利用Oracle審計功能記錄數(shù)據(jù)庫操作

1、1、什么是審計審計（Audit）用于監(jiān)視用戶所執(zhí)行的數(shù)據(jù)庫操作，并且Oracle會將審計 跟蹤結(jié)果存放到OS文件（默認(rèn)位置為$ORACLE_BASE/admin/$ORACLE_SID/adump/）或數(shù)據(jù)庫（存儲在 system 表 空間中的$表中，可通過視圖dba_audit_trai 1查看）中。默認(rèn)情況下審 計是沒有開啟的。不管你是否打開數(shù)據(jù)庫的審計功能，以下這些操作系統(tǒng)會強制記錄：用管 理員權(quán)限連接Instance；啟動數(shù)據(jù)庫；關(guān)閉數(shù)據(jù)庫。2、和審計相關(guān)的兩個主要參數(shù)Audit_sys_operations：默認(rèn)為false,當(dāng)設(shè)置為true時，所有sys用戶（包括以sysdba,

2、sysoper 身份登錄的用戶）的操作都會被記錄，audit trail不會寫在aud$表中， 這個很好理解，如果數(shù)據(jù)庫還未啟動玄說$不可用，那么像conn /as sysdba 這樣的連接信息，只能記錄在其它地方。如果是windows平臺,audti trail 會記錄在windows的事件管理中，如果是linux/unix平臺則會記錄在 audit_file_dest參數(shù)指定的文件中。Audit_trail：None：是默認(rèn)值，不做市計；DB：將audit trail記錄在數(shù)據(jù)庫的審計相關(guān)表中，如aud$,審計的結(jié) 果只有連接信息；DB.Extended：這樣審計結(jié)果里面除了連接信息還包含

3、了當(dāng)時執(zhí)行的具體 語句；OS:將audit trail記錄在操作系統(tǒng)文件中，文件名由audit_file_dest 參數(shù)指定；XML： 10g里新增的。注：這兩個參數(shù)是static參數(shù)，需要重新啟動數(shù)據(jù)庫才能生效。3、審計級別當(dāng)開啟審計功能后，可在三個級別對數(shù)據(jù)庫進行審計：Statement （語句）、Priv訂ege （權(quán)限）、object （對象）。Statement：按語句來審計，比如audit table會審計數(shù)據(jù)庫中所有的createtable, drop table, truncate table 語句，alter session by cmy 會審計 cmy用戶所有的數(shù)據(jù)庫連接。

4、Privilege：按權(quán)限來審計，當(dāng)用戶使用了該權(quán)限則被審計，如執(zhí)行g(shù)rant select any table to a,當(dāng)執(zhí)行了 audit select any table語句后，當(dāng)用戶a訪問 了用戶b的表時（如select * from ）會用到select any table權(quán)限， 故會被審計。注意用戶是自己表的所有者，所以用戶訪問自己的表不會被 審計。Object： 按對象審計，只審計on關(guān)鍵字指定對象的相關(guān)操作，如aduitalter, delete, drop, insert on by scott:這里會對 cmy 用戶的 t 表進 行審計，但同時使用了 by子句，所以只會對

5、scott用戶發(fā)起的操作進行 審計。注意Oracle沒有提供對schema中所有對象的審計功能，只能一個 一個對象審計，對于后面創(chuàng)建的對象，Oracle則提供on default子句來 實現(xiàn)自動審計，比如執(zhí)行audit drop on default by access:后，對于 隨后創(chuàng)建的對象的drop操作都會審計。但這個default會對之后創(chuàng)建的 所有數(shù)據(jù)庫對象有效，似乎沒辦法指定只對某個用戶創(chuàng)建的對象有效，想 比trigger可以對schema的DDL進行“審計”,這個功能稍顯不足。4、審計的一些其他選項by access /' by session：by access每一個被

6、審計的操作都會生成一條audit trailoby session 一個會話里面同類型的操作只會生成一條audit trail,默認(rèn) 為 by sessionowhenever not successful：whenever successful 操作成功（dba_audit_trail 中:returncode 字段為 0）才審計，whenever not successful反之。省略該子句的話，不管操作成功與否都 會審計。5、和審計相關(guān)的視圖dba_audit_trail：保存所有的audit trail,實際上它只是一個基于aud$的視圖。其它的視圖dba_audit_session,

7、 dba_audit_object, dba_audit_statement 都只是 dba_audit_trail 的一個子集。dba_stmt_audit_opts:可以用來查看 statement 審計級別的 audit options,即數(shù)據(jù)庫設(shè)置過哪些statement級別的市計。dba_obj_audit_opts, dba_priv_audit_opts 視圖功能與之類似all_def_audit_opts：用來查看數(shù)據(jù)庫用on default子句設(shè)置了哪些默 認(rèn)對象審計。6、取消審計將對應(yīng)審計語句的audit改為noaudit即可，如audit session whenever

