oracle学习笔记之 审计

Oracle数据库审计
数据库审计是监视并记录选定的用户数据库操作。主要分为标准审计和精细粒度审计（FGA，Fine-Grained Auditing），标准审计可在语句级、对象级、权限级进行审计；精细粒度审计涉及到基于内容或特定数据的审计。
启用审计：
1、启用审计需要修改audit_trail的值，默认为NONE.
SQL> show parameter audit;
NAME                   TYPE        VALUE
---------------------- ----------- ------------------------------
audit_file_dest        string      /opt/oracle/product/10.0/admin/hunt/adump
audit_sys_operations   boolean     FALSE
audit_syslog_level     string     
audit_trail            string      NONE

audit_trail的取值可有以下几种：
SELECT * FROM V$parameter_Valid_Values where name='audit_trail';
    NUM NAME ORDINAL VALUE ISDEFAULT 备注
1 911 audit_trail 1 DB FALSE 
2 911 audit_trail 2 OS FALSE 
3 911 audit_trail 3 NONE FALSE 默认
4 911 audit_trail 4 TRUE FALSE 与DB一致
5 911 audit_trail 5 FALSE FALSE 与NONE一致
6 911 audit_trail 6 DB_EXTENDED FALSE 
7 911 audit_trail 7 XML FALSE 
8 911 audit_trail 8 EXTENDED FALSE XML_EXTENDED

 NONE：禁用数据库审计。NONE为此参数的默认值。
 OS：指出Oracle将把审计记录写到一个操作系统文件中。
 DB：指出Oracle将把审计记录写入数据库审计跟踪，可视为DBA_AUDIT_TRAIL（存储在SYS.AUD$表中）。
 DB_EXTENDED：指出Oracle将把所有审计记录发送到数据库审计跟踪，除此之外，填充SQLBIND和SQLTEXTCLOB列。
 XML：指定数据库审计，进入OS文件的是XML格式的审计记录。
 XML_EXTENDED：与XML设置相同，另外还记录所有审计跟踪列，包括SQLTEXT和SQLBIND。
如果指定AUDIT_TRAIL=OS，则审计跟踪不再数据库中存储审计信息，而是在由AUDIT_TRAIL_DEST参数指定的位置存储审计信息。如果指定AUDIT_TRAIL=OS且省略AUDIT_TRAIL_DEST参数，则默认将审计信息写到$ORACLE_HOME/rdbms/audit/目录中。
2、修改audit_trail：
SQL>alter system set audit_trail=db_extended scope=spfile;
重启数据库
SQL> show parameter audit;

NAME                   TYPE        VALUE
---------------------- ----------- ------------------------------
audit_file_dest        string      E:\ORACLE\PRODUCT\10.2.0\ADMIN
                                   \HUNT\ADUMP
audit_sys_operations   boolean     FALSE
audit_trail            string      DB_EXTENDED   ----已改变

标准审计：
1、 权限审计：
基于系统的权限进行的审计，如create session、select｛insert|update｝ any table ……，具体的权限可查询system_privilege_map。

A、 开启create session 审计：
SQL> show user;
USER 为 "SYS"
SQL> audit create session ;
审计已成功。
            查询表dba_priv_audit_opts可看到如下结果：  
    USER_NAME PROXY_NAME PRIVILEGE SUCCESS FAILURE
1   CREATE SESSION BY ACCESS BY ACCESS
            使用其他用户登录系统，查看dba_audit_trail可获得对登录用户的审计结果：
    OS_USERNAME USERNAME USERHOST TERMINAL TIMESTAMP OWNER ……
1 hunt\Administrator ADMIN WORKGROUP\hunt hunt 41026.8511 　 　……

