oracle資料庫sys使用者的審計(網文摘錄)
(一)開啟資料庫關鍵操作日誌審計開關
Alter system set audit_sys_operations=true;
審計日誌產生在$ORACLE_HOME/rdbms/audit目錄下,因該日誌所佔空間較大,儲存時間較短,如一週。
檔案樣本:
Audit file /oracle/app/oracle/product/9.2.0.6/rdbms/audit/ora_10010.aud
Oracle9i Enterprise Edition Release 9.2.0.6.0 - 64bit Production
With the Partitioning and Real Application Clusters options
JServer Release 9.2.0.6.0 - Production
ORACLE_HOME = /oracle/app/oracle/product/9.2.0.6
System name: HP-UX
Node name: order_ht1
Release: B.11.23
Version: U
Machine: 9000/800
Instance name: order1
Redo thread mounted by this instance: 1
Oracle process number: 1250
Unix process pid: 10010, image: oracle@order_ht1 (TNS V1-V3)
Alter system set audit_sys_operations=true;
審計日誌產生在$ORACLE_HOME/rdbms/audit目錄下,因該日誌所佔空間較大,儲存時間較短,如一週。
檔案樣本:
Audit file /oracle/app/oracle/product/9.2.0.6/rdbms/audit/ora_10010.aud
Oracle9i Enterprise Edition Release 9.2.0.6.0 - 64bit Production
With the Partitioning and Real Application Clusters options
JServer Release 9.2.0.6.0 - Production
ORACLE_HOME = /oracle/app/oracle/product/9.2.0.6
System name: HP-UX
Node name: order_ht1
Release: B.11.23
Version: U
Machine: 9000/800
Instance name: order1
Redo thread mounted by this instance: 1
Oracle process number: 1250
Unix process pid: 10010, image: oracle@order_ht1 (TNS V1-V3)
Mon Feb 13 15:20:21 2006
ACTION : 'CONNECT'
DATABASE USER: '/'
PRIVILEGE : SYSDBA
CLIENT USER: oracle
CLIENT TERMINAL: pts/ta
STATUS: 0
ACTION : 'CONNECT'
DATABASE USER: '/'
PRIVILEGE : SYSDBA
CLIENT USER: oracle
CLIENT TERMINAL: pts/ta
STATUS: 0
Mon Feb 13 15:23:23 2006
ACTION : 'alter system set log_archive_dest_state_2=DEFER scope=spfile'
DATABASE USER: '/'
PRIVILEGE : SYSDBA
CLIENT USER: oracle
CLIENT TERMINAL: pts/ta
STATUS: 0
(二)日誌稽核
因為日誌包含所有sys使用者的所有操作資訊,可能會包含大量查詢select資訊,日誌量較大,使用純人工方式的方式審計費時費力,可以通過指令碼實現。
ACTION : 'alter system set log_archive_dest_state_2=DEFER scope=spfile'
DATABASE USER: '/'
PRIVILEGE : SYSDBA
CLIENT USER: oracle
CLIENT TERMINAL: pts/ta
STATUS: 0
(二)日誌稽核
因為日誌包含所有sys使用者的所有操作資訊,可能會包含大量查詢select資訊,日誌量較大,使用純人工方式的方式審計費時費力,可以通過指令碼實現。
其中audconf.txt 可以根據需要,包含被審計的action,如比較重要的操作:
startup
shutdown
alter tablespace
alter database
alter system
drop
truncate
delete
create user
alter user
grant
revoke
startup
shutdown
alter tablespace
alter database
alter system
drop
truncate
delete
create user
alter user
grant
revoke
每天1點系統自動排程/oracle/audit.sh
0 1 * * * /oracle/audit.sh
/oracle/audit.sh指令碼如下:
. /oracle/.profile
cd $ORACLE_HOME/rdbms/audit
filename=aud`date +%y%m`.log
filedir=aud`date +%y%m`_detail
if [ ! -f $filename ]
then
>$filename
fi
if [ ! -d $filedir ]
then
mkdir $filedir
fi
