问答文章1 问答文章501 问答文章1001 问答文章1501 问答文章2001 问答文章2501 问答文章3001 问答文章3501 问答文章4001 问答文章4501 问答文章5001 问答文章5501 问答文章6001 问答文章6501 问答文章7001 问答文章7501 问答文章8001 问答文章8501 问答文章9001 问答文章9501

oracle 审计包括哪几种,都是什么

发布网友 发布时间:2022-04-30 06:46

我来回答

2个回答

懂视网 时间:2022-04-30 11:07

http://blog.chinaunix.net/u2/66903/showart_2082884.html

Oracle使用大量不同的审计方法来监控使用何种权限,以及访问哪些对象。审计不会防止使用这些权限,但可以提供有用的信息,用于揭示权限的滥用和误用。

下表中总结了Oracle数据库中不同类型的审计。

审 计 类 型

说    明

语句审计

按照语句类型审计SQL语句,而不论访问何种特定的模式对象。也可以在数据库中指定一个或多个用户,针对特定的语句审计这些用户

权限审计

审计系统权限,例如CREATE TABLE或ALTER INDEX。和语句审计一样,权限审计可以指定一个或多个特定的用户作为审计的目标

模式对象审计

审计特定模式对象上运行的特定语句(例如,DEPARTMENTS表上的UPDATE语句)。模式对象审计总是应用于数据库中的所有用户

细粒度的审计

根据访问对象的内容来审计表访问和权限。使用程序包DBMS_FGA来建立特定表上的策略

下面几节介绍DBA如何管理系统和对象权限使用的审计。当需要一定的粒度时,DBA可以使用细粒度的审计来监控对表中某些行或列的访问,而不仅仅是是否访问表。

和审计相关的主要参数

SQL>show parameter audit

audit_file_dest
audit_sys_operations
audit_trail


audit_sys_operations:
默认为false,当设置为true时,所有sys用户(包括以sysdba,sysoper身份登录的用户)的操作都会被记录,audit trail不会写在aud$表中,这个很好理解,如果数据库还未启动aud$不可用,那么像conn /as sysdba这样的连接信息,只能记录在其它地方。如果是windows平台,audti trail会记录在windows的事件管理中,如果是linux/unix平台则会记录在audit_file_dest参数指定的文件中。

audit_trail:
None:是默认值,不做审计;
DB:将audit trail 记录在数据库的审计相关表中,如aud$,审计的结果只有连接信息;
DB,Extended:这样审计结果里面除了连接信息还包含了当时执行的具体语句;
OS:将audit trail 记录在操作系统文件中,文件名由audit_file_dest参数指定;
XML:10g里新增的。

10g Values:

  • none

    Disables database auditing.

  • os

    Enables database auditing and directs all audit records to the operating system‘s audit trail.

  • db

    Enables database auditing and directs all audit records to the database audit trail (the SYS.AUD$ table).

  • db,extended

    Enables database auditing and directs all audit records to the database audit trail (the SYS.AUD$ table). In addition, populates the SQLBIND and SQLTEXT CLOB columns of the SYS.AUD$ table.

  • xml

    Enables database auditing and writes all audit records to XML format OS files.

  • xml,extended

    Enables database auditing and prints all columns of the audit trail, including SqlText and SqlBind values.

  • 注:参数AUDIT_TRAIL不是动态的,为了使AUDIT_TRAIL参数中的改动生效,必须关闭数据库并重新启动。在对SYS.AUD$表进行审计时,应该注意监控该表的大小,以避免影响SYS表空间中其他对象的空间需求。推荐周期性归档SYS.AUD$中的行,并且截取该表。Oracle提供了角色 DELETE_CATALOG_ROLE,和批处理作业中的特殊账户一起使用,用于归档和截取审计表。

    audit_file_dest:Audit_trail=OS时 文件位置

    1.语句审计

    所有类型的审计都使用audit命令来打开审计,使用noaudit命令来关闭审计。对于语句审计,audit命令的格式看起来如下所示:

