介绍
统一审核使您能够从各种来源捕获审核记录。由12c引入,可审计
SYS来自统一审核策略和AUDIT设置的 审核记录(包括审核记录)DBMS_FGAPL / SQL包中 的细粒度审核记录- Oracle数据库真实应用程序安全性审核记录
- Oracle Recovery Manager审核记录
- Oracle Database Vault审核记录
- Oracle Label Security审核记录
- Oracle数据挖掘记录
- Oracle数据泵
- Oracle SQL * Loader直接加载
统一审核跟踪位于表空间中AUDSYS架构的只读表中SYSAUX,该信息使该信息在UNIFIED_AUDIT_TRAIL数据字典视图中以统一格式可用,并且在单实例和Oracle Database Real Application Clusters环境中均可用。除了用户之外SYS,被授予AUDIT_ADMIN和AUDIT_VIEWER角色的用户还可以查询这些视图。如果您的用户仅需要查询视图而无需创建审核策略,则向他们授予该AUDIT_VIEWER角色。
当数据库是可写的时,审核记录将写入统一审核记录。如果数据库不可写,那么审核记录将写入目录中新格式的操作系统文件中$ORACLE_BASE/audit/$ORACLE_SID。
Oracle为执行审计的用户提供了两个角色:AUDIT_ADMIN和AUDIT_VIEWER。
要执行任何类型的审核,必须授予您该AUDIT_ADMIN角色。审核员被授予AUDIT_VIEWER角色后可以查看审核数据。
启用unified audit
如果该VALUE列的输出为TRUE,则您的数据库中已经启用了纯统一审核。如果尚未启用统一审核,则输出为FALSE。
% cd $ORACLE_HOME/rdbms/lib
% make -f ins_rdbms.mk uniaud_on ioracle
3.启动数据库
4.查看统一审核是否开启
SQL> SELECT VALUE FROM V$OPTION WHERE PARAMETER = \'Unified Auditing\';
VALUE
----------------------------------------------------------------
TRUE
对于rac数据库启用
对于RAC数据库(需要分别在所有RAC节点上启用统一审核,否则gv $ option不会在所有节点上都显示它。
如果仅在RAC数据库中的一个节点上启用了统一审核,则它会显示在v $ option中,但不会在gv $ option视图中反映所有节点。
在所有RAC节点上分别启用以下功能。
$ cd $ ORACLE_HOME / rdbms / lib
$ make -f ins_rdbms.mk uniaud_on ioracle
启用后分别使用srvctl启动数据库
可使用gv$option视图查看启用情况
SQL> select * from gv$option where parameter like \'Unified Auditing\';
禁用unified audit
要在Unix / Linux平台上禁用统一审核,请执行以下步骤:
1.以sysoper特权以sys身份登录到数据库:
%sqlplus sys以sysoper身份登录
2.在多租户环境中,连接到适当的PDB
例如:CONNECT SYS @ appdb AS SYSOPER
输入密码:password
(要查找可用的PDB,请查询DBA_PDBS数据字典视图。要检查当前的PDB,请运行show con_name命令。)
3.关闭数据库。
例如:SHUTDOWN IMMEDIATE
4.立即从SQL * Plus退出,并在命令提示符下运行以下命令:
%cd $ ORACLE_HOME / rdbms / lib
%make -f ins_rdbms.mk uniaud_off ioracle
5.在SQL * Plus中,以sysdba身份连接并重新启动数据库。
SQL>启动
6.然后运行以下查询以检查是否禁用了统一审核:
SQL> select * from audit_unified_enabled_policies;
7.如果以上查询返回任何行,请使用以下语法禁用策略:
SQL> noaudit policy <policy_name>
查看数据库中已经启用的统一审计策略
select * from audit_unified_enabled_policies;
将审计结果从内存刷新到磁盘(便于测试期间查看)
exec sys.dbms_audit_mgmt.flush_unified_audit_trail;
对用户和角色启用和应用统一审核策略
您可以使用该AUDIT POLICY语句启用统一审核策略并将其应用于用户和角色。
例如,同时应用两个用户:
AUDIT POLICY role_connect_audit_pol BY SYS, SYSTEM;
将一个策略应用到直接被授予DBA和CDB_DBA角色的用户:
AUDIT POLICY admin_audit_pol BY USERS WITH GRANTED ROLES DBA, CDB_DBA;
要将用户从审核策略中排除,请包括该EXCEPT子句。
AUDIT POLICY role_connect_audit_pol EXCEPT rlee, jrandolph;
审核策略可选子句,只审核成功的或者失败的,如果省略此子句,则失败和成功的用户活动都将写入审核跟踪。
