数据库审计全

1、本文格式为Word版，下载可任意编辑 数据库审计全 数据库审计 查瞧数据库审计就是否开启 SQL show parte auit； NAME TYPE AU - - dt_ strng orace/app/orle/admi/TBCS/ump audt_sys_opertios ooea FALS audi_syslog_levl sring audit_ri ting DEEND dit_syperions：默认为 false，当设置为 true 时,所有 ss（包括以 sysda,syp身份登录得用户)操作都会被记录，但记录不会被写在 aud$表中。假如为 wndows 平台,会记录在wi

2、ndows 事件管理当中。 audit_til： non为默认值,1之后默认值为db，假如默认值为 ne,那么不做审计 DB：将 audit ri 记录在数据库审计相关得表中,审计只有连接信息 DB_EXTEDED:这样审计还包含当时得执行得具体语句 OS：将 audit tril 记录在系统文件中,文件名有 adit_参数指定 修改语句为 SL aler ystm set adit_traildb_xtedd sop=spile； 注:参数 audi_trail 不就是动态,为了使此参数中得改动生效，务必关闭数据库并重新启动。在对 sy、ad进行审计时,还需要监控该表得大小，以免影响yste

3、m 表空间中其她对象得空间需求。 推荐周期性归档 sys、aud中得行，并截取该表。 目前采用计划任务,每日删除上月数据,只保存当月数据。 Audit时,文件位置. 语句审计 SQ udit on tle by as； 每次动作发生时都对其进行审计 S audt n able by esion； 只审计一次，默认为 by sesin 有时希望审计成功得动作:没有生成错误消息得语句。对于这些语句，添加henever suessfl。而有时只关心使用审计语句得命令就是否失败,失败理由就是权限违犯、用完表空间中得空间还就是语法错误.对于这些状况，使用 heever not ccessfu. 对于大多

4、数类别得审计方法,假如确实希望审计所有类型得表访问或某个用户得任何权限,则可以指定 all 而不就是单个得语句类型或对象. SQL audi alter sytem ; 所有 ALTE SYEM 选项，例如，动态改变实例参数,切换到下一个日志文件组，以及终止用户会话 SQL audi custe； CRATE、LER、ROP 或 TUNCE 集群 SQL audt cotxt； REAE ONEX或 DROP ONTEX ; SL udt databae lk； CREAT或 DRP 数据库链接 ； SQL uit diesion; REAT、ALER 或 DOP 维数 SQL it dirt

5、or; CREATE 或 DROP 目录 ; Q ait iex; CREAT、ALTR 或 DRO索引 SQL ut atriaid view； CEAT、ALR 或 D物化视图 SL audit not xists； 由于不存在得引用对象而造成得 SQL 语句得失败 ; audit procedre； CEATE 或 DOP FUNTION、IR、ACKAGE、PACKAG OD或 PROEDRE L auit prfie； CREE、LER 或P 配置文件 QL aut public ataba li； RTE 或 DROP 公有数据库链接 QL audit ublic synonym;

6、 CE或 DROP 公有同义词 SQL udi role; REAE、LE、DROP 或 SET 角色 SQL audt rolback segnt； CATE、ALTER 或 DRO回滚段 SQL adi seunce; REATE 或 DROP 序列 SQ audit sion; 登录与退出 SQ audit sysem audit； 系统权限得 AUDIT 或 NOUDT QL adt ystem grn； GRNT 或 RVOKE 系统权限与角色 SQL audit tale; RE、DROP 或 TUC表 SL audit ablspace; CRAT、LTR 或ROP 表空间 SQ

7、L audt trigger； REATE、ALTER(启用/禁用)、DOP 触发器；具有 ENABLE AL IGERS 或 DIABL AL TRIGER得 ALTR TABE QL dit type； CREATE、ALER 与ROP 类型以及类型主体 SQL aud se； CREAT、ALTE或OP 用户 SL audit iew; CREAT或 DOP 视图 显式指定得语句类型 SQ dit alte seuenc; 任何 ATER UENE 命令 SQL adit lter le; 任何LTR TBLE 命令 SQ audit ment te; 添加解释到表、视图、物化视图或它们

8、中得任何列 SQ audit deete tb; 删除表或视图中得行 SQL auit exut procedure; 执行程序包中得过程、函数或任何变量或游标 SQL audit an iector; GRNT 或 RE DIRECTO对象上得权限 L udi gr pocedur; GRANT 或EOK过程、函数或程序包上得权限 SQL auit grnt sequnce; GAT 或EOKE 序列上得权限 Q auit rat tal; GRA或EOKE 表、视图或物化视图上得权限 SQ audit grnt type; GRAN或 REVOKE YPE 上得权限 QL audit is

