最近遇到一些腳本誘發的審計相關BUG,感覺有必要重新梳理一下11g與12c的審計模式,于是根據官網修正了一下以前的一篇筆記這里發出來,
一、審計功能的開啟:
SQL> show parameter audit--主要有以下四個引數:AUDIT_TRAIL(default:DB)AUDIT_FILE_DEST(default:ORACLE_BASE/admin/ORACLE_SID/adump or ORACLE_HOME/rdbms/audit)AUDIT_SYS_OPERATIONS(default:FALSE)AUDIT_SYSLOG_LEVEL(no default)audit_trail引數的值可以設定為以下幾種(11G,12C適用):
https://docs.oracle.com/cd/E11882_01/server.112/e40402/initparams017.htm#REFRN10006
1. none --不開啟2. os --啟用資料庫審計,并將資料庫審計記錄定向到作業系統檔案,存盤目錄為AUDIT_FILE_DEST3. db --開啟審計功能 啟用資料庫審計,并將資料庫所有審計記錄定向到資料庫的SYS.AUD$表5. db, extended --extened之前的空格必須有,啟用資料庫審計,并將資料庫所有審計記錄定向到資料庫的SYS.AUD$表,另外填充SYS.AUD$表的SQLBIND列和SQLTEXT列6. xml --類似os,但是是將審計記錄存放于XML格式的檔案中7. xml, extended --將審計記錄存放于作業系統的xml檔案中并填充sql_text和sql_bind資訊#此引數無法動態修改,因此需要重啟資料庫才能生效,示例:alter system set AUDIT_TRAIL=db scope=spfile;#對于db和db, extended兩種審計模式,如果資料庫是read-only模式的,那么資料庫默認使用os審計模式,無視已有設定(因為不能向資料庫表寫入資料),AUDIT_SYS_OPERATIONS設定為true那么sys用戶的操作也會被審計,但此值默認為false,此引數控制以sysdba和sysoper權限登陸的用戶以及sys用戶本身的登陸,審計記錄一定會寫在作業系統檔案中(無論AUDIT_TRAIL引數如何設定),
AUDIT_SYSLOG_LEVEL則表示當涉及到向作業系統檔案寫入審計記錄時,直接寫入到系統日志中而不是AUDIT_FILE_DEST(僅適用于類unix系統),
二、審計記錄的存盤審計的兩大分類:
- 標準審計:主要記錄一些涉及資料庫安全性的SQL操作和權限變更等,官網列出的默認標準審計項包含如下操作(通過DBA_STMT_AUDIT_OPTS查看):
--Oracle Database audits the following privileges by default:ALTER ANY PROCEDURE CREATE ANY LIBRARY DROP ANY TABLEALTER ANY TABLE CREATE ANY PROCEDURE DROP PROFILEALTER DATABASE CREATE ANY TABLE DROP USERALTER PROFILE CREATE EXTERNAL JOB EXEMPT ACCESS POLICYALTER SYSTEM CREATE PUBLIC DATABASE LINK GRANT ANY OBJECT PRIVILEGEALTER USER CREATE SESSION GRANT ANY PRIVILEGEAUDIT SYSTEM CREATE USER GRANT ANY ROLECREATE ANY JOB DROP ANY PROCEDURE --Oracle Database audits the following SQL statement shortcuts by default:ROLE SYSTEM AUDIT PUBLIC SYNONYMDATABASE LINK PROFILE SYSTEM GRANT--此外通過audit命令指定的審計也是標準審計,
- 精細審計:提供非常細粒度的審計,例如可以使你審計針對某個表的某些欄位在某一段時間內的某種DML操作,還可以限定客戶端的IP等,
標準審計記錄存盤在SYS.AUD$表中,精細審計的記錄存放于SYS.FGA_LOG$表中,分別可以通過DBA_AUDIT_TRAIL和DBA_FGA_AUDIT_TRAIL查看標準和精細審計的審計記錄,
兩種審計模式還有一個共同的視圖可以看:DBA_COMMON_AUDIT_TRAIL,包含了標準+精細審計的記錄,
