数据库审计全

1、.数据库审计确认数据库核查已打开SQL show parameter auditNAME TYPE VALUE-是audit _ file _ deststring/Oracle/app/Oracle/admin/ptbcs/adumpaudit _ sys _ operations boolean falseAudit_syslog_level stringAudit_trail string DB_EXTENDEDAudit_sys_operations:的默认值为false。如果设置为true，则将记录所有sys操作(包括SYSDBA、以sysopr身份登录的用户)，但不会记录在aud$

2、表中。在Windows平台上，记录在windows事件管理中。Audit_trail:None是默认值，11G后的默认值是“db”。如果默认值为none，则不执行审计DB:将audit trail写入仅审计连接信息的数据库审计相关表DB_EXTENDED:牙齿审计还包括当时执行的特定语句OS:将审核流写入系统文件。档案被命名为audit_file_dest参数修正语句为SQL alter system set audit _ trail=db _ extended scope=spfile注：audit_trail参数不是动态的；要使对牙齿参数的更改生效，必须关闭并重新启动数据库。稽核Sys.

3、aud$时，您也必须监督表格大小，以免影响system表格空间中其他物件的空间需求。建议定期归档Sys.aud$中的行并拦截表。目前采用计划任务，每天删除上个月的数据，只保留该月的数据。audit _ file _ dest 3360 audit _ trail=OS时的档案位置。感谢门SQL audit on table by access每次发生操作时，都会对其进行审计SQL audit on table by session只谢谢你一次。默认值为by session审计成功的操作：有时没有生成错误消息的语句。将whenever successful添加到这些门中。在某些情况下，您只关心使

4、用审计语句的命令是否由于权限违规、表空间中的空间不足或语法错误而失败。在这种情况下，请使用whenever not successful。对于大多数类别的审计方法，如果要审计所有类型的表访问或用户的权限，则可以指定all而不是单个语句类型或对象。SQL audit alter system所有ALTER SYSTEM选项，如动态更改实例参数、切换到下一个日志档案组和终止用户会话Sql审核群集；CREATE、ALTER、DROP或TRUNCATE群集SQL审核内容；CREATE CONTEXT或DROP CONTEXTSQL audit database linkCREATE或DROP数据库链接

5、；SQL audit dimensionCREATE、ALTER或DROP维度SQL audit directoryCREATE或DROP目录；SQL审核索引；CREATE、ALTER或DROP索引SQL audit materialized viewCREATE、ALTER或DROP实体化视图SQL audit not exists不存在的引用对象导致的SQL语句失败SQL审核流程；CREATE或DROP FUNCTION、LIBRARY、PACKAGE、PACKAGE BODY或PROCEDURESql audit配置文件；CREATE、ALTER或DROP配置文件SQL audit pu

6、blic database linkCREATE或DROP公共数据库链接SQL audit public synonymCREATE或DROP公共同义词SQL审核角色；CREATE、ALTER、DROP或SET角色SQL audit rollback segmentCREATE、ALTER或DROP回退段SQL audit sequenceCREATE或DROP序列Sql审核会话；登录和退出SQL audit system audit系统权限的AUDIT或NOAUDITSQL audit system grantGRANT或REVOKE系统权限和角色SQL审核表；CREATE、DROP或TRU

7、NCATE表格SQL audit tablespaceCREATE、ALTER或DROP表格空间SQL审核转换器；CREATE、ALTER(启用/禁用)、DROP触发器：具有ENABLE ALL TRIGGERS或DISABLE ALL TRIGGERS的ALTER TABLESQL审核类型；CREATE、ALTER和DROP类型以及类型主体SQL audit userCREATE、ALTER或DROP用户SQL audit view查看CREATE或DROP明确指定的门类型SQL audit alter sequence所有ALTER SEQUENCE命令SQL audit alter ta

8、ble所有ALTER TABLE命令SQL audit comment table将说明添加到表、视图、实体化视图或其中的任何列SQL audit delete table从表格或视图中删除行SQL audit execute procedure运行程序包中的过程、函数或变量或光标SQL audit grant directoryGRANT或REVOKE DIRECTORY对象的权限SQL audit grant procedureGRANT或REVOKE过程、函数或程序包的权限SQL audit grant sequenceGRANT或REVOKE序列的权限SQL audit grant t

