的語

9、句類型SQL> audit alter sequence;任何 ALTER SEQUENCE 命令SQL> audit alter table;任何 ALTER TABLE 命令SQL> audit comment table;添加注釋到表、視圖、物化視圖或它們中的任何列SQL> audit delete table;刪除表或視圖中的行SQL> audit execute procedure;執(zhí)行程序包中的過程、函數(shù)或任何變量或游標(biāo)SQL> audit grant directory;GRANT 或 REVOKE DIRECTORY 對(duì)象上的權(quán)限SQL>

10、; audit grant procedure;GRANT 或 REVOKE 過程、函數(shù)或程序包上的權(quán)限SQL> audit grant sequence;GRANT 或 REVOKE 序列上的權(quán)限SQL> audit grant table;GRANT 或 REVOKE 表、視圖或物化視圖上的權(quán)限SQL> audit grant type;GRANT 或 REVOKE TYPE 上的權(quán)限SQL> audit insert table;INSERT INTO 表或視圖SQL> audit lock table;表或視圖上的LOCK TABLE 命令SQL>

11、audit select sequence;引用序列的CURRVAL 或 NEXTVAL 的任何命令SQL> audit select table;SELECT FROM 表、視圖或物化視圖SQL> audit update table;在表或視圖上執(zhí)行UPDATE.SQL> select username,to_char(timestamp,'MM/DD/YY HH24:MI') timestamp2 OBJ_NAME,ACTION_NAME,SQL_TEXT FROM DBA_AUDIT_TRAIL3 WHERE USERNAME = 'SCOTT

12、'我用的基本查詢審計(jì)信息，顯示結(jié)果如下scott08/12/07 17:15 JOB_TITLE_IDXCREATE INDEXcreate index hr.job_title_idx (job_title)1 row selected.權(quán)限審計(jì)審計(jì)系統(tǒng)權(quán)限具有與語句審計(jì)相同的基本語法，但審計(jì)系統(tǒng)權(quán)限是在sql_statement_clause中，而不是在語句中，指定系統(tǒng)權(quán)限。SQL> audit alter tablespace by access whenever successful;使用 SYSDBA 和 SYSOPER權(quán)限或者以SYS 用戶連接到數(shù)據(jù)

13、庫(kù)的系統(tǒng)管理員可以利用特殊的審計(jì)。為了啟用這種額外的審計(jì)級(jí)別，可以設(shè)置初始參數(shù)AUDIT_SYS_OPERATIONS 為TRUE。這種審計(jì)記錄發(fā)送到與操作系統(tǒng)審計(jì)記錄相同的位置。因此，這個(gè)位置是和操作系統(tǒng)相關(guān)的。當(dāng)使用其中一種權(quán)限時(shí)執(zhí)行的所有SQL 語句，以及作為用戶SYS 執(zhí)行的任何SQL 語句，都會(huì)發(fā)送到操作系統(tǒng)審計(jì)位置。模式對(duì)象審計(jì)SQL> audit alter on TEST_DR.TEST BY ACCESS WHENEVER SUCCESSFUL;改變表、序列或物化視圖SQL> auditAUDIT on TEST_DR.TEST BY ACCESS WHENEVE

14、R SUCCESSFUL;審計(jì)任何對(duì)象上的命令SQL> auditCOMMENT on TEST_DR.TEST BY ACCESS WHENEVER SUCCESSFUL;添加注釋到表、視圖或物化視圖SQL> auditDELETE on TEST_DR.TEST BY ACCESS WHENEVER SUCCESSFUL;從表、視圖或物化視圖中刪除行SQL> auditEXECUTE on TEST_DR.TEST BY ACCESS WHENEVER SUCCESSFUL;執(zhí)行過程、函數(shù)或程序包.SQL> auditFLASHBACK on TEST_DR.TES

15、T BY ACCESS WHENEVER SUCCESSFUL;執(zhí)行表或視圖上的閃回操作SQL> auditGRANT on TEST_DR.TEST BY ACCESS WHENEVER SUCCESSFUL;授予任何類型對(duì)象上的權(quán)限SQL> auditINDEX on TEST_DR.TEST BY ACCESS WHENEVER SUCCESSFUL;創(chuàng)建表或物化視圖上的索引SQL> auditINSERT on TEST_DR.TEST BY ACCESS WHENEVER SUCCESSFUL;將行插入表、視圖或物化視圖中SQL> auditLOCK on T

