数据库系统管理与应用 课件 知识点6.5数据库审计

数据库审计数据库系统管理与应用

习标学目设置审计开关01审计设置与取消02审计文件管理03审计信息查阅04审计分析工具05设置审计开关0101设置审计开关设置审计开关达梦数据库安装后默认状态是关闭审计状态。需要启动审计功能，首先要设置审计开关。审计开关由过程VOIDSP_SET_ENABLE_AUDIT（paramint）;控制，过程执行完后会立即生效，param有三种取值：0：关闭审计1：打开普通审计2：打开普通审计和实时审计系统缺省值为0。执行数据库审计相关操作，需要具有数据库审计员的相关权限。审计开关必须由具有数据库审计员权限的管理员进行设置。例如，以SYSAUDITOR用户登录，然后进行审计开关设置。SQL>SP_SET_ENABLE_AUDIT(1);数据库审计员可通过查询V$DM_INI动态视图查询ENABLE_AUDIT的当前值，了解数据库当前审计系统状态。SQL>SELECT*FROMV$DM_INIWHEREPARA_NAME='ENABLE_AUDIT';审计设置与取消0201审计设置与取消审计设置与取消数据库审计员指定被审计对象的活动称为审计设置，只有具有AUDITDATABASE权限的审计员才能进行审计设置。达梦数据库SYSAUDITOR创建、修改审计用户，并赋予相应的权限，数据库管理员SYSDBA不能创建、修改审计用户。达梦数据库提供审计设置系统过程来实现这种设置，被审计的对象可以是某类操作，也可以是某些用户在数据库中的全部行踪。只有预先设置的操作和用户才能被DM系统自动进行审计。审计设置存放于达梦数据库字典表SYSAUDIT中，进行一次审计设置就在SYSAUDIT中增加一条对应的记录，取消审计则删除SYSAUDIT中相应的记录。02审计级别审计设置与取消审计级别说明系统级系统的启动与关闭，此级别的审计无法也无需由用户进行设置，只要审计开关打开就会自动生成对应审计记录语句级导致影响特定类型数据库对象的特殊SQL或语句组的审计。如AUDITTABLE将审计CREATETABLE、ALTERTABLE和DROPTABLE等语句对象级审计作用在特殊对象上的语句，如STUDENTINFO表上的INSERT语句表6-5-1审计级别03语句级审计设置与取消审计设置与取消语句级审计监视一个、多个或者所有用户提交的SQL语句。语句级审计的动作是全局性的，不对应具体的数据库对象。设置语句级审计的系统过程：VOIDSP_AUDIT_STMT(TYPEVARCHAR(30),USERNAMEVARCHAR(128),WHENEVERVARCHAR(20))参数说明：TYPE语句级审计选项，见表6-5-2。USERNAME用户名，NULL表示不限制WHENEVER审计时机，可选的取值为：ALL：所有的SUCCESSFUL：操作成功时FAIL：操作失败时取消语句级审计的系统过程：VOIDSP_NOAUDIT_STMT(TYPEVARCHAR(30),USERNAMEVARCHAR(128),WHENEVERVARCHAR(20))参数说明：TYPE语句级审计选项，见表6-5-2。USERNAME用户名，NULL表示不限制WHENEVER审计时机，可选的取值为：ALL：所有的SUCCESSFUL：操作成功时FAIL：操作失败时注意：取消审计语句必须和设置审计语句进行匹配，只有完全匹配的才可以取消审计，否则无法取消审计。审计设置与取消表6-5-2语句级审计选项审计选项审计的数据库操作说明审计选项审计的数据库操作说明ALL所有的语句级审计选项所有可审计操作ROLECREATEROLEDROPROLE创建／删除角色操作USERCREATEUSERALTERUSERDROPUSER创建／修改／删除用户操作TABLESPACECREATETABLESPACEALTERTABLESPACEDROPTABLESPACE创建／修改／删除表空间操作SCHEMACREATESCHEMADROPSCHEMASETSCHEMA创建／删除／设置当前模式操作VIEWCREATEVIEWALTERVIEWDROPVIEW创建／修改／删除视图操作TABLECREATETABLEALTERTABLEDROPTABLETRUNCATETABLE创建／修改／删除／清空基表操作PROCEDURECREATEPROCEDUREALTERPROCEDUREDROPPROCEDURE创建／修改／删除存储模块操作INDEXCREATEINDEXDROPINDEX创建／删除索引操作TRIGGERCREATETRIGGERALTERTRIGGERDROPTRIGGER创建／修改／删除触发器操作审计设置与取消续表：语句级审计选项审计选项审计的数据库操作说明审计选项审计的数据库操作说明SEQUENCECREATESEQUENCEALTERSEQUENCEDROPSEQUENCE创建／修改/删除序列操作CONTEXTCREATECONTEXTINDEXALTERCONTEXTINDEXDROPCONTEXTINDEX创建／修改／删除全文索引操作SYNONYMCREATESYNONYMDROPSYNONYM创建／删除同义词GRANTGRANT授予权限操作REVOKEREVOKE回收权限操作AUDITAUDIT设置审计操作NOAUDITNOAUDIT取消审计操作INSERTTABLEINSERTINTOTABLE表上的插入操作UPDATETABLEUPDATETABLE表上的修改操作DELETETABLEDELETEFROMTABLE表上的删除操作SELECTTABLESELECTFROMTABLE表上的查询操作EXECUTEPROCEDURECALLPROCEDURE调用存储过程或函数操作PACKAGECREATEPACKAGEDROPPACKAGE创建／删除包规范PACKAGEBODYCREATEPACKAGEBODYDROPPACKAGEBODY创建／删除包体MACPOLICYCREATEPOLICYALTERPOLICYDROPPOLICY创建／修改／删除策略MACLEVELCREATELEVELALTERLEVELDROPLEVEL创建／修改／删除等级审计设置与取消续表：语句级审计选项审计选项审计的数据库操作说明审计选项审计的数据库操作说明MACCOMPARTMENTCREATECOMPARTMENTALTERCOMPARTMENTDROPCOMPARTMENT创建／修改／删除范围MACGROUPCREATEGROUPALTERGROUPDROPGROUPALTERGROUPPARENT创建／修改／删除组，更新父组MACLABELCREATELABELALTERLABELDROPLABEL创建／修改／删除标记MACTABLEINSERTABLEPOLICYREMOVETABLEPOLICYAPPLYTABLEPOLICY插入／取消／应用表标记MACSESSIONSESSIONLABELSESSIONROWLABELRESTOREDEFAULTLABELSSAVEDEFAULTLABELS保存／取消会话标记设置会话默认标记设置会话行标记MACUSERUSERSETLEVELSUSERSETCOMPARTMENTSUSERSETGROUPSUSERSETPRIVS设置用户等级／范围／组／特权CHECKPOINTCHECKPOINT检查点（checkpoint）SAVEPOINTSAVEPOINT保存点EXPLAINEXPLAIN显示执行计划NOTEXIST