    AUDIT sql_statement_clause BY {SESSION | ACCESS}
    WHENEVER [NOT] SUCCESSFUL;

    sql_statement_clause包含很多条不同的信息,例如希望审计的SQL语句类型以及审计什 么人。

    此外,希望在每次动作发生时都对其进行审计(by access)或者只审计一次(by session)。默认是by session。

    有时希望审计成功的动作:没有生成错误消息的语句。对于这些语句,添加whenever successful。而有时只关心使用审计语句的命令是否失败,失败原因是权限违犯、用完表空间中的空间还是语法错误。对于这些情况,使用 whenever not successful。

    对于大多数类别的审计方法,如果确实希望审计所有类型的表访问或某个用户的任何权限,则可以指定all而不是单个的语句类型或对象。

    表1列出了可以审计的语句类型,并且在每个类别中包含了相关语句的简要描述。如果指定all,则审计该列表中的任何语句。然而,表2中的语句类型在启用审计时不属于all类别;必须在audit命令中显式地指定它们。

    表1 包括在ALL类别中的可审计语句

    语 句 选 项

    SQL操作

    ALTER SYSTEM

    所有ALTER SYSTEM选项,例如,动态改变实例参数,切换到下一个日志文件组,以及终止用户会话

    CLUSTER

    CREATE、ALTER、DROP或TRUNCATE集群

    CONTEXT

    CREATE CONTEXT或DROP CONTEXT

    DATABASE LINK

    CREATE或DROP数据库链接

    DIMENSION

    CREATE、ALTER或DROP维数

    DIRECTORY

    CREATE或DROP目录

    INDEX

    CREATE、ALTER或DROP索引

    MATERIALIZED VIEW

    CREATE、ALTER或DROP物化视图

    NOT EXISTS

    由于不存在的引用对象而造成的SQL语句的失败

    PROCEDURE

    CREATE或DROP FUNCTION、LIBRARY、PACKAGE、PACKAGE BODY或PROCEDURE

    PROFILE

    CREATE、ALTER或DROP配置文件

    PUBLIC DATABASE LINK

    CREATE或DROP公有数据库链接

    PUBLIC SYNONYM

    CREATE或DROP公有同义词

    ROLE

    CREATE、ALTER、DROP或SET角色

    ROLLBACK SEGMENT

    CREATE、ALTER或DROP回滚段

    SEQUENCE

    CREATE或DROP序列

    SESSION

    登录和退出

    SYNONYM

    CREATE或DROP同义词

    SYSTEM AUDIT

    系统权限的AUDIT或NOAUDIT

    SYSTEM GRANT

    GRANT或REVOKE系统权限和角色

    TABLE

    CREATE、DROP或TRUNCATE表

    TABLESPACE

    CREATE、ALTER或DROP表空间

    TRIGGER

    CREATE、ALTER(启用/禁用)、DROP触发器;具有ENABLE ALL TRIGGERS或DISABLE ALL TRIGGERS的ALTER TABLE

    TYPE

    CREATE、ALTER和DROP类型以及类型主体

    USER

    CREATE、ALTER或DROP用户

    VIEW

    CREATE或DROP视图

    表2 显式指定的语句类型

    语 句 选 项

    SQL 操 作

    ALTER SEQUENCE

    任何ALTER SEQUENCE命令

    ALTER TABLE

    任何ALTER TABLE命令

    COMMENT TABLE

    添加注释到表、视图、物化视图或它们中的任何列

    DELETE TABLE

    删除表或视图中的行

    EXECUTE PROCEDURE

    执行程序包中的过程、函数或任何变量或游标

    GRANT DIRECTORY

    GRANT或REVOKE DIRECTORY对象上的权限

    GRANT PROCEDURE

    GRANT或REVOKE过程、函数或程序包上的权限

    GRANT SEQUENCE

    GRANT或REVOKE序列上的权限

    GRANT TABLE

    GRANT或REVOKE表、视图或物化视图上的权限

    GRANT TYPE

    GRANT或REVOKE TYPE上的权限

    INSERT TABLE

    INSERT INTO表或视图

    LOCK TABLE

    表或视图上的LOCK TABLE命令

    SELECT SEQUENCE

    引用序列的CURRVAL或NEXTVAL的任何命令

    SELECT TABLE

    SELECT FROM表、视图或物化视图

    UPDATE TABLE

    在表或视图上执行UPDATE

    一些示例可以帮助读者更清楚地了解所有这些选项。在示例数据库中,用户KSHELTON具有HR模式和其他模式中所有表上的权限。允许 KSHELTON创建其中一些表上的索引,但如果有一些与执行计划改动相关的性能问题,则需要知道何时创建这些索引。可以使用如下命令审计 KSHELTON创建的索引:

    SQL> audit index by kshelton;
    Audit succeeded.

