使用Oracle的审计功能监控数据库中的可疑操作-Mysql Tutorial-php.cn

Home

Database

Mysql Tutorial

使用Oracle的审计功能监控数据库中的可疑操作

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 07, 2016 pm 05:07 PM

oracle database

看一下Oracle的审计功能（包括FGA细粒度审计）能给我们带来些什么的强悍效果。我将通过这个小文儿向您展示一下Oracle很牛的审计功

看一下Oracle的审计功能（包括FGA细粒度审计）能给我们带来些什么的强悍效果。
我将通过这个小文儿向您展示一下Oracle很牛的审计功能。Follow me.
1.使用审计，需要先激活审计功能
1）查看系统中默认的与审计相关的参数设置
sys@ora10g> conn / as sysdba
Connected.
sys@ora10g> show parameter audit
NAME                  TYPE      VALUE
--------------------- --------- --------------------------------------
audit_file_dest       string    /oracle/app/oracle/admin/ora10g/adump
audit_sys_operations boolean   FALSE
audit_syslog_level    string
audit_trail           string    NONE
2）对上面所列的参数进行一下解释
（1）AUDIT_FILE_DEST = 路径
指示出审计的文件存放的路径信息，我们这里显示的是“/oracle/app/oracle/admin/ora10g/adump”
不管打开还是不打开审计功能，这个目录项都会记录以sysdba身份的每次登录信息，，有兴趣的朋友可以到这个目录中查看一下。
例如：
$ cat ora_9915.aud
Audit file /oracle/app/oracle/admin/ora10g/adump/ora_9915.aud
Oracle Database 10g Enterprise Edition Release 10.2.0.3.0 - 64bit Production
With the Partitioning, Oracle Label Security, OLAP and Data Mining Scoring Engine options
ORACLE_HOME = /oracle/app/oracle/product/10.2.0/db_1
System name:    Linux
Node name:      testdb183
Release:        2.6.18-128.el5
Version:        #1 SMP Wed Dec 17 11:41:38 EST 2008
Machine:        x86_64
Instance name: ora10g
Redo thread mounted by this instance: 1
Oracle process number: 13
Unix process pid: 9915, image: oracle@testdb183 (TNS V1-V3)
Wed Aug 26 19:24:11 2009
ACTION : 'CONNECT'
DATABASE USER: '/'
PRIVILEGE : SYSDBA
CLIENT USER: oracle
CLIENT TERMINAL: pts/1
STATUS: 0
（2）audit_sys_operations
默认值是FALSE，如果开启审计功能，这个参数需要修改为TRUE。
（3）audit_syslog_level
       语句：指定审计语句或特定类型的语句组，象审计表的语句 CREATE TABLE, TRUNCATE TABLE, COMMENT ON TABLE, and DELETE [FROM] TABLE
       权限：使用审计语句指定系统权限，象AUDIT CREATE ANY TRIGGER
       对象：在指定对象上指定审计语句，象ALTER TABLE on the emp table
（4）AUDIT_TRAIL = NONE|DB|OS
        DB--审计信息记录到数据库中
        OS--审计信息记录到操作系统文件中
        NONE--关闭审计（默认值）
3）修改参数audit_sys_operations为“TRUE”，开启审计的功能
sys@ora10g> alter system set audit_sys_operations=TRUE scope=spfile;
System altered.
4）修改参数audit_trail为“db”，审计信息记录到数据库中
sys@ora10g> alter system set audit_trail=db scope=spfile;
System altered.
5）注意，到这里如果需要使这些参数生效，必须重新启动一下数据库
sys@ora10g> shutdown immediate;
Database closed.
Database dismounted.
ORACLE instance shut down.
sys@ora10g> startup;
ORACLE instance started.
Total System Global Area 1073741824 bytes
Fixed Size                  2078264 bytes
Variable Size             293603784 bytes
Database Buffers          771751936 bytes
Redo Buffers                6307840 bytes
Database mounted.
Database opened.
6）验证一些参数修改后的结果，这里显示已经修改完成
sys@ora10g> show parameter audit;
NAME                  TYPE     VALUE
--------------------- -------- --------------------------------------
audit_file_dest       string   /oracle/app/oracle/admin/ora10g/adump
audit_sys_operations boolean TRUE
audit_syslog_level    string
audit_trail           string   DB
2.开启了审计功能后，这里有一个有趣的效果，就是所有sysdba权限下的操作都会被记录到这个/oracle/app/oracle/admin/ora10g/adump审计目录下。这也是为什么开启了审计功能后会存在一些开销和风险。
1）假如我们在sysdba权限用户下执行下面三条命令
sys@ora10g> alter session set nls_date_format='yyyy-mm-dd hh24:mi:ss';
Session altered.
sys@ora10g> select * From dual;
D
-
X
sys@ora10g> show parameter spfile
NAME   TYPE   VALUE
------ ------ ------------------------------------------------------------
spfile string /oracle/app/oracle/product/10.2.0/db_1/dbs/spfileora10g.ora
2）使用tail命令可以看到在相应的trace文件中有如下的详细记录信息，有点意思的发现，可以看到“show parameter spfile”命令背后真正执行了什么样的SQL语句
Wed Aug 26 20:04:03 2009
ACTION : 'alter session set nls_date_format='yyyy-mm-dd hh24:mi:ss''
DATABASE USER: '/'
PRIVILEGE : SYSDBA
CLIENT USER: oracle
CLIENT TERMINAL: pts/2
STATUS: 0
Wed Aug 26 20:04:03 2009
ACTION : 'BEGIN DBMS_OUTPUT.GET_LINES(:LINES, :NUMLINES); END;'
DATABASE USER: '/'
PRIVILEGE : SYSDBA
CLIENT USER: oracle
CLIENT TERMINAL: pts/2
STATUS: 0
Wed Aug 26 20:04:16 2009
ACTION : 'select * From dual'
DATABASE USER: '/'
PRIVILEGE : SYSDBA
CLIENT USER: oracle
CLIENT TERMINAL: pts/2
STATUS: 0
Wed Aug 26 20:04:16 2009
ACTION : 'BEGIN DBMS_OUTPUT.GET_LINES(:LINES, :NUMLINES); END;'
DATABASE USER: '/'
PRIVILEGE : SYSDBA
CLIENT USER: oracle
CLIENT TERMINAL: pts/2
STATUS: 0
Wed Aug 26 20:07:21 2009
ACTION : 'SELECT NAME NAME_COL_PLUS_SHOW_PARAM,DECODE(TYPE,1,'boolean',2,'string',3,'integer',4,'file',5,'number',        6,'big integer', 'unknown') TYPE,DISPLAY_VALUE VALUE_COL_PLUS_SHOW_PARAM FROM V$PARAMETER WHERE UPPER(NAME) LIKE UPPER('%spfile%') ORDER BY NAME_COL_PLUS_SHOW_PARAM,ROWNUM'
DATABASE USER: '/'
PRIVILEGE : SYSDBA
CLIENT USER: oracle
CLIENT TERMINAL: pts/2
STATUS: 0
3.演示一下对sec用户的t_audit表delete操作的审计效果
1）表t_audit信息如下
@ora10g> select * from t_audit order by 1;
         X
----------
         1
         2
         3
         4
         5
         6
6 rows selected.
2）这里仅仅开启对表t_audit的delete操作的审计
sec@ora10> audit delete on t_audit;
Audit succeeded.
3）查看审计设置可以通过查询dba_obj_audit_opts视图来完成
@ora10g> select OWNER,OBJECT_NAME,OBJECT_TYPE,DEL,INS,SEL,UPD from dba_obj_audit_opts;
OWNER OBJECT_NAME OBJECT_TYPE DEL       INS       SEL       UPD
------ ------------ ------------ --------- --------- --------- ---------
SEC    T_AUDIT      TABLE        S/S       -/-       -/-       -/-
4）尝试插入数据
@ora10g> insert into t_audit values (7);
1 row created.
5）因为我们没有对insert语句进行审计，所以没有审计信息可以得到
@ora10g> select count(*) from dba_audit_trail;
COUNT(*)
----------
         0
6）再尝试delete操作
@ora10g> delete from t_audit where x=1;
1 row deleted.
7）不出所料，delete操作被数据库捕获
这里可以通过查询dba_audit_trail视图或者sys.aud$视图得到详细的审计信息，这种审计方法可以得到操作的时间，操作用户等较粗的信息（相对后面介绍的细粒度审计来说）
@ora10g> select count(*) from dba_audit_trail;
COUNT(*)
----------
         1
select * from dba_audit_trail;
select * from sys.aud$;
4.如想要取消对表t_audit的全部审计，需要使用手工方式来完成
sec@ora10> noaudit all on t_audit;
Noaudit succeeded.
通过查询dba_obj_audit_opts视图，确认确实已经取消的审计
@ora10g> select * from dba_obj_audit_opts;
no rows selected