B、 指定审计用户：
SQL> show user;
USER 为 "SYS"
SQL> audit create any table by test;
审计已成功。
            查询表dba_priv_audit_opts可看到如下结果：  
    USER_NAME PROXY_NAME PRIVILEGE SUCCESS FAILURE
1 　 　 CREATE SESSION BY ACCESS BY ACCESS
2 TEST 　 CREATE ANY TABLE BY ACCESS BY ACCESS
此时只有test 进行create table 才进行审记。
C、 指定审计范围：
默认对成功或失败的审计操作进行记录，实际的应用中我们往往更多的在意那些不成功的情况，比如系统登录。
SQL> show user;
USER 为 "SYS"
SQL> audit delete any table whenever not successful;
审计已成功。

whenever [not] successful：
whenever successful 操作成功(dba_audit_trail中returncode字段为0) 才审计,
whenever not successful 反之。省略该子句的话，不管操作成功与否都会审计。
            查询表dba_priv_audit_opts可看到如下结果： 

    USER_NAME PROXY_NAME PRIVILEGE SUCCESS FAILURE
1 　 　 CREATE SESSION BY ACCESS BY ACCESS
2 　 　 DELETE ANY TABLE NOT SET BY SESSION
3 TEST 　 CREATE ANY TABLE BY ACCESS BY ACCESS

取消审计只需要将审计语句中的audit改为noaudit即可:
noaudit create any table by test;
no audit create session;
2、 对象审计：
按对象审计，只审计on关键字指定对象的相关操作。
A、 开启审计：
SQL> show user;
USER 为 "ADMIN"
SQL> audit select on t;
审计已成功。
查询表dba_obj_audit_opts可看到如下结果：
    OWNER OBJECT_NAME OBJECT_TYPE …… SEL UPD REF EXE CRE REA WRI FBK
1 ADMIN T TABLE …… S/S -/- -/- -/- -/- -/- -/- -/-
       表中的SEL代表select ,对应的S/S指：SESSION级成功审计/失败审计。此处S可能为SESSION也可能为ACCESS.区别在于：
by access 每一个被审计的操作都会生成一条audit trail。
by session 一个会话里面同类型的操作只会生成一条audit trail，默认为by session。

    查询T表，dba_audit_trail中记录的部分审计结果如下：
    OS_USERNAME USERNAME OWNER OBJ_NAME SES_ACTIONS SQL_TEXT
1 hunt\Administrator ADMIN ADMIN T ---------S------ select * from t
---------S------ 与上一表格中的内容对应S代表SEL的审计权限。
B、 打开全部审计权限：
SQL> show user;
USER 为 "ADMIN"
SQL> audit all on t;
审计已成功。
查询表dba_obj_audit_opts可看到如下结果：
    OWNER OBJECT_NAME OBJECT_TYPE ALT AUD COM DEL GRA IND INS LOC …
1 ADMIN T TABLE S/S S/S S/S S/S S/S S/S S/S S/S …

SQL> Audit all on t by access;
    OWNER OBJECT_NAME OBJECT_TYPE ALT AUD COM DEL GRA IND INS LOC …
1 ADMIN T TABLE A/A A/A A/A A/A A/A A/A A/A A/A …

3、 语句审计：
按语句来审计，比如audit table 会审计数据库中所有的create table,drop table,truncate table语句。
A、 开启审计：
SQL> show user;
USER 为 "ADMIN"
SQL> audit table by test;
审计已成功。
查询表dba_stmt_audit_opts可看到如下结果：
    USER_NAME PROXY_NAME AUDIT_OPTION SUCCESS FAILURE
1 　 　 CREATE SESSION BY ACCESS BY ACCESS
2 　 　 DELETE ANY TABLE NOT SET BY SESSION
3 TEST 　 CREATE ANY TABLE BY ACCESS BY ACCESS
4 TEST 　 TABLE BY ACCESS BY ACCESS
语句审计与权限审计有交叉。
此时我们用test用户创建一个表，查看dba_audit_trail中记录的部分审计结果如下：
    USERNAME OWNER OBJ_NAME ACTION_NAME SQL_TEXT
8 TEST TEST TAB_T CREATE TABLE create table tab_t(id int,name char(10))

