學(xué)習(xí)Oracle的審計(jì)(Auditing)

審計(jì)（Audit）用于監(jiān)視用戶所執(zhí)行的數(shù)據(jù)庫操作，審計(jì)記錄可存在數(shù)據(jù)字典表（稱為審計(jì)記錄：存儲(chǔ)在system表空間中的 SYS.AUD$ 表中，可通過視圖dba_audit_trail查看）或操作系統(tǒng)審計(jì)記錄中（audit_file_dest參數(shù)決定）。默認(rèn)情況下審計(jì)是沒有開啟的。

1、審計(jì)的類型有四種：

• Statement Auditing（語句審計(jì)）：在語句級(jí)別進(jìn)行審計(jì)，如審計(jì)執(zhí)行SELECT TABLE的語句，而不針對(duì)某一單獨(dú)的對(duì)象。

• Privilege Auditing（權(quán)限審計(jì)）：審計(jì)某一系統(tǒng)權(quán)限的使用情況，如果審計(jì)在創(chuàng)建表時(shí)用到的CREATE ANY TABLE權(quán)限。

• Schema Object Auditing（對(duì)象審計(jì)）：審計(jì)對(duì)指定對(duì)象上的操作，如審計(jì)對(duì)表scott.emp的INSERT操作。

• Fine-Grained Auditing（細(xì)粒度審計(jì)）：用于指定更細(xì)粒度的審計(jì)，用DBMS_FGA包來實(shí)現(xiàn)。

2、相關(guān)參數(shù)：

AUDIT_TRAIL參數(shù)

這參數(shù)決定數(shù)據(jù)庫審計(jì)的開啟和關(guān)閉?？梢员毁x與如下值

• DB，啟用數(shù)據(jù)庫審計(jì)，并把審計(jì)記錄記錄到數(shù)據(jù)庫中的SYS.AUD$
  

• XML，啟用數(shù)據(jù)庫審計(jì)，并把審計(jì)記錄在文件系統(tǒng)以XML文件的開始存放
  

• DB,EXTENDED，具有與DB一樣的功能，并在必要時(shí)在SYS.AUD$中記錄SQL bind and SQL text CLOB-type columns。

• XML,EXTENDED，具有與XML一樣的功能，并在可用時(shí)在XML文件中記錄SQL bind and SQL text CLOB-type columns。

• OS，啟用數(shù)據(jù)庫審計(jì)，并把審計(jì)記錄記錄到操作系統(tǒng)的文件中。

• NONE，不啟用數(shù)據(jù)庫審計(jì)，默認(rèn)值。

AUDIT_FILE_DEST參數(shù)

如果AUDIT_TRAIL=OS，則審計(jì)記錄的文件，存放在AUDIT_FILE_DEST指定的目錄中。

AUDIT_SYS_OPERATIONS參數(shù)

指定是否啟用對(duì)SYS用戶的審計(jì)。默認(rèn)為FALSE，啟用設(shè)置為TRUE。記錄不存放在AUD$中，而是記錄在其它地方。如果是windows平臺(tái)，audti trail會(huì)記錄在windows的事件管理中，如果是linux/unix平臺(tái)則會(huì)記錄在audit_file_dest參數(shù)指定的文件中。

3、啟用和停用數(shù)據(jù)庫審計(jì)

使用ALTER SYSTEM語句設(shè)置AUDIT_TRAIL參數(shù)，這個(gè)參數(shù)不可在線修改，修改后需重庫數(shù)據(jù)庫實(shí)例生效。例句如下：

ALTER SYSTEM SET AUDIT_TRAIL=DB,EXTENDED SCOPE=SPFILE;

停用數(shù)據(jù)庫審計(jì)使用如下語句，重啟數(shù)據(jù)庫生效

ALTER SYSTEM SET AUDIT_TRAIL=NONE SCOPE=SPFILE;

4、啟用和停止審計(jì)功能的語法：

1）啟用審計(jì)使用AUDIT語句

2）停止審計(jì)功能

要停用審計(jì)功能把上面的AUDIT改為NOAUDIT。

在啟用審計(jì)功能前，必須先設(shè)置AUDIT_TRAIL參數(shù)為非NONE，否則數(shù)據(jù)庫不會(huì)進(jìn)行審計(jì)。

5、使用審計(jì)功能的示例

啟用數(shù)據(jù)庫審計(jì)

sys@TEST>alter system set audit_trail=DB scope=spfile;

System altered.

