oracle学习笔记之 审计

youngfan007

　　Oracle数据库审计
　　数据库审计是监视并记录选定的用户数据库操作。主要分为标准审计和精细粒度审计（FGA，Fine-Grained Auditing），标准审计可在语句级、对象级、权限级进行审计；精细粒度审计涉及到基于内容或特定数据的审计。
　　启用审计：
　　1、启用审计需要修改audit_trail的值，默认为NONE.
　　SQL> show parameter audit;
　　NAME                   TYPE        VALUE
　　---------------------- ----------- ------------------------------
　　audit_file_dest        string      /opt/oracle/product/10.0/admin/hunt/adump
　　audit_sys_operations   boolean     FALSE
　　audit_syslog_level     string
　　audit_trail            string      NONE
　　audit_trail的取值可有以下几种：
　　SELECT * FROM V$parameter_Valid_Values where name='audit_trail';
　　NUM NAME ORDINAL VALUE ISDEFAULT 备注
　　1 911 audit_trail 1 DB FALSE
　　2 911 audit_trail 2 OS FALSE
　　3 911 audit_trail 3 NONE FALSE 默认
　　4 911 audit_trail 4 TRUE FALSE 与DB一致
　　5 911 audit_trail 5 FALSE FALSE 与NONE一致
　　6 911 audit_trail 6 DB_EXTENDED FALSE
　　7 911 audit_trail 7 XML FALSE
　　8 911 audit_trail 8 EXTENDED FALSE XML_EXTENDED
　　 NONE：禁用数据库审计。NONE为此参数的默认值。
　　 OS：指出Oracle将把审计记录写到一个操作系统文件中。
　　 DB：指出Oracle将把审计记录写入数据库审计跟踪，可视为DBA_AUDIT_TRAIL（存储在SYS.AUD$表中）。
　　 DB_EXTENDED：指出Oracle将把所有审计记录发送到数据库审计跟踪，除此之外，填充SQLBIND和SQLTEXTCLOB列。
　　 XML：指定数据库审计，进入OS文件的是XML格式的审计记录。
　　 XML_EXTENDED：与XML设置相同，另外还记录所有审计跟踪列，包括SQLTEXT和SQLBIND。
　　如果指定AUDIT_TRAIL=OS，则审计跟踪不再数据库中存储审计信息，而是在由AUDIT_TRAIL_DEST参数指定的位置存储审计信息。如果指定AUDIT_TRAIL=OS且省略AUDIT_TRAIL_DEST参数，则默认将审计信息写到$ORACLE_HOME/rdbms/audit/目录中。
　　2、修改audit_trail：
　　SQL>alter system set audit_trail=db_extended scope=spfile;
　　重启数据库
　　SQL> show parameter audit;
　　NAME                   TYPE        VALUE
　　---------------------- ----------- ------------------------------
　　audit_file_dest        string      E:\ORACLE\PRODUCT\10.2.0\ADMIN
　　\HUNT\ADUMP
　　audit_sys_operations   boolean     FALSE
　　audit_trail            string      DB_EXTENDED   ----已改变
　　标准审计：
　　1、 权限审计：
　　基于系统的权限进行的审计，如create session、select｛insert|update｝ any table ……，具体的权限可查询system_privilege_map。
　　A、 开启create session 审计：
　　SQL> show user;
　　USER 为 "SYS"
　　SQL> audit create session ;
　　审计已成功。
　　查询表dba_priv_audit_opts可看到如下结果：
　　USER_NAME PROXY_NAME PRIVILEGE SUCCESS FAILURE
　　1   CREATE SESSION BY ACCESS BY ACCESS
　　使用其他用户登录系统，查看dba_audit_trail可获得对登录用户的审计结果：
　　OS_USERNAME USERNAME USERHOST TERMINAL TIMESTAMP OWNER ……
　　1 hunt\Administrator ADMIN WORKGROUP\hunt hunt 41026.8511 　 　……
　　B、 指定审计用户：
　　SQL> show user;
　　USER 为 "SYS"
　　SQL> audit create any table by test;
　　审计已成功。
　　查询表dba_priv_audit_opts可看到如下结果：
　　USER_NAME PROXY_NAME PRIVILEGE SUCCESS FAILURE