linux

Statement

The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn

oracle怎么查看表属于哪个表空间Jul 06, 2023 pm 01:31 PM

oracle查看表属于哪个表空间的方法：1、使用“SELECT”语句，并通过指定表名来查找指定表所属的表空间；2、使用Oracle提供的数据库管理工具来查看表所属的表空间，这些工具通常提供了图形界面，使得操作更加直观和方便；3、在SQL*Plus中，可以通过输入“DESCRIBEyour_table_name;”命令来查看表所属的表空间。

如何使用PDO连接到Oracle数据库Jul 28, 2023 pm 12:48 PM

如何使用PDO连接到Oracle数据库概述：PDO（PHPDataObjects）是PHP中一个操作数据库的扩展库，它提供了一个统一的API来访问多种类型的数据库。在本文中，我们将讨论如何使用PDO连接到Oracle数据库，并执行一些常见的数据库操作。步骤：安装Oracle数据库驱动扩展在使用PDO连接Oracle数据库之前，我们需要安装相应的Oracl

oracle如何只取一条重复的数据Jul 06, 2023 am 11:45 AM

oracle只取一条重复的数据的步骤：1、使用SELECT语句结合GROUP BY和HAVING子句来查找重复数据；2、使用ROWID删除重复数据，可以确保删除的是精确的重复数据记录，或者使用“ROW_NUMBER()”函数删除重复数据，这将删除每组重复数据中的除了第一条记录之外的其他记录；3、使用“select count(*) from”语句返回删除记录数确保结果。

