數(shù)據(jù)庫(kù)審計(jì)全

1、數(shù)據(jù)庫(kù)審計(jì)查看數(shù)據(jù)庫(kù)審計(jì)是否打開SQL show parameter audit;NAME TYPE VALUE- - -audit_file_dest string /oracle/app/oracle/admin/PTBCS/adumpaudit_sys_operations boolean FALSEaudit_syslog_level string audit_trail string DB_EXTENDEDaudit_sys_operations:默認(rèn)為false，當(dāng)設(shè)置為true時(shí)，所有sys（包括以sysdba，sysopr身份登錄的用戶）操作都會(huì)被記錄，但記錄不會(huì)被寫在aud$

2、表中。如果為windows平臺(tái)，會(huì)記錄在windows事件管理當(dāng)中。audit_trail：none為默認(rèn)值，11G之后默認(rèn)值為db，如果默認(rèn)值為none，那么不做審計(jì)DB:將audit trail 記錄在數(shù)據(jù)庫(kù)審計(jì)相關(guān)的表中，審計(jì)只有連接信息DB_EXTENDED：這樣審計(jì)還包含當(dāng)時(shí)的執(zhí)行的具體語(yǔ)句OS：將audit trail記錄在系統(tǒng)文件中，文件名有audit_file_dest參數(shù)指定修改語(yǔ)句為SQL alter system set audit_trail=db_extended scope=spfile;注：參數(shù)audit_trail不是動(dòng)態(tài)，為了使此參數(shù)中的改動(dòng)生效，必須關(guān)閉數(shù)據(jù)

3、庫(kù)并重新啟動(dòng)。在對(duì)sys.aud$進(jìn)行審計(jì)時(shí)，還需要監(jiān)控該表的大小，以免影響system表空間中其他對(duì)象的空間需求。推薦周期性歸檔sys.aud$中的行，并截取該表。目前采用計(jì)劃任務(wù)，每日刪除上月數(shù)據(jù)，只保留當(dāng)月數(shù)據(jù)。Audit_file_dest:audit_trail=os時(shí)，文件位置。語(yǔ)句審計(jì)SQL audit on table by access;每次動(dòng)作發(fā)生時(shí)都對(duì)其進(jìn)行審計(jì)SQL audit on table by session;只審計(jì)一次,默認(rèn)為by session有時(shí)希望審計(jì)成功的動(dòng)作：沒有生成錯(cuò)誤消息的語(yǔ)句。對(duì)于這些語(yǔ)句，添加whenever successful。而有時(shí)只關(guān)

4、心使用審計(jì)語(yǔ)句的命令是否失敗，失敗原因是權(quán)限違犯、用完表空間中的空間還是語(yǔ)法錯(cuò)誤。對(duì)于這些情況，使用 whenever not successful。對(duì)于大多數(shù)類別的審計(jì)方法，如果確實(shí)希望審計(jì)所有類型的表訪問或某個(gè)用戶的任何權(quán)限，則可以指定all而不是單個(gè)的語(yǔ)句類型或?qū)ο?。SQL audit alter system ;所有ALTER SYSTEM選項(xiàng)，例如，動(dòng)態(tài)改變實(shí)例參數(shù)，切換到下一個(gè)日志文件組，以及終止用戶會(huì)話SQL audit cluster;CREATE、ALTER、DROP或TRUNCATE集群SQL audit context;CREATE CONTEXT或DROP CONTEX

5、T;SQL audit database link;CREATE或DROP數(shù)據(jù)庫(kù)鏈接;SQL audit dimension;CREATE、ALTER或DROP維數(shù)SQL audit directory;CREATE或DROP目錄;SQL audit index;CREATE、ALTER或DROP索引SQL audit materialized view;CREATE、ALTER或DROP物化視圖SQL audit not exists;由于不存在的引用對(duì)象而造成的SQL語(yǔ)句的失敗;SQL audit procedure;CREATE或DROP FUNCTION、LIBRARY、PACKAGE

6、、PACKAGE BODY或PROCEDURESQL audit profile;CREATE、ALTER或DROP配置文件SQL audit public database link;CREATE或DROP公有數(shù)據(jù)庫(kù)鏈接SQL audit public synonym;CREATE或DROP公有同義詞SQL audit role;CREATE、ALTER、DROP或SET角色SQL audit rollback segment;CREATE、ALTER或DROP回滾段SQL audit sequence;CREATE或DROP序列SQL audit session;登錄和退出SQL audi

7、t system audit;系統(tǒng)權(quán)限的AUDIT或NOAUDITSQL audit system grant;GRANT或REVOKE系統(tǒng)權(quán)限和角色SQL audit table;CREATE、DROP或TRUNCATE表SQL audit tablespace;CREATE、ALTER或DROP表空間SQL audit trigger;CREATE、ALTER(啟用/禁用)、DROP觸發(fā)器；具有ENABLE ALL TRIGGERS或DISABLE ALL TRIGGERS的ALTER TABLESQL audit type;CREATE、ALTER和DROP類型以及類型主體SQL aud