    后面的某一天,KSHELTON在HR.JOBS表上创建了一个索引:

    SQL> create index job_title_idx on hr.jobs(job_title);
    Index created.

    检查数据字典视图DBA_AUDIT_TRAIL中的审计跟踪,可以看到KSHELTON实际上在8月12日的5:15 P.M.创建了索引:

    SQL> select username, to_char(timestamp,‘MM/DD/YY HH24:MI‘) Timestamp,
    2 obj_name, action_name, sql_text from dba_audit_trail
    3 where username = ‘KSHELTON‘;
    USERNAME TIMESTAMP OBJ_NAME  ACTION_NAME SQL_TEXT
    --------- -------------- -------------- -------------- ----------------
    KSHELTON 08/12/07 17:15 JOB_TITLE_IDX CREATE INDEX create index hr.
    job_title_idx on
    hr.jobs(job_title)
    1 row selected.

    注意:

    从Oracle Database 11g开始,只有在初始参数AUDIT_TRAIL被设置为DB_EXTENDED时,才填充DBA_AUDIT_TRAIL中的列SQL_TEXT和SQL_BIND。默认情况下,AUDIT_TRAIL的值是DB。

    为了关闭HR.JOBS表上KSHELTON的审计,可以使用noaudit命令,如下所示:

    SQL> noaudit index by kshelton;
    Noaudit succeeded.

    也可能希望按常规方式审计成功的和不成功的登录,这需要两个audit命令:

    SQL> audit session whenever successful;
    Audit succeeded.
    SQL> audit session whenever not successful;
    Audit succeeded.

    2.权限审计

    审计系统权限具有与语句审计相同的基本语法,但审计系统权限是在sql_statement_clause中,而不是在语句中,指定系统权限。

    例如,可能希望将ALTER TABLESPACE权限授予所有的DBA,但希望在发生这种情况时生成审计记录。启用对这种权限的审计的命令看起来类似于语句审计:

    SQL> audit alter tablespace by access whenever successful;
    Audit succeeded.

    每次成功使用ALTER TABLESPACE权限时,都会将一行内容添加到SYS.AUD$。

    使用SYSDBA和SYSOPER权限或者以SYS用户连接到数据库的系统管理员可以利用特殊的审计。为了启用这种额外的审计级别,可以设置初始参数AUDIT_SYS_OPERATIONS为TRUE。这种审计记录发送到与操作系统审计记录相同的位置。因此,这个位置是和操作系统相关的。当使用其中一种权限时执行的所有SQL语句,以及作为用户SYS执行的任何SQL语句,都会发送到操作系统审计位置。

    模式对象审计

    审计对各种模式对象的访问看起来类似于语句审计和权限审计:

    AUDIT schema_object_clause BY {SESSION | ACCESS}
    WHENEVER [NOT] SUCCESSFUL;

    schema_object_clause指定对象访问的类型以及访问的对象。可以审计特定对象上14种不同的操作类型,下表中列出了这些操作。

    对 象 选 项

    说    明

    ALTER

    改变表、序列或物化视图

    AUDIT

    审计任何对象上的命令

    COMMENT

    添加注释到表、视图或物化视图

    DELETE

    从表、视图或物化视图中删除行

    EXECUTE

    执行过程、函数或程序包

    FLASHBACK

    执行表或视图上的闪回操作

    GRANT

    授予任何类型对象上的权限

    INDEX

    创建表或物化视图上的索引

    INSERT

    将行插入表、视图或物化视图中

    LOCK

    锁定表、视图或物化视图

    READ

    对DIRECTORY对象的内容执行读操作

    RENAME

    重命名表、视图或过程

    SELECT

    从表、视图、序列或物化视图中选择行

    UPDATE

    更新表、视图或物化视图

    如果希望审计HR.JOBS表上的所有insert和update命令,而不管谁正在进行更新,则每次该动作发生时,都可以使用如下所示的audit命令:

    SQL> audit insert, update on hr.jobs by access whenever successful;
    Audit successful.

