數(shù)據(jù)庫審計全_第1頁
數(shù)據(jù)庫審計全_第2頁
數(shù)據(jù)庫審計全_第3頁
數(shù)據(jù)庫審計全_第4頁
數(shù)據(jù)庫審計全_第5頁
已閱讀5頁,還剩6頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

數(shù)據(jù)庫審計查瞧數(shù)據(jù)庫審計就是否打開SQL>showparameteraudit;NAMETYPEVALUE—-—--———-------—-—--——-—--——--------———--———---———----———---——--—---—--—--——-audit_string/oracle/app/oracle/admin/PTBCS/adumpaudit_sys_operat(yī)ionsbooleanFALSEaudit_syslog_levelstringaudit_trailstringDB_EXTENDEDaudit_sys_operations:默認為false,當設置為true時,所有sys(包括以sysdba,sysopr身份登錄得用戶)操作都會被記錄,但記錄不會被寫在aud$表中。如果為windows平臺,會記錄在windows事件管理當中。audit_trail:none為默認值,11G之后默認值為‘db’,如果默認值為none,那么不做審計DB:將audittrail記錄在數(shù)據(jù)庫審計相關得表中,審計只有連接信息DB_EXTENDED:這樣審計還包含當時得執(zhí)行得具體語句OS:將audittrail記錄在系統(tǒng)文件中,文件名有audit_參數(shù)指定修改語句為SQL>altersystemsetaudit_trail=’db_extended'scope=spfile;注:參數(shù)audit_trail不就是動態(tài),為了使此參數(shù)中得改動生效,必須關閉數(shù)據(jù)庫并重新啟動。在對sys、aud$進行審計時,還需要監(jiān)控該表得大小,以免影響system表空間中其她對象得空間需求。推薦周期性歸檔sys、aud$中得行,并截取該表。目前采用計劃任務,每日刪除上月數(shù)據(jù),只保留當月數(shù)據(jù)。Audit_時,文件位置.語句審計SQL>auditontablebyaccess;每次動作發(fā)生時都對其進行審計SQL〉auditontablebysession;只審計一次,默認為bysession有時希望審計成功得動作:沒有生成錯誤消息得語句。對于這些語句,添加wheneversuccessful。而有時只關心使用審計語句得命令就是否失敗,失敗原因就是權限違犯、用完表空間中得空間還就是語法錯誤.對于這些情況,使用whenevernotsuccessful.對于大多數(shù)類別得審計方法,如果確實希望審計所有類型得表訪問或某個用戶得任何權限,則可以指定all而不就是單個得語句類型或?qū)ο?SQL>auditaltersystem;所有ALTERSYSTEM選項,例如,動態(tài)改變實例參數(shù),切換到下一個日志文件組,以及終止用戶會話SQL〉auditcluster;CREATE、ALTER、DROP或TRUNCATE集群SQL〉auditcontext;CREATECONTEXT或DROPCONTEXT;SQL>auditdatabaselink;CREATE或DROP數(shù)據(jù)庫鏈接;SQL>auditdimension;CREATE、ALTER或DROP維數(shù)SQL>auditdirectory;CREATE或DROP目錄;SQL〉auditindex;CREATE、ALTER或DROP索引SQL〉auditmaterializedview;CREATE、ALTER或DROP物化視圖SQL>auditnotexists;由于不存在得引用對象而造成得SQL語句得失敗;SQL>auditprocedure;CREATE或DROPFUNCTION、LIBRARY、PACKAGE、PACKAGEBODY或PROCEDURESQL〉auditprofile;CREATE、ALTER或DROP配置文件SQL〉auditpublicdatabaselink;CREATE或DROP公有數(shù)據(jù)庫鏈接SQL〉auditpublicsynonym;CREATE或DROP公有同義詞SQL>auditrole;CREATE、ALTER、DROP或SET角色SQL〉auditrollbacksegment;CREATE、ALTER或DROP回滾段SQL>auditsequence;CREATE或DROP序列SQL>auditsession;登錄與退出SQL〉auditsystemaudit;系統(tǒng)權限得AUDIT或NOAUDITSQL>auditsystemgrant;GRANT或REVOKE系統(tǒng)權限與角色SQL>audittable;CREATE、DROP或TRUNCATE表SQL〉audittablespace;CREATE、ALTER或DROP表空間SQL>audittrigger;CREATE、ALTER(啟用/禁用)、DROP觸發(fā)器;具有ENABLEALLTRIGGERS或DISABLEALLTRIGGERS得ALTERTABLESQL>audittype;CREATE、ALTER與DROP類型以及類型主體SQL〉audituser;CREATE、ALTER或DROP用戶SQL〉auditview;CREATE或DROP視圖顯式指定得語句類型SQL>auditaltersequence;任何ALTERSEQUENCE命令SQL>auditaltertable;任何ALTERTABLE命令SQL>auditmenttable;添加注釋到表、視圖、物化視圖或它們中得任何列SQL〉auditdeletetable;刪除表或視圖中得行SQL〉auditexecuteprocedure;執(zhí)行程序包中得過程、函數(shù)或任何變量或游標SQL>auditgrantdirectory;GRANT或REVOKEDIRECTORY對象上得權限SQL〉auditgrantprocedure;GRANT或REVOKE過程、函數(shù)或程序包上得權限SQL>auditgrantsequence;GRANT或REVOKE序列上得權限SQL〉auditgranttable;GRANT或REVOKE表、視圖或物化視圖上得權限SQL〉auditgranttype;GRANT或REVOKETYPE上得權限SQL>auditinserttable;INSERTINTO表或視圖SQL>auditlocktable;表或視圖上得LOCKTABLE命令SQL>auditselectsequence;引用序列得CURRVAL或NEXTVAL得任何命令SQL>auditselecttable;SELECTFROM表、視圖或物化視圖SQL>auditupdatetable;在表或視圖上執(zhí)行UPDATESQL〉selectusername,to_char(timestamp,'MM/DD/YYHH24:MI')timestamp2OBJ_NAME,ACTION_NAME,SQL_TEXTFROMDBA_AUDIT_TRAIL3WHEREUSERNAME='SCOTT’;我用得基本查詢審計信息,顯示結果如下scott08/12/0717:15JOB_TITLE_IDXCREATEINDEXcreat(yī)eindexhr、?job_title_idxon?hr、jobs(job_title)1rowselected、權限審計審計系統(tǒng)權限具有與語句審計相同得基本語法,但審計系統(tǒng)權限就是在sql_statement_clause中,而不就是在語句中,指定系統(tǒng)權限。SQL〉auditaltertablespacebyaccesswheneversuccessful;使用SYSDBA與SYSOPER權限或者以SYS用戶連接到數(shù)據(jù)庫得系統(tǒng)管理員可以利用特殊得審計。為了啟用這種額外得審計級別,可以設置初始參數(shù)AUDIT_SYS_OPERATIONS為TRUE.這種審計記錄發(fā)送到與操作系統(tǒng)審計記錄相同得位置.因此,這個位置就是與操作系統(tǒng)相關得.當使用其中一種權限時執(zhí)行得所有SQL語句,以及作為用戶SYS執(zhí)行得任何SQL語句,都會發(fā)送到操作系統(tǒng)審計位置。模式對象審計SQL〉auditalteronTEST_DR、TESTBYACCESSWHENEVERSUCCESSFUL;改變表、序列或物化視圖SQL>auditAUDITonTEST_DR、TESTBYACCESSWHENEVERSUCCESSFUL;審計任何對象上得命令SQL〉auditMENTonTEST_DR、TESTBYACCESSWHENEVERSUCCESSFUL;添加注釋到表、視圖或物化視圖SQL>auditDELETEonTEST_DR、TESTBYACCESSWHENEVERSUCCESSFUL;從表、視圖或物化視圖中刪除行SQL>auditEXECUTEonTEST_DR、TESTBYACCESSWHENEVERSUCCESSFUL;執(zhí)行過程、函數(shù)或程序包SQL〉auditFLASHBACKonTEST_DR、TESTBYACCESSWHENEVERSUCCESSFUL;執(zhí)行表或視圖上得閃回操作SQL>auditGRANTonTEST_DR、TESTBYACCESSWHENEVERSUCCESSFUL;授予任何類型對象上得權限SQL〉auditINDEXonTEST_DR、TESTBYACCESSWHENEVERSUCCESSFUL;創(chuàng)建表或物化視圖上得索引SQL>auditINSERTonTEST_DR、TESTBYACCESSWHENEVERSUCCESSFUL;將行插入表、視圖或物化視圖中SQL〉auditLOCKonTEST_DR、TESTBYACCESSWHENEVERSUCCESSFUL;鎖定表、視圖或物化視圖SQL>auditREADonTEST_DR、TESTBYACCESSWHENEVERSUCCESSFUL;對DIRECTORY對象得內(nèi)容執(zhí)行讀操作SQL>auditRENAMEonTEST_DR、TESTBYACCESSWHENEVERSUCCESSFUL;重命名表、視圖或過程SQL〉auditSELECTonTEST_DR、TESTBYACCESSWHENEVERSUCCESSFUL;從表、視圖、序列或物化視圖中選擇行SQL>auditUPDATEonTEST_DR、TESTBYACCESSWHENEVERSUCCESSFUL;更新表、視圖或物化視圖細粒度審計稱為FGA,審計變得更為關注某個方面,并且更為精確。由稱為DBMS_FGA得PL/SQL程序包實現(xiàn)FGA。使用標準得審計,可以輕松發(fā)現(xiàn)訪問了哪些對象以及由誰訪問,但無法知道訪問了哪些行或列。細粒度得審計可解決這個問題,它不僅為需要訪問得行指定謂詞(或where子句),還指定了表中訪問得列。通過只在訪問某些行與列時審計對表得訪問,可以極大地減少審計表條目得數(shù)量。例如:用戶TAMARA通常每天訪問HR、EMPLOYEES表,查找雇員得電子郵件地址。系統(tǒng)管理員懷疑TAMARA正在查瞧經(jīng)理們得薪水信息,因此她們建立一個FGA策略,用于審計任何經(jīng)理對SALARY列得任何訪問:begin

