关于oracle审计功能操作
2013-04-13 18:17
447 查看
关于oracle审计功能
oracle的审计功能,首先审计的信息可以放在os中,也可以放在数据库中。比较好管理业比较全面的是存放在数据库中。
一下直说数据库中的形式。
审计信息主要就是一张表sys下的aud$
开启审计后,我们可以根据一些试图查看审计信息,但基本都是aud$的内容。
1,开启审计:
show parameter audit
alter system set audit_trail = DB_EXTENDED; --详细审计
注意,如果audit_trail=db,不记录SQL_BIND和SQL_TEXT
DB:将审计结果放在数据库表中,aud$,通常只记录连接的信息.
DB_EXTENDED:将审计结果放在数据库表中,记录具体执行语句
OS:将审计结果记录在操作系统文件中,文件位置由audit_file_dest参数指定,(windows系统中将直接在事件查看器的系统日志中记录)
XML:将审计结果记录在audit_file_dest指定位置下的XML文件中。
2,重启数据库实例
startup force
3,指定审计内容
1. 对表的审计:可以单独对表的create,alter进行审计,如果要对drop操作进行审计需要对表加audit table(该命令包含有create table,drop table,truncate table).
2. 对视图的审计:可以单独对视图的create进行审计,如果要对drop操作进行审计需要对视图加audit view(该命令包含有create view,drop view).
3. 对程序包的审计:可以对包(函数,存储过程等)的create进行审计,如果需要对drop操作进行审计需要加audit procedure(该命令对CREATE FUNCTION, CREATE LIBRARY , CREATE PACKAGE, CREATE PACKAGE BODY, CREATE PROCEDURE, DROP FUNCTION, DROP LIBRARY, DROP PACKAGE, DROP PROCEDURE进行审计)
4. 对用户的审计:可以通过audit user(该命令包含 create user,alter user,drop user)进行审计,
例如要审计scott账户的所有操作
audit all by scott;
4,查看都有哪些内容被审计
select * from dba_priv_audit_opts --where owner_name='SCOTT';
select * from dba_stmt_audit_opts
select * from dba_obj_audit_opts
1. 对表的审计:可以单独对表的create,alter进行审计,如果要对drop操作进行审计需要对表加audit table(该命令包含有create table,drop table,truncate table).[/b]
2. 对视图的审计:可以单独对视图的create进行审计,如果要对drop操作进行审计需要对视图加audit view(该命令包含有create view,drop view).[/b]
3. 对程序包的审计:可以对包(函数,存储过程等)的create进行审计,如果需要对drop操作进行审计需要加audit procedure(该命令对CREATE FUNCTION, CREATE LIBRARY , CREATE PACKAGE, CREATE PACKAGE BODY, CREATE PROCEDURE, DROP FUNCTION, DROP LIBRARY, DROP PACKAGE, DROP PROCEDURE进行审计)[/b]
4. 对用户的审计:可以通过audit user(该命令包含 create user,alter user,drop user)进行审计,[/b]
[/b]
DBA_AUDIT_TRAIL 列出所有审计跟踪条目[/b]
USER_AUDIT_TRAIL USER视图显示与当前用户有关的审计跟踪条目[/b]
5,查看审计信息
select * from dba_audit_trail where owner = 'SCOTT' order by timestamp;
视图说明:
1. SYS.AUD$
审计功能的底层视图,如果需要对数据进行删除,只需要对aud$视图进行删除既可,其他视图里的数据都是由aud$所得.
2. DBA_AUDIT_EXISTS
列出audit not exists和audit exists产生的审计跟踪,我们默认的都是audit exists.
3. DBA_AUDIT_TRAIL
可以在里面查处所有审计所跟踪的信息.
4. DBA_AUDIT_OBJECT
可以查询所有对象跟踪信息.(例如,对grant,revoke等不记录),信息完全包含于dba_audit_trail
5. DBA_AUDIT_SESSION
所得到的数据都是有关logon或者logoff的信息.
6. DBA_AUDIT_STATEMENT
列出grant ,revoke ,audit ,noaudit ,alter system语句的审计跟踪信息.