truncate table aud$; --可以截斷相關表,清理審計資料,查看dba_common_audit_trail(包含標準和精細審計的記錄)可以看到記錄的主要欄位包含:
SESSION_ID:會話ID,并非實際資料庫會話的id,應該只是一個自增的IDEXTENDED_TIMESTAMP:記錄生成時間DB_USER、OS_USER、USERHOST:一些用戶相關的資訊OS_PROCESS:服務端對應的server process的系統行程ID,如果帶冒號:,冒號后邊的是執行緒IDRETURNCODE:服務端的回傳錯誤碼,比如密碼驗證失敗就會顯示1017的錯誤碼,即ORA-1017:"invalid username/password; logon denied"COMMENT_TEXT:如果是遠程登錄還會包含客戶端連接使用的TNS資訊,包括使用的埠號LOGOFF_TIME:會話登出時間LOGOFF_LREAD、LOGOFF_PREAD、LOGOFF_LWRITE、LOGOFF_DLOCK:會話期間的邏輯讀、物理讀、物理寫、死鎖次數ACTION:審計記錄對應的操作號STATEMENT_TYPE:審計記錄對應的操作號表示的具體操作,也可以用過查詢audit_actions視圖來獲取action與STATEMENT_TYPE的對應關系
提示:
12c中的unified審計記錄不在AUD$表中,而是存盤在AUDSYS schema下,可以通過AUDSYS.UNIFIED_AUDIT_TRAIL表查詢,開啟unified審計后傳統的AUD$和dba_common_audit_trail等不再包含任何審計記錄,
三、關于精細審計(fine-grained auditing):
https://docs.oracle.com/cd/E11882_01/network.112/e36292/auditing.htm#DBSEG525
如果想要細粒度的審計某個schema下針對某個表的某些資料的操作記錄,可以開啟精細審計,這允許你設計很細粒度的策略,例如創造一個fga策略如下:
--查看相關包的用法:desc DBMS_FGA;BEGIN DBMS_FGA.ADD_POLICY( OBJECT_SCHEMA=>'HR', OBJECT_NAME =>'EMPLOYEES', POLICY_NAME =>'SAL_AUD', AUDIT_CONDITION =>'SALARY>3000', AUDIT_COLUMN =>'SALARY', ENABLE=>TRUE, STATEMENT_TYPES=>'SELECT,UPDATE');END;--在sqlplus 中直接/執行,或者作為存盤程序在plsql中exec dbms_fga.add_policy(...........);查看精細審計策略:
DESC dba_audit_policies;--查看已創建的精細審計策略SELECT OBJECT_NAME,POLICY_NAME,ENABLED FROM DBA_AUDIT_POLICIES;洗掉精細策略:
begindbms_fga.drop_policy (object_schema=>'HR',object_name=>'TEST',policy_name=>'SAL_AUD');end;/四、查看審計記錄:
DBA_COMMON_AUDIT_TRAIL:https://docs.oracle.com/cd/B19306_01/server.102/b14237/statviews_3077.htm#REFRN23393
desc dba_common_audit_trail;--示例:12c之前查看因為密碼驗證失敗的審計記錄:select EXTENDED_TIMESTAMP,DB_USER, OS_USER, USERHOST, COMMENT_TEXTfrom dba_common_audit_trailwhere DB_USER = 'EASYITS' and RETURNCODE = 1017 and EXTENDED_TIMESTAMP between to_timestamp('2019-04-18 21:30:00', 'YYYY-MM-DD HH24:MI:SS') and to_timestamp('2019-04-18 22:30:00', 'YYYY-MM-DD HH24:MI:SS');五、12c審計:
官網參考:
12c的傳統審計(即11g里的標準審計和精細審計):
https://docs.oracle.com/en/database/oracle/oracle-database/12.2/sqlrf/AUDIT-Traditional-Auditing.html#GUID-ADF45B07-547A-4096-8144-50241FA2D8DD
