Oracle审计功能介绍

1、Oracle审计功能审计分类：Oracle中中审计总体上上可分为“标准审计”和“细粒度审计计”后者也称为“基于政策的的审计”，在Oraclle10G之之后功能得到到很大增强。其中标准审计计可分为用户级级审计和系统统级审计。用用户级审计是是任何Oraacle用户户可设置的审审计，主要是是用户针对自自己创建的数数据库表或视视图进行审计计，记录所有有用户对这些些表或视图的的一切成功和和(或)不成成功的访问要要求以及各种种类型的SQQL操作。系系统级审计只只能由DBAA设置，用以以监测成功或或失败的登录录要求、监测测GRANTT和REVOOKE操作以以及其他数据据库级权限下下的操作。标准审计：2.1

2、分类：在ORACLEE中分别支持以以下三种标准准审计类型： 语句句审计，对某某种类型的SSQL语句审审计，不指定定结构或对象象。 特权权审计，对执执行相应动作作的系统特权权的使用审计计。 对象象审计，对一一特殊模式对对象上的指定定语句的审计计。这三种标准审计计类型分别对对如下3方面面进行审计： 审计计语句的成功功执行、不成成功执行，或或者其两者。 对每每一用户会话话审计语句执执行一次或者者对语句每次次执行审计一一次。 对全全部用户或指指定用户的活活动的审计。当数据库的审计计功能打开后后，在语句执执行阶段产生生审计记录。审计记录包包含有审计的的操作、用户户执行的操作作、操作的日日期和时间等等信息

3、。审计计记录可存在在数据字典表表（称为审计计记录）或操操作系统审计计记录中。数数据库审计记记录是在SYYS模式的AUDD$表中。2.2设置ORRACLE标标准审计：下列步骤可以设设置ORACCLE的标准准审计功能： 修改初始化参数数文件（innit.orra）如果使用服务器器参数文件使使用alteer sysstem sset= scoope=sppfile|both，详详情参照1.1节中关于于参数文件的的介绍），设设置 AUDDIT_TRRAIL参数数，并且重启启数据库。AAUDIT_TRAILL的取值如下下： DB/TRUE：启动审计功功能，并且把把审计结果存存放在数据库库的 SYSS.A

4、UD$ 表中 OS：启动审审计功能，并并把审计结果果存放在操作作系统的审计计信息中 DB_EXTENNDED：具具有DB/TTRUE的功功能，另外填填写AUD$的SQLBIIND和SQLTEEXT字段 NONNE/FALLSE：关闭闭审计功能2.设置AUDDIT_TRRAIL参数数：如果设置AUDDIT_TRRAIL = OS, 还需要修改改参数AUDDIT_FIILE_DEEST。如果操作系统支支持设置AUUDIT_TTRAIL=OS，文件件会自动存放放在AUDIIT_FILLE_DEST所指指定的目录下下，并且文件件名包含进程程的PID。 比如： AUDIT_FFILE_DDEST = $

5、ORAACLE_HHOME/rrdbms/auditt $ lls -l $ORACCLE_HOOME/rddbms/aaudit -rw-rw- 1 oraa92 dba 8811 Mar 17 099:57 oora_133264.aaud $ ps -eef|greep 132264 oraa92 133264 113235 0 09:56:433 ? 0:00 orracleVV92 (DDESCRIIPTIONN=(LOCCAL=Y) SQLL sellect sspid, progrram, uusernaame frrom v$proceess; SPID PRROGRAMM U

6、SSERNAMME - - - . 132664 ooracleefrhpp11 (TTNS V11-V3) oora92 3. 确认审计计相关的表是是否已经安装装 SQLPLUUS coonnectt / ASS SYSDDBA SQLPLUUS seelect * froom syss.aud$; - 没有记录录返回 SQLPLUUS seelect * froom dbaa_audiit_traail; - 没有记记录返回如果做上述查询询的时候发现现表不存在，说说明审计相关关的表还没有有安装，需要要安装。SQLPLUSS connnect / as sysdbba SQLPPLUS $O