7. DBA_PRIV_AUDIT_OPTS
通过系统和由用户审计的当前系统特权
8. DBA_OBJ_AUDIT_OPTS
可以查询到所有用户所有对象的设计选项
9. ALL_DEF_AUDIT_OPTS
10. AUDIT_ACTIONS
可以查询出在aud$等视图中actions列的含义
11. SYSTEM_PRIVILEGE_MAP
可以查询出aud$等视图中priv$used列的含义(注意前面加'-')[/b]
6 ,取消审计
全部取消是
noaudit all;
如果取消单独的可以根据上面4条查看有上面权限直接noaudit 即可。
如:noaudit create session by user scott;
取消对SC表的一切审计可使用如下语句:
NOAUDIT ALL ON SC;
noaudit取消审计的操作对已经连接着的session无用,但新开的session将不再审计。
-- 取消所有statement审计
NOAUDIT ALL;
-- 取消所有权限审计
NOAUDIT ALL PRIVILEGES;
-- 取消所有对象审计
NOAUDIT ALL ON DEFAULT;
7,关闭审计
SQL> alter system set audit_trail=none scope=spfile;
.audit_sys_operations:是否对sysdba用户做审计 ,关于sysdba用户审计的结果,linux存放在audit_file_dest参数指定位置的aud文件中,windows存放在事件查看器的系统日志中
问题1:
确认审计相关的表是否已经安装
SQLPLUS> connect / AS SYSDBA
SQLPLUS> select * from sys.aud$; -- 没有记录返回
SQLPLUS> select * from dba_audit_trail; -- 没有记录返回
如果做上述查询的时候发现表不存在,说明审计相关的表还没有安装,需要安装。
SQLPLUS> connect / as sysdba
SQLPLUS> @$ORACLE_HOME/rdbms/admin/cataudit.sql
问题2:
将审计相关的表移动到其他表空间:
由于AUD$表等审计相关的表存放在SYSTEM表空间,因此为了不影响系统的性能,保护SYSTEM表空间,最好把AUD$移动到其他的表空间上。可以使用下面的语句来进行移动:
sql>connect / as sysdba;
sql>alter table aud$ move tablespace <new tablespace>;
sql>alter index I_aud1 rebuild online tablespace <new tablespace>;
SQL> alter table audit$ move tablespace <new tablespace>;
SQL> alter index i_audit rebuild online tablespace <new tablespace>;
SQL> alter table audit_actions move tablespace <new tablespace>;
SQL> alter index i_audit_actions rebuild online tablespace <new tablespace>;
问题3:
audit的审计信息保留时间
(默认一直保留)
手动清理:
How to truncate or delete rows from audit trail table sys.aud$
1)Only appropriate privileged user can do delete operation on SYS.AUD$ table. The user must have either of the following privileges.
-SYS user.
-DELETE ANY TABLE system privilege. (If O7_DICTIONARY_ACCESSIBILITY=TRUE)
-A user to whom SYS has granted the object privilege DELETE on SYS.AUD$ table.
2)Before deleting any rows you may want to archive the table. You can achive this by creating a table from SYS.AUD$ and export that. Don't export SYS.AUD$ directly.
SQL>CREATE TABLE AUDIT_RECORD TABLESPACE users as select * from SYS.AUD$;
Now export the table as,
SQL> host exp tables=AUDIT_RECORD file=audit_record.dmp
3)To delete all records from audit trail table SYS.AUD$ issue,
SQL>DELETE FROM SYS.AUD$;
To delete all records of particular audited table from the audit trail issue,
SQL>DELETE FROM sys.aud$ WHERE obj$name='&table_nmae';
But deleting in this way will not reduce size on the system tablespace or aud$ table. In order to reduce size follow section 4.
4)Truncate audit table to reduce size.
SQL>CONN / as sysdba
SQL>TRUNCATE TABLE SYS.AUD$
自动清理:
1.创建清理aud$表procedure:
create or replace procedure clear_aud
as
begin
delete aud$ where ntimestamp# <trunc(sysdate,'HH')- 1/24;
commit;
exception when others then
rollback;
end;
2.创建清理AUD$表JOB:
Variable job number ;
begin
dbms_job.submit(:job, 'clear_aud;' ,trunc( sysdate + 1 / 24 , 'hh24' ), 'trunc(sysdate+1/24,''hh24'')' );
commit ;
end ;
/
问题4:
查找AUD$表大小
select OWNER,SEGMENT_NAME,SEGMENT_TYPE,TABLESPACE_NAME,BYTES/1024/1024 MB from dba_segments where SEGMENT_TYPE='TABLE' and SEGMENT_NAME='AUD$';
oracle的审计功能,首先审计的信息可以放在os中,也可以放在数据库中。比较好管理业比较全面的是存放在数据库中。
一下直说数据库中的形式。
审计信息主要就是一张表sys下的aud$
开启审计后,我们可以根据一些试图查看审计信息,但基本都是aud$的内容。
1,开启审计:
show parameter audit
alter system set audit_trail = DB_EXTENDED; --详细审计
注意,如果audit_trail=db,不记录SQL_BIND和SQL_TEXT
DB:将审计结果放在数据库表中,aud$,通常只记录连接的信息.
