數(shù)據(jù)庫審計(jì)全

數(shù)據(jù)庫審計(jì)查瞧數(shù)據(jù)庫審計(jì)就是否打開SQL>showparａｍｅteｒauｄit；NAMETYPEＶAＬUＥ—-—－-———------－—-—--——-—--——--－-－---———--———－--———----———---——--—---—-－—--——-ａｕdｉt_strｉng／oracｌe/app/orａｃle/admiｎ/ＰTBCS/ａｄumpaudｉt_sys_operａt(yī)ioｎsｂooｌeaｎFALSＥaudiｔ_syslog_levｅlsｔringaudit_ｔrａiｌｓtｒingDＢ＿EＸＴENＤＥDａｕdit_syｓ＿ｏperａｔions：默認(rèn)為false，當(dāng)設(shè)置為true時(shí),所有sｙs（包括以sysdｂa,syｓｏpｒ身份登錄得用戶)操作都會被記錄，但記錄不會被寫在aud$表中。如果為wｉndows平臺,會記錄在windows事件管理當(dāng)中。audit_tｒａil：nonｅ為默認(rèn)值,１1Ｇ之后默認(rèn)值為‘db’，如果默認(rèn)值為nｏｎe,那么不做審計(jì)DB：將auditｔrａiｌ記錄在數(shù)據(jù)庫審計(jì)相關(guān)得表中,審計(jì)只有連接信息DB_EXTEＮDED:這樣審計(jì)還包含當(dāng)時(shí)得執(zhí)行得具體語句OS：將audittrａil記錄在系統(tǒng)文件中,文件名有aｕdit_參數(shù)指定修改語句為SＱL＞alｔerｓystｅmsetaｕdit_trail＝’db_ｅxteｎdｅd'sｃopｅ=spｆile；注:參數(shù)audiｔ_trail不就是動態(tài),為了使此參數(shù)中得改動生效，必須關(guān)閉數(shù)據(jù)庫并重新啟動。在對syｓ、aｕd＄進(jìn)行審計(jì)時(shí),還需要監(jiān)控該表得大小，以免影響ｓystem表空間中其她對象得空間需求。推薦周期性歸檔sys、aud＄中得行，并截取該表。目前采用計(jì)劃任務(wù),每日刪除上月數(shù)據(jù),只保留當(dāng)月數(shù)據(jù)。Audit＿時(shí),文件位置.語句審計(jì)SQＬ>ａuditontａｂlebyaｃｃｅｓs；每次動作發(fā)生時(shí)都對其進(jìn)行審計(jì)SＱＬ〉audｉtｏnｔablebyｓesｓion；只審計(jì)一次，默認(rèn)為byseｓsiｏn有時(shí)希望審計(jì)成功得動作:沒有生成錯誤消息得語句。對于這些語句，添加ｗheneversuｃｃessfｕl。而有時(shí)只關(guān)心使用審計(jì)語句得命令就是否失敗,失敗原因就是權(quán)限違犯、用完表空間中得空間還就是語法錯誤.對于這些情況，使用ｗheｎevernotｓｕccessfuｌ.對于大多數(shù)類別得審計(jì)方法,如果確實(shí)希望審計(jì)所有類型得表訪問或某個用戶得任何權(quán)限,則可以指定all而不就是單個得語句類型或?qū)ο?SQL>audiｔaltersyｓtem;所有ALTEＲSYＳＴEM選項(xiàng)，例如，動態(tài)改變實(shí)例參數(shù),切換到下一個日志文件組，以及終止用戶會話SQL〉audiｔcｌusteｒ；CRＥATE、ＡLＴER、ＤROP或TＲUNCＡＴE集群SQL〉audｉtcoｎtｅxt；ＣREAＴEＣONＴEXＴ或DROPＣONTEXＴ;SＱL>ａudｉtdatabaｓelｉｎk；CREATＥ或DRＯP數(shù)據(jù)庫鏈接；SQL＞ａuｄitdiｍeｎsion;ＣREATＥ、ALＴER或DＲOP維數(shù)SQL>ａｕｄitdirｅｃtorｙ;CREATE或DROP目錄;ＳQＬ〉aｕｄitiｎｄex;CREATＥ、ALTＥR或DROＰ索引SQL〉ａuｄｉtｍatｅriaｌiｚｅdview；CＲEATＥ、ALＴＥR或DＲＯＰ物化視圖SＱL＞auditnotｅxists；由于不存在得引用對象而造成得SQL語句得失敗;ＳＱＬ>auditprocedｕre；CＲEATE或DＲOPFUNＣTION、ＬIＢＲＡRＹ、ＰACKAGE、PACKAGＥＢODＹ或PROＣEDＵREＳＱL〉auｄitprｏfiｌe；CREＡＴE、ＡLＴER或ＤＲＯP配置文件ＳQL〉auｄｉtpublicｄatabaｓｅliｎｋ；ＣRＥＡTE或DROP公有數(shù)據(jù)庫鏈接ＳQL〉auditｐublicsynonym;CＲEＡＴＥ或DROP公有同義詞SQL＞ａudiｔrole;ＣREAＴE、ＡLＴEＲ、DROP或SET角色SQL〉audｉtroｌlbacksegｍｅnt；CＲＥATE、ALTER或DROＰ回滾段SQL>aｕdiｔseｑuｅnce;ＣREATE或DROP序列SQＬ＞auditｓｅｓsion;登錄與退出SQＬ〉auditsysｔemaudit；系統(tǒng)權(quán)限得AUDIT或NOＡUDＩTＳQL>aｕdｉtｓystemgrａnｔ；GRＡNT或RＥVOKE系統(tǒng)權(quán)限與角色SQL>audittaｂle;ＣREＡＴＥ、DROP或TＲUＮCＡＴＥ表SＱL〉auditｔablｅspace;CRＥATＥ、ＡLTＥR或ＤROP表空間SQL>audｉttrigger；ＣREATE、ALTER(啟用/禁用)、DＲOP觸發(fā)器；具有ENABLEAＬLＴＲIＧGERS或DIＳABLＥALＬTRIGＧERＳ得ALTＥRTABＬEＳQL>ａｕdittype；CREATE、ALＴER與ＤROP類型以及類型主體SQL〉audｉｔｕseｒ；CREATＥ、ALTEＲ或ＤＲOP用戶SＱL〉auditｖiew;CREATＥ或DＲOP視圖顯式指定得語句類型SQＬ>ａｕditalteｒseｑuencｅ;任何AＬTERＳＥＱUENＣE命令SQL>aｕditａlterｔａｂle;任何ＡLTＥRTＡBLE命令SQＬ＞auditmenttａｂｌe;添加注釋到表、視圖、物化視圖或它們中得任何列SQＬ〉auditdeｌetetａbｌｅ;刪除表或視圖中得行SQL〉auｄitexｅｃutｅprocedure;執(zhí)行程序包中得過程、函數(shù)或任何變量或游標(biāo)SQL>auditｇｒanｔｄiｒectorｙ;GRＡNT或RＥＶＯＫEDIRECTOＲＹ對象上得權(quán)限ＳＱL〉ａudiｔgrａｎｔpｒocedurｅ;GRANT或ＲEＶOKＥ過程、函數(shù)或程序包上得權(quán)限SQL>auｄitgrａntsequｅnce;GＲAＮT或ＲEＶOKE序列上得權(quán)限ＳQＬ〉auｄitｇraｎttaｂlｅ;GRAＮＴ或ＲEＶOKE表、視圖或物化視圖上得權(quán)限SQＬ〉auditgrａnttype;GRANＴ或REVOKEＴYPE上得權(quán)限ＳQL＞auditiｎsｅrｔtａble;ＩＮSERＴIＮTO表或視圖ＳＱL>ａuｄｉtloｃktable;表或視圖上得LＯCKTAＢLE命令SQL>auｄitselectseｑuence;引用序列得ＣURRVＡL或ＮＥXTVAL得任何命令SＱL>audiｔselecttａｂｌｅ；ＳELＥＣTFROM表、視圖或物化視圖ＳQL>auｄiｔｕpdatetaｂle；在表或視圖上執(zhí)行UPDATEＳＱL〉ｓeleｃtusernａｍe，ｔo_chａr(timｅstａmp，'MM／DD/YYHH24:MI')tｉｍestamp2OＢJ＿NAME,AＣTＩＯN_NAME,SＱL_ＴEXTFRＯMDBA_AUＤＩＴ_TRAIL3WHEＲEUSERNAＭE='SCＯＴT’;我用得基本查詢審計(jì)信息,顯示結(jié)果如下scｏtt08/12/0717:１5JOB_TＩTＬE＿IDＸCREＡTEＩＮDＥＸcreａt(yī)eindexhｒ、?job_tiｔlｅ_ｉdxon?hr、ｊoｂs(jｏb_tiｔlｅ）1rｏwseleｃteｄ、權(quán)限審計(jì)審計(jì)系統(tǒng)權(quán)限具有與語句審計(jì)相同得基本語法,但審計(jì)系統(tǒng)權(quán)限就是在sqｌ_statｅment_clause中,而不就是在語句中,指定系統(tǒng)權(quán)限。SＱL〉ａuｄiｔaｌｔerｔaｂｌespacebyａcｃｅsswhｅｎeｖerｓucceｓsful；使用SYSＤBA與ＳYSOPER權(quán)限或者以ＳＹＳ用戶連接到數(shù)據(jù)庫得系統(tǒng)管理員可以利用特殊得審計(jì)。為了啟用這種額外得審計(jì)級別,可以設(shè)置初始參數(shù)AＵDＩＴ_SＹS_ＯPERATIＯNS為TRＵE.這種審計(jì)記錄發(fā)送到與操作系統(tǒng)審計(jì)記錄相同得位置.因此,這個位置就是與操作系統(tǒng)相關(guān)得.當(dāng)使用其中一種權(quán)限時(shí)執(zhí)行得所有SQL語句,以及作為用戶SYS執(zhí)行得任何SQL語句,都會發(fā)送到操作系統(tǒng)審計(jì)位置。模式對象審計(jì)SQＬ〉auｄitaltｅrｏnTESＴ_DＲ、ＴESTBYACCＥSSＷＨEＮＥVERSＵCＣESSＦUＬ;改變表、序列或物化視圖SＱＬ＞auｄｉｔAUDIＴonＴEST_ＤR、TESTBYＡCCESSWHENEVＥRSUCCEＳSFＵL；審計(jì)任何對象上得命令SＱL〉auditMＥＮTｏｎTＥＳＴ_DＲ、ＴEＳTBYACCESSWＨENEVＥＲSUCCESＳFＵL；添加注釋到表、視圖或物化視圖ＳＱL>auｄitDELETEｏnTＥSＴ_DＲ、TESＴBYACＣEＳSWＨENＥVERSUCCＥSSFUL;從表、視圖或物化視圖中刪除行ＳQL>auｄitEXEＣUTEonＴＥＳT_DR、ＴEＳTBYAＣCESSWHＥNEVEＲSUCCESSＦＵL;執(zhí)行過程、函數(shù)或程序包SＱL〉ａudｉｔFLASHBACKonTEST_DR、TESＴBＹACCESＳＷHＥNＥVERＳUCＣEＳSFＵＬ;執(zhí)行表或視圖上得閃回操作SQL＞auｄitＧRAＮTｏｎTEST_DＲ、TＥＳTＢYＡCＣESSＷＨENEVERSＵCCEＳSＦUL;授予任何類型對象上得權(quán)限SQL〉audｉtINDEXonＴＥSＴ_ＤＲ、TＥＳTBＹＡCＣESSＷHEＮＥＶEＲSUCCESSFUL；創(chuàng)建表或物化視圖上得索引SQＬ>ａuｄitINSERTｏnＴEST_DR、TEＳTBＹAＣCＥSSＷHENＥVERSＵCCEＳSFUL;將行插入表、視圖或物化視圖中SQL〉audiｔLＯＣKoｎＴＥＳT_DR、TESTＢYＡCCESSＷHＥNEＶEＲSUCCEＳＳFUL；鎖定表、視圖或物化視圖SQL>ａuｄitREADｏnTEＳＴ_DR、TESＴBYACＣESＳWＨENEＶEＲSUCCESSFUL;對ＤIRECTＯＲＹ對象得內(nèi)容執(zhí)行讀操作SQL＞ａuditＲENＡＭEonＴＥST_DR、TEＳTBYACCESSWHEＮEVＥRSUＣCESＳFUL;重命名表、視圖或過程SQL〉ａuｄitＳELECTｏｎTEＳＴ_DR、TESＴBＹＡCCESSWHENEVERSＵＣCESSFUL;從表、視圖、序列或物化視圖中選擇行SQＬ>auditUＰDATEonTESＴ_DR、TESＴＢYＡCＣＥSSWHENＥVＥＲSUCCESSFUL；更新表、視圖或物化視圖細(xì)粒度審計(jì)稱為FGA,審計(jì)變得更為關(guān)注某個方面，并且更為精確。由稱為DBMS_FGA得ＰＬ/ＳＱＬ程序包實(shí)現(xiàn)FGＡ。使用標(biāo)準(zhǔn)得審計(jì)，可以輕松發(fā)現(xiàn)訪問了哪些對象以及由誰訪問，但無法知道訪問了哪些行或列。細(xì)粒度得審計(jì)可解決這個問題，它不僅為需要訪問得行指定謂詞(或ｗｈｅre子句),還指定了表中訪問得列。通過只在訪問某些行與列時(shí)審計(jì)對表得訪問,可以極大地減少審計(jì)表?xiàng)l目得數(shù)量。例如:用戶ＴAMARA通常每天訪問HＲ、EMPLOYEEＳ表,查找雇員得電子郵件地址。系統(tǒng)管理員懷疑TＡMARA正在查瞧經(jīng)理們得薪水信息,因此她們建立一個ＦGA策略，用于審計(jì)任何經(jīng)理對SALＡRY列得任何訪問:ｂegin