1）Statement Auditing（語句審計(jì)）

審計(jì)由SCOTT用戶發(fā)出的所有SELECT TABLE

sys@TEST>audit select table by scott;

Audit succeeded.

sys@TEST>select * from dba_stmt_audit_opts;

USER_NAME		       PROXY_NAME		      AUDIT_OPTION		     SUCCESS			    FAILURE
------------------------------ ------------------------------ ------------------------------ ------------------------------ ------------------------------
SCOTT							      SELECT TABLE		     BY SESSION 		    BY SESSION

scott@TEST>select count(*) from emp;

  COUNT(*)
----------
	14
	
sys@TEST>select timestamp,sql_text from dba_audit_trail;

TIMESTAMP	    SQL_TEXT
------------------- --------------------------------------------------------------------------------
2017-04-24 23:07:47 select count(*) from emp

2）Privilege Auditing（權(quán)限審計(jì)）

審計(jì)所有系統(tǒng)權(quán)限

sys@TEST>audit all privileges;

Audit succeeded.

sys@TEST>select * from dba_priv_audit_opts;

USER_NAME		       PROXY_NAME		      PRIVILEGE 		     SUCCESS			    FAILURE
------------------------------ ------------------------------ ------------------------------ ------------------------------ ------------------------------
							      FLASHBACK ARCHIVE ADMINISTER   BY ACCESS			    BY ACCESS
							      CREATE SESSION                 BY ACCESS			    BY ACCESS
......

[oracle@rhel6 ~]$ sqlplus scott/tiger
......
sys@TEST>select username,timestamp,priv_used from dba_audit_trail where priv_used is not null;

USERNAME		       TIMESTAMP	   PRIV_USED
------------------------------ ------------------- ------------------------------------------------------------------------------------------------------------------------
SCOTT			       2017-04-24 23:18:02 CREATE SESSION

3）Schema Object Auditing（對(duì)象審計(jì)）

審計(jì)對(duì)SCOTT.EMP表的select操作

sys@TEST>audit select on scott.emp;

Audit succeeded.

sys@TEST>select * from dba_obj_audit_opts;

OWNER	   OBJECT_NAM OBJECT_TYPE		     ALT   AUD	 COM   DEL   GRA   IND	 INS   LOC   REN   SEL	 UPD   REF   EXE   CRE	 REA   WRI   FBK
---------- ---------- ------------------------------ ----- ----- ----- ----- ----- ----- ----- ----- ----- ----- ----- ----- ----- ----- ----- ----- -----
SCOTT	   EMP	      TABLE			     -/-   -/-	 -/-   -/-   -/-   -/-	 -/-   -/-   -/-   S/S	 -/-   -/-   -/-   -/-	 -/-   -/-   -/-

scott@TEST>select ename from emp;

ENAME
------------------------------
SMITH
ALLEN
......

sys@TEST>select timestamp,sql_text from dba_audit_trail;

TIMESTAMP	    SQL_TEXT
------------------- --------------------------------------------------------------------------------
2017-04-24 23:24:28 select ename from emp

AUD$位于SYSTEM表空間，基于Oracle的穩(wěn)定性及性能考慮，可以將審計(jì)相關(guān)的表移動(dòng)到其他表空間。

alter table audit$ move tablespace <tablespace_name>;
alter index i_audit rebuild online tablespace <tablespace_name>;
alter table audit_actions move tablespace <tablespace_name>;
alter index i_audit_actions rebuild online tablespace <tablespace_name>;

官方文檔：http://docs.oracle.com/cd/B19306_01/network.102/b14266/auditing.htm#CHDJBDHJ

http://docs.oracle.com/cd/B19306_01/network.102/b14266/cfgaudit.htm#BABCFIHB

http://docs.oracle.com/cd/B19306_01/server.102/b14200/statements_4007.htm#i2059073

參考：http://blog.itpub.net/9399028/viewspace-712457/