DB_EXTENDED:将审计结果放在数据库表中,记录具体执行语句
OS:将审计结果记录在操作系统文件中,文件位置由audit_file_dest参数指定,(windows系统中将直接在事件查看器的系统日志中记录)
XML:将审计结果记录在audit_file_dest指定位置下的XML文件中。
2,重启数据库实例
startup force
3,指定审计内容
1. 对表的审计:可以单独对表的create,alter进行审计,如果要对drop操作进行审计需要对表加audit table(该命令包含有create table,drop table,truncate table).
2. 对视图的审计:可以单独对视图的create进行审计,如果要对drop操作进行审计需要对视图加audit view(该命令包含有create view,drop view).
3. 对程序包的审计:可以对包(函数,存储过程等)的create进行审计,如果需要对drop操作进行审计需要加audit procedure(该命令对CREATE FUNCTION, CREATE LIBRARY , CREATE PACKAGE, CREATE PACKAGE BODY, CREATE PROCEDURE, DROP FUNCTION, DROP LIBRARY, DROP PACKAGE, DROP PROCEDURE进行审计)
4. 对用户的审计:可以通过audit user(该命令包含 create user,alter user,drop user)进行审计,
例如要审计scott账户的所有操作
audit all by scott;
4,查看都有哪些内容被审计
select * from dba_priv_audit_opts --where owner_name='SCOTT';
select * from dba_stmt_audit_opts
select * from dba_obj_audit_opts
1. 对表的审计:可以单独对表的create,alter进行审计,如果要对drop操作进行审计需要对表加audit table(该命令包含有create table,drop table,truncate table).[/b]
2. 对视图的审计:可以单独对视图的create进行审计,如果要对drop操作进行审计需要对视图加audit view(该命令包含有create view,drop view).[/b]
3. 对程序包的审计:可以对包(函数,存储过程等)的create进行审计,如果需要对drop操作进行审计需要加audit procedure(该命令对CREATE FUNCTION, CREATE LIBRARY , CREATE PACKAGE, CREATE PACKAGE BODY, CREATE PROCEDURE, DROP FUNCTION, DROP LIBRARY, DROP PACKAGE, DROP PROCEDURE进行审计)[/b]
4. 对用户的审计:可以通过audit user(该命令包含 create user,alter user,drop user)进行审计,[/b]
[/b]
DBA_AUDIT_TRAIL 列出所有审计跟踪条目[/b]
USER_AUDIT_TRAIL USER视图显示与当前用户有关的审计跟踪条目[/b]
5,查看审计信息
select * from dba_audit_trail where owner = 'SCOTT' order by timestamp;
视图说明:
1. SYS.AUD$
审计功能的底层视图,如果需要对数据进行删除,只需要对aud$视图进行删除既可,其他视图里的数据都是由aud$所得.
2. DBA_AUDIT_EXISTS
列出audit not exists和audit exists产生的审计跟踪,我们默认的都是audit exists.
3. DBA_AUDIT_TRAIL
可以在里面查处所有审计所跟踪的信息.
4. DBA_AUDIT_OBJECT
可以查询所有对象跟踪信息.(例如,对grant,revoke等不记录),信息完全包含于dba_audit_trail
5. DBA_AUDIT_SESSION
所得到的数据都是有关logon或者logoff的信息.
6. DBA_AUDIT_STATEMENT
列出grant ,revoke ,audit ,noaudit ,alter system语句的审计跟踪信息.
