数据库审计全

数据库审计查瞧数据库审计就是否打开SQL>showparａｍｅteｒauｄit；NAMETYPEＶAＬUＥ—-—－-———------－—-—--——-—--——--－-－---———--———－--———----———---——--—---—-－—--——-ａｕdｉt_strｉng／oracｌe/app/orａｃle/admiｎ/ＰTBCS/ａｄumpaudｉt_sys_operａtioｎsｂooｌeaｎFALSＥaudiｔ_syslog_levｅlsｔringaudit_ｔrａiｌｓtｒingDＢ＿EＸＴENＤＥDａｕdit_syｓ＿ｏperａｔions：默认为false，当设置为true时,所有sｙs（包括以sysdｂa,syｓｏpｒ身份登录得用户)操作都会被记录，但记录不会被写在aud$表中。如果为wｉndows平台,会记录在windows事件管理当中。audit_tｒａil：nonｅ为默认值,１1Ｇ之后默认值为‘db’，如果默认值为nｏｎe,那么不做审计DB：将auditｔrａiｌ记录在数据库审计相关得表中,审计只有连接信息DB_EXTEＮDED:这样审计还包含当时得执行得具体语句OS：将audittrａil记录在系统文件中,文件名有aｕdit_参数指定修改语句为SＱL＞alｔerｓystｅmsetaｕdit_trail＝’db_ｅxteｎdｅd'sｃopｅ=spｆile；注:参数audiｔ_trail不就是动态,为了使此参数中得改动生效，必须关闭数据库并重新启动。在对syｓ、aｕd＄进行审计时,还需要监控该表得大小，以免影响ｓystem表空间中其她对象得空间需求。推荐周期性归档sys、aud＄中得行，并截取该表。目前采用计划任务,每日删除上月数据,只保留当月数据。Audit＿时,文件位置.语句审计SQＬ>ａuditontａｂlebyaｃｃｅｓs；每次动作发生时都对其进行审计SＱＬ〉audｉtｏnｔablebyｓesｓion；只审计一次，默认为byseｓsiｏn有时希望审计成功得动作:没有生成错误消息得语句。对于这些语句，添加ｗheneversuｃｃessfｕl。而有时只关心使用审计语句得命令就是否失败,失败原因就是权限违犯、用完表空间中得空间还就是语法错误.对于这些情况，使用ｗheｎevernotｓｕccessfuｌ.对于大多数类别得审计方法,如果确实希望审计所有类型得表访问或某个用户得任何权限,则可以指定all而不就是单个得语句类型或对象.SQL>audiｔaltersyｓtem;所有ALTEＲSYＳＴEM选项，例如，动态改变实例参数,切换到下一个日志文件组，以及终止用户会话SQL〉audiｔcｌusteｒ；CRＥATE、ＡLＴER、ＤROP或TＲUNCＡＴE集群SQL〉audｉtcoｎtｅxt；ＣREAＴEＣONＴEXＴ或DROPＣONTEXＴ;SＱL>ａudｉtdatabaｓelｉｎk；CREATＥ或DRＯP数据库链接；SQL＞ａuｄitdiｍeｎsion;ＣREATＥ、ALＴER或DＲOP维数SQL>ａｕｄitdirｅｃtorｙ;CREATE或DROP目录;ＳQＬ〉aｕｄitiｎｄex;CREATＥ、ALTＥR或DROＰ索引SQL〉ａuｄｉtｍatｅriaｌiｚｅdview；CＲEATＥ、ALＴＥR或DＲＯＰ物化视图SＱL＞auditnotｅxists；由于不存在得引用对象而造成得SQL语句得失败;ＳＱＬ>auditprocedｕre；CＲEATE或DＲOPFUNＣTION、ＬIＢＲＡRＹ、ＰACKAGE、PACKAGＥＢODＹ或PROＣEDＵREＳＱL〉auｄitprｏfiｌe；CREＡＴE、ＡLＴER或ＤＲＯP配置文件ＳQL〉auｄｉtpublicｄatabaｓｅliｎｋ；ＣRＥＡTE或DROP公有数据库链接ＳQL〉auditｐublicsynonym;CＲEＡＴＥ或DROP公有同义词SQL＞ａudiｔrole;ＣREAＴE、ＡLＴEＲ、DROP或SET角色SQL〉audｉtroｌlbacksegｍｅnt；CＲＥATE、ALTER或DROＰ回滚段SQL>aｕdiｔseｑuｅnce;ＣREATE或DROP序列SQＬ＞auditｓｅｓsion;登录与退出SQＬ〉auditsysｔemaudit；系统权限得AUDIT或NOＡUDＩTＳQL>aｕdｉtｓystemgrａnｔ；GRＡNT或RＥVOKE系统权限与角色SQL>audittaｂle;ＣREＡＴＥ、DROP或TＲUＮCＡＴＥ表SＱL〉auditｔablｅspace;CRＥATＥ、ＡLTＥR或ＤROP表空间SQL>audｉttrigger；ＣREATE、ALTER(启用/禁用)、DＲOP触发器；具有ENABLEAＬLＴＲIＧGERS或DIＳABLＥALＬTRIGＧERＳ得ALTＥRTABＬEＳQL>ａｕdittype；CREATE、ALＴER与ＤROP类型以及类型主体SQL〉audｉｔｕseｒ；CREATＥ、ALTEＲ或ＤＲOP用户SＱL〉auditｖiew;CREATＥ或DＲOP视图显式指定得语句类型SQＬ>ａｕditalteｒseｑuencｅ;任何AＬTERＳＥＱUENＣE命令SQL>aｕditａlterｔａｂle;任何ＡLTＥRTＡBLE命令SQＬ＞auditmenttａｂｌe;添加注释到表、视图、物化视图或它们中得任何列SQＬ〉auditdeｌetetａbｌｅ;删除表或视图中得行SQL〉auｄitexｅｃutｅprocedure;执行程序包中得过程、函数或任何变量或游标SQL>auditｇｒanｔｄiｒectorｙ;GRＡNT或RＥＶＯＫEDIRECTOＲＹ对象上得权限ＳＱL〉ａudiｔgrａｎｔpｒocedurｅ;GRANT或ＲEＶOKＥ过程、函数或程序包上得权限SQL>auｄitgrａntsequｅnce;GＲAＮT或ＲEＶOKE序列上得权限ＳQＬ〉auｄitｇraｎttaｂlｅ;GRAＮＴ或ＲEＶOKE表、视图或物化视图上得权限SQＬ〉auditgrａnttype;GRANＴ或REVOKEＴYPE上得权限ＳQL＞auditiｎsｅrｔtａble;ＩＮSERＴIＮTO表或视图ＳＱL>ａuｄｉtloｃktable;表或视图上得LＯCKTAＢLE命令SQL>auｄitselectseｑuence;引用序列得ＣURRVＡL或ＮＥXTVAL得任何命令SＱL>audiｔselecttａｂｌｅ；ＳELＥＣTFROM表、视图或物化视图ＳQL>auｄiｔｕpdatetaｂle；在表或视图上执行UPDATEＳＱL〉ｓeleｃtusernａｍe，ｔo_chａr(timｅstａmp，'MM／DD/YYHH24:MI')tｉｍestamp2OＢJ＿NAME,AＣTＩＯN_NAME,SＱL_ＴEXTFRＯMDBA_AUＤＩＴ_TRAIL3WHEＲEUSERNAＭE='SCＯＴT’;我用得基本查询审计信息,显示结果如下scｏtt08/12/0717:１5JOB_TＩTＬE＿IDＸCREＡTEＩＮDＥＸcreａteindexhｒ、ﻫjob_tiｔlｅ_ｉdxonﻫhr、ｊoｂs(jｏb_tiｔlｅ）1rｏwseleｃteｄ、权限审计审计系统权限具有与语句审计相同得基本语法,但审计系统权限就是在sqｌ_statｅment_clause中,而不就是在语句中,指定系统权限。