    用户KSHELTON决定向HR.JOBS表添加两个新行:

    SQL> insert into hr.jobs (job_id, job_title, min_salary, max_salary)
    2  values (‘IN_CFO‘,‘Internet Chief Fun Officer‘, 7500, 50000);
    1 row created.
    SQL> insert into hr.jobs (job_id, job_title, min_salary, max_salary)
    2  values (‘OE_VLD‘,‘Order Entry CC Validation‘, 5500, 20000);
    1 row created.

    查看DBA_AUDIT_TRAIL视图,可以看到KSHELTON会话中的两个insert命令:

    USERNAME   TIMESTAMP      OWNER    OBJ_NAME   ACTION_NAME
    SQL_TEXT
    ---------- -------------- -------- ---------- ---------------
    ---------------------------------------------------------------
    KSHELTON   08/12/07 22:54 HR       JOBS       INSERT
    insert into hr.jobs (job_id, job_title, min_salary, max_salary)
    values (‘IN_CFO‘,‘Internet Chief Fun Officer‘, 7500, 50000);
    KSHELTON   08/12/07 22:53 HR       JOBS       INSERT
    insert into hr.jobs (job_id, job_title, min_salary, max_salary)
    values (‘OE_VLD‘,‘Order Entry CC Validation‘, 5500, 20000);
    KSHELTON   08/12/07 22:51                     LOGON

    3 rows selected.

     

    4.细粒度的审计

    从Oracle9i开始,通过引入细粒度的对象审计,或称为FGA,审计变得更为关注某个方面,并且更为精确。由称为DBMS_FGA的PL/SQL程序包实现FGA。

    使用标准的审计,可以轻松发现访问了哪些对象以及由谁访问,但无法知道访问了哪些行或列。细粒度的审计可解决这个问题,它不仅为需要访问的行指定谓词(或where子句),还指定了表中访问的列。通过只在访问某些行和列时审计对表的访问,可以极大地减少审计表条目的数量。

    程序包DBMS_FGA具有4个过程:

    ADD_POLICY

    添加使用谓词和审计列的审计策略

    DROP_POLICY

    删除审计策略

    DISABLE_POLICY

    禁用审计策略,但保留与表或视图关联的策略

    ENABLE_POLICY

    启用策略

    用户TAMARA通常每天访问HR.EMPLOYEES表,查找雇员的电子邮件地址。系统管理员怀疑TAMARA正在查看经理们的薪水信息,因此他们建立一个FGA策略,用于审计任何经理对SALARY列的任何访问:

    begin
    dbms_fga.add_policy(
    object_schema =>   ‘HR‘,
    object_name =>     ‘EMPLOYEES‘,
    policy_name =>     ‘SAL_SELECT_AUDIT‘,
    audit_condition => ‘instr(job_id,‘‘_MAN‘‘) > 0‘,
    audit_column =>    ‘SALARY‘
    );
    end;

    可以使用数据字典视图DBA_FGA_AUDIT_TRAIL访问细粒度审计的审计记录。如果一般需要查看标准的审计行和细粒度的审计行,则数据字典视图DBA_COMMON_AUDIT_TRAIL结合了这两种审计类型中的行。

    继续看示例,用户TAMARA运行了如下两个SQL查询:

    SQL> select employee_id, first_name, last_name, email from hr.employees
    2     where employee_id = 114;
    EMPLOYEE_ID FIRST_NAME           LAST_NAME                 EMAIL
    ----------- ------------------ ---------------------   --------------
    114    Den                   Raphaely                  DRAPHEAL
    1 row selected.
    SQL> select employee_id, first_name, last_name, salary from hr.employees
    2     where employee_id = 114;
    EMPLOYEE_ID FIRST_NAME           LAST_NAME                     SALARY
    ----------- ------------------ -----------------------   ----------
    114    Den                   Raphaely                       11000
    1 row selected.

