以下内容未经整理

占位

强制审计:无法关闭此审计,比如记录数据库的开启和关闭。

标准审计:

基于值得审计:创建触发器,基于值进行记录。Trigger占用资源多

细粒度审计:加一些where条件,针对触发where条件的情况进行审计。

统一审计Unified Auditing

启用统一审计之后,会产生两个角色:

  1. AUDIT_ADMIN:
  • 创建审计策略
  • 执行AUDIT和NOAUDIT语句
  • 查看审计数据
  • 管理审计线索audit trail(数据表 in AUDSYS schema)
  1. AUDIT_VIEWER:
  • 查看和分析数据
  • 执行DBMS_AUDIT_UTIL PL/SQL软件包。

Unified Auditing是True的时候,统一审计的功能才是开启的。

select value from v$option where parameter = 'Unified Auditing';

VALUE

----------------------------------------------------------------

FALSE

启用统一审计

  1. 停止lsrnctl监听
[oracle@ol7-19c ~]$ lsnrctl stop

LSNRCTL for Linux: Version 19.0.0.0.0 - Production on 05-FEB-2023 10:38:19

Copyright (c) 1991, 2019, Oracle.  All rights reserved.

Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=ol7-19c.localdomain)(PORT=1521)))

The command completed successfully
  1. 停止数据库
[oracle@ol7-19c ~]$ sqlplus / as sysdba

SQL*Plus: Release 19.0.0.0.0 - Production on Sun Feb 5 10:38:30 2023

Version 19.3.0.0.0

Copyright (c) 1982, 2019, Oracle.  All rights reserved.

Connected to:

Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production

Version 19.3.0.0.0

SQL> shutdown immediate;

Database closed.

Database dismounted.

ORACLE instance shut down.

SQL> exit
  1. 验证后台进程已经停止。
[oracle@ol7-19c ~]$ pgrep -lf smon

[oracle@ol7-19c ~]$

  1. 进入$ORACLE_HOME/rdbms/lib,重新编译ins_rdbms.mk(必须在Oracle数据库关闭时操作)

    [oracle@ol7-19c ~]$ cd $ORACLE_HOME/rdbms/lib

    [oracle@ol7-19c lib]$ make -f ins_rdbms.mk uniaud_on ioracle

  2. 启用监听,开启数据库。

[oracle@ol7-19c lib]$ lsnrctl start

The command completed successfully

[oracle@ol7-19c lib]$ sqlplus / as sysdba

SQL> startup

ORACLE instance started.

Total System Global Area 1660941720 bytes

Fixed Size                  9135512 bytes

Variable Size             989855744 bytes

Database Buffers          654311424 bytes

Redo Buffers                7639040 bytes

Database mounted.

Database opened.
  1. 查看v$option里面的Unified Auditing参数,此时已经是True。
SQL> select value from v$option where parameter = 'Unified Auditing';

VALUE

----------------------------------------------------------------

TRUE

创建Unified Audit Policy

CREATE AUDIT POLICY 审计策略名

ACTIONS 操作名 ON schema对象 ONLY TOPLEVEL

EVALUATE PER SESSION | PER STATEMENT | PER INSTANCE

ONLY TOPLEVEL不记录非直接的操作。比如用户update数据库的时候被记录,而通过存储过程更新数据则不记录。这样可以减少审计日志。

PER SESSION: 一个会话只记录一次出发的审计。

PER STATEMENT: 每次执行语句触发审计都会记录。审计线索占空间最多。

PER INSTANCE: 不过触发了多少次审计操作,实例只会记录一次。审计线索占空间最少。

发生对应的操作,则会写入到审计线索当中。

审计的范围

  • 系统特权

    CREATE AUDIT POLICY audit_syspriv_pol1

    PRIVILEGES SELECT ANY TABLE, CREATE TABLE

  • 动作

    CREATE AUDIT POLICY audit_actions_pol1

    ACTIONS AUDIT, ALTER TRIGGER

  • 角色

    CREATE AUDIT POLICY audit_role_pol1

    ROLES DBA, CONNECT

  • 系统特权、动作、角色的组合(或的关系)

    CREATE AUDIT POLICY audit_mixed_pol1

    PRIVILEGES DROP ANY TABLE

    ACTIONS CREATE TABLE, DROP TABLE, TRUNCATE TABLE

    ROLE hrmanager

  • 针对于对象

    CREATE AUDIT POLICY audit_objpriv_pol1

    ACTIONS SELECT, UPDATE ON hr.employees;

  • 记录所有操作

    CREATE AUDIT POLICY audit_objpriv_pol1

    ACTIONS ALL

  • 针对存储过程

    CREATE AUDIT POLICY audit_objpriv_pol2

    ACTIONS EXECUTE, GRANT ON hr.raise_salary_proc

启用和禁用审计策略

为所有用户启用审计

AUDIT POLICY 审计名;

为某些用户启用审计

AUDIT POLICY 审计名 BY 用户1,用户2;

为所有用户启用审计并排除一些用户

AUDIT POLICY 审计名 EXCEPT 用户1,用户2;

对于操作成功和失败的时候开展审计

AUDIT POLICY 审计名 WHENEVER SUCCESSFUL;

AUDIT POLICY 审计名 WHENEVER NOT SUCCESSFUL;

禁用审计

NOAUDIT POLICY

CDB和PDB级别的审计

CDB$ROOT创建的Audit Policy应用到所有的PDB(Common).

