ITPub博客

首页 > Linux操作系统 > Linux操作系统 > how_to_Secure_and_Audit_Oracle(1)

how_to_Secure_and_Audit_Oracle(1)

原创 Linux操作系统 作者:ilsyx 时间:2011-08-17 12:40:30 0 删除 编辑
由于工作需要,最近看了审计的相关内容,在网上找了大堆的资料,但大都没有详细的记录审计操作步聚.看过下面这本书后,对审计的功用有了大体的了解,因此把此书部分内容写出,方便自己也方便他人.
HOWTO Secure and Audit Oracle 10g and 11g
Ron Ben Natan
Foreword by Pete Finnigan
1.Standard Auditing
支持审计功能需要设置 AUDIT_TRAIL 初始化参数. AUDIT_TRAIL为静态参数,设置后需要重启数据库.
参数设置值参考: AUDIT_TRAIL = { none | os | db | db,extended | xml | xml,extended }
 none: 关闭审计功能. 
 os: 开启审计功能并记录所有审计信息到操作系统文件.
 db: 开启审计功能并记录所有审计信息到数据库(SYS.AUD$表中)
 db,extended: 开启审计功能并记录所有审计信息到数据库,附加的记录sql信息到SYS.AUD$表的SQLBIND和SQLTEXT这两列中.
 xml: 开启审计功能并记录所有审计信息到XML格式的系统文件中.
 xml,extended: 开启审计功能并记录所有审计信息到XML格式的系统文件中,包括SqlText和SqlBind列.
从 分开的职责看,用系统文件记录比较好. DB 与 DB_EXTENDED 不同的地方是 DB_EXTENDED 可以得到每个审计记录 的 SQL text 和 绑定变量值.DB 可以审计执行的命令但是不能得到全部信息.同理,XML 和 XML_EXTENDED的区别也一 样. OS , XML , XML_EXTENDED 都是记录审计记录到OS文件,不同的是 OS 记录的信息不是XML格式而是一种text格式.
向下面列出的一样,设置 AUDIT_TRAIL=db 然后审计 SCOTT.EMP 的所有活动:
SQL> alter system set audit_trail=db scope=spfile;
System altered.
SQL> shutdown immediate;
Database closed.
Database dismounted.
ORACLE instance shut down.
SQL> startup
ORACLE instance started.
Total System Global Area 2097152000 bytes
Fixed Size 1979968 bytes
Variable Size 1124075968 bytes
Database Buffers 956301312 bytes
Redo Buffers 14794752 bytes
Database mounted.
Database opened.
SQL> audit all on scott.emp by access;
Audit succeeded.
现在不必担心审计语法,我们会在后面讨论.现在执行一些有关此表的操作:
SQL> update emp set sal=sal*0.95 where job='MANAGER';
3 rows updated.
我们会在审计记录中得到下面信息:
select username, owner, obj_name, action_name, sql_text from dba_audit_trail
USERNAME OW NER OBJ_NAME ACTION_NAME SQL_TEXT
---------- ------- ---------- ------------------ -----------
SCOTT S COTT EMP UPDATE (null)
如果设置AUDIT_TRAIL=db,extended然后重启库
SQL> alter system set audit_trail=db,extended scope=spfile;
System altered.
相同的操作会有下面的记录:
select username, owner, obj_name, action_name, sql_text from dba_audit_trail
USERNAME OW NER OBJ_NAME ACTION_NAME SQL_TEXT
----------- -------- ------------ --------------- ------------
SCOTT SCOTT EMP UPDATE update emp set
sal=sal*0.95 where job='MANAGER'
你也可以使用下面的语法:
SQL> alter system set audit_trail='db','extended' scope=spfile;
System altered.
或者
SQL> alter system set audit_trail=db,extended scope=spfile;
System altered.
但是不能使用 'db,extended' 
SQL> alter system set audit_trail='db,extended' scope=spfile;
alter system set audit_trail='db,extended' scope=spfile
*
ERROR at line 1:
ORA-00096: invalid value xml,extended for parameter audit_trail, must be from
among extended, xml, db_extended, false, true, none, os, db
操作系统审计跟踪
设置 AUDIT_TRAIL=OS ,然后重启数据库
SQL> alter system set audit_trail='os' scope = spfile;
System altered.
审计记录会记录到adump目录然后每一个审计文件会类似下面的格式(Unix):
[oracle10@rh4u2x32p adump]$ cat ora_19158.aud
Audit file /home/oracle10/admin/on0r4231/adump/ora_19158.aud
Oracle Database 10 g Enterprise Edition Release 10.2.0.1.0 - Production
With the Partitioning, OLAP and Data Mining options
ORACLE_HOME = /home/oracle10/oracle/product/10.2.0/db_1
System name: Linux
Node name: rh4u2x32p
Release: 2 .6.9-22.ELsmp
Version: #1 SMP Mon Sep 19 18:32:14 EDT 2005
Machine: i 686
Instance name: on0r4231
Redo thread mounted by this instance: 1
Oracle process number: 15
Unix process pid: 19158, image: oracle@rh4u2x32p (TNS V1-V3)
Wed Mar 5 22:24:03 2008
SESSIONID: "360568" ENTRYID: "1" STATEMENT: "1" USERID: "SCOTT" USERHOST: "rh4u2x32p"
TERMINAL: "pts/4" ACTION: "100" RETURNCODE: "0" COMMENT$TEXT: "Authenticated by:
DATABASE" OS$USERID: "oracle10" PRIV$USED: 5
Wed Mar 5 22:24:10 2008
SESSIONID: "360568" ENTRYID: "2" STATEMENT: "7" USERID: "SCOTT" USERHOST: "rh4u2x32p"
TERMINAL: "pts/4" ACTION: "6" RETURNCODE: "0" OBJ$CREATOR: "SCOTT" OBJ$NAME: "EMP"
OS$USERID: "oracle10"
Wed Mar 5 22:24:12 2008
SESSIONID: "360568" ENTRYID: "1" ACTION: "101" RETURNCODE: "0" LOGOFF$PREAD: "28"
LOGOFF$LREAD: "287" LOGOFF$LWRITE: "18" LOGOFF$DEAD: "0" SESSIONCPU: "13"
待续 : )

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/11780477/viewspace-705101/,如需转载,请注明出处,否则将追究法律责任。

上一篇: oracle10g solaris
请登录后发表评论 登录
全部评论

注册时间:2009-06-12

  • 博文量
    196
  • 访问量
    608657