Oracle审计功能

fablefe

　　1、什么是审计
　　审计（Audit）用于监视用户所执行的数据库操作，审计记录可存在数据字典表（称为审计记录：存储在system表空间中的 SYS.AUD$表中，可通过视图dba_audit_trail查看）或操作系统审计记录中（默认位置为$ORACLE_BASE/admin/$ORACLE_SID/adump/）。。默认情况下审计是没有开启的。
　　当数据库的审计是使能的，在语句执行阶段产生审计记录。审计记录包含有审计的操作、用户执行的操作、操作的日期和时间等信息。
　　不管你是否打开数据库的审计功能，以下这些操作系统会强制记录：用管理员权限连接Instance；启动数据库；关闭数据库。
　　（1）Oracle审计功能
　　审计是对选定的用户动作的监控和记录，通常用于：
　　审查可疑的活动。例如：数据被非授权用户所删除，此时安全管理员可决定对该 数据库的所有连接进行审计，以及对数据库的所有表的成功地或不成功地删除进行审计。
　　监视和收集关于指定数据库活动的数据。例如：DBA可收集哪些被修改、执行了多少次逻辑的I/O等统计数据。
　　ORACLE所允许的审计选择限于下列方面：
　　审计语句的成功执行、不成功执行，或者其两者。
　　对每一用户会话审计语句执行一次或者对语句每次执行审计一次。
　　对全部用户或指定用户的活动的审计。
　　（2）审计相关的表安装
　　SQLPLUS> connect / AS SYSDBA
　　SQLPLUS> select * from sys.aud$;     --没有记录返回
　　SQLPLUS> select * from dba_audit_trail;   - 没有记录返回
　　如果做上述查询的时候发现表不存在，说明审计相关的表还没有安装，需要安装。
　　SQLPLUS> connect / as sysdba
　　SQLPLUS> @$ORACLE_HOME/rdbms/admin/cataudit.sql
　　审计表安装在SYSTEM表空间。所以要确保SYSTEM表空间又足够的空间存放审计信息。
　　安装后要重启数据库
　　将审计相关的表移动到其他表空间
　　由于AUD$表等审计相关的表存放在SYSTEM表空间，因此为了不影响系统的性能，保护SYSTEM表空间，最好把AUD$移动到其他的表空间上。可以使用下面的语句来进行移动：
　　sql>connect / as sysdba;
　　sql>alter table aud$ move tablespace ;
　　sql>alter index I_aud1 rebuild online tablespace ;

　　SQL>>
　　SQL>>
　　SQL>>
　　SQL>>　　2、和审计相关的两个主要参数
　　（1）Audit_sys_operations：
　　默认为false，当设置为true时，所有sys用户（包括以sysdba, sysoper身份登录的用户）的操作都会被记录，audit trail不会写在aud$表中，这个很好理解，如果数据库还未启动aud$不可用，那么像conn /as sysdba这样的连接信息，只能记录在其它地方。如果是windows平台，audti trail会记录在windows的事件管理中，如果是linux/unix平台则会记录在audit_file_dest参数指定的文件中。
　　（2）Audit_trail：
　　None：是默认值，不做审计；
　　DB：将audit trail 记录在数据库的审计相关表中，如aud$，审计的结果只有连接信息；
　　DB,Extended：这样审计结果里面除了连接信息还包含了当时执行的具体语句；
　　OS：将audit trail 记录在操作系统文件中，文件名由audit_file_dest参数指定；
　　XML：10g里新增的。
　　注：这两个参数是static参数，需要重新启动数据库才能生效。
　　3、审计级别
　　当开启审计功能后，可在三个级别对数据库进行审计：Statement（语句）、Privilege（权限）、object（对象）。
　　（1）Statement：
　　语句审计，对某种类型的SQL语句审计，不指定结构或对象。比如audit table 会审计数据库中所有的create table,drop table,truncate table语句，alter session by cmy会审计cmy用户所有的数据库连接。
　　（2）Privilege：
　　权限审计，当用户使用了该权限则被审计，如执行grant select any table to a，当执行了audit select any table语句后，当用户a 访问了用户b的表时（如select * from b.t）会用到select any table权限，故会被审计。注意用户是自己表的所有者，所以用户访问自己的表不会被审计。 特权审计。
　　（3）Object：