    第一个查询访问经理信息,但没有访问SALARY列。第二个查询与第一个查询相同,但是访问了SALARY列,因此触发了FGA策略,从而在审计跟踪中生成了一行:

    SQL> select to_char(timestamp,‘mm/dd/yy hh24:mi‘) timestamp,
    2      object_schema, object_name, policy_name, statement_type
    3  from dba_fga_audit_trail
    4  where db_user = ‘TAMARA‘;
    TIMESTAMP        OBJECT_SCHEMA  OBJECT_NAME     POLICY_NAME       STATEMENT_TYPE
    --------------  -------------  -------------  ---------------- --------------
    08/12/07 18:07  HR               EMPLOYEES       SAL_SELECT_AUDIT SELECT
    1 row selected.

    因为在本章前面的VPD示例中建立了细粒度的访问控制来阻止对SALARY列的未授权访问,因此需要加倍检查策略函数,确保仍然正确限制了SALARY信息。细粒度的审计以及标准审计是确保首先正确建立授权策略的好方法。

    5.与审计相关的数据字典视图

    下表包含了与审计相关的数据字典视图。

    数据字典视图

    说    明

    AUDIT_ACTIONS

    包含审计跟踪动作类型代码的描述,例如INSERT、DROP VIEW、DELETE、LOGON和LOCK

    DBA_AUDIT_OBJECT

    与数据库中对象相关的审计跟踪记录

    DBA_AUDIT_POLICIES

    数据库中的细粒度审计策略

    DBA_AUDIT_SESSION

    与CONNECT和DISCONNECT相关的所有审计跟踪记录

    DBA_AUDIT_STATEMENT

    与GRANT、REVOKE、AUDIT、NOAUDIT和ALTER SYSTEM命令相关的审计跟踪条目

    DBA_AUDIT_TRAIL

    包含标准审计跟踪条目。USER_AUDIT_TRAILUSER_TRAIL_AUDIT只包含已连接用户的审计行

    DBA_FGA_AUDIT_TRAIL

    细粒度审计策略的审计跟踪条目

     

                                                                         (续表)  

    数据字典视图

    说    明

    DBA_COMMON_AUDIT_TRAIL

    将标准的审计行和细粒度的审计行结合在一个视图中

    DBA_OBJ_AUDIT_OPTS

    对数据库对象生效的审计选项

    DBA_PRIV_AUDIT_OPTS

    对系统权限生效的审计选项

    DBA_STMT_AUDIT_OPTS

    对语句生效的审计选项


    6.保护审计跟踪

    审计跟踪自身需要受到保护,特别是在非系统用户必须访问表SYS.AUD$时。内置的角色DELETE_ANY_CATALOG是非SYS用户可以访问审计跟踪的一种方法(例如,归档和截取审计跟踪,以确保它不会影响到SYS表空间中其他对象的空间需求)。

    为了建立对审计跟踪自身的审计,以SYSDBA身份连接到数据库,并运行下面的命令:

    SQL> audit all on sys.aud$ by access;
    Audit succeeded.

    现在,所有针对表SYS.AUD$的动作,包括select、insert、update和delete,都记录在SYS.AUD$自身中。但是,您可能会问,如果某个人删除了标识对表SYS.AUD$访问的审计记录,这时会发生什么?此时将删除表中的行,但接着插入另一行,记录行的删除。因此,总是存在一些针对SYS.AUD$表的(有意的或偶然的)活动的证据。此外,如果将AUDIT_SYS _OPERATIONS设置为True,使用as sysdba、as sysoper或以SYS自身连接的任何会话将记录到操作系统审计位置中,甚至Oracle DBA可能都无法访问该位置。因此,有许多合适的安全措施,用于确保记录数据库中所有权限的活动,以及隐藏该活动的任何尝试。

    7.启用增强的审计

    从Oracle Database 11g开始,数据库配置助手(Database Configuration Assistant,DBCA)很容易启用默认的(增强的)审计。虽然记录审计信息有一些系统开销,但兼容性需求(例如,Sarbanes-Oxley法案中规定的兼容性需求)要求严格监控所有业务操作,包括数据库中与安全相关的操作。

    可以在创建数据库时或在数据库已经创建之后使用DBCA配置默认审计。如果已经改变了很多审计设置,并想要将审计选项重置为基线值,则在数据库已创建之后使用DBCA配置默认审计就非常有用。

    除将初始参数AUDIT_TRAIL的值设置为DB外,默认审计设置还审计audit role命令本身。另外,在Audited Privileges选项卡的Oracle Enterprise Manager Audit Settings页面中,可以查看默认的审计权限。