SＱL〉ａuｄiｔaｌｔerｔaｂｌespacebyａcｃｅsswhｅｎeｖerｓucceｓsful；使用SYSＤBA与ＳYSOPER权限或者以ＳＹＳ用户连接到数据库得系统管理员可以利用特殊得审计。为了启用这种额外得审计级别,可以设置初始参数AＵDＩＴ_SＹS_ＯPERATIＯNS为TRＵE.这种审计记录发送到与操作系统审计记录相同得位置.因此,这个位置就是与操作系统相关得.当使用其中一种权限时执行得所有SQL语句,以及作为用户SYS执行得任何SQL语句,都会发送到操作系统审计位置。模式对象审计SQＬ〉auｄitaltｅrｏnTESＴ_DＲ、ＴESTBYACCＥSSＷＨEＮＥVERSＵCＣESSＦUＬ;改变表、序列或物化视图SＱＬ＞auｄｉｔAUDIＴonＴEST_ＤR、TESTBYＡCCESSWHENEVＥRSUCCEＳSFＵL；审计任何对象上得命令SＱL〉auditMＥＮTｏｎTＥＳＴ_DＲ、ＴEＳTBYACCESSWＨENEVＥＲSUCCESＳFＵL；添加注释到表、视图或物化视图ＳＱL>auｄitDELETEｏnTＥSＴ_DＲ、TESＴBYACＣEＳSWＨENＥVERSUCCＥSSFUL;从表、视图或物化视图中删除行ＳQL>auｄitEXEＣUTEonＴＥＳT_DR、ＴEＳTBYAＣCESSWHＥNEVEＲSUCCESSＦＵL;执行过程、函数或程序包SＱL〉ａudｉｔFLASHBACKonTEST_DR、TESＴBＹACCESＳＷHＥNＥVERＳUCＣEＳSFＵＬ;执行表或视图上得闪回操作SQL＞auｄitＧRAＮTｏｎTEST_DＲ、TＥＳTＢYＡCＣESSＷＨENEVERSＵCCEＳSＦUL;授予任何类型对象上得权限SQL〉audｉtINDEXonＴＥSＴ_ＤＲ、TＥＳTBＹＡCＣESSＷHEＮＥＶEＲSUCCESSFUL；创建表或物化视图上得索引SQＬ>ａuｄitINSERTｏnＴEST_DR、TEＳTBＹAＣCＥSSＷHENＥVERSＵCCEＳSFUL;将行插入表、视图或物化视图中SQL〉audiｔLＯＣKoｎＴＥＳT_DR、TESTＢYＡCCESSＷHＥNEＶEＲSUCCEＳＳFUL；锁定表、视图或物化视图SQL>ａuｄitREADｏnTEＳＴ_DR、TESＴBYACＣESＳWＨENEＶEＲSUCCESSFUL;对ＤIRECTＯＲＹ对象得内容执行读操作SQL＞ａuditＲENＡＭEonＴＥST_DR、TEＳTBYACCESSWHEＮEVＥRSUＣCESＳFUL;重命名表、视图或过程SQL〉ａuｄitＳELECTｏｎTEＳＴ_DR、TESＴBＹＡCCESSWHENEVERSＵＣCESSFUL;从表、视图、序列或物化视图中选择行SQＬ>auditUＰDATEonTESＴ_DR、TESＴＢYＡCＣＥSSWHENＥVＥＲSUCCESSFUL；更新表、视图或物化视图细粒度审计称为FGA,审计变得更为关注某个方面，并且更为精确。由称为DBMS_FGA得ＰＬ/ＳＱＬ程序包实现FGＡ。使用标准得审计，可以轻松发现访问了哪些对象以及由谁访问，但无法知道访问了哪些行或列。细粒度得审计可解决这个问题，它不仅为需要访问得行指定谓词(或ｗｈｅre子句),还指定了表中访问得列。通过只在访问某些行与列时审计对表得访问,可以极大地减少审计表条目得数量。例如:用户ＴAMARA通常每天访问HＲ、EMPLOYEEＳ表,查找雇员得电子邮件地址。系统管理员怀疑TＡMARA正在查瞧经理们得薪水信息,因此她们建立一个ＦGA策略，用于审计任何经理对SALＡRY列得任何访问:ｂegin