9、r tble; SER ITO 表或视图 L ut lok table; 表或视图上得 LCK TALE 命令 SQL auit select seuence; 引用序列得URRVL 或XTVAL 得任何命令 SL audi select t； ELT FROM 表、视图或物化视图 QL aui pdate tale； 在表或视图上执行 UPDATE L elet userne，o_chr(timstmp，MMDD/YY HH24:MI) testamp 2 OJNAME,ATN_NAME,SL_EXT FRM DBA_AU_TRAIL 3 WHEE USERNAE = SCT; 我用得基本查

10、询审计信息,显示结果如下 sctt 08/12/07 17:5 JOB_TTEID CRETE D crete index h、o、rhno xd_lit_bojs(jb_til） 1 rw selete、 权限审计 审计系统权限具有与语句审计一致得基本语法,但审计系统权限就是在 sq_statment_clause 中,而不就是在语句中,指定系统权限。 SL ui aer aespace by css wheer uccesful； 使用 SYSBA 与YSOPER 权限或者以用户连接到数据库得系统管理员可以利用特别得审计。为了启用这种额外得审计级别,可以设置初始参数 AD_SS_PERAT

11、INS 为 TRE.这种审计记录发送到与操作系统审计记录一致得位置.因此,这个位置就是与操作系统相关得.当使用其中一种权限时执行得所有 SQL 语句,以及作为用户 SYS 执行得任何SQL 语句,都会发送到操作系统审计位置。 模式对象审计 SQ auit altr n TES_D、EST BY ACCSS EVER SCESSU; 改变表、序列或物化视图 S au AUDI on EST_R、TEST BY CCESS WHENEVR SUCCESFL； 审计任何对象上得命令 SL audit MT T_D、ET BY ACCESS WENEV SUCCESFL； 添加解释到表、视图或物化视图

12、 L auit DELETE n TS_D、TES BY ACES WENVER SUCCSSFUL; 从表、视图或物化视图中删除行 QL auit EXEUTE on T_DR、ET BY ACESS WHNEVE SUCCESSL; 执行过程、函数或程序包 SL ud FLASHBACK on TEST_DR、TES B ACCES HNVER UCESF; 执行表或视图上得闪回操作 SQL auit RAT TEST_D、TT Y CESS ENEVER SCCESUL; 授予任何类型对象上得权限 SQL audt INDEX on S_、TT B CESS HEE SUCCESSFUL

13、； 创立表或物化视图上得索引 SQ uit INSERT n EST_DR、TET B ACSS HENVER SCCESFUL; 将行插入表、视图或物化视图中 SQL audi LK o T_DR、TEST Y CCESS HNEE SUCCEFUL； 锁定表、视图或物化视图 SQL uit READ n TE_DR、TES BY ACES WENEE SUCCESSFUL; 对IRECT对象得内容执行读操作 SQL udit ENE on ST_DR、TET BY ACCESS WHEEVR SUCESFUL; 重命名表、视图或过程 SQL uit ELECT TE_DR、TES B CC

14、ESS WHENEVER SCESSFUL; 从表、视图、序列或物化视图中选择行 SQ audit UDATE on TES_DR、TES Y CSS WHENV SUCCESSFUL； 更新表、视图或物化视图 细粒度审计 称为 FGA,审计变得更为关注某个方面，并且更为准确。由称为 DBMS_FGA 得/程序包实现 FG。 使用标准得审计，可以轻松发现访问了哪些对象以及由谁访问，但无法知道访问了哪些行或列。细粒度得审计可解决这个问题，它不仅为需要访问得行指定谓词(或re 子句),还指定了表中访问得列。通过只在访问某些行与列时审计对表得访问,可以极大地减少审计表条目得数量。 例如: 用户AMA

15、RA 寻常每天访问 H、EMPLOYEE表,查找雇员得电子邮件地址。系统管理员怀疑 TMARA 正在查瞧经理们得薪水信息,因此她们建立一个GA 策略，用于审计任何经理对 SALRY 列得任何访问: egin dm_fg、d_olicy( ,H = ehs_tceobjctna = EPLOYEES，AS = mancilop_SELECT_AUDIT,i_bo（rtni = noidoctiua,_MAN) 0,YAS = nmulc_ta;） ;dne ADD_LCY 略策计审得列计审与词谓用使加添 DO_POICY 略策计审除删DISABLPOLIC 略策得联关图视或表与留保但,略策计审用

16、禁NAB_PLICY 略策用启与审计相关得数据字典视图 数据字典视图 说 明 UD_ACTNS 包含审计跟踪动作类型代码得描述,例如 INE、ROP VEW、DELETE、LOO与 LC DBA_AUDIT_OBET 与数据库中对象相关得审计跟踪记录 DAUDIT_OLCIE 数据库中得细粒度审策略略 DBAUDIT_ESIO 与NECT 与ISCONNT 相关得所有审计跟踪记录 DBA_AUDIT_STAMNT 与 GRT、REOKE、AUDIT、OAUDI与 ALTR SYTM 命令相关得审计跟踪条目 _AUDIT_TRAL 包含标准审计跟踪条目。USRDTRLUER_TRAIL_AUI只