12c的unified審計:
https://docs.oracle.com/en/database/oracle/oracle-database/12.2/sqlrf/AUDIT-Unified-Auditing.html#GUID-B24D6874-4053-4E66-8238-6CD0C87E9DCA
12c中新引入的審計機制名為unified audit,你可以將其理解為一種更加輕便的精細審計,
我們知道在12c之前想要使用精細審計就要用dbms_fga包去創建審計策略,想要使用標準審計就要用audit陳述句去審計特定的權限和SQL,相關的視圖也非常多,這導致審計策略的管理非常混亂,audit的語法也非常的反人類,而12c的unified audit則對設定審計策略的方式做了統一和簡化,只需要使用以下三種陳述句來設定審計策略就可以了:
- create audit policy (unified auditing)
- alter audit policy (unified auditing)
- drop audit policy (unified auditing)
而開啟和關閉審計策略也極簡,只需要使用簡單的audit和noaudit陳述句:
audit policy <policy_name>;noaudit policy <policy_name>;可以看到我們只要熟悉創建/修改審計策略的語法就可以了,
至于原有的標準審計和精細審計的創建模式,12c中依然保留,在混合審計模式下你依然可以使用dbms包創建精細審計,audit命令也保留著創建標準審計的語法,
Unified審計模式的開啟:
12c的Unified Auditing引數默認為false:
select parameter,value from v$option where parameter='Unified Auditing';這種默認設定表示既支持12c之前的那種標準+精細的傳統審計模式,也可以使用unified審計模式,這種默認的模式也被稱作混合審計模式(mixed),
而如果開啟unified audting,那么傳統審計模式就會被禁用,audit_trail引數被忽略,AUD$和FGA_LOG$等相關表不再新增任何審計記錄,只能在AUDSYS.UNIFIED_AUDIT_TRAIL中看到unified審計的記錄,
如何開啟unified審計?
SQL> shutdown immediate;ORACLE instance shut down.SQL> host lsnrctl stop--如果有EM啟用,那么暫時關閉:emctl stop omsSQL> host ( cd $ORACLE_HOME/rdbms/lib ; make -f ins_rdbms.mk uniaud_on ioracle )--同樣的關閉方式就是:make -f ins_rdbms.mk uniaud_off ioracleSQL> startupSQL> select * from v$option where PARAMETER = 'Unified Auditing';
12c混合審計模式下的審計表現:
我們知道11g中,只要audit_trail不為none,那么資料庫會默認審計一些操作,例如logon,logout和涉及資料庫安全的操作等,而在12c中系統也預設了一些unified審計策略,可以通過AUDIT_UNIFIED_ENABLED_POLICIES視圖查看已生效的審計策略,通過AUDIT_UNIFIED_POLICIES可以查看所有預設審計策略,
12c的混合模式下,對于11g中那些標準審計默認審計的審計項們也依然進行審計,只不過方式變了,變為了通過默認開啟一些unified審計策略來進行這些默認審計(DBA_STMT_AUDIT_OPTS也不再包含記錄),我們可以看一下這些默認開啟的審記策略:
select * from AUDIT_UNIFIED_ENABLED_POLICIES; 
以上為12c中默認開啟的審計策略,其中ORA_LOGON_FAILURES在12.1.0.2以后被從ORA_SECURECONFIG獨立出來,并且只審計失敗的登錄.
而從AUDIT_UNIFIED_POLICIES視圖可以看出ORA_SECURECONFIG其實就包含了以前的那些默認標準審計項,
混合模式下無論是傳統審計記錄,還是通過預設的unified auditing policy進行的默認審計,其審計記錄在dba_common_audit_trail中都可以查看,
轉載請註明出處,本文鏈接:https://www.uj5u.com/shujuku/31545.html
標籤:Oracle
下一篇:oracle體系結構簡介