　　对象审计，对一特殊模式对象上的指定语句的审计。 如审计on关键字指定对象的相关操作，如aduit>　　注意：Oracle没有提供对schema中所有对象的审计功能，只能一个一个对象审计，对于后面创建的对象，Oracle则提供on default子句来实现自动审计，比如执行audit drop on default by access;后，对于随后创建的对象的drop操作都会审计。但这个default会对之后创建的所有数据库对象有效，似乎没办法指定只对某个用户创建的对象有效，想比 trigger可以对schema的DDL进行“审计”，这个功能稍显不足。
　　4、审计的一些其他选项
　　（1）by access / by session：
　　by access  每一个被审计的操作都会生成一条audit trail。
　　by session 一个会话里面同类型的操作只会生成一条audit trail，默认为by session。
　　（2）whenever [not] successful：
　　whenever successful 操作成功（dba_audit_trail中returncode字段为0） 才审计，
　　whenever not successful 反之。省略该子句的话，不管操作成功与否都会审计。
　　5、和审计相关的视图
　　（1）dba_audit_trail：保存所有的audit trail，实际上它只是一个基于aud$的视图。其它的视图dba_audit_session,dba_audit_object, dba_audit_statement都只是dba_audit_trail的一个子集。
　　（2）dba_stmt_audit_opts：可以用来查看statement审计级别的audit options，即数据库设置过哪些statement级别的审计。dba_obj_audit_opts,dba_priv_audit_opts视图功能与之类似
　　（3）all_def_audit_opts：用来查看数据库用on default子句设置了哪些默认对象审计。
　　6、取消审计
　　将对应审计语句的audit改为noaudit即可，
　　如audit session whenever successful
　　对应的取消审计语句为noaudit session whenever successful;
　　7、10g中的审计告知一切
　　Oracle 数据库 10g 审计以一种非常详细的级别捕获用户行为，它可以消除手动的、基于触发器的审计。
　　假定用户 Joe 具有更新那张表的权限，并按如下所示的方式更新了表中的一行数据：
　　update SCOTT.EMP set salary = 12000 where empno = 123456;
　　您如何在数据库中跟踪这种行为呢？在 Oracle 9i 数据库及其较低版本中，审计只能捕获“谁”执行此操作，而不能捕获执行了“什么”内容。例如，它让您知道 Joe 更新了 SCOTT 所有的表EMP，但它不会显示他更新了该表中员工号为 123456 的薪水列。它不会显示更改前的薪水列的值 — 要捕获如此详细的更改，您将不得不编写您自己的触发器来捕获更改前的值，或使用 LogMiner 将它们从存档日志中检索出来。
　　细粒度审计（FGA）：精细审计 ，是在 Oracle 9i 中引入的，能够记录 SCN 号和行级的更改以重建旧的数据，但是它们只能用于 select 语句，而不能用于 DML ，如 update 、insert 和delete 语句。因此，对于 Oracle 数据库 10g 之前的版本，使用触发器虽然对于以行级跟踪用户初始的更改是没有吸引力的选择，但它也是唯一可靠的方法。
　　8、审计的相关基本操作
　　（1）审计功能的参数控制
　　audit_trail 参数的值可以设置为以下几种
　　1. NONE：不开启
　　2. DB：开启审计功能
　　3. OS：审计记录写入一个操作系统文件。
　　4. TRUE：与参数DB一样
　　5. FALSE：不开启审计功能。
　　这个参数是写道spfile里面的，需要重启数据库
　　（2）查看是否审计功能是否启动
　　SQL> show parameter audit
　　NAME                                 TYPE        VALUE
　　------------------------------------ ----------- ------------------------------
　　audit_file_dest                      string      /u01/app/oracle/admin/ORCL/adump
　　audit_sys_operations                 boolean     FALSE
　　audit_syslog_level                   string
　　audit_trail                          string      NONE
　　（3）开启审计
　　SQL> conn /as sysdba
　　SQL> show parameter audit
　　NAME                                 TYPE        VALUE
　　------------------------------------ ----------- ------------------------------
　　audit_file_dest                      string      /u01/app/oracle/admin/ORCL/adump
　　audit_sys_operations                 boolean     FALSE
　　audit_syslog_level                   string
　　audit_trail                          string      NONE

　　SQL>>
　　SQL>>　　开启审计要重启实例
　　SQL> show parameter audit
　　NAME                                 TYPE        VALUE
　　------------------------------------ ----------- ------------------------------
　　audit_file_dest                      string      /u01/app/oracle/admin/ORCL/adump
　　audit_sys_operations                 boolean     TRUE
　　audit_syslog_level                   string
　　audit_trail                          string      DB, EXTENDED
　　（4）关闭审计
　　SQL> conn /as sysdba
　　SQL> show parameter audit

　　SQL>>　　关闭审计也需要重启实例
　　9、审计实例
　　（1）激活审计
　　SQL> conn sys/admin as sysdba
　　已连接。
　　SQL> show parameter audit
　　NAME                           TYPE        VALUE
　　------------------------------------         ----------- ------------------------------
　　audit_file_dest                      string      D:\ORACLE\ADMIN\DBA\ADUMP
　　audit_sys_operations                 boolean     FALSE
　　audit_trail                          string      NONE

　　SQL>>
　　SQL>>　　SQL> startup force;
　　SQL> show parameter audit
　　NAME                            TYPE        VALUE
　　------------------------------------         ----------- ------------------------------
　　audit_file_dest                      string      D:\ORACLE\ADMIN\DBA\ADUMP
　　audit_sys_operations                 boolean     TRUE
　　audit_trail                          string      DB, EXTENDED
　　（2）开始审计
　　注意：无法对 SYS 用户操作执行 audit 或 noaudit 命令
　　SQL> conn  system/admin
　　SQL> audit all on test;
　　SQL> commit;
　　SQL> delete from test;
　　SQL> commit;
　　SQL> select OS_USERNAME,USERNAME,USERHOST,TERMINAL,TIMESTAMP,OWNER,
　　obj_name,ACTION_NAME,sessionid,os_process,sql_text from dba_audit_trail;
　　OS_USER USERNAME USERHOST   TERMINAL        TIMESTAMP      OWNER
　　-------   -------- --------------- --------------- -------------- ----------------
　　user    SYSTEM   WORKGROUP\HFCC- HFCC-KF-3068    22-10月-09     SYSTEM
　　SQL> audit select table by test by access;
　　如果在命令后面添加by user则只对user的操作进行审计，如果省去by用户，则对系统中所有的用户进行审计（不包含sys用户）。
　　例：
　　AUDIT DELETE ANY TABLE; --审计删除表的操作
　　AUDIT DELETE ANY TABLE WHENEVER NOT SUCCESSFUL; --只审计删除失败的情况
　　AUDIT DELETE ANY TABLE WHENEVER SUCCESSFUL; --只审计删除成功的情况
　　AUDIT DELETE,UPDATE,INSERT ON user.table by SYSTEM; --审计SYSTEM用户对表user.table的delete,update,insert操作
　　（3）撤销审计
　　SQL> noaudit all on t_test;
　　oracle视频教程请关注:http://u.youku.com/user_video/id_UMzAzMjkxMjE2.html