17、包含已连接用户得审计行 DA_A_UDI_TRAIL 细粒度审策略略得审计跟踪条目 数据字典视图 说 明 DONAUDIT_TRIL 将标准得审计行与细粒度得审计行结合在一个视图中 DBAOB_AUDIT_OPTS 对数据库对象生效得审计选项 DBA_PRIV_ADIT_OPTS 对系统权限生效得审计选项 BA_STMTAUIT_PT 对语句生效得审计选项 保护审计跟踪 审计跟踪自身需要受到保护,特别就是在非系统用户务必访问表 SYS、AUD$时。内置得角色EETE_N_CATALO就是非 SYS 用户可以访问审计跟踪得一种方法(例如,归档与截取审计跟踪，以确保它不会影响到 SYS 表空间中其

18、她对象得空间需求)。 为了建立对审计跟踪自身得审计,以 SYSDBA 身份连接到数据库，并运行下面得命令： SQ audit all sys、aud$ by acess; 现在,所有针对表、D$得动作,包括lect、ins、update 与 delet,都记录在 SS、D$自身中。但就是，您可能会问，假如某个人删除了标识对表 SYS、AUD访问得审计记录,这时会发生什么?此时将删除表中得行,但接着插入另一行,记录行得删除。因此，总就是存在一些针对 SYS、AU$表得(有意得或偶然得)活动得证据。此外，假如将 AUDIT_SYS OPERTN设置为e,使用 as sba、a syspr或以 SY

19、自身连接得任何会话将记录到操作系统审计位置中，甚至cle DBA 可能都无法访问该位置。因此,有大量适合得安全措施,用于确保记录数据库中所有权限得活动，以及隐蔽该活动得任何尝试. 将审计相关得表更换表空间 由于 AD表等审计相关得表存放在 SYSTEM 表空间,因此为了不影响系统得性能，保护YE表空间，最好把 AD$移动到其她得表空间上。可以使用下面得语句来进行移动: slconne / a sysba; sqaer tble aud$ ove tablspace w ablespae; sqlalter inde I_aud1 rebil nine tablsace new tblsac；

20、QL lter table audit mov tlepace e tblspce； SQL alter inde i_aut ruild olin ablespac ne tbesac; SL alte table audit_acions mov tbespace new talee; SQ alter dx i_udit_actions rebuld online tabesace n tablespc; SQ nn as sysdba QL show prametr audit NAE TPE LUE - - - audit_ rin /u/rae/amin/ORCadump auts

21、ysopratios bolea FALSE adi_solevel trin SQ ter system st audit_ys_opeatios=TRUE cpe=sple; 审计管理用户（以 sysba/spe角色登陆)du es mets rtla QS_tral=db，extended scop=spile; ；erof pras LQSSQ shw paramee audi ULAV EPYT EMA- - - audi strng u1/ap/orle/adinOC/admp ait_s_operatns bolean U auityslglve rin audtrail str

22、ing B, ETENE 假如在命令后面添加y user 则只对 usr 得操作进行审计,假如省去y 用户，则对系统中所有得用户进行审计（不包含 sys 用户）、 :例AUDT DELEE AN ABL; -审计删除表得操作 ADIT DELET NY TABLE WHNEER NO SCCESFUL; 只审计删除失败得状况 AUDIT DLTE AN TABL HENEVER SUCCESSFUL; -只审计删除成功得状况 AUDIT DELETE，UDATE,INSET ser、able by ts； -审计 tt 用户对表 us、table 得 delete，uate,isert 操作

23、撤销审计 QL nodit al on t_tst; 将审计结果表从y t m 表空间里移动到别得表空间上 实际上 sys、au$表上包含了两个o字段,并不就是简单得 move table 就可以。面下就是具体得过程: alter abe ys、ad$ mov tablac sers; alte tbl sy、aud$ ove lo（qin） sr s（ tablspace SES）; aler tle sy、$ moe ob（SQLTEXT) sre a( absce USES)； ;resu eapslbat liuber 1UA_、sys xedn reta 应用 语句审计 多层环境下得审计:appserve应用服务器，ackon-client ELBAT TCLE TIDAY apeve N EALF OF con; 审计连接或断开连接:ol ,ej B NOISSS TD；NSSES TIAi； - 指定用户 ：）作操得行执能才限权该用使(限权计审ADIT DEE ANY ALE Y ACESS WHENEVE NOT SCCESSFUL; AUDIT DEET AN TAE; AUIT SELECT TBLE， INSET TA， DELET ABLE,