dbms_fga、add_policy(?object_schema=〉

'HR’,

object_name=>

’EMPLOYEES’,?policy_name=〉

'SAL_SELECT_AUDIT',?audit_condition=〉’instr(job_id,'’_MAN’’)>0’,?audit_column=>

’SALARY’?);?end;ADD_POLICY? ??添加使用謂詞與審計列得審計策略DROP_POLICY ?刪除審計策略DISABLE_POLICY? ?禁用審計策略,但保留與表或視圖關聯(lián)得策略ENABLE_POLICY ?啟用策略與審計相關得數(shù)據(jù)字典視圖數(shù)據(jù)字典視圖說

明AUDIT_ACTIONS包含審計跟蹤動作類型代碼得描述,例如INSERT、DROPVIEW、DELETE、LOGON與LOCKDBA_AUDIT_OBJECT與數(shù)據(jù)庫中對象相關得審計跟蹤記錄DBA_AUDIT_POLICIES數(shù)據(jù)庫中得細粒度審計策略DBA_AUDIT_SESSION與CONNECT與DISCONNECT相關得所有審計跟蹤記錄DBA_AUDIT_STATEMENT與GRANT、REVOKE、AUDIT、NOAUDIT與ALTERSYSTEM命令相關得審計跟蹤條目DBA_AUDIT_TRAIL包含標準審計跟蹤條目。USER_AUDIT_TRAILUSER_TRAIL_AUDIT只包含已連接用戶得審計行DBA_FGA_AUDIT_TRAIL細粒度審計策略得審計跟蹤條目數(shù)據(jù)字典視圖說

明DBA_MON_AUDIT_TRAIL將標準得審計行與細粒度得審計行結合在一個視圖中DBA_OBJ_AUDIT_OPTS對數(shù)據(jù)庫對象生效得審計選項DBA_PRIV_AUDIT_OPTS對系統(tǒng)權限生效得審計選項DBA_STMT_AUDIT_OPTS對語句生效得審計選項保護審計跟蹤審計跟蹤自身需要受到保護,特別就是在非系統(tǒng)用戶必須訪問表SYS、AUD$時。內(nèi)置得角色DELETE_ANY_CATALOG就是非SYS用戶可以訪問審計跟蹤得一種方法(例如,歸檔與截取審計跟蹤,以確保它不會影響到SYS表空間中其她對象得空間需求)。為了建立對審計跟蹤自身得審計,以SYSDBA身份連接到數(shù)據(jù)庫,并運行下面得命令:SQL>auditallonsys、aud$byaccess;現(xiàn)在,所有針對表SYS、AUD$得動作,包括select、insert、update與delete,都記錄在SYS、AUD$自身中。但就是,您可能會問,如果某個人刪除了標識對表SYS、AUD$訪問得審計記錄,這時會發(fā)生什么?此時將刪除表中得行,但接著插入另一行,記錄行得刪除。因此,總就是存在一些針對SYS、AUD$表得(有意得或偶然得)活動得證據(jù)。此外,如果將AUDIT_SYS_OPERATIONS設置為True,使用assysdba、assysoper或以SYS自身連接得任何會話將記錄到操作系統(tǒng)審計位置中,甚至OracleDBA可能都無法訪問該位置。因此,有許多合適得安全措施,用于確保記錄數(shù)據(jù)庫中所有權限得活動,以及隱藏該活動得任何嘗試.將審計相關得表更換表空間

