Oracle OCP(52):细粒度审计

最新推荐文章于 2024-01-21 10:04:47 发布
原创 最新推荐文章于 2024-01-21 10:04:47 发布 · 334 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Oracle #OCP #audit #审计

本文详细介绍了Oracle数据库中细粒度审计(FGA)的使用方法,包括策略的创建、删除、启用与禁用,以及如何查询策略信息。通过示例展示了如何针对特定用户的行为进行审计,确保数据库操作的安全性和合规性。

细粒度审计 (FGA)(通过 Oracle9i 引入)可以理解为“基于策略的审计”。与标准的审计功能相反,FGA 可用于指定生成审计记录必需的条件:

FGA 策略通过使用“dbms_fga”程序包以编程方式绑定到对象(表、视图)。类似于用于通过 VPD (“dbms_rls”) 进行访问控制的程序包,它允许您创建任何需要的条件

一、创建策略

语法:

DBMS_FGA.ADD_POLICY(
  object_schema      VARCHAR2, --要审计对象所在用户的名称,如果是空,就默认是当前用户
  object_name        VARCHAR2, --要审计的对象
  policy_name        VARCHAR2, --审计策略的名称
  audit_condition    VARCHAR2, --制定一个布尔条件,若为空,就表示true,即对所有行为
  audit_column      VARCHAR2, --执行一列或多列,包括隐藏列。未指定表示所有列
  handler_schema    VARCHAR2, --如果违反策略时要向其他用户发送告警,执行此用户名
  handler_module    VARCHAR2, --指定处理措施的名称。包含处理措施所在的包。
--不能造成某个动作死循环或者启用、禁用细粒度审计策略,否则报错ora1000、36、28144
  enable            BOOLEAN, --启用或禁用策略,默认为ture,即启用
  statement_types    VARCHAR2,--指定要审计的动作,如insert、update、delete、select
  audit_trail        BINARY_INTEGER IN DEFAULT,--指定审计记录存储位置以及是否统计fga_log$的lsqltext和lsqlbind列;如果指定audit_Trail为xml,会将xml文件写入到audit_File_Dest参数指定位置;对只读数据库,oracle将审计记录写入xml格式文件,不管audit_trail如何设置
  audit_column_opts  BINARY_INTEGER IN DEFAULT);--如果制定了多行,该参数判断是否审计所有或单独的行(DBMS_FGA.ALL_COLUMNS和DBMS_FGA.ANY_COLUMNS两个值)

例句:

BEGIN
DBMS_FGA.ADD_POLICY(
object_schema => 'HR',
object_name => 'EMPLOYEES',
policy_name => 'chk_hr_employees',
enable => TRUE,
statement_types => 'INSERT, UPDATE, SELECT, DELETE',
audit_trail => DBMS_FGA.DB);
END;
/

二、删除策略

DBMS_FGA.DROP_POLICY(
  object_schema  VARCHAR2,    --要审计对象所在用户的名称,如果是空,就默认是当前用户
  object_name    VARCHAR2,    --要审计的对象
  policy_name    VARCHAR2 );  --审计策略的名称

三、禁用策略

DBMS_FGA.DISABLE_POLICY(
  object_schema  VARCHAR2,    --要审计对象所在用户的名称,如果是空,就默认是当前用户
  object_name    VARCHAR2,    --要审计的对象
  policy_name    VARCHAR2 );  --审计策略的名称

四、启用策略

DBMS_FGA.ENABLE_POLICY(
  object_schema  VARCHAR2,    --要审计对象所在用户的名称,如果是空,就默认是当前用户
  object_name    VARCHAR2,    --要审计的对象
  policy_name    VARCHAR2,    --审计策略的名称
  enable        BOOLEAN);    --启用

五、查询策略

SELECT OBJECT_SCHEMA,  --要审计对象所在用户的名称
      OBJECT_NAME,    --要审计的对象
      POLICY_OWNER,  --审计策略的拥有者
      POLICY_NAME,    --审计策略的名称
      POLICY_TEXT,    --审计内容
      POLICY_COLUMN,  --执行一列或多列,包括隐藏列。未指定表示所有列
      PF_SCHEMA,      --
      PF_PACKAGE,
      PF_FUNCTION,
      ENABLED,
      SEL,
      INS,
      UPD,
      DEL,
      AUDIT_TRAIL,
      POLICY_COLUMN_OPTIONS
  FROM DBA_AUDIT_POLICIES;

