审计管理

审计是监视和和记录所选数据库操作,包括数据库用户和非数据库用户;可调查可疑操作,监控用户行为;审计有强制审计、标准审计、统一审计、混合审计、Value-Based审计、细粒度审计

一、强制审计

信息存放在$ORACLE_BASE/admin/$ORACLE_SID/adump,当数据库发生以下动作时,数据库会强制审计无论是否配置audit_trial参数。

1、database startup、database shutdown

2、SYS,SYSDBA, SYSOPER, SYSASM, SYSBACKUP, SYSDG, and SYSKM操作

3、create/alter/drop audit policy

4、audit/noaudit

5、EXECUTE DBMS_FGA/DBMS_AUDIT_MGMT

6、ALTER TABLE

 

二、标准审计

受参数audit_trail参数控制;

1、标准审计类型

(1)audit_trail=db(默认):将审计信息记录到sys.aud$表中,此时不会记录强制审计信息和sys用户审计记录

(2)audit_trail=db,extended:将审计信息记录到sys.aud$表中,同时记录sql绑定的变量值和sql语句

(3)audit_trail=os:将审计信息记录到操作系统文件中,包括数据库审计跟踪

(4)audit_trail=xml:将审计信息记录到xml文件中

(5)audit_trail=xml,extended:将审计信息记录到xml文件中,同时记录sql绑定变量和sql语句

(6)audit_trail=none:禁用审计功能

2、启用标准审计

ALTER SYSTEM SET AUDIT_TRAIL=DB SCOPE=SPFILE;
ALTER SYSTEM SET AUDIT_TRAIL=DB,EXTENDED SCOPE=SPFILE;
ALTER SYSTEM SET AUDIT_TRAIL=NONE SCOPE=SPFILE;

 

三、统一审计(19c以前审计信息放在不同位置,19c以后统一审计将所有审计信息放在单张表中)

审计信息统一放在UNIFIED_AUDIT_TRAIL(AUDSYS架构中的只读表SYSAUX)视图中,除了sys用户,被授予AUDIT_ADMIN和AUDIT_VIEWER角色的用户可以查询这些视图;启动统一审计之后,还需配置相应的审计策略,启用统一审计至少启用一条审计策略;停止统一审计之后,要关闭所有审计策略。

1、开启统一审计

SELECT VALUE FROM V$OPTION WHERE PARAMETER = 'Unified Auditing';  //查看数据库是否开启了统一审计,如果是false说明没有开启统一审计

关闭监听和数据库,开启统一审计后重启监听和数据库,并查看统一审计是否开启

SHUTDOWN IMMEDIATE;  //关闭数据库
exit;
lsnrctl stop;  //停止监听
//开启统一审计
cd $ORACLE_HOME/rdbms/lib
make -f ins_rdbms.mk uniaud_on ioracle ORACLE_HOME=$ORACLE_HOME
lsnrctl start;  //开启监听
sqlplus / as sysdba;
startup;  //开启数据库
SELECT value FROM v$option WHERE parameter = 'Unified Auditing' ;  //查看是否开启了统一审计

 

 2、系统预定于统一审计策略

ORA_SECURECONFIG是统一审计和混合审计默认的策略;ORA_DATABASE_PARAMETER_AUDIT是常用的oracle参数设置,如ALTER DATABASE,ALTER SYSTEM,CREATE SPFILE;ORA_ACCOUNT_MGMT_AUDIT审计常用账号和权限设置,例如CREATE USER,ALTER USER,DROP USER,CREATE ROLE。

3、用户自定义审计策略

特定对象审计

CREATE AUDIT POLICY audit_objpriv_pol1 ACTIONS SELECT, UPDATE, LOCK ON hr.employees;

4、启用审计策略(这时针对所有用户,如果要限定用户可以在后面加上 by user1,user2或者except user1,user2)

AUDIT POLICY audit_objpriv_pol1;

5、停止审计策略(限定用户方法桶启用审计策略)

NOAUDIT POLICY audit_objpriv_pol1;

6、相关视图使用

select policy_name,enabled_option from audit_unified_enabled_policies;  //查看当前正在使用的审计策略

 

四、混合审计

是19c的默认审计,既有19c以前的审计方式,又有19c的统一审计方式。

 

五、Value-Based审计

基于触发器实现的审计功能,只有当使用标准审计功能不满足需求时,才使用该种审计。

 

六、细粒度审计

开启FGA,并审计相应操作

1、定义策略

begin
dbms_fga.add_policy(
object_schema   => 'HR',
object_name     => 'EMPLOYEES',
policy_name     => 'audit_emps_salary',
audit_condition => 'department_id=10',
audit_column    => 'SALARY,COMMISSION_PCT',
statement_types => 'SELECT,UPDATE');
end;
/

object_schema:指定要审计的对象的模式;object_name:指定要审计的对象的名称;policy_name:指定要创建的策略的名称,确保此名称是唯一的;audit_condition:审计的相关条件,如果为null或未指定,则对表执行的任何审计都会被记录;audit_column:指定要审核的一列或多列,包括隐藏列。如果设置为NULL或省略;Enable:使用 true 或 false 启用或禁用策略;statement_types:指定要审计的 SQL 语句:INSERT、UPDATE、DELETE或SELECT。

select policy_name from dba_audit_policies;  //查看审计策略是否创建成功

select employee_id,last_name,salary from hr.employees where department_id=10;   //对department_id=10的行执行select
select SQL_TEXT from UNIFIED_AUDIT_TRAIL where object_schema= 'HR';   //查看审计记录

2、启用策略

begin
dbms_fga.enable_policy(
object_schema => 'HR',
object_name   => 'EMPLOYEES',
policy_name   => 'audit_emps_salary',
enable        => true);
end;
/

 在禁用策略之后重新启用策略,会留下审计记录

select employee_id,last_name,salary from hr.employees where department_id=10;
select SQL_TEXT from UNIFIED_AUDIT_TRAIL where object_schema= 'HR';

3、禁用策略

begin
dbms_fga.disable_policy(
object_schema => 'HR',
object_name   => 'EMPLOYEES',
policy_name   => 'audit_emps_salary');
end;
/

禁用审计策略后没有审计记录

select employee_id,last_name,salary from hr.employees where department_id=10;
select SQL_TEXT from UNIFIED_AUDIT_TRAIL where object_schema= 'HR';

4、删除策略

begin
dbms_fga.drop_policy(
object_schema => 'HR',
object_name   => 'EMPLOYEES',
policy_name   => 'audit_emps_salary');
end;
/

 5、清理审计记录

begin
DBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAIL(AUDIT_TRAIL_TYPE => DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED,USE_LAST_ARCH_TIMESTAMP => FALSE);
end;
/

 所有的审计记录都被清理

select SQL_TEXT from UNIFIED_AUDIT_TRAIL where object_schema= 'HR';

 

 

 

posted @ 2022-11-30 21:16  微风徐徐$  阅读(153)  评论(0编辑  收藏  举报