通过长时间的审计，dba_audit_trail表会不断的增长，可以通过清空aud$ 达到删除审计的目的。

SYS用户登录时数据库会启用强制审计，WINDOWNS里的事件查看器里，内容如下：
事件类型: 信息
事件来源: Oracle.hunt
事件种类: 无
事件 ID: 34
日期:  2012-4-27
事件:  20:22:24
用户:  N/A
计算机: WWW-61131B590F7
描述:
Audit trail: ACTION : 'CONNECT' DATABASE USER: 'sys' PRIVILEGE : SYSDBA CLIENT USER: hunt CLIENT TERMINAL: LENOVO-PC STATUS: 0 .
LINXU下位于$ORACLE_HOME/admin/$ORACLE_SID/adump下，内容如下：
     Audit file /opt/oracle/product/10.0/admin/wlan/adump/ora_18094.aud
Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - 64bit Production
With the Partitioning, OLAP and Data Mining options
ORACLE_HOME = /opt/oracle/product/10.0
System name:    SunOS
Node name:      crmdb
Release:        5.10
Version:        Generic_141414-07
Machine:        sun4v
Instance name: wlan
Redo thread mounted by this instance: 1
Oracle process number: 53
Unix process pid: 18094, image: oracle@wlandb (TNS V1-V3)

Fri Apr 27 12:10:01 2012
ACTION : 'CONNECT'
DATABASE USER: '/'
PRIVILEGE : SYSDBA
CLIENT USER: oracle
CLIENT TERMINAL:
STATUS: 0

精细粒度审计：
A、 定义审计策略：
begin
  dbms_fga.add_policy(object_schema   => 'ADMIN',
                      object_name     => 'T',
                      policy_name     => 'audit_t',
                      audit_column    => 'SALARY',
                      enable          => TRUE,
                      statement_types => 'select,insert,update,delete');

end;
/
查询dba_audit_policies 表，结果如下;

    OBJECT_SCHEMA OBJECT_NAME POLICY_NAME POLICY_COLUMN SEL INS UPD DEL
2 ADMIN T AUDIT_T SALARY YES YES YES YES

此时我们对T表进的SALARY列进行操作，然后查询dba_fga_audit_trail表，部分审计结果如下：
    OBJECT_SCHEMA OBJECT_NAME POLICY_NAME SQL_TEXT STATEMENT_TYPE
1 ADMIN T AUDIT_T select * from t SELECT
2 ADMIN T AUDIT_T update t set salary=1000 where id=1 UPDATE
3 ADMIN T AUDIT_T insert into t values(3,'c',2000) INSERT

删除策略：

begin
  dbms_fga.drop_policy(object_schema => 'ADMIN',
                       object_name   => 'T',
                       policy_name   => 'AUDIT_T');
end;
精细粒度的审计日志可以通过删除sys.fga_log$表进行清空。

最后，审计日志的清理：
1、 直接清除sys.aud$和sys.fga_log$表；
2、 利用DBMS_AUDIT_MGMT.INIT_CLEANUP设置策略清除：
BEGIN
 IF
   NOT DBMS_AUDIT_MGMT.IS_CLEANUP_INITIALIZED(DBMS_AUDIT_MGMT.AUDIT_TRAIL_AUD_STD)
 THEN
   DBMS_AUDIT_MGMT.INIT_CLEANUP(
      audit_trail_type => DBMS_AUDIT_MGMT.AUDIT_TRAIL_AUD_STD,
      default_cleanup_interval => 12 /* hours */);
 END IF;
END;
/
包的具体用法可参考：
http://docs.oracle.com/cd/E11062_01/admin.1023/e11059/avadm_app_d_audit_mgmt.htm
3、转移表空间（未测试）
alter table sys.aud$ move tablespace users;
alter table sys.aud$ move lob(sqlbind) store as( tablespace USERS);
alter table sys.aud$ move lob(SQLTEXT) store as( tablespace USERS);
alter index sys.I_AUD1 rebuild tablespace users;