oracle审计模式(基于Oracle12c实行全新的审计架构--统一审计)
oracle审计模式(基于Oracle12c实行全新的审计架构--统一审计)所有审计记录(包括对SYS的审计记录)都采用同一格式存放在同一位置,无须查看不同位置和查找不同格式的审计记录。AUDIT_TRAIL AUDIT_FILE_DEST AUDIT_SYS_OPERATIONS AUDIT_SYSLOG_LEVEL UNIFIED_AUDIT_SGA_QUEUE_SIZE2. 审计记录格式和存放位置统一12c的unified审计:https://docs.oracle.com/en/database/oracle/oracle-database/12.2/sqlrf/AUDIT-Unified-Auditing.html#GUID-B24D6874-4053-4E66-8238-6CD0C87E9DCA1. 启用统一审计后,不再依赖于先前版本中使用的初始化参数
概述Oracle Database 12c 推出一套全新的审计架构,称为统一审计功能。统一审计主要利用策略和条件在 Oracle 数据库内部有选择地执行有效的审计。新架构将现有审计跟踪统一为单一审计跟踪,从而简化了管理,提高了数据库生成的审计数据的安全性。统一审计跟踪(unified audit trail)存放在SYSAUX表空间AUDSYS schema下的只读表中,审计信息通过UNIFIED_AUDIT_TRAIL视图以统一格式提供访问,在单实例和RAC中均可用。
参考:
12c的传统审计(即11g里的标准审计和精细审计):
https://docs.oracle.com/en/database/oracle/oracle-database/12.2/sqlrf/AUDIT-Traditional-Auditing.html#GUID-ADF45B07-547A-4096-8144-50241FA2D8DD
12c的unified审计:
https://docs.oracle.com/en/database/oracle/oracle-database/12.2/sqlrf/AUDIT-Unified-Auditing.html#GUID-B24D6874-4053-4E66-8238-6CD0C87E9DCA
一、统一审计优点
1. 启用统一审计后,不再依赖于先前版本中使用的初始化参数
AUDIT_TRAIL
AUDIT_FILE_DEST
AUDIT_SYS_OPERATIONS
AUDIT_SYSLOG_LEVEL
UNIFIED_AUDIT_SGA_QUEUE_SIZE
2. 审计记录格式和存放位置统一
所有审计记录(包括对SYS的审计记录)都采用同一格式存放在同一位置,无须查看不同位置和查找不同格式的审计记录。
3. 提升了审计记录的管理和安全性
4. 整体审计性能大大提高。
默认情况下,审计记录会自动写入AUDSYS架构中的内部关系表。
5. 简单的审计策略管理方式
可以创建命名审计策略,以审计第一节列出的受支持组件及SYS用户。此外,可以在策略中构建条件和排除项。
如果使用Oracle Audit Vault和Database Firewall,统一审计跟踪可以极大地方便收集审计数据,因为所有数据都来自同一位置。
二、传统审计与统一审计切换
1、查看数据库审计模式
TRUE为纯统一审计,FALSE为使用混合模式审计
SELECT VALUE FROM V$OPTION WHERE PARAMETER = 'Unified Auditing';
2、混合模式切换为纯统一审计
--关闭数据库
conn /as sysdba
SHUTDOWN IMMEDIATE
--切换
$ lsnrctl stop listener_name
$ cd $ORACLE_HOME/rdbms/lib
$ make -f ins_rdbms.mk uniaud_on ioracle ORACLE_HOME=$ORACLE_HOME
$ lsnrctl start listener_name
--开启数据库
conn /as sysdba
STARTUP
3、关闭统一审计
--关闭数据库
conn /as sysdba
SHUTDOWN IMMEDIATE
--关闭统一审计
$ lsnrctl stop listener_name
$ cd $ORACLE_HOME/rdbms/lib
$ make -f ins_rdbms.mk uniaud_off ioracle
$ lsnrctl start listener_name
--开启数据库
conn /as sysdba
STARTUP
