Orcale审计机制研究

1.   设置审计

1.1.  查看审计状态

SQL>conn /as sysdba;

已连接

SQL>show parameters audit_trail;

NAME       TYPE      VALUE
------------------------- ------------------------
audit_trail     string      NONE

1.2.  确认审计相关的表是否已经安装

首先查看审计相关的表是否已安装,执行如下命令:

SQLPLUS> connect / AS SYSDBA

SQLPLUS> select * from sys.aud$; --没有记录返回

SQLPLUS> select * from dba_audit_trail; --没有记录返回

如果做上述查询的时候发现表不存在,说明审计相关的表还没有安装,需要安装。

安装执行如下命令:

SQLPLUS> connect / as sysdba

SQLPLUS> @$ORACLE_HOME/rdbms/admin/cataudit.sql

审计表安装在SYSTEM表空间。所以要确保SYSTEM表空间又足够的空间存放审计信息。

1.3.  修改状态,激活审计(用户SYS)

激活审计执行如下命令:

SQL> alter system set audit_sys_operations=true  scope=spfile;

System altered

SQL> alter system set audit_trail=DB,EXTENDED scope=spfile;

System altered

注: l         DB/TRUE:启动审计功能,并且把审计结果存放在数据库的 SYS.AUD$ 表中

l         OS:启动审计功能,并把审计结果存放在操作系统的审计信息中

l         EXTENDED:具有DB/TRUE的功能,另外填写AUD$的SQLBIND和SQLTEXT字段

l         NONE/FALSE:关闭审计功能

重启数据库实例:

SQL> startup force;

ORACLE 例程已经启动。

1.4.  再查看状态(用户SYS)

SQL> show parameter audit;

NAME       TYPE      VALUE
------------------------- ------------------------
audit_trail     string      DB,  EXTENDED

1.5.  建立测试表(用户TPLATFORM)

建立测试表(T_AUDIT_DEMO)准备进行审计测试:

Create Table T_AUDIT_DEMO

(

CID   INT   NOT NULL,

CNAME VARCHAR2(20) NULL,

ENAME VARCHAR2(20) NULL,

CONSTRAINT PK_T_AUDIT_DEMO PRIMARY KEY (CID)

);

表已创建

1.6.  设置审计

对用户TPLATFORM下的表进行审计操作:

SQL> conn /as sysdba;

已连接

SQL> audit select table by TPLATFORM by access;   //设置审计查询

审计已成功

SQL> audit update table by TPLATFORM by access;  //设置审计更新

审计已成功

SQL> audit insert table by TPLATFORM by access ;   //设置审计添加

审计已成功

SQL> audit DELETE table by TPLATFORM by access;  //设置审计删除

审计已成功

(如果在命令中添加by TPLATFORM则只对TPLATFORM的操作进行审计,否则对所以用户操作进行审计)

2.   使用审计查看

2.1.  进行审计测试(用户SYS、TPLATFORM)

添加表数据准备测试审计:

INSERT INTO T_AUDIT_DEMO VALUES(1,'曾勋','ZENG XUN');

INSERT INTO T_AUDIT_DEMO VALUES(2,'翁黎明','WENG LI MING');

INSERT INTO T_AUDIT_DEMO VALUES(3,'刘帝勇','LIU DI YONG');

查询表数据准备测试审计:

SELECT * FROM T_AUDIT_DEMO WHERE CID < 3

删除表数据准备测试审计:

DELETE FROM T_AUDIT_DEMO WHERE CID = 3;

提交

commit;

SQL> select action_name,sql_text from  sys.aud$  where OBJ_NAME = 'T_AUDIT_DEMO';

dba_audit_trail的关键字段:

OBJ$CREATOR 操作对象

NTIMESTAMP# 操作提交时间

OBJ$NAME  表名

ACTION 操作类型(对应audit_action表, audit_action表中有两个字段action,name,分别为操作类型,操作类型名称)

SQLTEXT 执行的sql语句

3.   性能

由于审计相关的表aud$存放在SYSTEM表空间,因此为了不影响系统的性能,保护SYSTEM表空间,最好移动到其他的表空间上。可以使用下面的语句来进行移动:

实际上sys.aud$表上包含了两个lob字段(sqlbind, SQLTEXT),并不是简单的move table就可以。
下面是具体的过程:

SQL>alter table aud$ move tablespace 表空间名;

SQL>alter table sys.aud$ move lob(sqlbind) store as( tablespace 表空间名);

SQL>alter table sys.aud$ move lob(SQLTEXT) store as( tablespace表空间名);

SQL>alter index I_aud1 rebuild online tablespace 表空间名;

SQL> alter table audit$ move tablespace 表空间名;

SQL> alter index i_audit rebuild online tablespace 表空间名;

SQL> alter table audit_actions move tablespace 表空间名;

SQL> alter index i_audit_actions rebuild online tablespace 表空间名;

4.   运维

可能随着时间越久,信息量就会越大,需要定期进行删除以前的数据(如:3个月).

oracle审计的更多相关文章

  1. [转]ORACLE 审计功能

    审计是对选定的用户动作的监控和记录,通常用于: u          审查可疑的活动.例如:数据被非授权用户所删除,此时安全管理员可决定对该 数据库的所有连接进行审计,以及对数据库的所有表的成功地或不 ...