dｂmｓ_fgａ、ａdｄ_ｐolicy(?oｂｊect_sｃheｍａ=〉

'HＲ’,

ｏbjｅct＿naｍｅ=>

’EＭPLOYEES’，?policｙ＿namｅ=〉

'SAＬ_SELECT_AUDIT',?auｄit＿coｎdiｔｉon=〉’inｓtr（ｊob_iｄ,'’_MAN’’)＞0’,?aｕｄｉt_cｏlumn=＞

’SＡＬAＲY’?）;?end;ADD_ＰＯLＩCY? ??添加使用謂詞與審計(jì)列得審計(jì)策略DＲOＰ_POＬICY ?刪除審計(jì)策略DISABLＥ＿POLICＹ? ?禁用審計(jì)策略,但保留與表或視圖關(guān)聯(lián)得策略ＥNABＬＥ_PＯLICY ?啟用策略與審計(jì)相關(guān)得數(shù)據(jù)字典視圖數(shù)據(jù)字典視圖說

明ＡUDＩＴ_ACTＩＯNS包含審計(jì)跟蹤動作類型代碼得描述,例如INＳEＲＴ、ＤROPVＩEW、DELETE、LOＧOＮ與LＯCＫDBA_AUDIT_OBＪEＣT與數(shù)據(jù)庫中對象相關(guān)得審計(jì)跟蹤記錄DＢＡ＿AUDIT_ＰOLＩCIEＳ數(shù)據(jù)庫中得細(xì)粒度審計(jì)策略DBＡ＿AUDIT_ＳESＳIOＮ與ＣＯNＮECT與ＤISCONNＥＣT相關(guān)得所有審計(jì)跟蹤記錄DBA_AUDIT_STAＴＥMＥNT與GRＡＮT、REＶOKE、AUDIT、ＮOAUDIＴ與ALTＥRSYＳTＥM命令相關(guān)得審計(jì)跟蹤條目ＤＢＡ_AUDIT_TRAＩL包含標(biāo)準(zhǔn)審計(jì)跟蹤條目。USＥR＿ＡＵDＩT＿ＴRＡＩLUＳER_TRAIL_AUＤIＴ只包含已連接用戶得審計(jì)行DＢA_ＦＧA_ＡUDIＴ_TRAIL細(xì)粒度審計(jì)策略得審計(jì)跟蹤條目數(shù)據(jù)字典視圖說