实现PHP和Oracle数据库的数据导入Jul 12, 2023 pm 06:46 PM

实现PHP和Oracle数据库的数据导入在Web开发中，使用PHP作为服务器端脚本语言可以方便地操作数据库。Oracle数据库作为一种常见的关系型数据库管理系统，具备强大的数据存储和处理能力。本文将介绍如何使用PHP将数据导入到Oracle数据库中，并给出相应的代码示例。首先，我们需要确保已经安装了PHP和Oracle数据库，并且已经配置好了PHP对Orac

oracle数据库需要jdk吗Jun 05, 2023 pm 05:06 PM

oracle数据库需要jdk，其原因是：1、当使用特定的软件或功能时需要包含在JDK中的其他软件或库；2、需要安装Java JDK才能在Oracle数据库中运行Java程序；3、JDK提供了开发和编译Java应用程序的功能；4、满足Oracle对Java函数的要求，以帮助实现和实现特定功能。

如何高效地使用PHP和Oracle数据库的连接池Jul 12, 2023 am 10:07 AM

如何高效地使用PHP和Oracle数据库的连接池引言：在开发PHP应用程序时，使用数据库是必不可少的一部分。而在与Oracle数据库交互时，连接池的使用对于提高应用程序的性能和效率至关重要。本文将介绍如何在PHP中高效地使用Oracle数据库连接池，并提供相应的代码示例。一、连接池的概念及优势连接池是一种管理数据库连接的技术，它通过事先创建一批连接并维护一个

如何使用php扩展PDO连接Oracle数据库Jul 29, 2023 pm 07:21 PM

如何使用PHP扩展PDO连接Oracle数据库导语：PHP是一种非常流行的服务器端编程语言，而Oracle是一款常用的关系型数据库管理系统。本文将介绍如何使用PHP扩展PDO（PHPDataObjects）来连接Oracle数据库。一、安装PDO_OCI扩展要连接Oracle数据库，首先需要安装PDO_OCI扩展。以下是安装PDO_OCI扩展的步骤：确保

oracle如何在存储过程中判断表是否存在Jul 06, 2023 pm 01:20 PM

oracle在存储过程中判断表是否存在的步骤：1、使用“user_tables`”系统表查询当前用户下的表信息，将传入的表名“p_table_name”与“table_name”字段进行比较，满足条件，则“COUNT(*)”会返回大于0的值；2、使用“SET SERVEROUTPUT ON;”语句和“EXEC`”关键字执行存储过程，并传入表名，即可判断表是否存在。

See all articles

Hot AI Tools

Undresser.AI Undress

AI-powered app for creating realistic nude photos

AI Clothes Remover

Online AI tool for removing clothes from photos.

Undress AI Tool

Undress images for free

Clothoff.io

AI clothes remover

AI Hentai Generator

Generate AI Hentai for free.

Hot Article

R.E.P.O. Energy Crystals Explained and What They Do (Yellow Crystal)

2 weeks agoBy尊渡假赌尊渡假赌尊渡假赌

How Long Does It Take To Beat Split Fiction?

1 months agoByDDD

R.E.P.O. Save File Location: Where Is It & How to Protect It?

1 months agoByDDD

R.E.P.O. Best Graphic Settings

2 weeks agoBy尊渡假赌尊渡假赌尊渡假赌

Assassin's Creed Shadows: Seashell Riddle Solution

1 weeks agoByDDD

Hot Tools

mPDF

mPDF is a PHP library that can generate PDF files from UTF-8 encoded HTML. The original author, Ian Back, wrote mPDF to output PDF files "on the fly" from his website and handle different languages. It is slower than original scripts like HTML2FPDF and produces larger files when using Unicode fonts, but supports CSS styles etc. and has a lot of enhancements. Supports almost all languages, including RTL (Arabic and Hebrew) and CJK (Chinese, Japanese and Korean). Supports nested block-level elements (such as P, DIV),

Notepad++7.3.1

Easy-to-use and free code editor

SAP NetWeaver Server Adapter for Eclipse

Integrate Eclipse with SAP NetWeaver application server.

VSCode Windows 64-bit Download

A free and powerful IDE editor launched by Microsoft

DVWA

Damn Vulnerable Web App (DVWA) is a PHP/MySQL web application that is very vulnerable. Its main goals are to be an aid for security professionals to test their skills and tools in a legal environment, to help web developers better understand the process of securing web applications, and to help teachers/students teach/learn in a classroom environment Web application security. The goal of DVWA is to practice some of the most common web vulnerabilities through a simple and straightforward interface, with varying degrees of difficulty. Please note that this software

Hot Topics

Where is the login entrance for gmail email?

7387

1630

1357

1267

1216