8、 successful對應(yīng)的取消審計語句為noaudit session whenever successful;8、實例講解、激活審計sqlplus / as sysdbaSQL> show parameter auditNAMETYPEVALUEaudi t_f i1e_destst ring/uO1/app/oracle/admin/ORCL/adumpaudit_sys_operationsbooleanFALSEaudit_syslog_levelstringaudit_trailstringNONESQL> alter system set audit_sys_oper

9、ations=TRUE scope二spfile;-審計管理用戶（以sysdba/sysoper角色登陸）SQL> alter system set audit_trail=db_extended scope二spfile;SQL> startup force;SQL> show parameter auditNAMETYPEVALUEstringaudit_fi1e_de st/uO1/app/oracle/admin/ORCL/adumpaud it _sys_ope:rationsbooleanTRUEaudit_syslog_levelstringaudit_trai

10、lstringDB EXTENDED、開始審計sqlplus / as sysdba一記錄對一個表的所有操作SQL> audit all on t_test:SQL> conn u_testSQL> select * from t_test:SQL> insert into (c2, c5) values (' tes2');SQL> commit;SQL> delete from ;SQL> commit;SQL> conn /as sysdbaSQL> selectOS_USERNAME, username, USERH

11、OST, TERMINAL, TIMESTAMP, OWNER, obj_name,ACTION_NAME, sessionid, os_process, sql_bind, sql_text from dba_audit_trail;sql> audit select table by u_test by access:如果在命令后面添加by user則只對user的操作進行審計，如果省去by 用戶，則對系統(tǒng)中所有的用戶進行審計(不包含sys用戶).例：AUDIT DELETE ANY TABLE;審計刪除表的操作AUDIT DELETE ANY TABLE WHENEVER NOT

12、SUCCESSFUL;-只審計刪除失敗的情況AUDIT DELETE ANY TABLE WHENEVER SUCCESSFUL; 只審計刪除成功 的情況AUDIT DELETE, UPDATE, INSERT ON by test; 審計 test 用戶對表的 delete, up da te, inser t 操作、撤銷審計SQL> noaudit all on t_test;9、審計語句多層環(huán)境下的審計：appserve-應(yīng)用服務(wù)器，jackson-clientAUDIT SELECT TABLE BY appserve ON BEHALF OF jackson;審計連接或斷開連接

13、：AUDIT SESSION;AUDIT SESSION BY jeff, lori; 指定用戶審計權(quán)限（使用該權(quán)限才能執(zhí)行的操作）:AUDIT DELETE ANY TABLE BY ACCESS WHENEVER NOT SUCCESSFUL:AUDIT DELETE ANY TABLE;AUDIT SELECT TABLE, INSERT TABLE, DELETE TABLE, EXECUTE PROCEDUREBY ACCESS WHENEVER NOT SUCCESSFUL:對象審計:AUDIT DELETE ON ;AUDIT SELECT, INSERT, DELETE ON

14、BY ACCESS WHENEVER SUCCESSFUL;取消審計：NOAUDIT session;NOAUDIT session BY jeff, lori;NOAUDIT DELETE ANY TABLE:NOAUDIT SELECT TABLE, INSERT TABLE, DELETE TABLE, EXECUTE PROCEDURE:NOAUDIT ALL; 取消所有 statement 審計NOAUDIT ALL PRIVILEGES; 取消所有權(quán)限審計NOAUDIT ALL ON DEFAULT; 取消所有對象審計10、清除審計信息DELETE FROM $;DELETE FR

15、OM $ WHERE obj$name=，EMP'11審計視圖STMT_AUD I T_OPTI ON_MAP審計選項類型代碼AUDIT_ACTIONS action 代碼ALL DEF AUDIT OPTS 對象創(chuàng)建時默認(rèn)的對象審計選項當(dāng)前數(shù)據(jù)庫系統(tǒng)審計選項權(quán)限審計選項DBA_STMT_AUDIT_OPTSDBA_PRIV_AUDIT_OPTSDBA_OBJ_AUDIT_OPTSUSER_OBJ_AUDIT_OPTS;-對象審計選項DBA_AUDIT_TRAILUSER_Al'DIT_TRAIL 審計記錄DBA_AUDIT_OBJECTUSER_AUDIT_OBJECT 審計對象列表DBA_AUDIT_SESSIONUSER_AUDIT_SESSION session 審計DBA_AUDIT_STATEMENTUSER_AUDIT_STATEMENT 語句審計DBA_AUDIT_EXISTS 使用 BY AUDIT NOT EXISTS 選項的審計DBA_AUDIT_POLICIES 審計 POLICIESDBA_COMMON_AUD I T