一、oracle 10g 审计官网说明:
参考:http://docs.oracle.com/cd/B19306_01/server.102/b14220/security.htm#i16445
二、审计功能
审计(Audit)用于监视用户所执行的数据库操作,审计记录可存在数据字典表(称为审计记录:存储在system表空间中的 SYS.AUD$表中,可通过视图dba_audit_trail查看)或操作系统审计记录中(默认位置为$ORACLE_BASE/admin/$ORACLE_SID/adump/).。默认情况下审计是没有开启的。
当数据库的审计是使能的,在语句执行阶段产生审计记录。审计记录包含有审计的操作、用户执行的操作、操作的日期和时间等信息。
不管你是否打开数据库的审计功能,以下这些操作系统会强制记录:用管理员权限连接Instance;启动数据库;关闭数据库。
需要注意开启审计功能必然会额外消耗一部分数据库性能,开启审计需要重启数据库生效。
具体的审计策略则需要根据项目实际要求自行配置。
三、审计级别:
当开启审计功能后,可在三个级别对数据库进行审计:Statement(语句)、Privilege(权限)、object(对象)。
1、语句级
语句审计,对某种类型的SQL语句审计,不指定结构或对象。比如audit table 会审计数据库中所有的create table,drop table,truncate table语句,alter session by test会审计test用户所有的数据库连接。
2、权限级
权限审计,当用户使用了该权限则被审计,如执行grant selectany table to a,当执行了auditselect any table语句后,当用户a 访问了用户b的表时(如select * from b.t)会用到select any table权限,故会被审计。注意用户是自己表的所有者,所以用户访问自己的表不会被审计。
3、对象级
对象审计,对一特殊模式对象上的指定语句的审计. 如审计on关键字指定对象的相关操作,如aduitalter,delete,drop,insert on cmy.t byscott; 这里会对cmy用户的t表进行审计,但同时使用了by子句,所以只会对scott用户发起的操作进行审计。
注意:Oracle没有提供对schema中所有对象的审计功能,只能一个一个对象审计,对于后面创建的对象,Oracle则提供on default子句来实现自动审计,比如执行audit drop on defaultby access;后,对于随后创建的对象的drop操作都会审计。但这个default会对之后创建的所有数据库对象有效,似乎没办法指定只对某个用户创建的对象有效,想比 trigger可以对schema的DDL进行“审计”,这个功能稍显不足。
四、与审计相关的两个重要参数
1、AUDIT_SYS_OPERATIONS
详见:http://docs.oracle.com/cd/B19306_01/server.102/b14237/initparams014.htm#REFRN10005
默认为false,当设置为true时,所有sys用户(包括以sysdba, sysoper身份登录的用户)的操作都会被记录,audit trail不会写在aud$表中,这个很好理解,如果数据库还未启动aud$不可用,那么像conn assysdba这样的连接信息,只能记录在其它地方。如果是windows平台,audtitrail会记录在windows的事件管理中,如果是linux/unix平台则会记录在audit_file_dest参数指定的文件中。
2、AUDIT_TRAIL
详见:http://docs.oracle.com/cd/B19306_01/server.102/b14237/initparams016.htm#REFRN10006
有如下值:
None:是默认值,不做审计;
DB:将audit trail 记录在数据库的审计相关表中,如aud$,审计的结果只有连接信息;
DB,Extended:这样审计结果里面除了连接信息还包含了当时执行的具体语句;
OS:将audit trail 记录在操作系统文件中,文件名由audit_file_dest参数指定;
XML:10g里新增的;
xml,extended:10g里新增的。
注:这两个参数是static参数,需要重新启动数据库才能生效。
五、审计的操作
5.1、确认审计是否安装
SQLPLUS>connect AS SYSDBA
SQLPLUS>select * from sys.aud$; --没有记录返回
SQLPLUS>select * from dba_audit_trail; - 没有记录返回
如果做上述查询的时候发现表不存在,说明审计相关的表还没有安装,需要安装,安装方法如下:
SQLPLUS>connect as sysdba
SQLPLUS>@$ORACLE_HOME/rdbms/admin/cataudit.sql
审计表默认安装在SYSTEM表空间。所以要确保SYSTEM表空间又足够的空间存放审计信息。
安装后要重启数据库实例。
5.2、查看审计是否开启
5.3、开启审计
开启审计要重启实例生效:
5.4、审计策略的配置与取消
--查看审计策略
select * from DBA_STMT_AUDIT_OPTS;
(
select * from dba_priv_audit_opts --where owner_name='TEST';
select * from dba_stmt_audit_opts
select * from dba_obj_audit_opts
)
--配置审计策略(参考11g默认开启的审计选项设置如下基本审计内容)