WHENEVER SUCCESSFUL仅审核用户活动的成功执行。WHENEVER NOT SUCCESSFUL仅审核用户活动的失败执行。监视不成功的SQL语句可以暴露正在监听或恶意行为的用户,尽管大多数不成功的SQL语句都不是。
AUDIT POLICY role_connect_audit_pol WHENEVER NOT SUCCESSFUL;
- 统一的审计策略只能有两种的
BY,BY USERS WITH GRANTED ROLES或EXCEPT条款,但不超过这些条款为相同的策略之一。 - 如果您
AUDIT在同一统一审核策略上运行多个语句,但指定了不同的BY用户或不同的BY USERS WITH GRANTED ROLES角色,则Oracle数据库将审核所有这些用户或角色。 - 如果您
AUDIT在同一统一审核策略上运行多个语句,但指定了不同的EXCEPT用户,则Oracle数据库将使用最后一个例外用户列表,而不是前面列表中的任何用户。这意味着较早的AUDIT POLICY ... EXCEPT语句的影响被最新的AUDIT POLICY ... EXCEPT语句覆盖 。 - 您不能将
EXCEPT子句用于角色。它仅适用于用户。 - 您只能为普通用户或角色启用通用统一审核策略。
- 在多租户环境中,您只能从根启用通用审核策略,而只能从其应用的PDB启用本地审核策略。
policy_auditing是政策的名称。要查找所有当前启用的策略,请查询AUDIT_UNIFIED_ENABLED_POLICIES数据字典视图。NOAUDIT POLICY logons_pol;
关闭个别用户审核策略以及同时取笑他
NOAUDIT POLICY dv_admin_pol BY tjones; NOAUDIT POLICY dv_admin_pol BY USERS WITH GRANTED ROLES emp_admin;
删除统一审核策略
您可以通过查询AUDIT_UNIFIED_POLICIES数据字典视图来找到现有统一审核策略的列表。
使用以下以下语法删除统一审核策略:
-
DROP AUDIT POLICY policy_name;
oracle预定义的审核策略
SELECT DISTINCT policy_name FROM AUDIT_UNIFIED_POLICIES;CREATE AUDIT POLICY ORA_CIS_RECOMMENDATIONS
PRIVILEGES SELECT ANY DICTIONARY, CREATE ANY LIBRARY,
DROP ANY LIBRARY, CREATE ANY TRIGGER,
ALTER ANY TRIGGER, DROP ANY TRIGGER,
ALTER SYSTEM
ACTIONS CREATE USER, ALTER USER, DROP USER,
CREATE ROLE, DROP ROLE, ALTER ROLE,
GRANT, REVOKE, CREATE DATABASE LINK,
ALTER DATABASE LINK, DROP DATABASE LINK,
CREATE PROFILE, ALTER PROFILE, DROP PROFILE,
CREATE SYNONYM, DROP SYNONYM,
CREATE PROCEDURE, DROP PROCEDURE, ALTER PROCEDURE;
CREATE AUDIT POLICY ORA_RAS_POLICY_MGMT
ACTIONS COMPONENT=XS
CREATE USER, UPDATE USER, DELETE USER,
CREATE ROLE, UPDATE ROLE, DELETE ROLE, GRANT ROLE, REVOKE ROLE,
ADD PROXY, REMOVE PROXY,
SET USER PASSWORD, SET USER VERIFIER, SET USER PROFILE,
CREATE ROLESET, UPDATE ROLESET, DELETE ROLESET,
CREATE SECURITY CLASS, UPDATE SECURITY CLASS, DELETE SECURITY CLASS,
CREATE NAMESPACE TEMPLATE, UPDATE NAMESPACE TEMPLATE, DELETE NAMESPACE TEMPLATE,
CREATE ACL, UPDATE ACL, DELETE ACL,
CREATE DATA SECURITY, UPDATE DATA SECURITY, DELETE DATA SECURITY,
ENABLE DATA SECURITY, DISABLE DATA SECURITY,
ADD GLOBAL CALLBACK, DELETE GLOBAL CALLBACK, ENABLE GLOBAL CALLBACK;
CREATE AUDIT POLICY ORA_DATABASE_PARAMETER
ACTIONS ALTER DATABASE, ALTER SYSTEM, CREATE SPFILE;
CREATE AUDIT POLICY ORA_RAS_SESSION_MGMT
ACTIONS COMPONENT=XS
CREATE SESSION, DESTROY SESSION,
ENABLE ROLE, DISABLE ROLE,
SET COOKIE, SET INACTIVE TIMEOUT,