　　1 　 　 CREATE SESSION BY ACCESS BY ACCESS
　　2 TEST 　 CREATE ANY TABLE BY ACCESS BY ACCESS
　　此时只有test 进行create table 才进行审记。
　　C、 指定审计范围：
　　默认对成功或失败的审计操作进行记录，实际的应用中我们往往更多的在意那些不成功的情况，比如系统登录。
　　SQL> show user;
　　USER 为 "SYS"
　　SQL> audit delete any table whenever not successful;
　　审计已成功。
　　whenever [not] successful：
　　whenever successful 操作成功(dba_audit_trail中returncode字段为0) 才审计,
　　whenever not successful 反之。省略该子句的话，不管操作成功与否都会审计。
　　查询表dba_priv_audit_opts可看到如下结果：
　　USER_NAME PROXY_NAME PRIVILEGE SUCCESS FAILURE
　　1 　 　 CREATE SESSION BY ACCESS BY ACCESS
　　2 　 　 DELETE ANY TABLE NOT SET BY SESSION
　　3 TEST 　 CREATE ANY TABLE BY ACCESS BY ACCESS
　　取消审计只需要将审计语句中的audit改为noaudit即可:
　　noaudit create any table by test;
　　no audit create session;
　　2、 对象审计：
　　按对象审计，只审计on关键字指定对象的相关操作。
　　A、 开启审计：
　　SQL> show user;
　　USER 为 "ADMIN"
　　SQL> audit select on t;
　　审计已成功。
　　查询表dba_obj_audit_opts可看到如下结果：
　　OWNER OBJECT_NAME OBJECT_TYPE …… SEL UPD REF EXE CRE REA WRI FBK
　　1 ADMIN T TABLE …… S/S -/- -/- -/- -/- -/- -/- -/-
　　表中的SEL代表select ,对应的S/S指：SESSION级成功审计/失败审计。此处S可能为SESSION也可能为ACCESS.区别在于：
　　by access 每一个被审计的操作都会生成一条audit trail。
　　by session 一个会话里面同类型的操作只会生成一条audit trail，默认为by session。
　　查询T表，dba_audit_trail中记录的部分审计结果如下：
　　OS_USERNAME USERNAME OWNER OBJ_NAME SES_ACTIONS SQL_TEXT
　　1 hunt\Administrator ADMIN ADMIN T ---------S------ select * from t
　　---------S------ 与上一表格中的内容对应S代表SEL的审计权限。
　　B、 打开全部审计权限：
　　SQL> show user;
　　USER 为 "ADMIN"
　　SQL> audit all on t;
　　审计已成功。
　　查询表dba_obj_audit_opts可看到如下结果：
　　OWNER OBJECT_NAME OBJECT_TYPE ALT AUD COM DEL GRA IND INS LOC …
　　1 ADMIN T TABLE S/S S/S S/S S/S S/S S/S S/S S/S …
　　SQL> Audit all on t by access;
　　OWNER OBJECT_NAME OBJECT_TYPE ALT AUD COM DEL GRA IND INS LOC …
　　1 ADMIN T TABLE A/A A/A A/A A/A A/A A/A A/A A/A …
　　3、 语句审计：
　　按语句来审计，比如audit table 会审计数据库中所有的create table,drop table,truncate table语句。
　　A、 开启审计：
　　SQL> show user;
　　USER 为 "ADMIN"
　　SQL> audit table by test;
　　审计已成功。
　　查询表dba_stmt_audit_opts可看到如下结果：
　　USER_NAME PROXY_NAME AUDIT_OPTION SUCCESS FAILURE
　　1 　 　 CREATE SESSION BY ACCESS BY ACCESS
　　2 　 　 DELETE ANY TABLE NOT SET BY SESSION
　　3 TEST 　 CREATE ANY TABLE BY ACCESS BY ACCESS
　　4 TEST 　 TABLE BY ACCESS BY ACCESS
　　语句审计与权限审计有交叉。
　　此时我们用test用户创建一个表，查看dba_audit_trail中记录的部分审计结果如下：
　　USERNAME OWNER OBJ_NAME ACTION_NAME SQL_TEXT
　　8 TEST TEST TAB_T CREATE TABLE create table tab_t(id int,name char(10))
　　通过长时间的审计，dba_audit_trail表会不断的增长，可以通过清空aud$ 达到删除审计的目的。
　　SYS用户登录时数据库会启用强制审计，WINDOWNS里的事件查看器里，内容如下：
　　事件类型: 信息
　　事件来源: Oracle.hunt
　　事件种类: 无

