数据库审计全

-.z.数据库审计查看数据库审计是否翻开SQL>showparameteraudit;NAMETYPEVALUE-----------------------------------------------------------------------------audit_file_deststring/oracle/app/oracle/admin/PTBCS/adumpaudit_sys_operationsbooleanFALSEaudit_syslog_levelstringaudit_trailstringDB_E*TENDEDaudit_sys_operations:默认为false，当设置为true时，所有sys〔包括以sysdba，sysopr身份登录的用户〕操作都会被记录，但记录不会被写在aud$表中。如果为windows平台，会记录在windows事件管理当中。audit_trail：none为默认值，11G之后默认值为‘db’，如果默认值为none，则不做审计DB:将audittrail记录在数据库审计相关的表中，审计只有连接信息DB_E*TENDED：这样审计还包含当时的执行的具体语句OS：将audittrail记录在系统文件中，文件名有audit_file_dest参数指定修改语句为SQL>altersystemsetaudit_trail='db_e*tended'scope=spfile;注：参数audit_trail不是动态，为了使此参数中的改动生效，必须关闭数据库并重新启动。在对sys.aud$进展审计时，还需要监控该表的大小，以免影响system表空间中其他对象的空间需求。推荐周期性归档sys.aud$中的行，并截取该表。目前采用方案任务，每日删除上月数据，只保存当月数据。Audit_file_dest:audit_trail=os时，文件位置。语句审计SQL>auditontablebyaccess;每次动作发生时都对其进展审计SQL>auditontablebysession;只审计一次,默认为bysession有时希望审计成功的动作：没有生成错误消息的语句。对于这些语句，添加wheneversuccessful。而有时只关心使用审计语句的命令是否失败，失败原因是权限违犯、用完表空间中的空间还是语法错误。对于这些情况，使用whenevernotsuccessful。对于大多数类别的审计方法，如果确实希望审计所有类型的表访问或*个用户的任何权限，则可以指定all而不是单个的语句类型或对象。SQL>auditaltersystem;所有ALTERSYSTEM选项，例如，动态改变实例参数，切换到下一个日志文件组，以及终止用户会话SQL>auditcluster;CREATE、ALTER、DROP或TRUNCATE集群SQL>auditconte*t;CREATECONTE*T或DROPCONTE*T;SQL>auditdatabaselink;CREATE或DROP数据库链接;SQL>auditdimension;CREATE、ALTER或DROP维数SQL>auditdirectory;CREATE或DROP目录;SQL>auditinde*;CREATE、ALTER或DROP索引SQL>auditmaterializedview;CREATE、ALTER或DROP物化视图SQL>auditnote*ists;由于不存在的引用对象而造成的SQL语句的失败;SQL>auditprocedure;CREATE或DROPFUNCTION、LIBRARY、PACKAGE、PACKAGEBODY或PROCEDURESQL>auditprofile;CREATE、ALTER或DROP配置文件SQL>auditpublicdatabaselink;CREATE或DROP公有数据库链接SQL>auditpublicsynonym;CREATE或DROP公有同义词SQL>auditrole;CREATE、ALTER、DROP或SET角色SQL>auditrollbacksegment;CREATE、ALTER或DROP回滚段SQL>auditsequence;CREATE或DROP序列SQL>auditsession;登录和退出SQL>auditsystemaudit;系统权限的AUDIT或NOAUDITSQL>auditsystemgrant;GRANT或REVOKE系统权限和角色SQL>audittable;CREATE、DROP或TRUNCATE表SQL>audittablespace;CREATE、ALTER或DROP表空间SQL>audittrigger;CREATE、ALTER(启用/禁用)、DROP触发器；具有ENABLEALLTRIGGERS或DISABLEALLTRIGGERS的ALTERTABLESQL>audittype;CREATE、ALTER和DROP类型以及类型主体SQL>audituser;CREATE、ALTER或DROP用户SQL>auditview;CREATE或DROP视图显式指定的语句类型SQL>auditaltersequence;任何ALTERSEQUENCE命令SQL>auditaltertable;任何ALTERTABLE命令SQL>auditcommenttable;添加注释到表、视图、物化视图或它们中的任何列SQL>auditdeletetable;删除表或视图中的行SQL>audite*ecuteprocedure;执行程序包中的过程、函数或任何变量或游标SQL>auditgrantdirectory;GRANT或REVOKEDIRECTORY对象上的权限SQL>auditgrantprocedure;GRANT或REVOKE过程、函数或程序包上的权限SQL>auditgrantsequence;GRANT或REVOKE序列上的权限SQL>auditgranttable;GRANT或REVOKE表、视图或物化视图上的权限SQL>auditgranttype;GRANT或REVOKETYPE上的权限SQL>auditinserttable;INSERTINTO表或视图SQL>auditlocktable;表或视图上的LOCKTABLE命令SQL>auditselectsequence;引用序列的CURRVAL或NE*TVAL的任何命令SQL>auditselecttable;SELECTFROM表、视图或物化视图SQL>auditupdatetable;在表或视图上执行UPDATESQL>selectusername,to_char(timestamp,'MM/DD/YYHH24:MI')timestamp2OBJ_NAME,ACTION_NAME,SQL_TE*TFROMDBA_AUDIT_TRAIL3WHEREUSERNAME='SCOTT';我用的根本查询审计信息，显示结果如下scott08/12/0717:15JOB_TITLE_ID*CREATEINDE*createinde*hr.