7、RAACLE_HHOME/rrdbms/adminn/cataaudit.sql 审计表安装在SSYSTEMM表空间。所所以要确保SSYSTEMM表空间又足足够的空间存存放审计信息息。4. 关闭并重重启数据库5. 设置所需需要的审计信信息下面是一个例子子SQL coonnectt systtem/maanagerr SQL grannt auddit syystem to sccott; SQL connnect sscott/tigerr SQL audiit sesssion; 停止审计：SQL nooauditt sesssion; 通常设置了标准准审计后都是是通过Auddit语句开开启

8、审计，使使用noauudit语句句收回审计。如下所示：对修改SC表结结构或数据的的操作进行审审计可使用如如下语句：AUDIE AALTER，UUPDATEE ON SSC;取消对SC表的的一切审计可可使用如下语语句：NOAUDITT ALL ON SCC;2.3设置审计计的实例（对对试图尝试口口令的访问的的审计）：以下是一个审计计的实例，用用于记录尝试试通过野蛮尝尝试法破译OORACLEE帐号口令的的例子：1. 修改审计计相关参数（参参照上面介绍绍的方法）2. 重启数据据库3. 设置审计计信息 SQLAUUDIT AALL BYY ACCEESS WHHENEVEER NOTT SUCCCES

9、SFUUL 4. 查询AUUD$ SQL sselectt retuurncodde, acction#, useerid, userhhost, termiinal,ttimesttamp from auud$ RETURNNCODE ACCTION# USERRID USERHHOST TERMIINAL - - - - - 10117 1100 SCCOTT WPRRATA-BBR 10117 1100 SCCOTT WPRRATA-BBR 10117 1100 SCCOTT WPRRATA-BBR ORA-10017的含义义为错误的用用户名口令。通过查看AAUD$表可可以清楚地看看到W

10、PRAATA-BRR尝试破译SCCOTT的口口令。可以通通过下面一个个存储过程来来分析AUDD$表，找出出可疑的信息息：create or reeplacee procceduree AudiitLogiin(Sinnce Vaarcharr2,Timmes PLLS_Intteger)isUSER_IDD VARCCHAR2(20);cursor c1 iss seleect usserid,countt(*) ffrom ssys.auud$ whhere rreturnncode=10177 andd timeestampp#=too_datee(Sincce,yyyyy-mmm-dd)

11、 groupp by uuseridd;cursor C2 ISS Seleect usserhosst, teerminaal,TO_CHAR(timesstamp#,YYYYY-MM-DD:HHH24:MII:SS) from sys.aaud$ WWHERE returrncodee=10117 annd timmestammp#=tto_datte(Sinnce,yyyyy-mmm-dd) ANDD USERRID=USSER_IDD;ct PLS_INTEGGER;V_USERHHOST VVARCHAAR2(400);V_TERMIINAL VVARCHAAR(40);V_DATE

12、 VARCHHAR2(440);BEGIN OPEEN C1; dbmms_outtput.eenablee(); LOOP FETCHH C1 IINTO UUSER_IID,CT; EEXIT WWHEN CC1%NOTTFOUNDD; IIF(CT=TIMEES) THHEN DBMSS_OUTPPUT.PUUT_LINNE(USSER BRROKEN ALARMM:|UUSER_IID); OPENN C2; LOOPP FEETCH CC2 INTTO V_UUSERhOOST,V_TERMIINAL,VV_DATEE;DBMS_OUUTPUT.PUT_LLINE(CCHR(9)|H

13、OOST:|V_USSERHOSST|,TERM:|V_TERMIINAL|,TIMME:|V_DATTE); EXXIT WHHEN C22%NOTFFOUND; END LOOP; closse c2; EEND IFF; ENDD LOOPP; cloose c11;END;/一下是执行结果果：SQLsett servverouttput oon;SQL exxecutee audiitlogiin(20004-011-01,2);USER BRROKEN ALARMM:SYS HOSTT:,TERRM:XUJJI,TIMME:20004-09-22:111:08:000 HOSTT:,

