Oracle 11g数据库审计功能解析

查询oracle数据库审计信息的方法查询Oracle数据库审计信息的方法1. 概述Oracle数据库的审计功能是一种重要的安全功能，可以帮助管理员监控数据库中的活动，并跟踪和记录对数据库的访问和操作。

审计信息可以用于检测并响应数据库中的潜在安全威胁，同时也可以用于满足合规性要求。

本文将介绍查询Oracle数据库审计信息的方法，帮助管理员获取有关数据库活动的详细报告和分析。

2. 启用审计功能在开始查询审计信息之前，首先需要确保已经启用了Oracle数据库的审计功能。

审计功能通过以下步骤来启用：1) 以sysdba或sysoper权限连接到数据库。

2) 运行以下命令来启用审计功能：ALTER SYSTEM SET audit_trail = db SCOPE=spfile;3) 重启数据库实例使更改生效：SHUTDOWN IMMEDIATE;STARTUP;启用审计功能后，数据库将开始记录指定的审计信息。

3. 查询审计信息要查询Oracle数据库中的审计信息，可以使用以下方法之一：1) 使用Oracle自带的审计视图Oracle提供了一系列的审计视图，用于访问和查询审计信息。

一些常用的审计视图包括：DBA_AUDIT_TRAIL，DBA_COMMON_AUDIT_TRAIL，DBA_FGA_AUDIT_TRAIL等。

管理员可以根据自己的需要选择适当的视图，并使用标准的SQL查询语句来检索审计信息。

可以查询DBA_AUDIT_TRAIL视图来获取数据库级别的审计信息： SELECT * FROM DBA_AUDIT_TRAIL;或者可以查询DBA_COMMON_AUDIT_TRAIL视图来获取通用的审计信息：SELECT * FROM DBA_COMMON_AUDIT_TRAIL;2) 使用审计报告工具除了使用审计视图，还可以使用一些第三方的审计报告工具来查询和分析审计信息。

这些工具通常提供更直观和丰富的报告和分析功能，可以帮助管理员更方便地浏览和理解审计信息。

例子：Oracle10g审计默认关闭，Oracle11g默认情况是开启的，查看参数，audit_trail=DB，此时只开启系统级别审计权限，包括：登陆、退出、增删改用户等。

查看对象拥有的审计内容，发现没有针对单独用户设置权限设置用户test系统级别审计TEST用户执行SQL:CREATE TABLE ZM123456(ID INT);COMMIT;select * from dba_audit_trail order by EXTENDED_TIMESTAMP desc;Java代码1.2> 权限审计：对某一个系统权限的使用状况进行审计。

这里强调系统权限()。

2. a. 使用audit语句定义权限审计语法如下：3.audit privilege_name [by user_name]| [by session|access] [whenever [not] successful]4.privilege_name: 表示系统权限名称er_name: 表示用户名6.例如：audit create table 可以表示对涉及creat table 权限的操作进行审计。

7.8. b. 使用noaudit语句取消权限审计9.如：noaudit alter table by scott;10.11.查看对哪些用户进行了权限Audit12.select user_name, privilege,success,failure from dba_priv_audit_opts order by user_name;Java代码1.3> 对象Audit：监视所有用户对某一个对象(表，视图...)的访问情况。

对一个特殊模式对象上的DML(Data Manipulation Language)语句进行审计。

记录作用在指定对象上的操作。

2.例如：audit select on scott.dept语句，表示对指定scott用户的dept表，Audit对其进行的select语句。

Oracle11g数据库审计问题描述：使⽤Oracle 11g的数据库审计问题解决：(1)激活数据库审计（1.1）查看数据库审计是否已经开启如上图所⽰：⾸先使⽤⽤户登陆sqplus，（普通⽤户，或者dba都可以），然后使⽤conn /as sysdba注意：（a）以上使⽤sqlplus可以成功进⾏数据库审计的命令操作，但是在使⽤PL/SQL Developer command line进⾏数据库审计操作时，有些命令⽆法识别例如shutdown immediate (重启数据库)（b）以上使⽤conn / as sysdba 进⾏数据库登陆，使⽤其他⽤户登陆进⾏数据库审计操作时不起作⽤的(1.2)查看数据库审计是否已经开启如上所⽰，使⽤ show parameter audit ；可以查看数据库审计的信息其中audit_sys_operations 的value为false，意味着数据库审计未开启其中audit_trail 的value为DB参数详解：AUDIT_TRAIL启⽤或禁⽤数据库审计。

当设置该参数为NONE或FALSE时，将禁⽌数据库审计；当设置该参数为OS时，将激活数据库审计，并将审计记录写⼊到OS审计跟踪⽂件中；当设置该参数为DB或TRUE时，将激活数据库审计，并将审计记录写⼊到数据字典SYS.AUD$中；当设置该参数为DB_EXTENDED时，不仅将审计记录写⼊到数据字典SYS.AUD$中，还会填充该数据字典的SQLBIND和SQLTEXT列。

（1.3）激活数据库审计如上所⽰修改系统信息，激活数据库审计参数详解：spfile是存储初始化参数的⽂件，还有⼀种是pfile也是存储初始化参数的⽂件，spfile是服务器端维护的，pfile是客户端维护的spfile只能通过系统更改，pfile可以⼿动修改。