    补充说明:
    8、实例讲解

    8.1、激活审计

    审计相关的表安装

     

      SQLPLUS> connect / AS SYSDBA 

      SQLPLUS> select * from sys.aud$;     --没有记录返回  

      SQLPLUS> select * from dba_audit_trail;   - 没有记录返回 

     如果做上述查询的时候发现表不存在,说明审计相关的表还没有安装,需要安装。

     

      SQLPLUS> connect / as sysdba 

      SQLPLUS> @$ORACLE_HOME/rdbms/admin/cataudit.sql 

     审计表安装在SYSTEM表空间。所以要确保SYSTEM表空间又足够的空间存放审计信息。

       安装后要重启数据库

     

    将审计相关的表移动到其他表空间

     

    由于AUD$表等审计相关的表存放在SYSTEM表空间,因此为了不影响系统的性能,保护SYSTEM表空间,最好把AUD$移动到其他的表空间上。可以使用下面的语句来进行移动:

     

    sql>connect / as sysdba;

    sql>alter table aud$ move tablespace <new tablespace>;

    sql>alter index I_aud1 rebuild online tablespace <new tablespace>;

    SQL> alter table audit$ move tablespace <new tablespace>;

    SQL> alter index i_audit rebuild online tablespace <new tablespace>;

    SQL> alter table audit_actions move tablespace <new tablespace>;

    SQL> alter index i_audit_actions rebuild online tablespace <new tablespace>;

    SQL> conn /as sysdba
    SQL> show parameter audit
    NAME                                 TYPE        VALUE
    ------------------------------------ ----------- ------------------------------
    audit_file_dest                      string      /u01/app/oracle/admin/ORCL/adump
    audit_sys_operations                 boolean     FALSE
    audit_syslog_level                   string
    audit_trail                          string      NONE

    SQL> alter system set audit_sys_operations=TRUE scope=spfile;    --审计管理用户(以sysdba/sysoper角色登陆)
    SQL> alter system set audit_trail=db,extended scope=spfile;
    SQL> startup force;
    SQL> show parameter audit
    NAME                                 TYPE        VALUE
    ------------------------------------ ----------- ------------------------------
    audit_file_dest                      string      /u01/app/oracle/admin/ORCL/adump
    audit_sys_operations                 boolean     TRUE
    audit_syslog_level                   string
    audit_trail                          string      DB, EXTENDED          

    8.2、开始审计

    SQL> conn /as sysdba
    SQL> audit all on t_test;
    SQL> conn u_test
    SQL> select * from t_test;
    SQL> insert into u_test.t_test (c2,c5) values (‘test1‘,‘2‘);
    SQL> commit;
    SQL> delete from u_test.t_test;
    SQL> commit;
    SQL> conn /as sysdba
    SQL> col DEST_NAME format a30
    col OS_USERNAME format a15
    col USERNAME format a15
    col USERHOST format a15
    col TERMINAL format a15
    col OBJ_NAME format a30
    col SQL_TEXT format a60
    SQL> select OS_USERNAME,username,USERHOST,TERMINAL,TIMESTAMP,OWNER,obj_name,ACTION_NAME,sessionid,os_process,sql_text from dba_audit_trail;

    sql> audit select table by u_test by access;
    如果在命令后面添加by user则只对user的操作进行审计,如果省去by用户,则对系统中所有的用户进行审计(不包含sys用户).

    例:
    AUDIT DELETE ANY TABLE;    --审计删除表的操作
    AUDIT DELETE ANY TABLE WHENEVER NOT SUCCESSFUL;    --只审计删除失败的情况
    AUDIT DELETE ANY TABLE WHENEVER SUCCESSFUL;    --只审计删除成功的情况
    AUDIT DELETE,UPDATE,INSERT ON user.table by test;    --审计test用户对表user.table的delete,update,insert操作

    8.3、撤销审计
    SQL> noaudit all on t_test;

    9、审计语句

    多层环境下的审计:appserve-应用服务器,jackson-client
    AUDIT SELECT TABLE BY appserve ON BEHALF OF jackson;