14、TERRM:XUJJI,TIMME:20004-09-22:111:08:001 HOSTT:,TERRM:XUJJI,TIMME:20004-09-22:111:09:229 HOSTT:,TERRM:XUJJI,TIMME:20004-09-22:111:09:229PL/SQL过过程已成功完完成。2.4将审计相相关的表移动动到其他表空空间：由于AUD$表表等审计相关关的表存放在在SYSTEEM表空间，因因此为了不影影响系统的性性能，保护SSYSTEMM表空间，最最好把AUDD$移动到其其他的表空间间上。可以使使用下面的语语句来进行移移动：sqlconnnect / as sysdbba;

15、sqlaltter taable aaud$ mmove ttablesspace ;sqlaltter inndex II_aud11 rebuuild oonlinee tabllespacce ;SQL allter ttable auditt$ movve tabblespaace ;SQL allter iindex i_auddit reebuildd onliine taablesppace ;SQL allter ttable auditt_actiions mmove ttablesspace ;SQL allter iindex i_auddit_acctionss reb

16、uuild oonlinee tabllespacce ;细粒度审计：细粒度审计 (FGA)（通通过 Oraacle9ii 引入）可可以理解为“基于政策的的审计”。与与标准的审计计功能相反，FFGA 可用用于指定生成成审计记录必必需的条件：FGA 政策通通过使用“ddbms_ffga”程序序包以编程方方式绑定到对对象（表、视视图）。类似似于用于通过过 VPD (dbmms_rlss) 进行行访问控制的的程序包，它它允许您创建建任何需要的的条件，例如如：仅当以下下条件为真时时审计事件： 在早上九点到下下午六点之间间或在星期六六和星期日对对某个表进行行了访问。 使用了公司网络络外部的某个个 IP

17、地地址。 选定或更新了特特定列。 使用了该列的特特定值。 这将创建更有意意义的审计线线索，因为无无需记录每一一个人对表的的每一次访问问。从 Orracle 数据库 110g 开始始，FGA 支持在一个个策略中使用用“选择”、“插入”、“更新”和和“删除”语语句的任意组组合。事实上上，绑定到表表的 FGAA 政策简化化了审计政策策的管理，因因为这将只需需在数据库中中对其更改一一次，不用在在每个应用程程序中一次次次进行。此外外。无论用户户通过何种方方式连接至数数据库（通过过应用程序、Web 接接口或通过 SQL*PPlus），其其操作都会记记录下来。3.1 使用细细粒度审计： 1、创建建测试表：c

18、reatettableAACCOUNNT(AACT_NNO nummbernootnulll,CUST_IDD numbbernottnull,BALANCEE numbber(15,2);2、添加审计策策略：beginDBMS_FGGA.DROOP_POLLICY(oobjectt_scheema = TESST, objeect_naame = AACCOUNNT, poliicy_naame = AACCOUNNT_ACCCESS);end;这段代码必须由由具有执行程程序包 dbbms_fgga 权限的的用户来执行行。建议应该该建立一个专专门的用户来来专门负责添添加审计策略略。该过程有有

19、许多参数，具具体含义如下下：OBJECT_SCHEMMA对其定义了 FFGA 策略略的表或视图图的所有者OBJECT_NAME表或视图的名称称POLICY_NAME策略的名称，由由用户自定义义 例如如，ACCOOUNTS_ACCESSSPOLICY_TEXT在添加策略时指指定的审计条条件 例例如，BALLANCE = 111000POLICY_COLUMMN审计列 例例如，BALLANCEENABLEDD如果启用则为 YES，否否则为 NOO PF_SCHEEMA拥有策略处理器器模块的模式式（如果存在在）PF_PACKKAGE处理器模块的程程序包名称（如如果存在）PF_FUNCCTION处理器