8、it user;CREATE、ALTER或DROP用戶SQL audit view;CREATE或DROP視圖顯式指定的語(yǔ)句類型SQL audit alter sequence;任何ALTER SEQUENCE命令SQL audit alter table;任何ALTER TABLE命令SQL audit comment table;添加注釋到表、視圖、物化視圖或它們中的任何列SQL audit delete table;刪除表或視圖中的行SQL audit execute procedure;執(zhí)行程序包中的過程、函數(shù)或任何變量或游標(biāo)SQL audit grant directory;GRAN

9、T或REVOKE DIRECTORY對(duì)象上的權(quán)限SQL audit grant procedure;GRANT或REVOKE過程、函數(shù)或程序包上的權(quán)限SQL audit grant sequence;GRANT或REVOKE序列上的權(quán)限SQL audit grant table;GRANT或REVOKE表、視圖或物化視圖上的權(quán)限SQL audit grant type;GRANT或REVOKE TYPE上的權(quán)限SQL audit insert table;INSERT INTO表或視圖SQL audit lock table;表或視圖上的LOCK TABLE命令SQL audit select

10、 sequence;引用序列的CURRVAL或NEXTVAL的任何命令SQL audit select table;SELECT FROM表、視圖或物化視圖SQL audit update table;在表或視圖上執(zhí)行UPDATESQL select username,to_char(timestamp,MM/DD/YY HH24:MI) timestamp 2 OBJ_NAME,ACTION_NAME,SQL_TEXT FROM DBA_AUDIT_TRAIL 3 WHERE USERNAME = SCOTT;我用的基本查詢審計(jì)信息，顯示結(jié)果如下scott 08/12/07 17:15 JO

11、B_TITLE_IDX CREATE INDEX create index hr.job_title_idx (job_title)1 row selected.權(quán)限審計(jì)審計(jì)系統(tǒng)權(quán)限具有與語(yǔ)句審計(jì)相同的基本語(yǔ)法，但審計(jì)系統(tǒng)權(quán)限是在sql_statement_clause中，而不是在語(yǔ)句中，指定系統(tǒng)權(quán)限。SQL audit alter tablespace by access whenever successful;使用SYSDBA和SYSOPER權(quán)限或者以SYS用戶連接到數(shù)據(jù)庫(kù)的系統(tǒng)管理員可以利用特殊的審計(jì)。為了啟用這種額外的審計(jì)級(jí)別，可以設(shè)置初始參數(shù)AUDIT_SYS_OP

12、ERATIONS為TRUE。這種審計(jì)記錄發(fā)送到與操作系統(tǒng)審計(jì)記錄相同的位置。因此，這個(gè)位置是和操作系統(tǒng)相關(guān)的。當(dāng)使用其中一種權(quán)限時(shí)執(zhí)行的所有SQL語(yǔ)句，以及作為用戶SYS執(zhí)行的任何SQL語(yǔ)句，都會(huì)發(fā)送到操作系統(tǒng)審計(jì)位置。模式對(duì)象審計(jì)SQL audit alter on TEST_DR.TEST BY ACCESS WHENEVER SUCCESSFUL;改變表、序列或物化視圖SQL audit AUDIT on TEST_DR.TEST BY ACCESS WHENEVER SUCCESSFUL;審計(jì)任何對(duì)象上的命令SQL audit COMMENT on TEST_DR.TEST BY AC

13、CESS WHENEVER SUCCESSFUL;添加注釋到表、視圖或物化視圖SQL audit DELETE on TEST_DR.TEST BY ACCESS WHENEVER SUCCESSFUL;從表、視圖或物化視圖中刪除行SQL audit EXECUTE on TEST_DR.TEST BY ACCESS WHENEVER SUCCESSFUL;執(zhí)行過程、函數(shù)或程序包SQL audit FLASHBACK on TEST_DR.TEST BY ACCESS WHENEVER SUCCESSFUL;執(zhí)行表或視圖上的閃回操作SQL audit GRANT on TEST_DR.TEST

14、 BY ACCESS WHENEVER SUCCESSFUL;授予任何類型對(duì)象上的權(quán)限SQL audit INDEX on TEST_DR.TEST BY ACCESS WHENEVER SUCCESSFUL;創(chuàng)建表或物化視圖上的索引SQL audit INSERT on TEST_DR.TEST BY ACCESS WHENEVER SUCCESSFUL;將行插入表、視圖或物化視圖中SQL audit LOCK on TEST_DR.TEST BY ACCESS WHENEVER SUCCESSFUL;鎖定表、視圖或物化視圖SQL audit READ on TEST_DR.TEST BY

