合 Oracle中的审计以及登陆登出、DDL触发器记录表审计等
- 什么是审计(Audit)?
- 启用审计
- 数据字典
- 迁移SYS.AUD$表
- 授予审计权限
- 审计的分类
- 基于值的审计
- 审计中BY ACCESS和BY SESSION的区别是什么?
- 如何对SYSDBA和SYSOPER进行审计?
- 什么是细粒度审计?
- 如何禁用或删除某个用户下的所有细粒度审计?
- FGA审计和标准审计有什么区别?
- 示例1:对lhr.t1表做DELETE审计
- 标准审计
- FGA细粒度审计(推荐)
- 触发器(不推荐)
- 示例2:如何监控数据库的登陆登出、DDL语句等内容?
- 示例3:在Oracle中,怎么捕获整个数据库的DDL语句或者是说捕获对象结构变化与修改?
- 示例4:怎么捕获用户登录信息,如SID,IP地址等?
- 示例5:怎么捕获表上的DML语句?
- 报错:ORA_SQL_TXT函数报错ORA-06502: PL/SQL: numeric or value error
- 总结
什么是审计(Audit)?
审计(Audit)用于监视用户所执行的数据库操作,审计信息可存储于数据字典表,称为审计记录。审计记录存储在SYSTEM表空间中的SYS.AUD$表中,可通过视图DBA_AUDIT_TRAIL查看。审计记录也可以存储在操作系统文件中(默认位置为$ORACLE_BASE/admin/$ORACLE_SID/adump/)。若审计表不存在,则可以通过脚本$ORACLE_HOME/rdbms/admin/cataudit.sql
来创建。
审计的内容主要包括对数据库连接、SQL语句执行以及数据库对象访问等操作的跟踪记录。Oracle系统对任何用户所做的登录、操作数据库对象进行自动记录,以便使DBA在事后可以进行监督和检查。
启用审计
Oracle 11g默认启用审计,AUDIT_TRAIL参数的缺省值为DB,这意味着审计数据将记录在数据库中的AUD$审计字典基表上。
1 2 3 4 | SQL> SHOW PARAMETER AUDIT_TRAIL NAME TYPE VALUE ------------------------------------ ----------- ------------------------------ audit_trail string DB |
初始化参数AUDIT_TRAIL用于控制数据库审计,取值说明如下所示:
- NONE:禁用数据库审计。
- OS:启用数据库审计,并将数据库审计记录写入操作系统文件中。
- DB:启用数据库审计,并将数据库所有审计记录写入数据库的SYS.AUD$表。
- db_extended:启用数据库审计,并将数据库所有审计记录写入数据库的SYS.AUD$表。另外,填充SYS.AUD$表的SQLBIND列和SQLTEXT列。
- XML:启用数据库审计,并将所有记录写到XML格式的操作系统文件中。
- XML,EXTENDED:启用数据库审计,填充审计记录的所有列,包括SQLTEXT和SQLBIND的值。
数据字典
有关数据库审计的一些数据字典视图如下所示:
1 2 3 4 5 6 7 8 9 10 | SELECT * FROM DBA_PRIV_AUDIT_OPTS; SELECT * FROM DBA_STMT_AUDIT_OPTS; SELECT * FROM DBA_OBJ_AUDIT_OPTS; SELECT * FROM DBA_FGA_AUDIT_TRAIL; SELECT * FROM DBA_AUDIT_OBJECT; SELECT * FROM DBA_AUDIT_SESSION; SELECT * FROM SYS.AUD$; SELECT * FROM DBA_AUDIT_TRAIL; SELECT * FROM ALL_DEF_AUDIT_OPTS; SELECT * FROM DBA_AUDIT_POLICIES; |
有关审计的数据字典视图介绍:
名称 | 说明 |
---|---|
SYS.AUD$ | 唯一保留审计结果的表,其它均为视图。 |
STMT_AUDIT_OPTION_MAP | 包含有关审计选项类型代码的信息,由SQL.BSQ脚本在CREATE DATABASE时创建。 |
AUDIT_ACTIONS | 包含审计跟踪动作类型代码的描述,例如INSERT、DROP VIEW、DELETE、LOGON和LOCK。 |
ALL_DEF_AUDIT_OPTS | 包含默认对象审计选项。 |
USER_OBJ_AUDIT_OPTS | 描述当前用户拥有的所有对象上的审计选项。 |
DBA_AUDIT_TRAIL | 包含标准审计跟踪条目,USER_AUDIT_TRAIL只包含已连接用户的审计行。 |
USER_AUDIT_TRAIL | 显示与当前用户有关的审计跟踪条目。 |
DBA_AUDIT_OBJECT | 包含系统中所有对象的审计跟踪记录。 |
DBA_AUDIT_SESSION | 列出涉及CONNECT和DISCONNECT的所有审计记录。 |