20、模块的过过程名称（如如果存在）3、在定义了策策略以后，当当用户以通常常的方式对表表进行查询时时，如下所示示： select * froom bannk.acccountss; 审计线索记录此此操作。可以以使用以下语语句查看线索索： select timesstamp, db_userr,os_userr,object_schemma,object_name,sql_texxtfrom dbba_fgaa_audiit_traail;TIMESTAAMP DBB_USERR OS_UUSER OOBJECTT_ OBJJECT_NN SQL_TEXT- - - - - -26-MAR-10TES

21、TT aanandaa TESST ACCOUUNT seelect * froom acccount注意名为 DBBA_FGAA_AUDIIT_TRAAIL 的新新视图，它记记录细粒度的的访问信息。其中显示了了审计事件的的时间标记、查询者的数数据库用户 ID、操作作系统用户 ID、查询询中所使用表表的名称和所所有者，最后后还有确切的的查询语句。3.2审计列和和审计条件：默认情况下会对对被审计对象象的所有列开开启审计，当当任何一列被被访问时都会会纪录一条审审计信息，这这在现实情况况下不太常见见，因为这样样会使审计信信息表增长过过快造成存储储空间的压力力，因此通常常都会设置审审计条件，当当条件触

22、发时时再发起审计计。例如我们们可以对Acccountt表的Ballance列列设置审计条条件，当访问问该列并触发发审计条件时时才进行审计计。如下所示示：begindbms_fgga.addd_poliicy (object_schemma=TTEST,object_name=ACCCOUNT,policy_name=ACCCOUNT_ACCESSS,audit_ccolumnn = BALANNCE,audit_ccondittion = BAALANCEE = 111000 );end;该策略将在访问问BALANNCE列并且且只有访问列列值大于等于于110000时才发起审审计。因此根根据该条

23、件户户有如下不同同审计状态：SQL 语句审计状态select balannce frrom acccountt;进行审计。用户户选择了在添添加策略时所所指定的审计计列 BALLANCE。select * froom acccount;进行审计。即使使用户没有明明确指定列 BALANNCE，* 也隐含地选选择了它。select cust_id frrom acccountt wherre ballance TESTT,object_name = AACCOUNNT,policy_name = AACCOUNNT_ACCCESS );end;对于更改策略而而言，没有随随取随用的解解决方案。要要更改

24、策略中中的任何参数数，必须删除除策略，再使使用更改后的的参数添加策策略。但是可可以暂时禁用用已有策略，如如下所示：begindbms_fgga.enaable_ppolicyy (object_schemma = TESTT,object_name = AACCOUNNT,policy_name = AACCOUNNT_ACCCESS,enable = FAALSE );end;若要重新启用它它，可使用同同一函数，只只需将参数 enablle 设置为为 TRUEE。3.5 FGAA 数据字典典视图：FGA 策略的的定义位于数数据字典视图图 DBA_AUDITT_POLIICIES 中。该市途途

25、中各列含义义如下：SESSIONN_ID审计会话标识符符；与 V$SESSIION 视图图中的会话标标识符不同TIMESTAAMP审计记录生成时时的时间标记记DB_USERR发出查询的数据据库用户OS_USERR操作系统用户USERHOSST用户连接的机器器的主机名CLIENT_ID客户标识符（如如果由对打包包过程 dbbms_seessionn.set_identtifierr 的调用所所设置）EXT_NAMME外部认证的客户户名称，如 LDAP 用户OBJECT_SCHEMMA对该表的访问触触发了审计的的表所有者OBJECT_NAME对该表的 SEELECT 操作触发了了审计的表名名称PO