SWITCH USER, ASSIGN USER,
CREATE SESSION NAMESPACE, DELETE SESSION NAMESPACE,
CREATE NAMESPACE ATTRIBUTE, GET NAMESPACE ATTRIBUTE, SET NAMESPACE ATTRIBUTE,
DELETE NAMESPACE ATTRIBUTE;
CREATE AUDIT POLICY ORA_ACCOUNT_MGMT
ACTIONS CREATE USER, ALTER USER, DROP USER, CREATE ROLE, DROP ROLE,
ALTER ROLE, SET ROLE, GRANT, REVOKE;
PRIVILEGES ALTER ANY TABLE, CREATE ANY TABLE, DROP ANY TABLE,
CREATE ANY PROCEDURE, DROP ANY PROCEDURE, ALTER ANY PROCEDURE,
GRANT ANY PRIVILEGE, GRANT ANY OBJECT PRIVILEGE, GRANT ANY ROLE,
AUDIT SYSTEM, CREATE EXTERNAL JOB, CREATE ANY JOB,
CREATE ANY LIBRARY,
EXEMPT ACCESS POLICY,
CREATE USER, DROP USER,
ALTER DATABASE, ALTER SYSTEM,
CREATE PUBLIC SYNONYM, DROP PUBLIC SYNONYM,
CREATE SQL TRANSLATION PROFILE, CREATE ANY SQL TRANSLATION PROFILE,
DROP ANY SQL TRANSLATION PROFILE, ALTER ANY SQL TRANSLATION PROFILE,
TRANSLATE ANY SQL,
EXEMPT REDACTION POLICY,
PURGE DBA_RECYCLEBIN, LOGMINING,
ADMINISTER KEY MANAGEMENT
ACTIONS ALTER USER, CREATE ROLE, ALTER ROLE, DROP ROLE,
SET ROLE, CREATE PROFILE, ALTER PROFILE,
DROP PROFILE, CREATE DATABASE LINK,
ALTER DATABASE LINK, DROP DATABASE LINK,
CREATE DIRECTORY, DROP DIRECTORY,
CREATE PLUGGABLE DATABASE,
DROP PLUGGABLE DATABASE,
ALTER PLUGGABLE DATABASE,
EXECUTE ON DBMS_RLS;
有关审计的视图
| 视图 | 描述 |
|---|---|
|
|
显示有关所有细粒度审核策略的信息 |
|
|
列出创建对象时要应用的默认对象审核选项 |
|
|
描述已配置为在审计跟踪中捕获的应用程序上下文值 |
|
|
描述数据库中启用的所有统一审核策略 |
|
|
描述数据库中创建的所有统一审核策略 |
|
|
如果使用 |
|
|
将可审核的系统操作号映射到操作名称 |
|
|
与 |
|
|
显示有关细粒度审核策略的信息 |
|
|
描述用户执行的审核的Oracle Label Security事件,并指示用户的操作是否成功 |
|
|
显示与Oracle Database Real Application Security相关的审核跟踪信息 |
|
|
显示由Oracle Database Vault管理员进行的配置更改 |
|
|
显示受Oracle Database Vault策略影响的用户活动 |
|
|
描述特权(审核选项)类型代码。该表可用于将特权(审核选项)类型编号映射为类型名称。 |
|
|
在当前用户拥有的表和视图上显示有关所有细粒度审核策略的信息 |
|
|
显示所有审核记录 |
|
|
您可以查询“ |
|
|
显示 |
细粒度审计
可以审核访问数据的时间。
多租户环境中的细粒度审核
您可以在CDB根目录,应用程序根目录,CDB PDB和应用程序PDB中创建细粒度的审核策略。
请注意以下有关多租户环境中细粒度审核策略的一般规则:
- 您不能在
SYS对象上创建细粒度的审核策略。 - 您不能为扩展的数据链接对象创建细粒度的审核策略(本地的或应用程序通用的)。
- 当您在CDB根目录中创建细粒度的审核策略时,该策略不能应用于所有PDB。它仅适用于CDB根目录内的对象。(换句话说,没有CDB根目录的通用细粒度审核策略。)如果要创建细粒度审核策略来审核所有PDB中的通用对象访问,则必须明确在每个PDB中创建该策略,然后在PDB中可访问的公共对象上启用它。
- 在PDB中创建细粒度审核策略时,它仅适用于PDB中的对象。
- 仅当您连接到应用程序根目录且仅在
BEGIN/END块内时,才可以创建应用程序通用的细粒度审核策略。如果您连接到应用程序根目录并在BEGIN/END块之外创建细粒度的审核策略,则将在应用程序根目录中创建细粒度的审核策略。 - 您不能在本地PDB对象上创建应用程序通用的细粒度审核策略。
- 如果应用程序公用细粒度审核策略具有处理程序,则此处理程序必须由应用程序公用用户或CDB公用用户拥有。