三、 统一审计策略管理
1、谁可以进行审计
Oracle为执行审计的用户提供了两个角色:AUDIT_ADMIN和AUDIT_VIEWER。
AUDIT_ADMIN:创建统一和细粒度的审计策略、查看审计数据及管理审计跟踪管理(读写权限)
AUDIT_VIEWER:查看和分析审计数据(只读权限),需要此角色的用户通常是外部审计员。
2.、12c默认开启的统一审计策略
12c数据库中预先定义了一些审计策略,根据版本不同,默认开启的审计策略也略有不同。可以通过audit_unified_enabled_policies视图进行查看默认开启的统一审计策略
12.1.0.1中,默认开启了ORA_SECURECONFIG审计策略,数据库会根据这个审计策略
12.1.0.2中,默认开启了ORA_SECURECONFIG和ORA_LOGON_FAILURES审计策略
需要说明的是,ORA_SECURECONFIG审计策略在12.1.0.1和12.1.0.2的版本上的定义是不同的。
12.1.0.1中,ORA_SECURECONFIG审计策略包含了对所有LOGON和LOGOFF的审计。
12.1.0.2中,ORA_SECURECONFIG审计策略移除了对所有LOGON和LOGOFF的审计,而增加了一个新的审计策略ORA_LOGON_FAILURES,用于仅审计登陆失败的操作。这样更加方管理,也能改善因为大量LOGON和LOGOFF的审计对表空间的浪费。
四、 常用视图
AUDIT_UNIFIED_POLICIES - 记录DB内所有统一审计策略
AUDIT_UNIFIED_ENABLED_POLICIES - 记录DB内所有已启用的统一审计策略
UNIFIED_AUDIT_TRAIL - 记录所有统一审计结果
col OS_USERNAME format a15
col SQL_TEXT format a30
COL AUDIT_TYPE format a10
col ACTION_NAME format a10
col UNIFIED_AUDIT_POLICIES format a10
select AUDIT_TYPE OS_USERNAME TERMINAL ACTION_NAME SQL_TEXT UNIFIED_AUDIT_POLICIES from UNIFIED_AUDIT_TRAIL where OBJECT_NAME='SRM';
五、 案例--配置统一审计策略
1、语法
使用 CREATE AUDIT POLICY 语句
CREATE AUDIT POLICY policy_name
{ {privilege_audit_clause [action_audit_clause ] [role_audit_clause ]}
| { action_audit_clause [role_audit_clause ] }
| { role_audit_clause }
}
[WHEN audit_condition EVALUATE PER {STATEMENT|SESSION|INSTANCE}]
[CONTAINER = {CURRENT | ALL}];
2、实例
2.1、创建审计策略,审计对表SRM.HRM_EMPLOYEES的select操作
create audit policy up1 actions select on SRM.HRM_EMPLOYEES;
2.2、启用审计策略
audit policy up1;
2.3、查看审计策略
select POLICY_NAME AUDIT_OPTION_TYPE OBJECT_NAME COMMON from AUDIT_UNIFIED_POLICIES where POLICY_NAME=upper('up1');
2.4、查看已启用的审计策略
select USER_NAME POLICY_NAME ENABLED_OPT SUCCESS FAILURE from AUDIT_UNIFIED_ENABLED_POLICIES;
2.5、禁用审计策略
NOAUDIT POLICY UP1;
2.6、删除审计策略
在删除审计策略之前,必须禁用掉该审计策略,否则会报ORA-46361错误
DROP AUDIT POLICY UP1;
select POLICY_NAME AUDIT_OPTION_TYPE OBJECT_NAME COMMON from AUDIT_UNIFIED_POLICIES where POLICY_NAME = upper('up1');
觉得有用的朋友多帮忙转发哦!后面会分享更多devops和DBA方面的内容,感兴趣的朋友可以关注下~
