审计功能介绍
审计是对选定的用户动作的监控和记录。
审计(audit)用于监视用户所执行的数据库操作,审计记录可存在数据字典表( 称为审计记录:01.存储在system表空间中的 sys.aud$表中,可通过视图dba_audit_trail查看。) 或操作系统审计记录中( 02.默认位置为$oracle_base/admin/$oracle_sid/adump/)。
10G:默认情况下审计是没有开启的。
11gR2+:默认情况下审计是开启的。
例如:数据被非授权用户所删除,此时安全管理员可决定对该数据库的所有连接进行审计,以及对数据库的所有表的成功地或不成功地删除进行审计。
审计语句的成功执行、不成功执行,或者其两者。 对每一用户会话审计语句执行一次或者对语句每次执行审计一次。
对全部用户或指定用户的活动的审计。 但有些功能不管开不开审计,都是会被记录的:
用管理员权限连接instance;
启动数据库;
关闭数据库。
审计相关的参数与视图
audit_sys_operations
默认为 false ,当设置为 true 时,所有 sys 用户(包括以 sysdba, sysoper 身份登录的用户)的操作都会被记录。
audit trail不会写在aud$表中,这个很好理解,如果数据库还未启动,aud$ 不可用,那么像 conn /as sysdba 这样的连接信息,只能记录在其它地方。
如果是 windows 平台,audti trail 会记录在 windows 的事件管理中;
如果是 linux/unix 平台则会记录在 audit_file_dest 参数指定的文件中。
SQL> show parameter audit_sys_operations;
SQL> show parameter audit_file_dest;
audit_trail
none:是默认值,不做审计;
db:将audit trail 记录在数据库的审计相关表中,如aud$,审计的结果只有连接信息;
db,extended:这样审计结果里面除了连接信息还包含了当时执行的具体语句;
os:将audit trail 记录在操作系统文件中,文件名由audit_file_dest参数指定;
xml:10g里新增的。
SQL> show parameter audit_trail;
注:audit_sys_operations、audit_trail这两个参数是static参数,需要重新启动数据库才能生效。
审计相关的视图
dba_audit_trail:
保存所有的 audit trail,实际上它只是一个基于 aud$ 的视图。其它的视图 dba_audit_session、dba_audit_object、dba_audit_statement 都只是 dba_audit_trail 的一个子集。
dba_stmt_audit_opts:
可以用来查看 statement 审计级别的 audit options,即数据库设置过哪些 statement 级别的审计。
dba_obj_audit_opts、dba_priv_audit_opts 视图功能与之类似。
all_def_audit_opts:
用来查看数据库用on default子句设置了哪些默认对象审计。
审计级别
当开启审计功能后,可在三个级别对数据库进行审计:statement(语句)、privilege(权限)、object(对象)。
statement:
语句审计,对某种类型的sql语句审计,不指定结构或对象。比如 audit table 会审计数据库中所有的 create table,drop table,truncate table 语句,alter session by scott 会审计 scott 用户所有的数据库连接。
privilege:
权限审计,当用户使用了该权限则被审计,如执行grant select any table to scott,当执行了audit select any table语句后,当用户 scott 访问了用户 test 的表时(如 select * from test.table )会用到 select any table 权限,故会被审计。注意表的 owner 访问自己的表不会被审计。
object:
对象审计,对一特殊模式对象上的指定语句的审计. 如审计 on 关键字指定对象的相关操作,如aduit alter,delete,drop,insert on test.table by scott; 这里会对 test 用户的 table 表进行审计,但同时使用了 by 子句,所以只会对 scott 用户发起的操作进行审计。
注意: oracle 没有提供对 schema 中所有对象的审计功能,只能一个一个对象审计,对于后面创建的对象,oracle则提供 on default 子句来实现自动审计,比如执行 audit drop on defaultby access; 后,对于随后创建的对象的 drop 操作都会审计。但这个 default 会对之后创建的所有数据库对象有效,似乎没办法指定只对某个用户创建的对象有效,想比 trigger 可以对 schema 的 ddl 进行“审计”,这个功能稍显不足。
审计选项:by access / by session
by access:每一个被审计的操作都会生成一条 audit trail。
by session:一个会话里面同类型的操作只会生成一条 audit trail,默认为 by session。
whenever [not] successful
whenever successful 操作成功( dba_audit_trail 中 returncode 字段为0) 才审计;
whenever not successful 反之,省略该子句的话,不管操作成功与否都会审计。
审计的细粒度
fine-grained auditing(FGA) 细粒度审计
细粒度审计( FGA ):精细审计,是在 Oracle 9i 中引入的,能够记录 scn 号和行级的更改以重建旧的数据,但是它们只能用于 select 语句,而不能用于 DML,如 update 、 insert 和delete 语句。
因此,对于 Oracle 数据库 10g 之前的版本,使用触发器虽然对于以行级跟踪用户初始的更改是没有吸引力的选择,但它也是唯一可靠的方法。
10G 之后版本可以 audit 所有 DML。FGA 的实现基于 DBMS_FGA 包。它属于 sys 用户。
FGA 策略的定义位于数据字典视图 dba_audit_policies 中。
审计线索收集在 sys 拥有的表 fga_log$ 中
对于 sys 拥有的任何原始表,此表上的某些视图以对用户友好的方式显示信息。
dba_fga_audit_trail 是该表上的一个视图。