26、LICY_NAME触发审计的策略略名称（如果果对表定义了了多个策略，则则每个策略将将插入一条记记录。在此情情况下，该列列显示哪些行行是由哪个策策略插入的。)SCN记录了审计的 Oraclle 系统更更改号SQL_TEXXT由用户提交的 SQL 语语句 SQL_BINND由 SQL 语语句使用的绑绑定变量（如如果存在）3.6视图和 FGA：假定在 ACCCOUNTSS 表上定义义视图 VWW_ACCOOUNT 如如下： create view vw_acccountt as sselectt * frrom acccountt;现在，如果用户户从视图中而而不是从表中中进行选择： select *

27、 froom vw_accouunt;您将看到以下审审计线索： select objecct_namme, sqql_texxt froom dbaa_fga_auditt_traiil;OBJECT_NAME SQL_TTEXT- -ACCOUNTT sselectt * frrom vww_accoount注意，是基表名名称而不是视视图名称出现现在 OBJJECT_NNAME 列列中，因为视视图中的选择择是从基表中中进行选择。但是，SQQL_TEXXT 列记录录了用户提交交的实际语句句。如果只希望审计计对视图的查查询而不是对对表的查询，可可以对视图本本身建立策略略。通过将视视图名称而不不是

28、表的名称称传递给打包包的过程 ddbms_ffga.addd_pollicy 中中的参数 oobjectt_namee，可以完成成这项工作。随后 DBBA_FGAA_AUDIIT_TRAAIL 中的的 OBJEECT_NAAME 列将将显示视图的的名称，并且且不会出现有有关表访问的的附加记录。3.7其它用途途：除了记录对表的的选择访问，FFGA 还可可用于某些其其它情况： 可以对数据仓库库使用 FGGA，以捕获获特定的表、视图或物化化视图上发生生的所有语句句，这有助于于计划索引。不需要到 V$SQLL 视图去获获取这些信息息。即使 SSQL 语句句已经超出了了 V$SQQL 的期限限，在 FG

29、GA 审计线线索中将会始始终提供它。 由于 FGA 捕获绑定变变量，它可以以帮助了解绑绑定变量值的的模式，这有有助于设计直直方图集合等等。 可以向审计者或或 DBA 发送警告，这这有助于跟踪踪恶意应用程程序。 由于 FGA 可以作为 SELECCT 语句的的触发器，可可以在需要这这种功能的任任何时候使用用它。FGA在10GG中的增强：3.8.1 对对所有DMLL的审计： 在9i中中FGA只能能对Seleect语句进进行审计，而而不能对其他他DML语句句（Updaate、Deelete、Inserrt）进行审审计，如果想想对其他DMML语句进行行审计那么只只能采取数据据库处发起的的形式来实现现。

30、在10GG中实现了对对所有DMLL语句的审计计，如下所示示：begin dbmss_fga.add_ppolicyy ( oobjectt_scheema = TTEST, oobjectt_namee = AACCOUNNT, ppolicyy_namee = AACCOUNNT_ACCCESS, aaudit_colummn = BBALANCCE, aaudit_condiition = BBALANCCE = 3000，statemeent_tyypes = INNSERT, UPDAATE, DDELETEE, SELLECT );end;通过stateement_typess =

31、INSERRT, UPPDATE, DELEETE, SSELECTT参数制定定了新的策略略，该策略可可以对Sellect之外外的所有DMML操作进行行审计。因此此根据新的审审计条件和审审计策略会有有如下不同情情况：第 1 种情况况 之前：BALAANCE = 10000 用户发出： update accouunt seet ballance = 12000 wheere ACCCOUNTT_NO = .旧的和新的 bbalancce 都小于于 3,0000，审计条条件不满足；因此这条语语句将不会被被审计。第 2 种情况况 之前：BALAANCE = 10000 用户发出： update ac