由于AUD$表等審計相關得表存放在SYSTEM表空間,因此為了不影響系統(tǒng)得性能,保護SYSTEM表空間,最好把AUD$移動到其她得表空間上。可以使用下面得語句來進行移動:

sql〉connect

/

as

sysdba;sql〉alter

table

aud$

move

tablespace

〈new

tablespace〉;sql>alter

index

I_aud1

rebuild

online

tablespace

<new

tablespace>;SQL〉

alter

table

audit$

move

tablespace

<new

tablespace>;SQL〉

alter

index

i_audit

rebuild

online

tablespace

〈new

tablespace〉;SQL>

alter

table

audit_actions

move

tablespace

<new

tablespace>;SQL>

alter

index

i_audit_actions

rebuild

online

tablespace

<new

tablespace>;?

SQL〉conn/assysdba

SQL>showparameteraudit

NAME

TYPE

VALUE

--—-----—-—-—--——----——--—-—-———--—-————-———--—--—-———----——-—-—----———————--

audit_

string

/u01/app/oracle/admin/ORCL/adump

audit_sys_operations

boolean

FALSE

audit_syslog_level

string

SQL>altersystemsetaudit_sys_operations=TRUEscope=spfile;

——審計管理用戶(以sysdba/sysoper角色登陸)?SQL〉altersystemsetaudit_trail=db,extendedscope=spfile;?SQL>startupforce;

SQL〉showparameteraudit?NAME

TYPE

VALUE

-——--—----——---——--—---—--——--———-———--——-—————————--——-—--—--—-————---—-—---

audit_

string

/u01/app/oracle/admin/ORCL/adump

audit_sys_operations

boolean

TRUE

audit_syslog_level

string

audit_trail

string

DB,EXTENDED

如果在命令后面添加byuser則只對user得操作進行審計,如果省去by用戶,則對系統(tǒng)中所有得用戶進行審計(不包含sys用戶)、

?例:

AUDITDELETEANYTABLE;

--審計刪除表得操作

AUDITDELETEANYTABLEWHENEVERNOTSUCCESSFUL;

——只審計刪除失敗得情況

AUDITDELETEANYTABLEWHENEVERSUCCESSFUL;

-—只審計刪除成功得情況

AUDITDELETE,UPDATE,INSERTONuser、tablebytest;

—-審計test用戶對表user、table得delete,update,insert操作

撤銷審計SQL>noauditallont_test;

將審計結果表從system表空間里移動到別得表空間上實際上sys、aud$表上包含了兩個lob字段,并不就是簡單得movetable就可以。?下面就是具體得過程:

altertablesys、aud$movetablespaceusers;

altertablesys、aud$movelob(sqlbind)storeas(tablespaceUSERS);

altertablesys、aud$movelob(SQLTEXT)storeas(tablespaceUSERS);?alterindexsys、I_AUD1rebuildtablespaceusers;應用語句審計多層環(huán)境下得審計:appserve—應用服務器,jackson-client?AUDITSELECTTABLEBYappserveONBEHALFOFjackson;

審計連接或斷開連接:?AUDITSESSION;?AUDITSESSIONBYjeff,lori;

—-指定用戶??審計權限(使用該權限才能執(zhí)行得操作):

AUDITDELETEANYTABLEBYACCESSWHENEVERNOTSUCCESSFUL;

AUDITDELETEANYTABLE;

AUDITSELECTTABLE,INSERTTABLE,DELETETABLE,EXECUTEPROCEDUREBYACCESSWHENEVERNOTSUCCESSFUL;

?對象審計:?AUDITDELETEONjef

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論