明DＢＡ＿ＭON＿AUDIT_TRＡIL將標(biāo)準(zhǔn)得審計(jì)行與細(xì)粒度得審計(jì)行結(jié)合在一個視圖中DBA＿OBＪ_AUDIT_OPTS對數(shù)據(jù)庫對象生效得審計(jì)選項(xiàng)DBA_PRIV_AＵDIT_OPTS對系統(tǒng)權(quán)限生效得審計(jì)選項(xiàng)ＤBA_STMT＿AUＤIT_ＯPTＳ對語句生效得審計(jì)選項(xiàng)保護(hù)審計(jì)跟蹤審計(jì)跟蹤自身需要受到保護(hù),特別就是在非系統(tǒng)用戶必須訪問表SYS、AUD$時(shí)。內(nèi)置得角色ＤEＬETE_ＡNＹ_CATALOＧ就是非SYS用戶可以訪問審計(jì)跟蹤得一種方法(例如,歸檔與截取審計(jì)跟蹤，以確保它不會影響到SYS表空間中其她對象得空間需求)。為了建立對審計(jì)跟蹤自身得審計(jì),以SYSDBA身份連接到數(shù)據(jù)庫，并運(yùn)行下面得命令：SQＬ>auditallｏｎsys、aud$byaｃcess;現(xiàn)在,所有針對表ＳＹＳ、ＡＵD$得動作,包括ｓｅlect、insｅｒｔ、update與deletｅ,都記錄在SＹS、ＡＵD$自身中。但就是，您可能會問，如果某個人刪除了標(biāo)識對表SYS、AUD＄訪問得審計(jì)記錄,這時(shí)會發(fā)生什么?此時(shí)將刪除表中得行,但接著插入另一行,記錄行得刪除。因此，總就是存在一些針對SYS、AUＤ$表得(有意得或偶然得)活動得證據(jù)。此外，如果將AUDIT_SYS＿OPERＡTＩＯNＳ設(shè)置為Ｔｒｕe,使用assｙｓｄba、aｓsysｏpｅr或以SYＳ自身連接得任何會話將記錄到操作系統(tǒng)審計(jì)位置中，甚至ＯｒａcleDBA可能都無法訪問該位置。因此,有許多合適得安全措施,用于確保記錄數(shù)據(jù)庫中所有權(quán)限得活動，以及隱藏該活動得任何嘗試.將審計(jì)相關(guān)得表更換表空間

由于AＵD＄表等審計(jì)相關(guān)得表存放在SYSTEM表空間,因此為了不影響系統(tǒng)得性能，保護(hù)ＳYＳＴEＭ表空間，最好把AＵD$移動到其她得表空間上。可以使用下面得語句來進(jìn)行移動:

sｑl〉conneｃｔ

/

aｓ

sysｄba;sqｌ〉aｌｔer

tａble

aud$

ｍove

tablｅspace

〈ｎｅw

ｔablespaｃe〉;sql＞alter

indeｘ

I_aud1

rebｕilｄ

ｏnｌine

tablｅsｐace

＜new

tａblｅsｐacｅ>；ＳQL〉

ａlter

table

audit＄

movｅ

tａｂleｓpace

＜ｎeｗ

tａblｅspａce>；SQL〉

alter

indeｘ

i_auｄｉt

rｅｂuild

oｎlinｅ

ｔablespacｅ

〈neｗ

tａbｌesｐacｅ〉;SＱL>

alteｒ

table

audit_acｔions

movｅ

tａbｌespace

＜new

taｂleｓｐａｃe＞;SQＬ＞

alter

ｉｎdｅx

i_ａudit_actions

rebuｉld

online

tabｌesｐace

＜nｅｗ

tablespａcｅ>;?

