[Oracle19C 数据库管理] 配置数据库审计

以下内容未经整理

占位

强制审计：无法关闭此审计，比如记录数据库的开启和关闭。

标准审计：

基于值得审计：创建触发器，基于值进行记录。Trigger占用资源多

细粒度审计：加一些where条件，针对触发where条件的情况进行审计。

统一审计Unified Auditing

启用统一审计之后，会产生两个角色：

1. AUDIT_ADMIN：

• 创建审计策略
• 执行AUDIT和NOAUDIT语句
• 查看审计数据
• 管理审计线索audit trail（数据表 in AUDSYS schema）

1. AUDIT_VIEWER:

• 查看和分析数据
• 执行DBMS_AUDIT_UTIL PL/SQL软件包。

Unified Auditing是True的时候，统一审计的功能才是开启的。

select value from v$option where parameter = 'Unified Auditing';

VALUE
----------------------------------------------------------------
FALSE

启用统一审计

1. 停止lsrnctl监听

[oracle@ol7-19c ~]$ lsnrctl stop

LSNRCTL for Linux: Version 19.0.0.0.0 - Production on 05-FEB-2023 10:38:19

Copyright (c) 1991, 2019, Oracle.  All rights reserved.

Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=ol7-19c.localdomain)(PORT=1521)))
The command completed successfully

1. 停止数据库

[oracle@ol7-19c ~]$ sqlplus / as sysdba

SQL*Plus: Release 19.0.0.0.0 - Production on Sun Feb 5 10:38:30 2023
Version 19.3.0.0.0

Copyright (c) 1982, 2019, Oracle.  All rights reserved.

Connected to:
Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
Version 19.3.0.0.0

SQL> shutdown immediate;
Database closed.
Database dismounted.
ORACLE instance shut down.
SQL> exit

1. 验证后台进程已经停止。

[oracle@ol7-19c ~]$ pgrep -lf smon
[oracle@ol7-19c ~]$

1. 进入$ORACLE_HOME/rdbms/lib，重新编译ins_rdbms.mk(必须在Oracle数据库关闭时操作)
   
   [oracle@ol7-19c ~]$ cd $ORACLE_HOME/rdbms/lib
   
   [oracle@ol7-19c lib]$ make -f ins_rdbms.mk uniaud_on ioracle

2. 启用监听，开启数据库。

[oracle@ol7-19c lib]$ lsnrctl start
The command completed successfully

[oracle@ol7-19c lib]$ sqlplus / as sysdba

SQL> startup
ORACLE instance started.

Total System Global Area 1660941720 bytes
Fixed Size                  9135512 bytes
Variable Size             989855744 bytes
Database Buffers          654311424 bytes
Redo Buffers                7639040 bytes
Database mounted.
Database opened.

1. 查看v$option里面的Unified Auditing参数，此时已经是True。

SQL> select value from v$option where parameter = 'Unified Auditing';

VALUE
----------------------------------------------------------------
TRUE

创建Unified Audit Policy

CREATE AUDIT POLICY 审计策略名

ACTIONS 操作名 ON schema对象 ONLY TOPLEVEL

EVALUATE PER SESSION | PER STATEMENT | PER INSTANCE

ONLY TOPLEVEL不记录非直接的操作。比如用户update数据库的时候被记录，而通过存储过程更新数据则不记录。这样可以减少审计日志。

PER SESSION: 一个会话只记录一次出发的审计。

PER STATEMENT: 每次执行语句触发审计都会记录。审计线索占空间最多。

PER INSTANCE: 不过触发了多少次审计操作，实例只会记录一次。审计线索占空间最少。

发生对应的操作，则会写入到审计线索当中。

审计的范围

• 系统特权
  
  CREATE AUDIT POLICY audit_syspriv_pol1
  
  PRIVILEGES SELECT ANY TABLE, CREATE TABLE

• 动作
  
  CREATE AUDIT POLICY audit_actions_pol1
  
  ACTIONS AUDIT, ALTER TRIGGER

• 角色
  
  CREATE AUDIT POLICY audit_role_pol1
  
  ROLES DBA, CONNECT

• 系统特权、动作、角色的组合（或的关系）
  
  CREATE AUDIT POLICY audit_mixed_pol1
  
  PRIVILEGES DROP ANY TABLE
  
  ACTIONS CREATE TABLE, DROP TABLE, TRUNCATE TABLE
  
  ROLE hrmanager

• 针对于对象
  
  CREATE AUDIT POLICY audit_objpriv_pol1
  
  ACTIONS SELECT, UPDATE ON hr.employees;