16、EST_DR.TEST BY ACCESS WHENEVER SUCCESSFUL;鎖定表、視圖或物化視圖SQL> auditREAD on TEST_DR.TEST BY ACCESS WHENEVER SUCCESSFUL;對(duì) DIRECTORY 對(duì)象的內(nèi)容執(zhí)行讀操作SQL> auditRENAME on TEST_DR.TEST BY ACCESS WHENEVER SUCCESSFUL;重命名表、視圖或過程SQL> auditSELECT on TEST_DR.TEST BY ACCESS WHENEVER SUCCESSFUL;從表、視圖、序列或物化視圖中選擇行SQ

17、L> auditUPDATE on TEST_DR.TEST BY ACCESS WHENEVER SUCCESSFUL;更新表、視圖或物化視圖細(xì)粒度審計(jì)稱為 FGA，審計(jì)變得更為關(guān)注某個(gè)方面，并且更為精確。由稱為DBMS_FGA 的 PL/SQL 程序包實(shí)現(xiàn)FGA。使用標(biāo)準(zhǔn)的審計(jì)，可以輕松發(fā)現(xiàn)訪問了哪些對(duì)象以及由誰訪問，但無法知道訪問了哪些行或列。細(xì)粒度的審計(jì)可解決這個(gè)問題，它不僅為需要訪問的行指定謂詞 (或 where 子句 ) ，還指定了表中訪問的列。通過只在訪問某些行和列時(shí)審計(jì)對(duì)表的訪問，可以極大地減少審計(jì)表?xiàng)l目的數(shù)量。例如： 用戶 TAMARA 通常每天訪問HR.EMPLOYE

18、ES 表，查找雇員的電子郵件地址。系統(tǒng)管理員懷疑TAMARA 正在查看經(jīng)理們的薪水信息，因此他們建立一個(gè)FGA 策略，用于審計(jì)任何經(jīng)理對(duì)SALARY 列的任何訪問：.begindbms_fga.add_policy(object_schema =>'HR',object_name =>'EMPLOYEES',policy_name =>'SAL_SELECT_AUDIT',audit_condition => 'instr(job_id,''_MAN'') > 0',a

19、udit_column =>'SALARY');end;ADD_POLICY添加使用謂詞和審計(jì)列的審計(jì)策略DROP_POLICY刪除審計(jì)策略DISABLE_POLICY禁用審計(jì)策略，但保留與表或視圖關(guān)聯(lián)的策略ENABLE_POLICY啟用策略與審計(jì)相關(guān)的數(shù)據(jù)字典視圖數(shù)據(jù)字典視圖說明AUDIT_ACTIONS包含審計(jì)跟蹤動(dòng)作類型代碼的描述，例如INSERT、DROP VIEW 、DELETE、LOGON 和 LOCKDBA_AUDIT_OBJECT與數(shù)據(jù)庫(kù)中對(duì)象相關(guān)的審計(jì)跟蹤記錄DBA_AUDIT_POLICIES數(shù)據(jù)庫(kù)中的細(xì)粒度審計(jì)策略DBA_AUDIT_SESSION與

20、 CONNECT 和 DISCONNECT 相關(guān)的所有審計(jì)跟蹤記錄DBA_AUDIT_STATEMENT與 GRANT、 REVOKE、 AUDIT 、NOAUDIT 和 ALTERSYSTEM 命令相關(guān)的審計(jì)跟蹤條目DBA_AUDIT_TRAIL包含標(biāo)準(zhǔn)審計(jì)跟蹤條目。USER_AUDIT_TRAILUSER_TRAIL_AUDIT只包含已連接用戶的審計(jì)行DBA_FGA_AUDIT_TRAIL細(xì)粒度審計(jì)策略的審計(jì)跟蹤條目數(shù)據(jù)字典視圖說明.DBA_COMMON_AUDIT_TRAIL將標(biāo)準(zhǔn)的審計(jì)行和細(xì)粒度的審計(jì)行結(jié)合在一個(gè)視圖中DBA_OBJ_AUDIT_OPTS對(duì)數(shù)據(jù)庫(kù)對(duì)象生效的審計(jì)選項(xiàng)DBA

21、_PRIV_AUDIT_OPTS對(duì)系統(tǒng)權(quán)限生效的審計(jì)選項(xiàng)DBA_STMT_AUDIT_OPTS對(duì)語句生效的審計(jì)選項(xiàng)保護(hù)審計(jì)跟蹤審計(jì)跟蹤自身需要受到保護(hù)，特別是在非系統(tǒng)用戶必須訪問表SYS.AUD$時(shí)。內(nèi)置的角色DELETE_ANY_CATALOG 是非 SYS 用戶可以訪問審計(jì)跟蹤的一種方法(例如，歸檔和截取審計(jì)跟蹤，以確保它不會(huì)影響到SYS 表空間中其他對(duì)象的空間需求)。為了建立對(duì)審計(jì)跟蹤自身的審計(jì)，以SYSDBA 身份連接到數(shù)據(jù)庫(kù)，并運(yùn)行下面的命令：SQL> audit all on sys.aud$ by access;現(xiàn)在，所有針對(duì)表SYS.AUD$的動(dòng)作，包括select 、