分析对象不存在导致的错误DATABASEALTERDATABASE修改当前数据库操作CONNECTLOGINLOGOUT登录／退出操作COMMITCOMMIT提交操作ROLLBACKROLLBACK回滚操作审计设置与取消续表：语句级审计选项审计选项审计的数据库操作说明审计选项审计的数据库操作说明SETTRANSACTIONSETTRXISOLATIONSETTRXREADWRITE设置事务的读写属性和隔离级别RESTORERESTORETABLESPACERESTORETABLE表空间/表还原操作BACKUPBACKUPDATABASEBACKUPTABLESPACEBACKUPTABLEBACKUPARCHIVE库/表空间/表/归档备份操作DIMPDIMPFULLDIMPOWNERDIMPSCHEMADIMPTABLE逻辑导入：库级/用户级/模式级/表级DEXPDEXPFULLDEXPOWNERDEXPSCHEMADEXPTABLE逻辑导出：库级/用户级/模式级/表级FLDRFLDRINFLDROUTFLDR工具导入/导出WARNINGAUDSPACEWARNING审计剩余可用空间不足CRYPTENCRYPTDECRYPT数据加密/解密KEYCREATEKEYDESTROYKEY生成/销毁密钥DTSDTSINDTSOUTDTS工具迁入/迁出04对象级审计设置与取消审计设置与取消对象级审计发生在具体的对象上，需要指定模式名以及对象名。设置对象级审计的系统过程VOIDSP_AUDIT_OBJECT(TYPEVARCHAR(30),USERNAMEVARCHAR(128),SCHNAMEVARCHAR(128),TVNAMEVARCHAR(128),{COLNAMEVARCHAR(128),}WHENEVERVARCHAR(20))参数说明：TYPE对象级审计选项，见表6-5-3。USERNAME用户名SCHNAME模式名，为空时置‘null’TVNAME表、视图、存储过程名，不能为空COLNAME列名，为空时可以省略WHENEVER审计时机，可选的取值为：ALL：所有的SUCCESSFUL：操作成功时FAIL：操作失败时取消对象级审计的系统过程：VOIDSP_NOAUDIT_OBJECT(TYPEVARCHAR(30),USERNAMEVARCHAR(128),SCHNAMEVARCHAR(128),TVNAMEVARCHAR(128),{COLNAMEVARCHAR(128),}WHENEVERVARCHAR(20))参数说明：TYPE对象级审计选项，见表6-5-3。USERNAME用户名SCHNAME模式名，为空时置‘null’TVNAME表、视图、存储过程名，不能为空COLNAME列名，为空时可以省略WHENEVER审计时机，可选的取值为：ALL：所有的SUCCESSFUL：操作成功时FAIL：操作失败时审计设置与取消表6-5-3对象级审计选项审计选项(SYSAUDITRECORDS表中operation字段对应内容)TABLEVIEWCOLPROCEDUREFUNCTIONTRIGGERINSERT√√√