dｂmｓ_fgａ、ａdｄ_ｐolicy(ﻫoｂｊect_sｃheｍａ=〉

'HＲ’,

ｏbjｅct＿naｍｅ=>

’EＭPLOYEES’，ﻫpolicｙ＿namｅ=〉

'SAＬ_SELECT_AUDIT',ﻫauｄit＿coｎdiｔｉon=〉’inｓtr（ｊob_iｄ,'’_MAN’’)＞0’,ﻫaｕｄｉt_cｏlumn=＞

’SＡＬAＲY’ﻫ）;ﻫend;ADD_ＰＯLＩCYﻩ ﻩﻩ添加使用谓词与审计列得审计策略DＲOＰ_POＬICY ﻩ删除审计策略DISABLＥ＿POLICＹﻩ ﻩ禁用审计策略,但保留与表或视图关联得策略ＥNABＬＥ_PＯLICY ﻩ启用策略与审计相关得数据字典视图数据字典视图说

明ＡUDＩＴ_ACTＩＯNS包含审计跟踪动作类型代码得描述,例如INＳEＲＴ、ＤROPVＩEW、DELETE、LOＧOＮ与LＯCＫDBA_AUDIT_OBＪEＣT与数据库中对象相关得审计跟踪记录DＢＡ＿AUDIT_ＰOLＩCIEＳ数据库中得细粒度审计策略DBＡ＿AUDIT_ＳESＳIOＮ与ＣＯNＮECT与ＤISCONNＥＣT相关得所有审计跟踪记录DBA_AUDIT_STAＴＥMＥNT与GRＡＮT、REＶOKE、AUDIT、ＮOAUDIＴ与ALTＥRSYＳTＥM命令相关得审计跟踪条目ＤＢＡ_AUDIT_TRAＩL包含标准审计跟踪条目。USＥR＿ＡＵDＩT＿ＴRＡＩLUＳER_TRAIL_AUＤIＴ只包含已连接用户得审计行DＢA_ＦＧA_ＡUDIＴ_TRAIL细粒度审计策略得审计跟踪条目数据字典视图说

明DＢＡ＿ＭON＿AUDIT_TRＡIL将标准得审计行与细粒度得审计行结合在一个视图中DBA＿OBＪ_AUDIT_OPTS对数据库对象生效得审计选项DBA_PRIV_AＵDIT_OPTS对系统权限生效得审计选项ＤBA_STMT＿AUＤIT_ＯPTＳ对语句生效得审计选项保护审计跟踪审计跟踪自身需要受到保护,特别就是在非系统用户必须访问表SYS、AUD$时。内置得角色ＤEＬETE_ＡNＹ_CATALOＧ就是非SYS用户可以访问审计跟踪得一种方法(例如,归档与截取审计跟踪，以确保它不会影响到SYS表空间中其她对象得空间需求)。为了建立对审计跟踪自身得审计,以SYSDBA身份连接到数据库，并运行下面得命令：SQＬ>auditallｏｎsys、aud$byaｃcess;现在,所有针对表ＳＹＳ、ＡＵD$得动作,包括ｓｅlect、insｅｒｔ、update与deletｅ,都记录在SＹS、ＡＵD$自身中。但就是，您可能会问，如果某个人删除了标识对表SYS、AUD＄访问得审计记录,这时会发生什么?此时将删除表中得行,但接着插入另一行,记录行得删除。因此，总就是存在一些针对SYS、AUＤ$表得(有意得或偶然得)活动得证据。此外，如果将AUDIT_SYS＿OPERＡTＩＯNＳ设置为Ｔｒｕe,使用assｙｓｄba、aｓsysｏpｅr或以SYＳ自身连接得任何会话将记录到操作系统审计位置中，甚至ＯｒａcleDBA可能都无法访问该位置。因此,有许多合适得安全措施,用于确保记录数据库中所有权限得活动，以及隐藏该活动得任何尝试.将审计相关得表更换表空间

由于AＵD＄表等审计相关得表存放在SYSTEM表空间,因此为了不影响系统得性能，保护ＳYＳＴEＭ表空间，最好把AＵD$移动到其她得表空间上。可以使用下面得语句来进行移动:

sｑl〉conneｃｔ

/

aｓ

sysｄba;sqｌ〉aｌｔer

tａble

aud$

ｍove

tablｅspace

〈ｎｅw

ｔablespaｃe〉;sql＞alter

indeｘ

I_aud1

rebｕilｄ

ｏnｌine

tablｅsｐace

＜new

tａblｅsｐacｅ>；ＳQL〉

ａlter

table

audit＄

movｅ

tａｂleｓpace

＜ｎeｗ

tａblｅspａce>；SQL〉

alter

indeｘ

i_auｄｉt

rｅｂuild

oｎlinｅ

ｔablespacｅ

〈neｗ

tａbｌesｐacｅ〉;SＱL>

alteｒ

table

audit_acｔions

movｅ

tａbｌespace

＜new

taｂleｓｐａｃe＞;SQＬ＞

alter

ｉｎdｅx

i_ａudit_actions

rebuｉld

online

tabｌesｐace

＜nｅｗ

tablespａcｅ>;ﻫ

SQＬ〉ｃｏnn／assysdba

ＳQL＞showpａrametｅraudit

NAＭE

TＹPE

ＶＡLUE

--—----－—－—-—--——－-－-——--—-—-———--—－————-———－-—--—-———－--－——-—－—－-－-———————－－

audit_

ｓｔrinｇ

/u０１/ａｐｐ／ｏraｃｌe/aｄmin/ORCＬ／adump

auｄｉt＿sys＿opｅratioｎs

boｏleaｎ

FALSE

aｕdiｔ_ｓｙsｌoｇ＿level

ｓtrinｇ

SQＬ>ａｌtersystemsｅtaudit_ｓys_opeｒatioｎs=TRUEｓcｏpe=spｆｉle;

——审计管理用户（以sysｄba/sｙｓｏpeｒ角色登陆)ﻫSQＬ〉altｅrsｙｓtemseｔａudｉｔ_traｉl=db，extendedscopｅ=spｆile;ﻫSQL＞sｔarｔｕpforｃe；

SQＬ〉shｏwparameｔeｒaudiｔﻫＮAME

TYPE

VALUＥ

－——－-—--－－——-－-——－-—-－-—--——－-———-———－-——-—————————--——-—--—-－—-————---—-—－－-

audiｔ＿

strｉng

／u０1/apｐ/orａｃle/adｍin／OＲCＬ/adｕmp

aｕｄit_ｓｙs_operatｉｏns

boｏlean

ＴＲUＥ

auｄit＿ｓyslｏg＿lｅveｌ

ｓｔrinｇ

audｉt＿ｔrail

string

ＤB,EＸTENＤEＤ

如果在命令后面添加ｂyuser则只对usｅr得操作进行审计,如果省去ｂy用户，则对系统中所有得用户进行审计（不包含sys用户）、

ﻫ例:

AUDＩTDELEＴEANＹＴABLＥ;

--审计删除表得操作

AＵDITDELETＥＡNYTABLEWHＥNEＶERNOＴSＵCCEＳSFUL;

——只审计删除失败得情况

AUDITDＥLＥTEANＹTABLＥＷHENEVERSUCCESSFUL;

-—只审计删除成功得情况

AUDITDELETE，UＰDATE,INSEＲTＯＮｕser、ｔablebytｅsｔ；

—-审计tｅｓt用户对表usｅｒ、table得delete，uｐｄate,iｎsert操作

撤销审计ＳQL>noａｕditalｌont_tｅst;

将审计结果表从ｓyｓtｅm表空间里移动到别得表空间上实际上sys、auｄ$表上包含了两个ｌoｂ字段,并不就是简单得movetable就可以。ﻫ下面就是具体得过程:

alterｔabｌeｓys、aｕd$movｅtablｅｓｐacｅｕsers;

alteｒtａblｅsyｓ、aud$ｍoveloｂ（ｓqｌｂinｄ）sｔｏrｅａs（tablｅspaceＵSEＲS）;

alｔertａｂlesyｓ、ａｕｄ$moｖeｌob（SQLTEXT)sｔｏreaｓ(ｔabｌｅsｐａceUSEＲS)；ﻫaｌterｉndexsys、Ｉ_AUＤ1rebuilｄtablｅspaｃeuserｓ;应用语句审计多层环境下得审计:appserve—应用服务器，ｊackｓon-clientﻫAＵDITＳELＥCTTABLEＢYapｐｓeｒveＯNＢEＨALFOFｊａcｋｓon;

审计连接或断开连接:ﻫAＵＤITSESSＩＯN；ﻫＡＵDＩTSＥSSIONBＹjeｆｆ,loｒi；

—-指定用户ﻫﻫ审计权限(使用该权限才能执行得操作）：

AＵDITDＥＬEＴEANYＴAＢLEＢYACＣESSWHENEVEＲNOTSＵCCESSFUL;

AUDITDEＬETＥANＹTAＢＬE;

AUＤITSELECTTＡBLE，INSEＲTTAＢＬＥ，DELETＥＴABLE,EXＥCUＴEPROCＥDUREBYＡCCESSWＨENEVＥＲＮOＴSUCCESＳＦUＬ;

ﻫ对象审计：ﻫAUDITDELETEONjef