    审计连接或断开连接:
    AUDIT SESSION;
    AUDIT SESSION BY jeff, lori;    -- 指定用户

    审计权限(使用该权限才能执行的操作):
    AUDIT DELETE ANY TABLE BY ACCESS WHENEVER NOT SUCCESSFUL;
    AUDIT DELETE ANY TABLE;
    AUDIT SELECT TABLE, INSERT TABLE, DELETE TABLE, EXECUTE PROCEDURE BY ACCESS WHENEVER NOT SUCCESSFUL;

    对象审计:
    AUDIT DELETE ON jeff.emp;
    AUDIT SELECT, INSERT, DELETE ON jward.dept BY ACCESS WHENEVER SUCCESSFUL;

    取消审计:
    NOAUDIT session;
    NOAUDIT session BY jeff, lori;
    NOAUDIT DELETE ANY TABLE;
    NOAUDIT SELECT TABLE, INSERT TABLE, DELETE TABLE,EXECUTE PROCEDURE;
    NOAUDIT ALL;    -- 取消所有statement审计
    NOAUDIT ALL PRIVILEGES;    -- 取消所有权限审计
    NOAUDIT ALL ON DEFAULT;    -- 取消所有对象审计

    10、清除审计信息

    DELETE FROM SYS.AUD$;
    DELETE FROM SYS.AUD$ WHERE obj$name=‘EMP‘;

    11、审计视图

    STMT_AUDIT_OPTION_MAP    -- 审计选项类型代码
    AUDIT_ACTIONS    -- action代码
    ALL_DEF_AUDIT_OPTS    -- 对象创建时默认的对象审计选项
    DBA_STMT_AUDIT_OPTS    -- 当前数据库系统审计选项
    DBA_PRIV_AUDIT_OPTS    -- 权限审计选项
    DBA_OBJ_AUDIT_OPTS    
    USER_OBJ_AUDIT_OPTS    -- 对象审计选项
    DBA_AUDIT_TRAIL    
    USER_AUDIT_TRAIL    -- 审计记录
    DBA_AUDIT_OBJECT    
    USER_AUDIT_OBJECT    -- 审计对象列表
    DBA_AUDIT_SESSION    
    USER_AUDIT_SESSION    -- session审计
    DBA_AUDIT_STATEMENT    
    USER_AUDIT_STATEMENT    -- 语句审计
    DBA_AUDIT_EXISTS    -- 使用BY AUDIT NOT EXISTS选项的审计
    DBA_AUDIT_POLICIES    -- 审计POLICIES
    DBA_COMMON_AUDIT_TRAIL    -- 标准审计+精细审计

    12、将审计结果表从system表空间里移动到别的表空间上

    实际上sys.aud$表上包含了两个lob字段,并不是简单的move table就可以。
    下面是具体的过程:
    alter table sys.aud$ move tablespace users;
    alter table sys.aud$ move lob(sqlbind) store as( tablespace USERS);
    alter table sys.aud$ move lob(SQLTEXT) store as( tablespace USERS);
    alter index sys.I_AUD1 rebuild tablespace users;

    [转]oracle审计详解

    标签:

    热心网友 时间:2022-04-30 08:15

      1、什么是审计

      审计(Audit)用于监视用户所执行的数据库操作,并且Oracle会将审计跟踪结果存放到OS文件(默认位置为$ ORACLE_BASE/admin/$ORACLE_SID/amp/)或数据库(存储在system表空间中的SYS.AUD$表中,可通过视图 dba_audit_trail查看)中。默认情况下审计是没有开启的。

      不管你是否打开数据库的审计功能,以下这些操作系统会强制记录:用管理员权限连接Instance;启动数据库;关闭数据库。

      2、和审计相关的两个主要参数

      Audit_sys_operations:

      默认为false,当设置为true时,所有sys用户(包括以sysdba,sysoper身份登录的用户)的操作都会被记录,audit trail不会写在aud$表中,这个很好理解,如果数据库还未启动aud$不可用,那么像conn /as sysdba这样的连接信息,只能记录在其它地方。如果是windows平台,audti trail会记录在windows的事件管理中,如果是linux/unix平台则会记录在audit_file_dest参数指定的文件中。

      Audit_trail:

      None:是默认值,不做审计;

      DB:将audit trail 记录在数据库的审计相关表中,如aud$,审计的结果只有连接信息;