（1.4）重启数据库-----应⽤对系统的修改重新查看审计的信息如上显⽰了audit_sys_operations 的值为true，同时audit_trail 的值为db_extended说明数据库审计已经激活注意：以上重新启动数据库使⽤了startup force 命令，同时也可以分别使⽤：shutdown immediate ; 关闭数据库startup；启⽤数据库（2）使⽤审计信息注意：(a) 审计⼀般只⽤于对普通⽤户操作，⼀般不审计SYS⽤户(b) 对于windows系统，对sys⽤户的审计信息并不存在AUDIT_FILE_DEST参数指定的⽬录⾥，⽽是在windows的事件管理器中。

数据库审计功能描述
数据库审计是指对数据库操作进行监控和记录的过程，用于检测和调查数据库中的安全事件、违规行为和数据泄露等问题。

以下是数据库审计的主要功能描述：
1. 日志记录：数据库审计系统会记录所有对数据库进行的操作，包括登录、查询、插入、更新和删除等。

这些日志记录包含操作的时间、用户、客户端 IP 地址、操作内容等信息，以便后续的分析和调查。

2. 事件监测：数据库审计系统可以实时监测数据库中的活动，并根据预定义的规则和策略进行报警。

例如，可以设置监测特定用户或 IP 地址的异常操作、敏感数据的访问或修改等事件，并及时发出警报。

3. 合规性检查：数据库审计可以帮助企业满足合规性要求，如法规要求、行业标准或内部政策。

它可以检测和报告违反合规性的行为，如未经授权的访问、数据篡改或泄露等。

4. 异常行为分析：通过分析数据库审计日志，可以发现异常的数据库操作行为。

例如，频繁的失败登录尝试、异常的查询语句或大量的数据删除等可能表示潜在的安全威胁或滥用行为。

5. 事件调查和追踪：数据库审计提供了追踪和调查安全事件的能力。

通过查看审计日志，可以了解事件发生的时间、涉及的用户和操作内容，有助于确定责任和采取相应的纠正措施。

6. 报告和可视化：数据库审计系统可以生成各种报告和统计图表，提供有关数据库活动的统计信息和趋势分析。

这些报告可以帮助管理员了解数据库的使用情况、发现潜在的问题以及评估安全状况。

总之，数据库审计是数据库安全管理的重要组成部分，它提供了对数据库操作的监控、记录和分析功能，有助于保护数据库的完整性、保密性和可用性。

Oracle 11g跟踪数据库变化的数据(1)激活审计SQL> conn /as sysdba已连接。

SQL> show parameter audit_sys_operations;NAME TYPE V ALUE------------------------------------ ----------- ------------------------audit_sys_operations boolean FALSESQL> show parameter audit_trail;NAME TYPE V ALUE------------------------------------ ----------- ------------------------------audit_trail string NONESQL> alter system set audit_sys_operations=true scope=spfile;系统已更改。

SQL> alter system set audit_trail=db scope=spfile;系统已更改。

SQL> startup force;ORACLE 例程已经启动。

Total System Global Area 1071333376 bytesFixed Size 1375792 bytesVariable Size 536871376 bytesDatabase Buffers 528482304 bytesRedo Buffers 4603904 bytes数据库装载完毕。

数据库已经打开。

SQL> show parameter audit_sys_operations;NAME TYPE V ALUE------------------------------------ ----------- ------------------------------audit_sys_operations boolean TRUESQL> show parameter audit_trail;NAME TYPE V ALUE------------------------------------ ----------- ------------------------------audit_trail string DB（2）1.定义数据库需要审计的表SQL>executedbms_fga.add_policy(object_schema=>'scott',object_name=>'emp',policy_name=>'chk_emp',sta tement_types=>'insert,update,delete');PL/SQL 过程已成功完成。

Oracle DB审计分类：Oracle 11g ws1 2013-10-04 22:21 388人阅读评论(0) 收藏举报• 说明DBA 负责的安全和审计工作• 启用标准数据库审计• 指定审计选项• 复查审计信息• 维护审计线索∙责任分离• 具有DBA 权限的用户必须是可信任的。

–滥用信任–用审计线索保护受信任位置• 必须共同分担DBA 责任。

• 绝对不要共享帐户。

• DBA 和系统管理员必须由不同的人员担任。

• 分离操作员与DBA 的责任。

以下是满足责任分离的主要要求。

DBA 必须是可信任的：很难限制某个DBA 去做什么。

为了完成工作，DBA 需要很高的权限。

DBA 是受信任的职位，因此必须接受全面检查。

即使是受信任的DBA 也必须承担责任。

考虑以下因素：• 滥用信任：DBA 可能会滥用DBA_USERS视图中的加密密码。

•用审计线索保护受信任位置：谨慎实施审计且遵守准则之后，审计线索会指出特定人员没有违反规程，也没有破坏性行为。

如果有恶意用户试图让人怀疑受信任的用户，设计良好的审计线索可捕获该行为。

Oracle Database Vault：在下面的情况下，可以使用Oracle Database Vault 选件：数据库必须强制执行责任分离，或者不允许DBA 查看某些或所有数据库方案中的数据。

∙数据库安全性安全的系统可确保所包含数据的机密性。

有以下几方面的安全性功能：• 限制对数据和服务的访问• 验证用户• 监视可疑活动数据库安全性Oracle Database 11g提供了业界最佳的安全系统框架。

但是，要让这个框架起作用，数据库管理员必须遵循最佳实践并持续监视数据库活动。

限制对数据和服务的访问不是所有用户都应对所有数据具有访问权。

根据数据库中存储的内容，可按业务需要、客户期望以及日益增加的法律限制条款来强制实施有限制的访问。

必须保护信用卡信息、医疗保健数据、身份识别信息等，使之免受未授权访问的侵害。