UPDATE√√√

DELETE√√√

SELECT√√√

EXECUTE

√

MERGEINTO√√

EXECUTETRIGGER

√LOCKTABLE√

BACKUPTABLE√

RESTORETABLE√

ALL(所有对象级审计选项)√√√√

05语句序列级审计设置与取消审计设置与取消建立语句序列审计规则的过程包括下面三个系统过程。参数说明：NAME语句序列审计规则名称SQL

需要审计的语句序列中的SQL语句使用说明：建立语句序列审计规则需要先调用SP_AUDIT_SQLSEQ_START，之后调用若干次SP_AUDIT_SQLSEQ_ADD，每次加入一条SQL语句，审计规则中的SQL语句顺序根据加入SQL语句的顺序确定，最后调用SP_AUDIT_SQLSEQ_END完成规则的建立。取消语句序列审计规则VOIDSP_AUDIT_SQLSEQ_DEL(NAMEVARCHAR(128)）参数说明：NAME语句序列审计规则名VOIDSP_AUDIT_SQLSEQ_START(NAMEVARCHAR(128))VOIDSP_AUDIT_SQLSEQ_ADD(NAMEVARCHAR(128),SQLVARCHAR(8188))

VOIDSP_AUDIT_SQLSEQ_END(NAMEVARCHAR(128))06审计设置与取消相关说明审计设置与取消只要审计功能被启用，系统级的审计记录就会产生，即系统级审计记录不需要设置；在进行数据库审计时，审计员之间没有区别，都可以审计所有数据库对象，也可取消其他审计员的审计设置；语句级审计不针对特定的对象，只针对用户（默认针对特定用户，可以指定用户）；对象级审计针对指定的用户与指定的对象进行审计；在设置审计时，审计选项不区分包含关系，都可以设置；在设置审计时，审计时机不区分包含关系，都可以进行设置；如果用户执行的一条语句与设置的若干审计项都匹配，只会在审计文件中生成一条审计记录。审计文件管理0301审计文件审计文件管理达梦数据库审计信息存储在审计文件中。审计文件默认存放在数据库的SYSTEM_PATH指定的路径，即数据库所在路径。用户也可在dm.ini文件中添加参数AUD_PATH来指定审计文件的存放路径。审计文件命名格式为“AUDIT_GUID_创建时间.log”，其中“GUID”为DM给定的一个唯一值，例如：AUDIT_DMSERVER_B8AC51902A134640974FDDB96B21C20B_2022-11-6-18-6-18.log审计文件的大小可以通过达梦数据路的INI参数AUDIT_MAX_FILE_SIZE指定。当单个审计文件超过指定大小时，系统会自动切换审计文件，自动创建新的审计文件，审计记录将写入新的审计文件中。AUDIT_MAX_FILE_SIZE为动态系统级参数，缺省值为100M，DBA用户可通过系统过程SP_SET_PARA_VALUE对其进行动态修改，有效值范围为1~4096M。02删除特定时间点以前审计记录审计文件管理使用系统过程删除指定时间点之前的审计文件：VOIDSP_DROP_AUDIT_FILE(TIME_STRVARCHAR(128),TYPEINT);参数说明：TIME_STR：指定的时间字符串TYPE：审计文件类型，0表示删除普通审计文件，1表示删除实时审计文件03审计文件加密审计文件管理审计管理员可使用系统过程设置审计文件加密：VOIDSP_AUDIT_SET_ENC(NAMEVARCHAR(128),KEYVARCHAR(128))参数说明：NAME加密算法名，可使用达梦数据库支持的加密算法，也支持用户自定义加密算法，具体支持的加密文档请参照相关技术文档。KEY加密密钥审计信息查阅0401审计记录内容查阅审计信息查阅审计记录在动态视图SYSAUDITOR.V$AUDITRECORDS中表6-5-5SYSAUDITOR.V$AUDITRECORDS结构序号列数据类型说明1USERIDINTEGER用户ID2USERNAMEVARCHAR(128)用户名3ROLEIDINTEGER角色ID。没有具体角色的用户和SQL序列审计，没用角色信息。4ROLENAMEVARCHAR(128)角色名。没有具体角色的用户和SQL序列审计，没用角色信息。5IPVARCHAR(25)IP地址6SCHIDINTEGER模式ID7SCHNAMEVARCHAR(128)模式名8OBJIDINTEGER对象ID02审计设置信息查阅审计信息查阅审计设置信息记录在数据字典表SYSAUDITOR.SYSAUDIT中表6-5-4SYSAUDITOR.SYSAUDIT表结构序号列数据类型说明1LEVELSMALLINT审计级别2UIDINTEGER用户ID3TVPIDINTEGER表/视图/触发器/存储过程函数ID4COLIDSMALLINT列ID5TYPESMALLINT审计类型6WHENEVERSMALLINT审计情况7SCHNAMEVARCHAR(128)模式名8OBJIDINTEGER对象ID审计信息查阅续表SYSAUDITOR.SYSAUDIT表结构序号列数据类型说明9OBJNAMEVARCHAR(128)对象名10OPERATIONVARCHAR(128)操作类型名11SUCC_FLAGCHAR(1)成功标记12