USER_AUDIT_SESSION | 列出涉及当前用户的CONNECT和DISCONNECT的所有审计跟踪记录。 |
DBA_AUDIT_STATEMENT | 列出涉及数据库全部的GRANT、REVOKE、AUDIT、NOAUDIT和ALTER SYSTEM语句的审计跟踪记录。 |
DBA_AUDIT_EXISTS | 列出BY AUDIT NOT EXISTS产生的审计跟踪条目。 |
DBA_AUDIT_POLICIES | 记录了数据库中的细粒度审计策略定义。 |
DBA_FGA_AUDIT_TRAIL | 列出基于值的审计跟踪记录。 |
DBA_STMT_AUDIT_OPTS | 对语句生效的审计选项。 |
DBA_PRIV_AUDIT_OPTS | 对系统权限生效的审计选项。 |
DBA_OBJ_AUDIT_OPTS | 对数据库生效的审计选项。 |
迁移SYS.AUD$表
在日常的数据库维护中,经常出现SYSTEM表空间被撑满,在绝大多数情况下是因为数据库登录审计的功能被启动了,此时一般建议把SYS.AUD$相关对象迁移到其它表空间,从而避免SYSTEM被用完的风险。
在Oracle 11g之前迁移方法如下所示:
1 2 3 4 5 6 7 | ALTER TABLE SYS.AUDIT$ MOVE TABLESPACE USERS; ALTER TABLE SYS.AUDIT_ACTIONS MOVE TABLESPACE USERS; ALTER TABLE SYS.AUD$ MOVE TABLESPACE USERS; ALTER TABLE SYS.AUD$ MOVE LOB(SQLBIND) STORE AS SYS_IL0000000384C00041$$ (TABLESPACE USERS); ALTER TABLE SYS.AUD$ MOVE LOB(SQLTEXT) STORE AS SYS_IL0000000384C00041$$ (TABLESPACE USERS); ALTER INDEX SYS.I_AUDIT REBUILD ONLINE TABLESPACE USERS; ALTER INDEX SYS.I_AUDIT_ACTIONS REBUILD ONLINE TABLESPACE USERS; |
从Oracle 11g开始可以使用DBMS_AUDIT_MGMT.SET_AUDIT_TRAIL_LOCATION进行迁移:
1 | EXEC DBMS_AUDIT_MGMT.SET_AUDIT_TRAIL_LOCATION(AUDIT_TRAIL_TYPE=> DBMS_AUDIT_MGMT.AUDIT_TRAIL_DB_STD,AUDIT_TRAIL_LOCATION_VALUE => 'USERS'); |
在Oracle 11g之前通过手工清理的方式或自定义作业来定期清理SYS.AUD$表,如下:
1 2 | TRUNCATE TABLE SYS.AUD$; DELETE FROM SYS.AUD$ WHERE OBJ$NAME='EMP'; |
需要注意的是,如果AUD$表过大,那么直接TRUNCATE AUD$表,系统要立即释放大量的EXTENTS,会严重影响系统性能。可以通过如下2个步骤逐步释放EXTENTS:
① 清空数据并且保留原来的EXTENTS:
1 | TRUNCATE TABLE SYS.AUD$ REUSE STORAGE; |
在这里,REUSE STORAGE是TRUNCATE的一个参数,表示保持原来的存储不变。一般情况下,SQL命令“TRUNCATE TABLE TABLE_NAME;”其实就是“TRUNCATE TABLE TABLE_NAME DROP STORAGE;”。DROP STORAGE是TRUNCATE TABLE的默认参数。
② 逐步回缩EXTENTS:
1 2 3 4 5 6 7 | ALTER TABLE SYS.AUD$ DEALLOCATE UNUSED KEEP 5000M; ALTER TABLE SYS.AUD$ DEALLOCATE UNUSED KEEP 2000M; …… ALTER TABLE SYS.AUD$ DEALLOCATE UNUSED KEEP 10M; |
需要注意的是,在执行的时候,可以根据实际情况调整每次回缩空间的大小。
若审计在OS和XML选项下进行手动删除审计文件。在Oracle 11g中通过DBMS_AUDIT_MGMT包下的子过程进行手动或定期清理。下面的过程可以迁移审计记录到USERS表空间:
1 2 3 4 5 6 7 8 | conn / as sysdba BEGIN DBMS_AUDIT_MGMT.SET_AUDIT_TRAIL_LOCATION(AUDIT_TRAIL_TYPE => DBMS_AUDIT_MGMT.AUDIT_TRAIL_DB_STD, AUDIT_TRAIL_LOCATION_VALUE => 'USERS'); END; / |
请问博主,如果有用户做了数据导出的这个行为,那么我如何进行审计呢?
审计expdp或exp就行