--其他特殊需求的审计策略
----审计对业务用户test下的核心表T1数据的删除,更新和插入操作
AUDIT DELETE,UPDATE,INSERT ON TEST.T1;
----审计核心表T2(包括查询)
AUDIT ALL ON TEST.T2;
----审计核心表T2,每一次都生成一行审计记录
AUDIT ALL ON TEST.T2 BY ACCESS;
----取消特殊需求的审计策略
NOAUDIT DELETE,UPDATE,INSERT ON TEST.T1;
NOAUDIT ALL ON TEST.T2;
--取消审计策略
NOAUDIT ALTER ANY PROCEDURE;
NOAUDIT ALTER ANY TABLE;
NOAUDIT ALTER DATABASE;
NOAUDIT ALTER PROFILE;
NOAUDIT ALTER SYSTEM;
NOAUDIT ALTER USER;
NOAUDIT CREATE ANY JOB;
NOAUDIT CREATE ANY LIBRARY;
NOAUDIT CREATE ANY PROCEDURE;
NOAUDIT CREATE ANY TABLE;
NOAUDIT CREATE EXTERNAL JOB;
NOAUDIT CREATE PUBLIC DATABASE LINK ;
NOAUDIT CREATE SESSION;
NOAUDIT CREATE USER;
NOAUDIT DATABASE LINK;
NOAUDIT DIRECTORY;
NOAUDIT DROP ANY PROCEDURE;
NOAUDIT DROP ANY TABLE;
NOAUDIT DROP PROFILE;
NOAUDIT DROP USER;
NOAUDIT EXEMPT ACCESS POLICY;
NOAUDIT GRANT ANY OBJECT PRIVILEGE;
NOAUDIT GRANT ANY PRIVILEGE;
NOAUDIT GRANT ANY ROLE;
NOAUDIT PROFILE;
NOAUDIT PUBLIC SYNONYM;
NOAUDIT ROLE;
NOAUDIT SYSTEM AUDIT;
NOAUDIT SYSTEM GRANT;
a)、全部取消是
noaudit all;
上面的例子为单独取消
b)、取消对TEST表的一切审计可使用如下语句:
NOAUDIT ALL ON TEST;
-- 取消所有statement审计
NOAUDIT ALL;
-- 取消所有权限审计
NOAUDIT ALL PRIVILEGES;
-- 取消所有对象审计
NOAUDIT ALL ON DEFAULT;
注:noaudit取消审计的操作对已经连接着的session无用,但新开的session将不再审计。
--再次查看审计策略
select * from DBA_STMT_AUDIT_OPTS;
5.5、查看审计日志信息
--查看审计日志
select * from DBA_AUDIT_TRAIL;
5.6、关闭审计
附录一:将审计相关的表移动到其他表空间
由于AUD$表等审计相关的表存放在SYSTEM表空间,因此为了不影响系统的性能,保护SYSTEM表空间,最好把AUD$移动到其他的表空间上。可以使用下面的语句来进行移动:
sql>connect as sysdba;
sql>alter table aud$ move tablespace <new tablespace>;
sql>alter index I_aud1 rebuild online tablespace <new tablespace>;
SQL>alter table audit$ move tablespace <new tablespace>;
SQL>alter index i_audit rebuild online tablespace <new tablespace>;
SQL>alter table audit_actions move tablespace <new tablespace>;
SQL>alter index i_audit_actions rebuild online tablespace <new tablespace>;
附录二:审计日志的清理
1、手动清理
详见MOS文档:How to Truncate, Delete, or Purge Rows from the Audit Trail Table AUD$ (文档 ID 73408.1);
2、自动清理
A、创建过程
create or replace procedure clear_aud
as
begin
delete aud$ where ntimestamp# <trunc(sysdate,'HH')- 1/24;
commit;
exception when others then
rollback;
end;
B、创建JOB
variable job number ;
begin
dbms_job.submit(:job, 'clear_aud;' ,trunc( sysdate + 1 24 , 'hh24' ), 'trunc(sysdate+1/24,''hh24'')' );
commit ;
end ;
/
附录三、查看AUD$大小
select OWNER,SEGMENT_NAME,SEGMENT_TYPE,TABLESPACE_NAME,BYTES/1024/1024 MB from dba_segments where SEGMENT_TYPE='TABLE' and SEGMENT_NAME='AUD$';
如果你觉得有所收获并愿意继续学习的话,请扫码关注:
你也可以赞赏哟