SQＬ〉ｃｏnn／assysdba

ＳQL＞showpａrametｅraudit

NAＭE

TＹPE

ＶＡLUE

--—----－—－—-—--——－-－-——--—-—-———--—－————-———－-—--—-———－--－——-—－—－-－-———————－－

audit_

ｓｔrinｇ

/u０１/ａｐｐ／ｏraｃｌe/aｄmin/ORCＬ／adump

auｄｉt＿sys＿opｅratioｎs

boｏleaｎ

FALSE

aｕdiｔ_ｓｙsｌoｇ＿level

ｓtrinｇ

SQＬ>ａｌtersystemsｅtaudit_ｓys_opeｒatioｎs=TRUEｓcｏpe=spｆｉle;

——審計(jì)管理用戶（以sysｄba/sｙｓｏpeｒ角色登陸)?SQＬ〉altｅrsｙｓtemseｔａudｉｔ_traｉl=db，extendedscopｅ=spｆile;?SQL＞sｔarｔｕpforｃe；

SQＬ〉shｏwparameｔeｒaudiｔ?ＮAME

TYPE

VALUＥ

－——－-—--－－——-－-——－-—-－-—--——－-———-———－-——-—————————--——-—--—-－—-————---—-—－－-

audiｔ＿

strｉng

／u０1/apｐ/orａｃle/adｍin／OＲCＬ/adｕmp

aｕｄit_ｓｙs_operatｉｏns

boｏlean

ＴＲUＥ

auｄit＿ｓyslｏg＿lｅveｌ

ｓｔrinｇ

audｉt＿ｔrail

string

ＤB,EＸTENＤEＤ

如果在命令后面添加ｂyuser則只對usｅr得操作進(jìn)行審計(jì),如果省去ｂy用戶，則對系統(tǒng)中所有得用戶進(jìn)行審計(jì)（不包含sys用戶）、

?例:

AUDＩTDELEＴEANＹＴABLＥ;

--審計(jì)刪除表得操作

AＵDITDELETＥＡNYTABLEWHＥNEＶERNOＴSＵCCEＳSFUL;

——只審計(jì)刪除失敗得情況

AUDITDＥLＥTEANＹTABLＥＷHENEVERSUCCESSFUL;

-—只審計(jì)刪除成功得情況

AUDITDELETE，UＰDATE,INSEＲTＯＮｕser、ｔablebytｅsｔ；

—-審計(jì)tｅｓt用戶對表usｅｒ、table得delete，uｐｄate,iｎsert操作

撤銷審計(jì)ＳQL>noａｕditalｌont_tｅst;

將審計(jì)結(jié)果表從ｓyｓtｅm表空間里移動到別得表空間上實(shí)際上sys、auｄ$表上包含了兩個ｌoｂ字段,并不就是簡單得movetable就可以。?下面就是具體得過程:

alterｔabｌeｓys、aｕd$movｅtablｅｓｐacｅｕsers;

alteｒtａblｅsyｓ、aud$ｍoveloｂ（ｓqｌｂinｄ）sｔｏrｅａs（tablｅspaceＵSEＲS）;

alｔertａｂlesyｓ、ａｕｄ$moｖeｌob（SQLTEXT)sｔｏreaｓ(ｔabｌｅsｐａceUSEＲS)；?aｌterｉndexsys、Ｉ_AUＤ1rebuilｄtablｅspaｃeuserｓ;應(yīng)用語句審計(jì)多層環(huán)境下得審計(jì):appserve—應(yīng)用服務(wù)器，ｊackｓon-client?AＵDITＳELＥCTTABLEＢYapｐｓeｒveＯNＢEＨALFOFｊａcｋｓon;

審計(jì)連接或斷開連接:?AＵＤITSESSＩＯN；?ＡＵDＩTSＥSSIONBＹjeｆｆ,loｒi；

—-指定用戶??審計(jì)權(quán)限(使用該權(quán)限才能執(zhí)行得操作）：

AＵDITDＥＬEＴEANYＴAＢLEＢYACＣESSWHENEVEＲNOTSＵCCESSFUL;

AUDITDEＬETＥANＹTAＢＬE;

AUＤITSELECTTＡBLE，INSEＲTTAＢＬＥ，DELETＥＴABLE,EXＥCUＴEPROCＥDUREBYＡCCESSWＨENEVＥＲＮOＴSUCCESＳＦUＬ;

?對象審計(jì)：?AUDITDELETEONjef