job_title_id*on

(job_title)1rowselected.权限审计审计系统权限具有与语句审计一样的根本语法，但审计系统权限是在sql_statement_clause中，而不是在语句中，指定系统权限。SQL>auditaltertablespacebyaccesswheneversuccessful;使用SYSDBA和SYSOPER权限或者以SYS用户连接到数据库的系统管理员可以利用特殊的审计。为了启用这种额外的审计级别，可以设置初始参数AUDIT_SYS_OPERATIONS为TRUE。这种审计记录发送到与操作系统审计记录一样的位置。因此，这个位置是和操作系统相关的。当使用其中一种权限时执行的所有SQL语句，以及作为用户SYS执行的任何SQL语句，都会发送到操作系统审计位置。模式对象审计SQL>auditalteronTEST_DR.TESTBYACCESSWHENEVERSUCCESSFUL;改变表、序列或物化视图SQL>auditAUDITonTEST_DR.TESTBYACCESSWHENEVERSUCCESSFUL;审计任何对象上的命令SQL>auditCOMMENTonTEST_DR.TESTBYACCESSWHENEVERSUCCESSFUL;添加注释到表、视图或物化视图SQL>auditDELETEonTEST_DR.TESTBYACCESSWHENEVERSUCCESSFUL;从表、视图或物化视图中删除行SQL>auditE*ECUTEonTEST_DR.TESTBYACCESSWHENEVERSUCCESSFUL;执行过程、函数或程序包SQL>auditFLASHBACKonTEST_DR.TESTBYACCESSWHENEVERSUCCESSFUL;执行表或视图上的闪回操作SQL>auditGRANTonTEST_DR.TESTBYACCESSWHENEVERSUCCESSFUL;授予任何类型对象上的权限SQL>auditINDE*onTEST_DR.TESTBYACCESSWHENEVERSUCCESSFUL;创立表或物化视图上的索引SQL>auditINSERTonTEST_DR.TESTBYACCESSWHENEVERSUCCESSFUL;将行插入表、视图或物化视图中SQL>auditLOCKonTEST_DR.TESTBYACCESSWHENEVERSUCCESSFUL;锁定表、视图或物化视图SQL>auditREADonTEST_DR.TESTBYACCESSWHENEVERSUCCESSFUL;对DIRECTORY对象的内容执行读操作SQL>auditRENAMEonTEST_DR.TESTBYACCESSWHENEVERSUCCESSFUL;重命名表、视图或过程SQL>auditSELECTonTEST_DR.TESTBYACCESSWHENEVERSUCCESSFUL;从表、视图、序列或物化视图中选择行SQL>auditUPDATEonTEST_DR.TESTBYACCESSWHENEVERSUCCESSFUL;更新表、视图或物化视图细粒度审计称为FGA，审计变得更为关注*个方面，并且更为准确。由称为DBMS_FGA的PL/SQL程序包实现FGA。使用标准的审计，可以轻松发现访问了哪些对象以及由谁访问，但无法知道访问了哪些行或列。细粒度的审计可解决这个问题，它不仅为需要访问的行指定谓词(或where子句)，还指定了表中访问的列。通过只在访问*些行和列时审计对表的访问，可以极大地减少审计表条目的数量。例如：用户TAMARA通常每天访问表，查找雇员的电子邮件地址。系统管理员疑心TAMARA正在查看经理们的薪水信息，因此他们建立一个FGA策略，用于审计任何经理对SALARY列的任何访问：begin

dbms_fga.add_policy(

object_schema=>

'HR',

object_name=>

'EMPLOYEES',

policy_name=>

'SAL_SELECT_AUDIT',

audit_condition=>'instr(job_id,''_MAN'')>0',

audit_column=>

'SALARY'

);

end;ADD_POLICY添加使用谓词和审计列的审计谋略DROP_POLICY删除审计谋略DISABLE_POLICY禁用审计谋略，但保存与表或视图关联的策略ENABLE_POLICY启用策略与审计相关的数据字典视图数据字典视图说

明AUDIT_ACTIONS包含审计跟踪动作类型代码的描述，例如INSERT、DROPVIEW、DELETE、LOGON和LOCKDBA_AUDIT_OBJECT与数据库中对象相关的审计跟踪记录DBA_AUDIT_POLICIES数据库中的细粒度审计谋略DBA_AUDIT_SESSION与CONNECT和DISCONNECT相关的所有审计跟踪记录DBA_AUDIT_STATEMENT与GRANT、REVOKE、AUDIT、NOAUDIT和ALTERSYSTEM命令相关的审计跟踪条目DBA_AUDIT_TRAIL包含标准审计跟踪条目。USER_AUDIT_TRAILUSER_TRAIL_AUDIT只包含已连接用户的审计行DBA_FGA_AUDIT_TRAIL细粒度审计谋略的审计跟踪条目数据字典视图说