22、insert 、update 和 delete ，都記錄在SYS.AUD$自身中。但是，您可能會(huì)問，如果某個(gè)人刪除了標(biāo)識(shí)對(duì)表SYS.AUD$訪問的審計(jì)記錄，這時(shí)會(huì)發(fā)生什么？此時(shí)將刪除表中的行，但接著插入另一行，記錄行的刪除。因此，總是存在一些針對(duì)SYS.AUD$ 表的 ( 有意的或偶然的)活動(dòng)的證據(jù)。此外，如果將AUDIT_SYS _OPERATIONS 設(shè)置為 True ，使用 as sysdba 、 as sysoper 或以 SYS 自身連接的任何會(huì)話將記錄到操作系統(tǒng)審計(jì)位置中，甚至Oracle DBA 可能都無法訪問該位置。因此，有許多合適的安全措施，用于確保記錄數(shù)據(jù)庫(kù)中所有權(quán)限的活動(dòng)

23、，以及隱藏該活動(dòng)的任何嘗試。將審計(jì)相關(guān)的表更換表空間由于 AUD$ 表等審計(jì)相關(guān)的表存放在SYSTEM 表空間，因此為了不影響系統(tǒng)的性能，保護(hù)SYSTEM 表空間，最好把AUD$ 移動(dòng)到其他的表空間上。可以使用下面的語句來進(jìn)行移動(dòng)：.sql>connect / as sysdba;sql>alter table aud$ move tablespace <new tablespace>sql>alter index I_aud1 rebuild online tablespace <new tablespace>SQL> alter table

24、audit$ move tablespace <new tablespace>SQL> alter index i_audit rebuild online tablespace <new tablespace>SQL> alter table audit_actions move tablespace <new tablespace>SQL> alter index i_audit_actions rebuild online tablespace <new tablespace>SQL> conn /as sysdba

25、SQL> show parameter auditNAMETYPEVALUE- - -audit_file_deststring/u01/app/oracle/admin/ORCL/adumpaudit_sys_operationsbooleanFALSEaudit_syslog_levelstringSQL> alter system set audit_sys_operations=TRUE scope=spfile; -審計(jì)管理用戶 ( 以sysdba/sysoper 角色登陸 )SQL> alter system set audit_trail=db,extended

26、 scope=spfile;SQL> startup force;SQL> show parameter auditNAMETYPEVALUE- - -audit_file_deststring/u01/app/oracle/admin/ORCL/adumpaudit_sys_operationsboolean TRUEaudit_syslog_levelstringaudit_trailstringDB, EXTENDED如果在命令后面添加 by user 則只對(duì) user 的操作進(jìn)行審計(jì) ,如果省去 by 用戶 ,則對(duì)系統(tǒng)中所有的用戶進(jìn)行審計(jì) (不包含 sys 用戶 ).例：A

27、UDIT DELETE ANY TABLE;-審計(jì)刪除表的操作AUDIT DELETE ANY TABLE WHENEVER NOT SUCCESSFUL;-只審計(jì)刪除失敗的情況AUDIT DELETE ANY TABLE WHENEVER SUCCESSFUL;-只審計(jì)刪除成功的情況AUDIT DELETE,UPDATE,INSERT ON user.table by test;-審計(jì) test 用戶對(duì)表user.table的 delete,update,insert操作.撤銷審計(jì)SQL> noaudit all on t_test;將審計(jì)結(jié)果表從system表空間里移動(dòng)到別的表空間上

28、實(shí)際上 sys.aud$ 表上包含了兩個(gè)lob 字段，并不是簡(jiǎn)單的move table就可以。下面是具體的過程:alter table sys.aud$ move tablespace users;alter table sys.aud$ move lob(sqlbind) store as( tablespace USERS); alter table sys.aud$ move lob(SQLTEXT) store as( tablespace USERS); alter index sys.I_AUD1 rebuild tablespace users;應(yīng)用語句審計(jì)多層環(huán)境下的審計(jì)： appserve- 應(yīng)用服務(wù)器， jackson-client AUDIT SELECT TABLE BY appserve ON BEHALF OF jackson;審計(jì)連接或斷開連接：AUDIT SESSION;AUDIT SESSION BY jeff, lori; -指定用戶審計(jì)權(quán)限 (使用該權(quán)限才能執(zhí)行的操作) ：AUDIT DELETE ANY TABLE BY ACCESS WHENEVER NOT SUCCESSFUL; AUDIT DELETE ANY TABLE;AUDIT SELECT TABLE, INSERT TABLE, DELETE TAB