六、例句

  1. 创建用户账户,确认状态
    sysdba用户登录,创建sysadmin_fga账号,授权:
    GRANT CREATE SESSION, DBA TO sysadmin_fga IDENTIFIED BY password;
GRANT SELECT ON OE.ORDERS TO sysadmin_fga;
GRANT EXECUTE ON DBMS_FGA TO sysadmin_fga;
GRANT SELECT ON SYS.FGA_LOG$ TO sysadmin_fga;
    确保实验所需的OE用户可登陆
  2. 创建细粒度审计策略
    sysadmin_fga用户登录,执行:
    BEGIN
    DBMS_FGA.ADD_POLICY(OBJECT_SCHEMA     => 'OE',
                        OBJECT_NAME       => 'ORDERS',
                        POLICY_NAME       => 'ORDERS_FGA_POL',
                        AUDIT_CONDITION   => 'SYS_CONTEXT(''USERENV'', ''CLIENT_IDENTIFIER'') = ''Robert''',
                        HANDLER_SCHEMA    => NULL,
                        HANDLER_MODULE    => NULL,
                        ENABLE            => True,
                        STATEMENT_TYPES   => 'INSERT,UPDATE,DELETE,SELECT',
                        AUDIT_TRAIL       => DBMS_FGA.DB + DBMS_FGA.EXTENDED,
                        AUDIT_COLUMN_OPTS => DBMS_FGA.ANY_COLUMNS);
END;
/
    表示对非数据库的用户Robert的增删改查操作进行审计。
  3. 测试策略
    • sysadmin_fga登录并查询:
      SELECT DBUID, LSQLTEXT FROM SYS.FGA_LOG$ WHERE POLICYNAME='ORDERS_FGA_POL';
    • 然后用OE用户登录,并执行:
      EXEC DBMS_SESSION.SET_IDENTIFIER('Robert');
    • 表示身份模拟为Robert。
      对开启审计的ORDERS表进行查询:
      SELECT COUNT(*) FROM ORDERS;
    • sysadmin_fga再次查看:
      SELECT DBUID, LSQLTEXT FROM SYS.FGA_LOG$ WHERE POLICYNAME='ORDERS_FGA_POL';
      发现多了一条记录
  4. 删除内容
    DROP USER sysadmin_fga CASCADE;
Oracle OCP认证考试考点详解083系列10
qq_45732829的博客
05-07 1148
本系列主要讲解Oracle OCP认证考试考点(题目),适用于19C/21C,跟着学OCP考试必过。
ORACLE 12C OCP 培训资料
05-31
另外,Fine-Grained Access Control(细粒度访问控制)进一步增强了对敏感数据的保护。 在高可用性和灾难恢复方面,Oracle 12C的Data Guard功能得到了加强,提供了更灵活的保护模式,如Physical Standby、Logical ...
ORACLE 细粒度审计
weixin_42955647的博客
12-17 433
10g 默认不打开审计,11g 默认打开一部分审计功能,存储在DB中。 show parameter audit; select OS_USERNAME,USERNAME,USERHOST,OWNER,OBJ_NAME,ACTION,SESSIONID,SQL_TEXT from dba_audit_trail; 创建审计策略的语法: DBMS_FGA.ADD_POLICY ( object_...
oracle粒度,Oracle 细粒度审计
weixin_29479879的博客
04-05 356
Oracle9i开始,就可以使用DBMS_FGA可以对指定的表的select语句进行审计但是在9i中只能对select语句进行审计,在10g中可以实现对DML的审计功能下面用DBMS_FGA来展示select语句的审计功能① 假定我们存在表t,包含记录为sys@ORCL> select * from hr.t;ID NAME---------- --------------------1 ...
现实问题的细粒度审计,第 3 部分(转载)
congwuqin7037的博客
08-02 190
现在您已经掌握了各种环境中的 FGA,下面您将了解到它如何能够在 Oracle Database 10g 中起到更大的作用 在本系列的前两个部分中,我向您介绍了细粒度审计 (FGA) 的概念,它用来在 Oracle9i Da...
ORACLE细粒度审计(FGA_AUDIT
weixin_30407099的博客
09-10 285