明DBA_COMMON_AUDIT_TRAIL将标准的审计行和细粒度的审计行结合在一个视图中DBA_OBJ_AUDIT_OPTS对数据库对象生效的审计选项DBA_PRIV_AUDIT_OPTS对系统权限生效的审计选项DBA_STMT_AUDIT_OPTS对语句生效的审计选项保护审计跟踪审计跟踪自身需要受到保护，特别是在非系统用户必须访问表SYS.AUD$时。内置的角色DELETE_ANY_CATALOG是非SYS用户可以访问审计跟踪的一种方法(例如，归档和截取审计跟踪，以确保它不会影响到SYS表空间中其他对象的空间需求)。为了建立对审计跟踪自身的审计，以SYSDBA身份连接到数据库，并运行下面的命令：SQL>auditallonsys.aud$byaccess;现在，所有针对表SYS.AUD$的动作，包括select、insert、update和delete，都记录在SYS.AUD$自身中。但是，您可能会问，如果*个人删除了标识对表SYS.AUD$访问的审计记录，这时会发生什么？此时将删除表中的行，但接着插入另一行，记录行的删除。因此，总是存在一些针对SYS.AUD$表的(有意的或偶然的)活动的证据。此外，如果将AUDIT_SYS_OPERATIONS设置为True，使用assysdba、assysoper或以SYS自身连接的任何会话将记录到操作系统审计位置中，甚至OracleDBA可能都无法访问该位置。因此，有许多适宜的平安措施，用于确保记录数据库中所有权限的活动，以及隐藏该活动的任何尝试。将审计相关的表更换表空间由于AUD$表等审计相关的表存放在SYSTEM表空间，因此为了不影响系统的性能，保护SYSTEM表空间，最好把AUD$移动到其他的表空间上。可以使用下面的语句来进展移动：sql>connect

/

as

sysdba;sql>alter

table

aud$

move

tablespace

<new

tablespace>;sql>alter

inde*

I_aud1

rebuild

online

tablespace

<new

tablespace>;SQL>

alter

table

audit$

move

tablespace

<new

tablespace>;SQL>

alter

inde*

i_audit

rebuild

online

tablespace

<new

tablespace>;SQL>

alter

table

audit_actions

move

tablespace

<new

tablespace>;SQL>

alter

inde*

i_audit_actions

rebuild

online

tablespace

<new

tablespace>;

SQL>conn/assysdba

SQL>showparameteraudit

NAME

TYPE

VALUE

-----------------------------------------------------------------------------

audit_file_dest

string

/u01/app/oracle/admin/ORCL/adump

audit_sys_operations

boolean

FALSE

audit_syslog_level

string

SQL>altersystemsetaudit_sys_operations=TRUEscope=spfile;

--审计管理用户(以sysdba/sysoper角色登陆)

SQL>altersystemsetaudit_trail=db,e*tendedscope=spfile;

SQL>startupforce;

SQL>showparameteraudit

NAME

TYPE

VALUE

-----------------------------------------------------------------------------

audit_file_dest

string

/u01/app/oracle/admin/ORCL/adump

audit_sys_operations

boolean

TRUE

audit_syslog_level

string

audit_trail

string

DB,E*TENDED

如果在命令后面添加byuser则只对user的操作进展审计,如果省去by用户,则对系统中所有的用户进展审计(不包含sys用户).例：

AUDITDELETEANYTABLE;

--审计删除表的操作

AUDITDELETEANYTABLEWHENEVERNOTSUCCESSFUL;

--只审计删除失败的情况AUDITDELETEANYTABLEWHENEVERSUCCESSFUL;

--只审计删除成功的情况AUDITDELETE,UPDATE,INSERTONuser.tablebytest;

--审计test用户对表的delete,update,insert操作撤销审计SQL>noauditallont_test;

将审计结果表从system表空间里移动到别的表空间上实际上sys.aud$表上包含了两个lob字段，并不是简单的movetable就可以。下面是具体的过程:

altertablesys.aud$movetablespaceusers;

altertablesys.aud$movelob(sqlbind)storeas(tablespaceUSERS);

altertablesys.aud$movelob(SQLTE*T)storeas(tablespaceUSERS);

alterinde*sys.I_AUD1rebuildtablespaceusers;应用语句审计多层环境下的审计：appserve-应用效劳器，jackson-client

AUDITSELECTTABLEBYappserveONBEHALFOFjackson;

审计连接或断开连接：

AUDITSESSION;

AUDITSESSIONBYjeff,lori;

--指定用户审计权限(使用该权限才能执行的操作)：

AUDITDELETEANYTABLEBYACCESSWHENEVERNOTSUCCESSFUL;

AUDITDELETEANYTABLE;

AUDITSELECTTABLE,INSERTTABLE,DELETETABLE,E*ECUTEPROCEDUREBYACCESSWHENEVERNOTSUCCESSFUL;

对象审计：

AUDITDEL