APP$ROOT创建的Audit Policy应用到APP容器下的所有PDB(Common).

PDB创建的Audit Policy应用到这个PDB(Local)

修改审计策略

ALTER AUDIT POLICY命令用来修改审计策略。

ALTER AUDIT POLICY 审计名

ADD ACTIONS select ON hr.job_history

实作: 创建审计用户

创建audit_admin用户

SQL> create user c##audmgr container=all;

User created.

SQL> alter user c##audmgr identified by oracle account unlock;

User altered.

SQL> grant connect, audit_admin to c##audmgr container=all;

Grant succeeded.

创建audit_viewer用户

SQL> create user c##audvwr container=all;

User created.

SQL> alter user c##audvwr identified by oracle account unlock;

User altered.

SQL> grant connect, audit_viewer to c##audvwr;

Grant succeeded.

实作: 创建审计Policy

  1. 使用上一个实作创建的c##audmgr登录pdb1
[oracle@ol7-19c dbhome_1]$ sqlplus c##audmgr/oracle@pdb1;

SQL*Plus: Release 19.0.0.0.0 - Production on Sun Feb 5 11:20:07 2023

Version 19.3.0.0.0

Connected to:

Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production

Version 19.3.0.0.0

SQL>
  1. 创建一个audit policy,对于HR.Jobs表的任何更新,都会被审计记录。
SQL> create audit policy audit_jobs_update

  2  actions update on hr.jobs;

Audit policy created.
  1. 启用这个policy
SQL> audit policy audit_jobs_update;

Audit succeeded.
  1. 查询audit_unified_policies可以看得到创建的audit policy以及它的配置。
SQL> select policy_name, audit_option, object_name

  2  from audit_unified_policies

  3  where policy_name='AUDIT_JOBS_UPDATE';

POLICY_NAME          AUDIT_OPTION         OBJECT_NAME

-------------------- -------------------- --------------------

AUDIT_JOBS_UPDATE    UPDATE               JOBS
  1. 使用其他用户,对hr.jobs表进行更新操作。
SQL> update hr.jobs

  2  set max_salary=10000

  3  where job_id='ST_MAN';

1 row updated.
  1. 切换到c##audmgr用户,查询unified_audit_policies。
SQL> col dbusername for a10

SQL> col action_name for a10

SQL> col "date" for a20

SQL> col unified_audit_policies for a22

SQL> select unified_audit_policies, dbusername, action_name,

  2  to_char(event_timestamp, 'DD-MON-YY HH24:MI') "DATE"

  3  from unified_audit_trail

  4  where dbusername in ('PDBADMIN')

  5  and action_name not in ('LOGON', 'LOGOFF')

  6  order by 4;

UNIFIED_AUDIT_POLICIES DBUSERNAME ACTION_NAM DATE

---------------------- ---------- ---------- ------------------

AUDIT_JOBS_UPDATE      PDBADMIN   UPDATE     05-FEB-23 11:37

AUDIT_JOBS_UPDATE      PDBADMIN   UPDATE     05-FEB-23 11:37

基于值的审计

细粒度审计

审计所有的行,

条件出错,报ORA-28112

最新文章

  1. 【FTP】C# System.Net.FtpClient库连接ftp服务器(上传文件)
  2. HTTP常见错误代码总结
  3. LINQ SQL分组取最近一条记录
  4. 如何解决火狐FF里Input标签刷新页面后 仍然保存之前输入的内容的方法。
  5. oracle SQLserver 函数
  6. 微信分享功能引入页面-控制分享时候调用的标题、图片、url和微信按钮隐藏显示控制
  7. 创业 CEO:如何选择投资人
  8. C#调用短信接口(通过简单的工厂模式整合多个短信平台)
  9. 【干货】Markdown编辑博文,公式图片轻松搞定
  10. jquery点击非div区域隐藏div
  11. 阿里电话面试问题----100万个URL如何找到出现频率最高的前100个?
  12. 从零开始学java (四)反射
  13. 4.python字符串格式化
  14. #ifndef HeaderName_h #define HeaderName_h #endif 使用详解
  15. Atlas+Keepalived系列一:安装Atlas:
  16. vue.JS 介绍
  17. Extending Conductor
  18. CCS5配置使用GenCodecPkg生成CODEC SERVER
  19. 福大软工1816:Beta(7/7)
  20. vuex中store分文件时候index.js进行文件整合

热门文章

  1. Python实战项目1-开发流程需求分析/基础环境搭建
  2. pat 乙级1024 科学计数法关于stl中size()的一些思考即测试点六,无符号整数问题
  3. 获取小程序toast控件
  4. codeforce B. Creating the Contest
  5. Spring全家桶(一)之Spring总结
  6. go-fastdfs断点续传功能
  7. Could not match supplied host pattern, ignoring: 192.168.0.101
  8. styled-components 全局样式定义,由injectGlobal改为createGlobalStyle
  9. JS中立即执行函数和闭包的区别
  10. spring@Validated校验用法