关于FGA细粒度的介绍这里不赘述,大家可以度娘,只将实施步骤与大家分享。 业务部门要审计某表的字段,以监控UPDATE值的变化和操作。 一、创建审计策略 begin dbms_fga.add_policy(object_schema => 'XX', --schema名(默认当前操作用户) ...
Oracle审计篇——细粒度审计
Hehuyi_In的博客
05-13 3946
Oracle的标准审计默认级别是DB,这个级别不会记下具体sql语句是什么,如果需要记下需要开到DB,extended,但是改这个参数需要重启数据库,影响业务 SQL> show parameter audit_trail NAME TYPE VALUE ----------------------------...
Oracle 19C OCP课堂笔记.zip
12-23
- **Fine-Grained Access Control (FGAC)**: 提供细粒度的权限控制,以限制对敏感数据的访问。 - **Virtual Private Database (VPD)**: 在行级别应用安全策略,以实现数据的隔离和安全性。 - **Data Redaction**:...
Oracle OCP 043官方培训课件:数据库管理与恢复技术
Oracle提供细粒度的权限体系,包括系统权限、对象权限和角色权限,并支持基于角色的安全模型。通过启用统一审计(Unified Auditing),可以集中记录所有数据库活动,便于合规性审查。此外,利用VPD(Virtual Private...
oracle-ocp-052
02-04
- **ASH(Active Session History)**:通过ASH数据收集活动会话信息,用于更细粒度的性能分析。 - **SQL Profile与SQL Plan Baseline**:创建和管理SQL Profile以优化执行计划,维护SQL Plan Baseline以确保性能...
Oracle 细粒度审计(FGA)初步认识
09-10
细粒度审计(FGA),是在Oracle 9i中引入的,能够记录SCN号和行级的更改以重建旧的数据,本文将详细介绍,需要的朋友可以参考下
oracle 细粒度审计使用
Lixora's DB Home
10-23 1501
以scott用户的emp表为示例   ----增加策略 begin DBMS_FGA.ADD_POLICY (    object_schema      =>  'SCOTT',    object_name        =>  'EMP',    policy_name        =>  'mypolicy1',    handler_schema     =>  
Oracle】设置FGA(Fine-Grained Audit)细粒度审计
最新发布
SQLplusDB的小院
01-21 1213
【声明】文章仅供学习交流,观点代表个人,与任何公司无关。编辑|SQL和数据库技术(ID:SQLplusDB)
Oracle FGA细粒度审计——基于内容的数据库审计(三)
ciqu9915的博客
06-28 231
在上面两篇中,我们已经介绍了Oracle FGA细粒度审计的核心内容组件,以及如何查看审计结果。此外,还有一些关于Oracle FGA使用中的细节问题需要注意。本篇将关注dbms_fga包的其他一些方法的方式。 4...
Oracle fga 对整个schema进行细粒度审计
jnrjian的博客
12-09 702
Oracle fga 对整个schema进行细粒度审计
Oracle FGA细粒度审计——基于内容的数据库审计(一)
ciqu9915的博客
06-26 314
Oracle推出的标准Standard审计机制,提供了对于数据库对象DDL、特定User特定安全行为的审计Audit。标准审计可以帮助DBA和信息审计人员掌握生产系统各种重要变化信息,并且跟踪其行为。 但是很多时候...
oracle 细粒度审计的开启
mensuo1111的专栏
08-26 1033
--------创建细粒度策略 select 'begin' || chr(10) || 'dbms_fga.add_policy(object_schema     =>''' ||        owner || ''',' || chr(10) ||        '                    object_name     =>''' || table_name || '
Oracle FGA(Fine-Grained Audit)细粒度审计的用法
aaron8219's Oracle&Linux Technology Blog
07-01 4281
大家对trigger可能比较熟悉,但Oracle还有一个叫FGA的功能,它的作用和trigger类似,但功能更强大.它的全称是Fine-Grained Audit ,是Audit的一种特殊方式.使用FGA只要调用Oracle的包DBMS_FGA.ADD_POLICY创建一些policy(审计策略)就行.每个policy只能针对一个表或视图.建好策略后所以对表或视图的DML操作(select,ins
应用ORACLE 10G以上细粒度审计功能实现操作审计
cuiganglan0701的博客
05-16 179
最近因某企业莫名出现3次某重要数据采集表记录全部被修改为某个值的事情,通过LOGMINER工具分析出的日志结果,每个UPDATE都带有具体的ROWID,并且绑定变量也都替换了成了具体的数值,不大好和源程序中的语句进行...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值