  2. 转-利用Oracle审计功能来监测试环境的变化

    http://blog.csdn.net/luowangjun/article/details/5627102利用Oracle审计功能来监测试环境的变化 做过测试的人都应该会碰到这样的情况:测试发现的 ...

  3. 转--Oracle 审计和测试操作

    http://blog.itpub.net/21605631/viewspace-759640/转 Oracle 审计和测试操作 :: 分类: Linux 1.1 相关参数 AUDIT_SYS_OPE ...

  4. oracle 审计功能

    Oracle 11g推出了审计功能,但这个功能会针对很多操作都产生审计文件.aud,日积月累下来这些文件也很多,默认情况下,系统为了节省资源,减少I/0操作,其审计功能是关闭的 一.审计功能关闭 1. ...

  5. ORACLE审计小结

    ORACLE审计小结 1.什么是审计 审计(Audit)用于监视用户所执行的数据库操作,并且Oracle会将审计跟踪结果存放到OS文件(默认位置为$ORACLE_BASE/admin/$ORACLE_ ...

  6. oracle审计表迁移

    ============ oracle审计表迁移到新的表空间 ============ 前言 oracle数据库开启审计功能后会占用大量的SYSTEM系统表空间,要么定时对审计表进行清理,要么对系统表 ...

  7. Oracle 审计文件

    Oracle审计功能: Oracle11g推出了审计功能,但这个功能会针对很多操作都产生审计文件.aud,日积月累下来这些文件也很多,默认情况下,系统为了节省资源,减少I/0操作,其审计功能是关闭的 ...

  8. oracle审计详解-转

    http://blog.chinaunix.net/u2/66903/showart_2082884.htmlOracle使用大量不同的审计方法来监控使用何种权限,以及访问哪些对象.审计不会防止使用这 ...

  9. [转]oracle审计详解

    http://blog.chinaunix.net/u2/66903/showart_2082884.html Oracle使用大量不同的审计方法来监控使用何种权限,以及访问哪些对象.审计不会防止使用 ...

随机推荐

  1. c++ 文件写样例

    #include <iostream> #include <sstream> #include <fstream>> using namespace std; ...

  2. ICMP协议

    1. ICMP简介: ICMP全名为(INTERNET CONTROL MESSAGE PROTOCOL)网络控制报文协议,协议号为1,网络层协议. 它是TCP/IP协议族的一个子协议,用于在IP主机 ...

  3. ASP.NET JSON的序列化和反序列化 之 Newtonsoft.Json

    我们用到的类库为:Newtonsoft.Json,通过VS工具中NuGet程序包可以下载. 一:对象转json-序列化 public class Student { public int ID { g ...

  4. JavaScript正则验证数字、英文、电话号、身份证号、邮箱地址、链接地址等

    验证是否为数字:/^[0-9]*$/验证是否为汉字:/^[\u4e00-\u9fa5],{0,}$/验证x-y位的数字:/^\d{x,y}$/验证由26个英文字母组成的字符串:/^[A-Za-z]+$ ...

  5. ASP。net中如何在一个按钮click事件中调用另一个按钮的click事件

    方法一: 直接指定 事件<asp:Button ID="btn1" runat="server" Text="按钮1" onclick ...

  6. Eclipse中点击小猫提示Tomcat settings should be set in Tomcat Preference Page

    1.window->preference->tomcat->tomcat-version选择自己tomcat版本 tomcat home 选择tomcat安装目录,即bin的上一层 ...

  7. .net excel利用NPOI导入oracle

    1.链接数据库 引用System.Data.OracleClient: //数据库链接字符串   Data Source如:192.168.5.153:1521/orcl string linkStr ...

  8. Struts2中使用execAndWait后,在 Action中调用getXXX()方法报告java.lang.NullPointerException异常的原因和解决方法

    使用 Struts2 编写页面,遇到一个要长时间运行的接口,因此增加了一个execAndWait ,结果在 Action 中调用 getContext()的时候报告异常 ActionContext c ...

  9. Unable to load configuration. - bean - jar: ....struts2-core-2.1.8.1.jar!/struts-default.xml:47:178

    摘录的异常代码: 2013-12-14 22:42:07 com.opensymphony.xwork2.util.logging.commons.CommonsLogger error严重: Dis ...

  10. iOS 数据持久性存储-属性列表

    iOS上常用四种数据存取方法有: 1.属性列表 2.对象归档 3.iOS的嵌入式关系数据库(SQLite3) 4.苹果公司提供持久性共聚Core Data 由于苹果公司的沙盒机制,每个应用程序都有自己 ...