egrep 'ACTION :' *.aud|egrep -if audconf.txt|egrep -v 'alter system archive log current'>>$filename
if [ $? -eq 1 ]
then
exit
fi
egrep 'ACTION :' *.aud|egrep -if audconf.txt|egrep -v 'alter system archive log current'|cut -d : -f 1|xargs grep -l 'ACTION
0 1 * * * /oracle/audit.sh
/oracle/audit.sh指令碼如下:
. /oracle/.profile
cd $ORACLE_HOME/rdbms/audit
filename=aud`date +%y%m`.log
filedir=aud`date +%y%m`_detail
if [ ! -f $filename ]
then
>$filename
fi
if [ ! -d $filedir ]
then
mkdir $filedir
fi
egrep 'ACTION :' *.aud|egrep -if audconf.txt|egrep -v 'alter system archive log current'>>$filename
if [ $? -eq 1 ]
then
exit
fi
egrep 'ACTION :' *.aud|egrep -if audconf.txt|egrep -v 'alter system archive log current'|cut -d : -f 1|xargs grep -l 'ACTION
:'|while read file
do
mv $file ./$filedir/$file.sys
done
do
mv $file ./$filedir/$file.sys
done
該指令碼實現如下功能,
每月自動生成審計彙總檔案$ORACLE_HOME/rdbms/audit/audyymm.log,該彙總檔案儲存時間可以較長,如儲存一年
彙總檔案樣本aud0602.log:
ACTION : 'alter system set log_archive_dest_state_2=DEFER scope=spfile'
每天自動從日誌檔案中查詢日誌中是否包含關鍵操作,如果包含關鍵操作新增到彙總檔案
每月自動生成審計彙總檔案$ORACLE_HOME/rdbms/audit/audyymm.log,該彙總檔案儲存時間可以較長,如儲存一年
彙總檔案樣本aud0602.log:
ACTION : 'alter system set log_archive_dest_state_2=DEFER scope=spfile'
每天自動從日誌檔案中查詢日誌中是否包含關鍵操作,如果包含關鍵操作新增到彙總檔案
中$ORACLE_HOME/rdbms/audit/audyymm.log,同時將詳細日誌檔案備份到$ORACLE_HOME/rdbms/audit/audyymm_detail目錄下
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/11088128/viewspace-64875/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- Oracle資料庫審計功能介紹Oracle資料庫
- 忘記oracle的sys密碼該如何重置;附如何修改oracle資料庫使用者密碼Oracle密碼資料庫
- 拍拍貸資料庫審計資料庫
- Oracle資料庫之cursor、refcursor及sys_refcursor深度解析Oracle資料庫
- MySQL資料庫審計系統MySql資料庫
- openGauss 設定資料庫審計資料庫
- 資料庫安全審計在資料安全中的功能資料庫
- 安全管理:polardb資料庫審計功能資料庫
- 資料庫審計技術進化資料庫
- 開啟mysql 資料庫審計功能。MySql資料庫
- mysql 5.7 sys資料庫初探MySql資料庫
- MySQL預設資料庫之sys庫MySql資料庫
- oracle資料庫使用者建立步驟Oracle資料庫
- AI輔助資料庫設計評審AI資料庫
- 總結導致oracle資料庫主機CPU sys%高的一些原因Oracle資料庫
- Oracle審計(轉)Oracle
- Oracle:審計清理Oracle
- oracle資料庫連續相同資料的統計方法Oracle資料庫
- 2.5.2 保護資料庫:為SYS和SYSTEM使用者指定密碼資料庫密碼
- Oracle Linux 7使用cron來管理Oracle ASM審計檔案目錄的增長OracleLinuxASM
- 1.1. Oracle 資料庫使用者型別Oracle資料庫型別
- limanmanExp資料庫審計設計思路與重要程式碼資料庫
- oracle 資料庫徹底清除目錄指令碼Oracle資料庫指令碼
- Oracle資料庫-----資料庫的基本概念Oracle資料庫
- 【YashanDB知識庫】資料庫審計shutdown immediate操作導致資料庫異常退出資料庫
- 無外網Oracle資料庫遷移Oracle資料庫
- ORACLE AUDIT審計(1)Oracle
- 某銀行私有云資料庫審計專案資料庫
- MySQL資料庫SYS CPU高的可能性分析MySql資料庫
- 美創資料庫審計助力中原銀行資料安全建設資料庫
- Homestead 中 sys 資料庫 和 #MySQL50#lost+found 資料庫 是幹嘛的?資料庫MySql
- mysql 5.7後使用sys資料庫下的表查詢資料庫效能狀況MySql資料庫
- 新一代的資料庫SQL審計服務-SQL洞察資料庫SQL
- Oracle資料庫表設計時的注意事項Oracle資料庫
- 「Oracle」Oracle 資料庫安裝Oracle資料庫
- Oracle資料庫使用者安全策略功能介紹Oracle資料庫
- oracle資料庫的impdp,expdpOracle資料庫
- oracle資料庫%notfound的理解Oracle資料庫
- 資料庫審計是什麼意思?作用是什麼?資料庫