15、ACCESS WHENEVER SUCCESSFUL;對(duì)DIRECTORY對(duì)象的內(nèi)容執(zhí)行讀操作SQL audit RENAME on TEST_DR.TEST BY ACCESS WHENEVER SUCCESSFUL;重命名表、視圖或過程SQL audit SELECT on TEST_DR.TEST BY ACCESS WHENEVER SUCCESSFUL;從表、視圖、序列或物化視圖中選擇行SQL audit UPDATE on TEST_DR.TEST BY ACCESS WHENEVER SUCCESSFUL;更新表、視圖或物化視圖細(xì)粒度審計(jì)稱為FGA，審計(jì)變得更為關(guān)注某個(gè)方面，并且

16、更為精確。由稱為DBMS_FGA的PL/SQL程序包實(shí)現(xiàn)FGA。使用標(biāo)準(zhǔn)的審計(jì)，可以輕松發(fā)現(xiàn)訪問了哪些對(duì)象以及由誰(shuí)訪問，但無(wú)法知道訪問了哪些行或列。細(xì)粒度的審計(jì)可解決這個(gè)問題，它不僅為需要訪問的行指定謂詞(或where子句)，還指定了表中訪問的列。通過只在訪問某些行和列時(shí)審計(jì)對(duì)表的訪問，可以極大地減少審計(jì)表?xiàng)l目的數(shù)量。例如：用戶TAMARA通常每天訪問HR.EMPLOYEES表，查找雇員的電子郵件地址。系統(tǒng)管理員懷疑TAMARA正在查看經(jīng)理們的薪水信息，因此他們建立一個(gè)FGA策略，用于審計(jì)任何經(jīng)理對(duì)SALARY列的任何訪問：begindbms_fga.add_policy(object_sch

17、ema = HR,object_name = EMPLOYEES,policy_name = SAL_SELECT_AUDIT,audit_condition = instr(job_id,_MAN) 0,audit_column = SALARY);end;ADD_POLICY添加使用謂詞和審計(jì)列的審計(jì)策略DROP_POLICY刪除審計(jì)策略DISABLE_POLICY禁用審計(jì)策略，但保留與表或視圖關(guān)聯(lián)的策略ENABLE_POLICY啟用策略與審計(jì)相關(guān)的數(shù)據(jù)字典視圖數(shù)據(jù)字典視圖說 明AUDIT_ACTIONS包含審計(jì)跟蹤動(dòng)作類型代碼的描述，例如INSERT、DROP VIEW、DELETE、L

18、OGON和LOCKDBA_AUDIT_OBJECT與數(shù)據(jù)庫(kù)中對(duì)象相關(guān)的審計(jì)跟蹤記錄DBA_AUDIT_POLICIES數(shù)據(jù)庫(kù)中的細(xì)粒度審計(jì)策略DBA_AUDIT_SESSION與CONNECT和DISCONNECT相關(guān)的所有審計(jì)跟蹤記錄DBA_AUDIT_STATEMENT與GRANT、REVOKE、AUDIT、NOAUDIT和ALTER SYSTEM命令相關(guān)的審計(jì)跟蹤條目DBA_AUDIT_TRAIL包含標(biāo)準(zhǔn)審計(jì)跟蹤條目。USER_AUDIT_TRAILUSER_TRAIL_AUDIT只包含已連接用戶的審計(jì)行DBA_FGA_AUDIT_TRAIL細(xì)粒度審計(jì)策略的審計(jì)跟蹤條目數(shù)據(jù)字典視圖說 明

19、DBA_COMMON_AUDIT_TRAIL將標(biāo)準(zhǔn)的審計(jì)行和細(xì)粒度的審計(jì)行結(jié)合在一個(gè)視圖中DBA_OBJ_AUDIT_OPTS對(duì)數(shù)據(jù)庫(kù)對(duì)象生效的審計(jì)選項(xiàng)DBA_PRIV_AUDIT_OPTS對(duì)系統(tǒng)權(quán)限生效的審計(jì)選項(xiàng)DBA_STMT_AUDIT_OPTS對(duì)語(yǔ)句生效的審計(jì)選項(xiàng)保護(hù)審計(jì)跟蹤審計(jì)跟蹤自身需要受到保護(hù)，特別是在非系統(tǒng)用戶必須訪問表SYS.AUD$時(shí)。內(nèi)置的角色DELETE_ANY_CATALOG是非SYS用戶可以訪問審計(jì)跟蹤的一種方法(例如，歸檔和截取審計(jì)跟蹤，以確保它不會(huì)影響到SYS表空間中其他對(duì)象的空間需求)。為了建立對(duì)審計(jì)跟蹤自身的審計(jì)，以SYSDBA身份連接到數(shù)據(jù)庫(kù)，并運(yùn)行下面的