　　事件>　　日期:  2012-4-27
　　事件:  20:22:24
　　用户:  N/A
　　计算机: WWW-61131B590F7
　　描述:
　　Audit trail: ACTION : 'CONNECT' DATABASE USER: 'sys' PRIVILEGE : SYSDBA CLIENT USER: hunt CLIENT TERMINAL: LENOVO-PC STATUS: 0 .
　　LINXU下位于$ORACLE_HOME/admin/$ORACLE_SID/adump下，内容如下：
　　Audit file /opt/oracle/product/10.0/admin/wlan/adump/ora_18094.aud

　　Oracle Database 10g Enterprise Edition>　　With the Partitioning, OLAP and Data Mining options
　　ORACLE_HOME = /opt/oracle/product/10.0
　　System name:    SunOS
　　Node name:      crmdb
　　Release:        5.10
　　Version:        Generic_141414-07
　　Machine:        sun4v
　　Instance name: wlan
　　Redo thread mounted by this instance: 1
　　Oracle process number: 53
　　Unix process pid: 18094, image: oracle@wlandb (TNS V1-V3)
　　Fri Apr 27 12:10:01 2012
　　ACTION : 'CONNECT'
　　DATABASE USER: '/'
　　PRIVILEGE : SYSDBA
　　CLIENT USER: oracle
　　CLIENT TERMINAL:
　　STATUS: 0
　　精细粒度审计：
　　A、 定义审计策略：
　　begin
　　dbms_fga.add_policy(object_schema   => 'ADMIN',
　　object_name     => 'T',
　　policy_name     => 'audit_t',
　　audit_column    => 'SALARY',
　　enable          => TRUE,
　　statement_types => 'select,insert,update,delete');
　　end;
　　/
　　查询dba_audit_policies 表，结果如下;
　　OBJECT_SCHEMA OBJECT_NAME POLICY_NAME POLICY_COLUMN SEL INS UPD DEL
　　2 ADMIN T AUDIT_T SALARY YES YES YES YES
　　此时我们对T表进的SALARY列进行操作，然后查询dba_fga_audit_trail表，部分审计结果如下：
　　OBJECT_SCHEMA OBJECT_NAME POLICY_NAME SQL_TEXT STATEMENT_TYPE
　　1 ADMIN T AUDIT_T select * from t SELECT

　　2 ADMIN T AUDIT_T update t set salary=1000 where>　　3 ADMIN T AUDIT_T insert into t values(3,'c',2000) INSERT
　　删除策略：
　　begin
　　dbms_fga.drop_policy(object_schema => 'ADMIN',
　　object_name   => 'T',
　　policy_name   => 'AUDIT_T');
　　end;
　　精细粒度的审计日志可以通过删除sys.fga_log$表进行清空。
　　最后，审计日志的清理：
　　1、 直接清除sys.aud$和sys.fga_log$表；
　　2、 利用DBMS_AUDIT_MGMT.INIT_CLEANUP设置策略清除：
　　BEGIN
　　IF
　　NOT DBMS_AUDIT_MGMT.IS_CLEANUP_INITIALIZED(DBMS_AUDIT_MGMT.AUDIT_TRAIL_AUD_STD)
　　THEN
　　DBMS_AUDIT_MGMT.INIT_CLEANUP(
　　audit_trail_type => DBMS_AUDIT_MGMT.AUDIT_TRAIL_AUD_STD,
　　default_cleanup_interval => 12 /* hours */);
　　END IF;
　　END;
　　/
　　包的具体用法可参考：
　　http://docs.oracle.com/cd/E11062_01/admin.1023/e11059/avadm_app_d_audit_mgmt.htm
　　3、转移表空间（未测试）
　　alter table sys.aud$ move tablespace users;
　　alter table sys.aud$ move lob(sqlbind) store as( tablespace USERS);
　　alter table sys.aud$ move lob(SQLTEXT) store as( tablespace USERS);
　　alter index sys.I_AUD1 rebuild tablespace users;