一、查看是否開(kāi)啟審計(jì)

show parameter audit;

對(duì)于參數(shù)audit_sys_operations

設(shè)置為true那么sys用戶的操作也會(huì)被審計(jì)，但此值默認(rèn)為false，此參數(shù)控制以sysdba和sysoper權(quán)限登陸的用戶以及sys用戶本身的登陸，審計(jì)記錄一定會(huì)寫(xiě)在操作系統(tǒng)文件中（無(wú)論AUDIT_TRAIL參數(shù)如何設(shè)置）。

對(duì)于參數(shù)audit_trail

• none --不開(kāi)啟
• os --啟用數(shù)據(jù)庫(kù)審計(jì)，并將數(shù)據(jù)庫(kù)審計(jì)記錄定向到操作系統(tǒng)文件，存儲(chǔ)目錄為AUDIT_FILE_DEST
• db --開(kāi)啟審計(jì)功能 啟用數(shù)據(jù)庫(kù)審計(jì)，并將數(shù)據(jù)庫(kù)所有審計(jì)記錄定向到數(shù)據(jù)庫(kù)的SYS.AUD$表
• db, extended --extened之前的空格必須有，啟用數(shù)據(jù)庫(kù)審計(jì)，并將數(shù)據(jù)庫(kù)所有審計(jì)記錄定向到數(shù)據(jù)庫(kù)的SYS.AUD$表，另外填充SYS.AUD$表的SQLBIND列和SQLTEXT列

二、開(kāi)啟審計(jì)

1.用sysdba登錄

2.修改第一步的參數(shù)值

SQL> alter system set audit_sys_operations=TRUE scope=spfile;

系統(tǒng)已更改。

  audit_trail默認(rèn)為DB，不做修改

3.重啟數(shù)據(jù)庫(kù)，即可看見(jiàn)更改 

SQL> shutdown immediate;

SQL> startup mount;

SQL> alter database open;

二、關(guān)閉審計(jì) 

alter system set audit_trail=none;

三、審計(jì)策略

1.例如：我現(xiàn)在要監(jiān)視用戶 ' wjy ' 所有行為。

這個(gè)命令將監(jiān)視用戶‘wjy’的所有行為，并記錄到審計(jì)日志中。

其中，ALL表示監(jiān)視所有操作，BY wjy表示監(jiān)視用戶‘wjy’的操作，BY ACCESS表示監(jiān)視所有訪問(wèn)操作（包括SELECT、INSERT、UPDATE、DELETE等）。 

你可以使用以下命令查看審計(jì)結(jié)果：  

select username 用戶,action_name 行為,timestamp 時(shí)間
from dba_audit_trail
where username='WJY';

2.例如： 針對(duì)Oracle數(shù)據(jù)庫(kù)監(jiān)視所有登錄不成功的用戶。

AUDIT FAILED LOGIN;

這個(gè)命令將監(jiān)視所有登錄不成功的用戶，并將審計(jì)跟蹤結(jié)果存儲(chǔ)在數(shù)據(jù)庫(kù)中的SYS.AUD$表中。

你可以使用以下命令查看審計(jì)結(jié)果： 

SELECT * FROM dba_audit_trail WHERE action_name = 'LOGON' AND returncode != 0;

這將顯示所有登錄不成功的用戶的審計(jì)結(jié)果。 

3.小tips 

• 數(shù)據(jù)多了，查詢結(jié)果會(huì)非常的不好看。分別執(zhí)行下面3條語(yǔ)句再次查詢。

set linesize 1000;
set pagesize 50;
set tab off;

四、其他審計(jì)選項(xiàng)

• by access 每一個(gè)被審計(jì)的操作都會(huì)生成一條audit trail。
• by session 一個(gè)會(huì)話里面同類型的操作只會(huì)生成一條audit trail，默認(rèn)為by session。
• whenever successful 操作成功(dba_audit_trail中returncode字段為0) 才審計(jì),
• whenever not successful 反之。省略該子句的話，不管操作成功與否都會(huì)審計(jì)。

五、視圖（表）

1. SYS.AUD$
審計(jì)功能的底層視圖,如果需要對(duì)數(shù)據(jù)進(jìn)行刪除,只需要對(duì)aud$視圖進(jìn)行刪除既可,其他視圖里的數(shù)據(jù)都是由aud$所得.
2. DBA_AUDIT_EXISTS
列出audit not exists和audit exists產(chǎn)生的審計(jì)跟蹤,我們默認(rèn)的都是audit exists.
3. DBA_AUDIT_TRAIL
可以在里面查處所有審計(jì)所跟蹤的信息.
4. DBA_AUDIT_OBJECT
可以查詢所有對(duì)象跟蹤信息.(例如,對(duì)grant,revoke等不記錄),信息完全包含于dba_audit_trail
5. DBA_AUDIT_SESSION
所得到的數(shù)據(jù)都是有關(guān)logon或者logoff的信息.
6. DBA_AUDIT_STATEMENT
列出grant ,revoke ,audit ,noaudit ,alter system語(yǔ)句的審計(jì)跟蹤信息.
7. DBA_PRIV_AUDIT_OPTS
通過(guò)系統(tǒng)和由用戶審計(jì)的當(dāng)前系統(tǒng)特權(quán)
8. DBA_OBJ_AUDIT_OPTS
可以查詢到所有用戶所有對(duì)象的設(shè)計(jì)選項(xiàng)
9. ALL_DEF_AUDIT_OPTS
10. AUDIT_ACTIONS
可以查詢出在aud$等視圖中actions列的含義
11. SYSTEM_PRIVILEGE_MAP
可以查詢出aud$等視圖中priv$used列的含義(注意前面加'-')

六、撤銷、清空

noaudit all on t_test; 撤銷審計(jì)

truncate table aud$; 清空審計(jì)表內(nèi)容

總結(jié) 

到此這篇關(guān)于Oracle數(shù)據(jù)庫(kù)審計(jì)功能的文章就介紹到這了,更多相關(guān)Oracle審計(jì)功能內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論