9、ableGRANT或REVOKE表、视图或实体化视图的权限SQL audit grant typeGRANT或REVOKE TYPE的权限SQL audit insert tableINSERT INTO表或视图SQL审核锁定表；表格或视图的LOCK TABLE命令SQL audit select sequence参考序列的CURRVAL或NEXTVAL的所有指令SQL audit select table选择自表、视图或实体化视图SQL audit update table在表格或视图中执行更新Sql select username，to _ char (timestamp，mm/DD/yy

10、h243360mi) timestamp2 obj _ name、action _ name、SQL _ text from DBA _ audit _ trail3 WHERE USERNAME=SCOTT我使用的默认查询审计信息显示了以下结果Scott 08/12/07 17:15 job _ title _ idx create index create index HR .Job_title_idx onH(job_title)1 row selected。权限审计审计系统权限与语句审计具有相同的基本语法，但是审计系统权限将系统权限分配给sql_statement_clau

11、se，而不是语句。SQL audit alter tablespace by access whenever successful；使用SYSDBA和SYSOPER权限或以SYS用户身份连接到数据库的系统管理员可以利用特殊审计。要启用牙齿附加审计级别，可以将初始参数AUDIT_SYS_OPERATIONS设置为TRUE。牙齿审计记录将发送到与操作系统审计记录相同的位置。因此，牙齿位置与操作系统相关。使用其中一种权限时执行的所有SQL语句和以用户SYS身份执行的所有SQL语句都将发送到操作系统审计位置。稽核纲要物件SQL audit alter on test _ dr . test by ac

12、cess whenever successful；变更表格、序列或具体化视观表SQL audit audit on test _ dr . test by access whenever successful；核查任何对象的命令SQL audit comment on test _ dr . test by access whenever successful；注释表、视图或实体化视图SQL audit delete on test _ dr . test by access whenever successful；从表、视图或实体化视图中删除行SQL audit execute on tes

13、t _ dr . test by access whenever successful；运行过程、函数或程序包SQL audit flashback on test _ dr . test by access whenever successful；在表格或视观表执行倒溯作业SQL audit grant on test _ dr . test by access whenever successful；所有类型物件的赋权SQL audit index on test _ dr . test by access whenever successful；在表或实体化视图中创建索引SQL audi

14、t insert on test _ dr . test by access whenever successful；在表、视图或实体化视图中插入行SQL audit lock on test _ dr . test by access whenever successful；锁定表、视图或实体化视图SQL audit read on test _ dr . test by access whenever successful；对DIRECTORY对象的内容执行读取操作SQL audit rename on test _ dr . test by access whenever success

15、ful；重命名表、视图或过程SQL audit select on test _ dr . test by access whenever successful；选择表、视图、序列或实体化视图中的行SQL audit update on test _ dr . test by access whenever successful；更新表、视图或实体化视图细致的审计称为FGA，核查更加关注特定方面，更加准确。FGA在名为DBMS_FGA的PL/SQL程序包中实施。使用标准审计，可以轻松找到访问的对象和访问的用户，但无法知道访问的行或列。精细曹征审计不仅解决了需要访问的行的谓词(或where子句)

16、，还解决了指定表中要访问的列的问题。如果只在访问特定行和列时审计对表的访问，则可以显着减少审计表条目的数量。例如，用户TAMARA通常每天访问HR.EMPLOYEES表以查找员工的电子邮件地址。系统管理员怀疑TAMARA正在查看管理员的工资单信息，因此他们制定了FGA策略来审核所有管理员对SALARY列的访问权限。贝金Dbms_fga.add_policy(Object_schema=HR，Object_name=EMPLOYEES，Policy_name=SAL_SELECT_AUDIT，Audit _ condition=instr (job _ id，_ man) 0，Audit_column=SALARY)；End添加使用ADD_POLICY谓词和审计列的审计策略删除DROP_POLICY审计策略禁用DISABLE_POLICY审计策略，但保留与表或视图关联的策略ENABLE_POLICY启用策略稽核相关资料说明视观表数据字典视图说明AUDIT_AC