32、couunt seet ballance = 32000 wheere ACCCOUNTT_NO = .新的 balaance 大大于 3,0000，审计计条件满足；因此这条语语句将 会被被审计。 第 3 种情况况 之前：BALAANCE = 32000 用户发出： update accouunt seet ballance = 12000 wheere ACCCOUNTT_NO = .新的 balaance 小小于 3,0000，但旧旧的 ballance 大于 3,000。因因此审计条件件满足，这条条语句将被审审计。 第 4 种情况况 用户插入一行，其其中有 BAALANCEE = 300

33、00 结果果为 FALLSE），这这条语句不会会被审计。重重要注意事项项：假设该列列有一个大于于 3,0000 的默认认值时，这条条语句仍然不不会被审计，即即使插入行的的 balaance 列列值大于 33000。 注意对于DDML语句的的审计是由一一个自动事务务插入的；即即使回滚 DDML语句的操作，审计记录也将将存在不会跟跟着回滚。3.8.2制定定相关的列策略略：在表 ACCOOUNT 上上定义的一个个策略，如下下： begin dbmss_fga.add_ppolicyy ( oobjectt_scheema = TTEST, objject_nname = ACCCOUNT,polic

34、y_name = ACCCOUNTT_SEL, aaudit_colummn = AACCOUNNT_NO, BALAANCE, aaudit_condiition = BBALANCCE = 3000, sstatemment_ttypes = SSELECTT );end;在某些情况下，列列的组合可能能很重要，而而不是某个特特定的列。以以上策略是在在 ACCOOUNT_NNO 和 BBALANCCE 上定义义的。那么如果用户户发出以下语语句： select balannce frrom acccountts wheere acccountt_no = 99955;这条语句将被审审计，因为

35、balannce 列被被选中，且余余额为 3,200，大大于 3,0000，满足足审计条件。如果一个用户想想查出在银行行的总余额，他发出： select sum(bbalancce) frrom acccountt;这条查询几乎没没什么害处；它不明确指指出帐户所有有者和帐户余余额。因此安全策略略可能不会要要求审计这条条查询。不过，这条条查询 select balannce frrom acccountt wherre acccount_no = 9995必须被审计；因因为它明确地地指定了一个个帐户。默认认地，所有语语句都被审计计（无论使用用了什么样的的列组合）。这将创建大大量不需要的的审计线索

36、项项目，并可能能带来一些空空间限制问题题。为了限制制它们，您可可以指定仅当当在查询中使使用了希望的的列组合时才才开始审计。当定义策略略时，您可以以使用一个新新的参数： audit_ccolumnn_optss = DDBMS_FFGA.ALLL_COLLUMNS这个参数将使策策略仅当列 ACCOUUNT_NOO 和 BAALANCEE 在查询中中都被访问时时才创建审计计线索项目。例如，以下下查询将产生生一个审计线线索项目。 select accouunt_noo, ballance from accouunt;但这条查询不会会产生审计线线索项目。 select accouunt_noo fro

37、mm accoount;使用这个参数将将把审计的数数量限制在一一个更易管理理的大小。如如果希望采用用默认的行为为 即任任意列被选中中时都进行审审计，那么您您可以对同一一参数的使用用不同值。 audit_ccolumnn_optss = DDBMS_FFGA.ANNY_COLLUMNS3.8.3 与与标准审计的的结合： 通过制定定如下审计策策略实现标准准审计与细粒粒度审计的结结合begin dbmss_fga.add_ppolicyy ( oobjectt_scheema = TESTT, oobjectt_namee = ACCOOUNT, ppolicyy_namee = ACCOOUNT_SSEL, aaudit_colummn = ACCOOUNT_NNO, BAALANCEE, aaudit_condiition = BALAANCE = 30000, sstatemment_ttypes = SELEECT, aaudit_colummn_optts = DBMS_FGA.AALL_COOLUMNSS, aaudit_traill = DB );end;通过指定auddit_trrail = DB参参数实现在细细粒度审计时时开启标准审审计。在 OOraclee Dataabase 10g 中，标准审计也得得到了巨大的的改进。通过过 AUDIIT 命令执执行标准