- 您可以在本地(PDB)对象和CDB通用对象上创建应用程序细粒度审核策略。因为该策略在其容器本地,所以仅在定义该策略的特定容器中审核定义该策略的对象。例如,如果您在
hr_pdbPDB中创建细粒度的审核策略,则为其创建此策略的对象必须存在于hr_pdbPDB中。 - 您不能在对象链接和扩展数据链接对象的应用程序PDB中创建本地细粒度审核策略。在细数据审核策略中,允许使用元数据链接的对象。
- 所有应用程序通用对象都允许使用应用程序根本地策略。
- 当您在应用程序根目录中创建细粒度的审计策略作为通用审计策略时,它将在属于该应用程序根目录的每个PDB中有效。因此,从应用程序PDB对应用程序公共对象和CDB公共对象(定义了应用程序公共细粒度审核策略)的任何访问都在该应用程序PDB的细粒度审核跟踪中进行审核。
- 为应用程序安装,升级,修补或卸载操作创建脚本时,可以在和块中包括SQL语句以执行各种操作。您只能在这些块中包括细粒度的审核策略语句。
ALTER PLUGGABLE DATABASE app_name BEGIN INSTALLALTER PLUGGABLE DATABASE app_name END INSTALL - 您只能从应用程序根目录以及脚本中的and块内启用,禁用或删除应用程序常见的细粒度审核策略。
ALTER PLUGGABLE DATABASE app_name BEGIN INSTALLALTER PLUGGABLE DATABASE app_name END INSTALL
object_schema指定要审核的对象的架构。(如果为NULL,则假定为当前登录用户架构。)object_name指定要审核的对象的名称。policy_name指定要创建的策略的名称。确保该名称是唯一的。audit_condition指定一行中的布尔条件。NULL被允许并充当TRUE。有关更多信息,请参见特定列和行的审核。如果指定NULL审核条件或不指定审核条件,则对具有该策略的表执行的任何操作都会创建审核记录,无论是否返回行。
请遵循以下准则:
- 在设置中不要包括在同一基表上执行可审核语句的函数
audit_condition。例如,假设您创建了一个INSERT在HR.EMPLOYEES表上执行语句的函数。策略audit_condition包含此功能,它用于INSERT语句(由设置statement_types)。使用该策略时,该函数将递归执行,直到系统内存不足。这会引发错误ORA-1000: maximum open cursors exceeded或ORA-00036: maximum number of recursive SQL levels (50) exceeded。 - 不要在策略条件下从函数发出
DBMS_FGA.ENABLE_POLICYorDBMS_FGA.DISABLE_POLICY语句。
- 在设置中不要包括在同一基表上执行可审核语句的函数
audit_column指定一个或多个要审核的列,包括隐藏的列。如果设置为NULL或省略,则审核所有列。这些可以包括Oracle Label Security隐藏列或对象类型列。NULL如果访问或影响了任何列,则默认值导致审核。handler_schema:如果在违反策略时使用警报来触发响应,请指定包含事件处理程序的架构的名称。默认值为,NULL使用当前架构。另请参见教程:将电子邮件警报添加到细粒度的审核策略中。handler_module指定事件处理程序的名称。包括事件处理程序所在的包。仅在处理了与查询中的审核条件匹配的第一行之后,才调用此函数。
请遵循以下准则:
- 不要创建递归的细粒度审核处理程序。例如,假设您创建了一个
INSERT在HR.EMPLOYEES表上执行语句的处理程序。与此处理程序关联的策略是forINSERT语句(由statement_types参数设置)。使用该策略时,处理程序将递归执行,直到系统内存不足。这会引发错误ORA-1000: maximum open cursors exceeded或ORA-00036: maximum number of recursive SQL levels (50) exceeded。 - 不要从策略处理程序发出
DBMS_FGA.ENABLE_POLICY或DBMS_FGA.DISABLE_POLICY语句。这样做会引发ORA-28144: Failed to execute fine-grained audit handler错误。
- 不要创建递归的细粒度审核处理程序。例如,假设您创建了一个
enable使用true或false启用或禁用策略。如果省略,则启用该策略。默认值为TRUE。statement_types被审计指定SQL语句:INSERT,UPDATE,DELETE,或者SELECT只。如果要审核MERGE操作,请设置statement_types为\'INSERT,UPDATE\'。默认值为SELECT。audit_trail:如果您已迁移到统一审核,则Oracle数据库将忽略此参数,并将审核记录立即写入统一审核记录。如果您已迁移到统一审核,则忽略此参数。
请注意,敏感数据(例如信用卡信息)可以用明文记录。
audit_column_opts:如果在audit_column参数中指定多个列,则此参数确定是审核所有列还是特定列。有关更多信息,请参见特定列和行的审核。policy_owner是拥有细粒度审核策略的用户。但是,此设置不是用户提供的参数。Oracle Data Pump客户端在内部使用此设置来适当地重新创建细粒度的审核策略。
特定列和行的审核
DBA_AUDIT_POLICIES视图,会看到新的策略