      DB,Extended:这样审计结果里面除了连接信息还包含了当时执行的具体语句;

      OS:将audit trail 记录在操作系统文件中,文件名由audit_file_dest参数指定;

      XML:10g里新增的。

      注:这两个参数是static参数,需要重新启动数据库才能生效。

      3、审计级别

      当开启审计功能后,可在三个级别对数据库进行审计:Statement(语句)、Privilege(权限)、object(对象)。

      Statement:

      按语句来审计,比如audit table 会审计数据库中所有的create table,drop table,truncate table语句,alter session by cmy会审计cmy用户所有的数据库连接。

      Privilege:

      按权限来审计,当用户使用了该权限则被审计,如执行grant select any table to a,当执行了audit select any table语句后,当用户a 访问了用户b的表时(如select * from b.t)会用到select any table权限,故会被审计。注意用户是自己表的所有者,所以用户访问自己的表不会被审计。

      Object:

      按对象审计,只审计on关键字指定对象的相关操作,如ait alter,delete,drop,insert on cmy.t by scott; 这里会对cmy用户的t表进行审计,但同时使用了by子句,所以只会对scott用户发起的操作进行审计。注意Oracle没有提供对schema中所有对象的审计功能,只能一个一个对象审计,对于后面创建的对象,Oracle则提供on default子句来实现自动审计,比如执行audit drop on default by access;后,对于随后创建的对象的drop操作都会审计。但这个default会对之后创建的所有数据库对象有效,似乎没办法指定只对某个用户创建的对象有效,想比 trigger可以对schema的DDL进行“审计”,这个功能稍显不足。
    声明声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:11247931@qq.com
    ...先讲女主的灵魂飘荡了一段时间,然后重生,请问是那本? 拯救者散热器怎么开 电脑如何一键还原系统电脑一键还原怎么操作 神舟笔记本电脑怎么重新设置神舟战神bios恢复出厂设置 神舟电脑恢复出厂设置神舟战神怎么恢复原厂系统 水泥楼梯如何铺木楼梯 家里面楼梯是水泥的不想铺地毯或者地砖还能铺什么 楼梯的水泥台阶上可以铺地板革吗 手机腾讯会议共享屏幕播放视频没声 腾讯会议共享屏幕没声音怎么办 16位防伪码找到了,但是输入什么系统查询啊 简单的初二数学题 梦见电线杆轧中了灵车? 梦见自个的车把电线杆撞断了是什么意思? 侄女儿梦见我坐车撞电线杆子了,然后我退碰断了? 我昨晚梦见自己开车撞电线杆了、这是什麽征兆? 我梦见我开车出去在很窄的路上撞上电线杆子了,但是只撞坏了保险杠,我下去去查看,有个南方人说我的车堵着 梦见轿车正在行史突然被路中电线杆砸在车子上车被死巾扁了? 梦见车子停在路边 被电线杆砸扁 锁定qq怎么换密码 怎么改qq锁定的 密码啊 读较大的数时通常要从什么边起每什么个数位是一级一般要分级线 我国的计数单位是按什么分级的 十进制数位顺序表中有几个计数单位 繁体好听的游戏名字 求游戏好听的繁体名字 个级数位有什么,表示多少个什么 数位上,每级都有( )、()、()、()。还有(2)读数、写数都从最( 和政府合作开发墓地的合同怎么写? 整数部位有几级分别是什么名字? 初二数学题,快!!! 梦见给自己的亲人擦身体 梦见给别去世的亲人冼头 如何将tmp转换成txt模式 过期的茶叶怎样处理才不浪费 佛山有哪些值得一去的动物园? 佛山耕山小寨在哪里? 佛山耕山小寨可以玩到几点的 佛山市内有哪里好玩的旅游景点? 佛山市荷花奇境(三水荷花世界)怎么样?有什么好玩的地方? 单招职高生填志愿选什么组 单招联考怎么报名? 单招如何填志愿 钉钉授课方式和微信授课一样吗 高职单招单考填志愿 江苏对口单招志愿怎么填报 填报流程是什么 高职单考单招是什么? 志愿是怎么填的? 考生可以报考外省的大学吗? oracle审计是干嘛用的,能不能说得通俗点 手机没有流量走路能挣钱吗? 跨境电商如何用excel打印标签纸