• 记录所有操作
  
  CREATE AUDIT POLICY audit_objpriv_pol1
  
  ACTIONS ALL

• 针对存储过程
  
  CREATE AUDIT POLICY audit_objpriv_pol2
  
  ACTIONS EXECUTE, GRANT ON hr.raise_salary_proc

启用和禁用审计策略

为所有用户启用审计

AUDIT POLICY 审计名；

为某些用户启用审计

AUDIT POLICY 审计名 BY 用户1，用户2；

为所有用户启用审计并排除一些用户

AUDIT POLICY 审计名 EXCEPT 用户1，用户2；

对于操作成功和失败的时候开展审计

AUDIT POLICY 审计名 WHENEVER SUCCESSFUL;

AUDIT POLICY 审计名 WHENEVER NOT SUCCESSFUL;

禁用审计

NOAUDIT POLICY

CDB和PDB级别的审计

CDB$ROOT创建的Audit Policy应用到所有的PDB(Common).

APP$ROOT创建的Audit Policy应用到APP容器下的所有PDB(Common).

PDB创建的Audit Policy应用到这个PDB(Local)

修改审计策略

ALTER AUDIT POLICY命令用来修改审计策略。

ALTER AUDIT POLICY 审计名

ADD ACTIONS select ON hr.job_history

实作： 创建审计用户

创建audit_admin用户

SQL> create user c##audmgr container=all;
User created.

SQL> alter user c##audmgr identified by oracle account unlock;
User altered.

SQL> grant connect, audit_admin to c##audmgr container=all;
Grant succeeded.

创建audit_viewer用户

SQL> create user c##audvwr container=all;

User created.

SQL> alter user c##audvwr identified by oracle account unlock;

User altered.

SQL> grant connect, audit_viewer to c##audvwr;

Grant succeeded.

实作： 创建审计Policy

1. 使用上一个实作创建的c##audmgr登录pdb1

[oracle@ol7-19c dbhome_1]$ sqlplus c##audmgr/oracle@pdb1;
SQL*Plus: Release 19.0.0.0.0 - Production on Sun Feb 5 11:20:07 2023
Version 19.3.0.0.0
Connected to:
Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
Version 19.3.0.0.0
SQL>

1. 创建一个audit policy，对于HR.Jobs表的任何更新，都会被审计记录。

SQL> create audit policy audit_jobs_update
  2  actions update on hr.jobs;

Audit policy created.

1. 启用这个policy

SQL> audit policy audit_jobs_update;

Audit succeeded.

1. 查询audit_unified_policies可以看得到创建的audit policy以及它的配置。

SQL> select policy_name, audit_option, object_name
  2  from audit_unified_policies
  3  where policy_name='AUDIT_JOBS_UPDATE';

POLICY_NAME          AUDIT_OPTION         OBJECT_NAME
-------------------- -------------------- --------------------
AUDIT_JOBS_UPDATE    UPDATE               JOBS

1. 使用其他用户，对hr.jobs表进行更新操作。

SQL> update hr.jobs
  2  set max_salary=10000
  3  where job_id='ST_MAN';

1 row updated.

1. 切换到c##audmgr用户，查询unified_audit_policies。

SQL> col dbusername for a10
SQL> col action_name for a10
SQL> col "date" for a20
SQL> col unified_audit_policies for a22
SQL> select unified_audit_policies, dbusername, action_name,
  2  to_char(event_timestamp, 'DD-MON-YY HH24:MI') "DATE"
  3  from unified_audit_trail
  4  where dbusername in ('PDBADMIN')
  5  and action_name not in ('LOGON', 'LOGOFF')
  6  order by 4;

UNIFIED_AUDIT_POLICIES DBUSERNAME ACTION_NAM DATE
---------------------- ---------- ---------- ------------------
AUDIT_JOBS_UPDATE      PDBADMIN   UPDATE     05-FEB-23 11:37
AUDIT_JOBS_UPDATE      PDBADMIN   UPDATE     05-FEB-23 11:37  

基于值的审计

细粒度审计

审计所有的行，

条件出错，报ORA-28112