20、命令：SQL audit all on sys.aud$ by access;現(xiàn)在，所有針對(duì)表SYS.AUD$的動(dòng)作，包括select、insert、update和delete，都記錄在SYS.AUD$自身中。但是，您可能會(huì)問，如果某個(gè)人刪除了標(biāo)識(shí)對(duì)表SYS.AUD$訪問的審計(jì)記錄，這時(shí)會(huì)發(fā)生什么？此時(shí)將刪除表中的行，但接著插入另一行，記錄行的刪除。因此，總是存在一些針對(duì)SYS.AUD$表的(有意的或偶然的)活動(dòng)的證據(jù)。此外，如果將AUDIT_SYS _OPERATIONS設(shè)置為True，使用as sysdba、as sysoper或以SYS自身連接的任何會(huì)話將記錄到操作系統(tǒng)審計(jì)位置中，甚至O

21、racle DBA可能都無(wú)法訪問該位置。因此，有許多合適的安全措施，用于確保記錄數(shù)據(jù)庫(kù)中所有權(quán)限的活動(dòng)，以及隱藏該活動(dòng)的任何嘗試。將審計(jì)相關(guān)的表更換表空間由于AUD$表等審計(jì)相關(guān)的表存放在SYSTEM表空間，因此為了不影響系統(tǒng)的性能，保護(hù)SYSTEM表空間，最好把AUD$移動(dòng)到其他的表空間上?？梢允褂孟旅娴恼Z(yǔ)句來(lái)進(jìn)行移動(dòng)：sqlconnect/assysdba;sqlaltertableaud$movetablespace;sqlalterindexI_aud1rebuildonlinetablespace;SQLaltertableaudit$movetablespace;SQLalteri

22、ndexi_auditrebuildonlinetablespace;SQLaltertableaudit_actionsmovetablespace;SQLalterindexi_audit_actionsrebuildonlinetablespace;SQL conn /as sysdbaSQL show parameter auditNAME TYPE VALUE- - -audit_file_dest string /u01/app/oracle/admin/ORCL/adumpaudit_sys_operations boolean FALSEaudit_syslog_level s

23、tringSQL alter system set audit_sys_operations=TRUE scope=spfile; -審計(jì)管理用戶(以sysdba/sysoper角色登陸)SQL alter system set audit_trail=db,extended scope=spfile;SQL startup force;SQL show parameter auditNAME TYPE VALUE- - -audit_file_dest string /u01/app/oracle/admin/ORCL/adumpaudit_sys_operations boolean TR

24、UEaudit_syslog_level stringaudit_trail string DB, EXTENDED如果在命令后面添加by user則只對(duì)user的操作進(jìn)行審計(jì),如果省去by用戶,則對(duì)系統(tǒng)中所有的用戶進(jìn)行審計(jì)(不包含sys用戶).例：AUDIT DELETE ANY TABLE; -審計(jì)刪除表的操作AUDIT DELETE ANY TABLE WHENEVER NOT SUCCESSFUL; -只審計(jì)刪除失敗的情況AUDIT DELETE ANY TABLE WHENEVER SUCCESSFUL; -只審計(jì)刪除成功的情況AUDIT DELETE,UPDATE,INSERT O

25、N user.table by test; -審計(jì)test用戶對(duì)表user.table的delete,update,insert操作撤銷審計(jì)SQL noaudit all on t_test;將審計(jì)結(jié)果表從system表空間里移動(dòng)到別的表空間上實(shí)際上sys.aud$表上包含了兩個(gè)lob字段，并不是簡(jiǎn)單的move table就可以。下面是具體的過程:alter table sys.aud$ move tablespace users;alter table sys.aud$ move lob(sqlbind) store as( tablespace USERS);alter table sys

26、.aud$ move lob(SQLTEXT) store as( tablespace USERS);alter index sys.I_AUD1 rebuild tablespace users;應(yīng)用語(yǔ)句審計(jì)多層環(huán)境下的審計(jì)：appserve-應(yīng)用服務(wù)器，jackson-clientAUDIT SELECT TABLE BY appserve ON BEHALF OF jackson;審計(jì)連接或斷開連接：AUDIT SESSION;AUDIT SESSION BY jeff, lori; - 指定用戶審計(jì)權(quán)限(使用該權(quán)限才能執(zhí)行的操作)：AUDIT DELETE ANY TABLE BY ACCESS WHENEVER NOT SUCCESSFUL;AUDIT DELETE ANY TABLE;AUDIT SELECT TABLE, INSERT TABLE, DELETE TABLE, EXECUTE PROCEDURE BY ACCESS WHENEVER NOT SUCCESSFUL;對(duì)象審計(jì)：AUDIT DE