7. DBA_PRIV_AUDIT_OPTS
通过系统和由用户审计的当前系统特权
8. DBA_OBJ_AUDIT_OPTS
可以查询到所有用户所有对象的设计选项
9. ALL_DEF_AUDIT_OPTS
10. AUDIT_ACTIONS
可以查询出在aud$等视图中actions列的含义
11. SYSTEM_PRIVILEGE_MAP
可以查询出aud$等视图中priv$used列的含义(注意前面加'-')[/b]
6 ,取消审计
全部取消是
noaudit all;
如果取消单独的可以根据上面4条查看有上面权限直接noaudit 即可。
如:noaudit create session by user scott;
取消对SC表的一切审计可使用如下语句:
NOAUDIT ALL ON SC;
noaudit取消审计的操作对已经连接着的session无用,但新开的session将不再审计。
-- 取消所有statement审计
NOAUDIT ALL;
-- 取消所有权限审计
NOAUDIT ALL PRIVILEGES;
-- 取消所有对象审计
NOAUDIT ALL ON DEFAULT;
7,关闭审计
SQL> alter system set audit_trail=none scope=spfile;
.audit_sys_operations:是否对sysdba用户做审计 ,关于sysdba用户审计的结果,linux存放在audit_file_dest参数指定位置的aud文件中,windows存放在事件查看器的系统日志中
问题1:
确认审计相关的表是否已经安装
SQLPLUS> connect / AS SYSDBA
SQLPLUS> select * from sys.aud$; -- 没有记录返回
SQLPLUS> select * from dba_audit_trail; -- 没有记录返回
如果做上述查询的时候发现表不存在,说明审计相关的表还没有安装,需要安装。
SQLPLUS> connect / as sysdba
SQLPLUS> @$ORACLE_HOME/rdbms/admin/cataudit.sql
问题2:
将审计相关的表移动到其他表空间:
由于AUD$表等审计相关的表存放在SYSTEM表空间,因此为了不影响系统的性能,保护SYSTEM表空间,最好把AUD$移动到其他的表空间上。可以使用下面的语句来进行移动:
sql>connect / as sysdba;
sql>alter table aud$ move tablespace <new tablespace>;
sql>alter index I_aud1 rebuild online tablespace <new tablespace>;
SQL> alter table audit$ move tablespace <new tablespace>;
SQL> alter index i_audit rebuild online tablespace <new tablespace>;
SQL> alter table audit_actions move tablespace <new tablespace>;
SQL> alter index i_audit_actions rebuild online tablespace <new tablespace>;
问题3:
audit的审计信息保留时间
(默认一直保留)
手动清理:
How to truncate or delete rows from audit trail table sys.aud$
1)Only appropriate privileged user can do delete operation on SYS.AUD$ table. The user must have either of the following privileges.
-SYS user.
-DELETE ANY TABLE system privilege. (If O7_DICTIONARY_ACCESSIBILITY=TRUE)
-A user to whom SYS has granted the object privilege DELETE on SYS.AUD$ table.
2)Before deleting any rows you may want to archive the table. You can achive this by creating a table from SYS.AUD$ and export that. Don't export SYS.AUD$ directly.
SQL>CREATE TABLE AUDIT_RECORD TABLESPACE users as select * from SYS.AUD$;
Now export the table as,
SQL> host exp tables=AUDIT_RECORD file=audit_record.dmp
3)To delete all records from audit trail table SYS.AUD$ issue,
SQL>DELETE FROM SYS.AUD$;
To delete all records of particular audited table from the audit trail issue,
SQL>DELETE FROM sys.aud$ WHERE obj$name='&table_nmae';
But deleting in this way will not reduce size on the system tablespace or aud$ table. In order to reduce size follow section 4.
4)Truncate audit table to reduce size.
SQL>CONN / as sysdba
SQL>TRUNCATE TABLE SYS.AUD$
自动清理:
1.创建清理aud$表procedure:
create or replace procedure clear_aud
as
begin
delete aud$ where ntimestamp# <trunc(sysdate,'HH')- 1/24;
commit;
exception when others then
rollback;
end;
2.创建清理AUD$表JOB:
Variable job number ;
begin
dbms_job.submit(:job, 'clear_aud;' ,trunc( sysdate + 1 / 24 , 'hh24' ), 'trunc(sysdate+1/24,''hh24'')' );
commit ;
end ;
/
问题4:
查找AUD$表大小
select OWNER,SEGMENT_NAME,SEGMENT_TYPE,TABLESPACE_NAME,BYTES/1024/1024 MB from dba_segments where SEGMENT_TYPE='TABLE' and SEGMENT_NAME='AUD$';
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 利用Oracle审计功能记录数据库操作
- 应用ORACLE 10G以上细粒度审计功能实现操作审计
- 应用ORACLE 10G以上细粒度审计功能实现操作审计
- 使用Oracle的审计功能监控数据库中的可疑操作
- 使用Oracle的审计功能监控数据库中的可疑操作
- oracle关于时间/日期的操作
- 关于activiti流程通过、驳回、会签、转办、中止、挂起等核心操作功能的封装
- Mysql对用户操作加审计功能——初级版
- 关于Oracle数据导入导出的一些操作
- Oracle关于时间/日期的操作
- [ Activiti ] 关于activiti流程通过、驳回、会签、转办、中止、挂起等核心操作功能的封装
- 关于asp.net操作oracle BLOB
- 关于ORACLE COMMIT操作的详解
- Oracle关于时间/日期的操作
- Oracle 11g 发行版2 新安装后关于登录的一些基本操作
- Oracle 10g Audit(审计) --- 记录登录用户在Oracle中的所有操作(转)
- Oracle关于时间/日期的操作
- Oracle关于时间/日期的操作
- Oracle审计功能开启导致SYSTEM表空间不足
- Oracle审计功能