Oracle登录操作审计配置

Oracle登录及操作审计配置方案
最新推荐文章于 2025-09-18 18:12:25 发布
原创 最新推荐文章于 2025-09-18 18:12:25 发布 · 1.4k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#oracle #数据库

1. 有哪些审计的方案?

说的再通俗点就是:数据库用户的登录记录,如何查看?

一般有两种方案:

(1) 使用trigger定制化用系统触发器来记录用户登录(注意:一般用户可设置,自用较多)。

(2) 开启库audit审计功能用Oracle库本身的审记功能来记录用户的操作信息, (注意:DBA操作较方便,需要权限较大)。

2. 如何实现上述审计?

方案一,使用trigger定制化

登录审计:
(1)给权限
 grant select on v_$session to MDMCNOOC01;

--收回权限
revoke select_catalog_role from MDMCNOOC01;
(2) 创建表空间及相关表
-- 创建表空间
CREATE TABLESPACE logInfo DATAFILE
  '/app/oracle/oradata/tablespace/logInfo_01.dbf' SIZE 1G AUTOEXTEND ON NEXT 50M MAXSIZE UNLIMITED
LOGGING
ONLINE
EXTENT MANAGEMENT LOCAL AUTOALLOCATE
BLOCKSIZE 8K
SEGMENT SPACE MANAGEMENT AUTO
FLASHBACK ON;

-- 创建用户登录表,并指定表空间为logInfo
CREATE TABLE LOGINFO_LOG
(
   SESSION_ID                    NUMBER(8,0) NOT NULL,
   LOGIN_ON_TIME                 DATE,
   LOGIN_OFF_TIME                DATE,
   USER_IN_DB                    VARCHAR2(50),
   MACHINE                       VARCHAR2(50),
   IP_ADDRESS                    VARCHAR2(20),
   RUN_PROGRAM                   VARCHAR2(50)
)
PCTFREE 10
PCTUSED 40
MAXTRANS 255
TABLESPACE logInfo
STORAGE(INITIAL 64K MINEXTENTS 1 MAXEXTENTS 2147483645 FREELISTS 1 FREELIST GROUPS 1 BUFFER_POOL DEFAULT)
NOCACHE
LOGGING
/
(3) 创建用户登录触发器
CREATE OR REPLACE TRIGGER LOGIN_ON_INFO
AFTER LOGON
ON DATABASE
BEGIN
   INSERT into LOGINFO_LOG(session_id,login_on_time,login_off_time,user_in_db,machine,ip_address,run_program)
       SELECT AUDSID,sysdate,null,sys.login_user,machine,SYS_CONTEXT('USERENV','IP_ADDRESS'),program
       FROM v$session WHERE AUDSID=USERENV('SESSIONID');
END;
/
(4) 创建登出信息触发器
CREATE OR REPLACE TRIGGER LOGIN_OFF_INFO
BEFORE LOGOFF
ON DATABASE
Begin
   update sys.LOGINFO_LOG set login_off_time=sysdate where session_id=USERENV('SESSIONID');
   exception when others then
       null;
END;
/
(5) 查看登陆信息(登录审计)
SELECT * FROM LOGINFO_LOG;

此外,因为应用程序中的delete、drop操作也需要记录,说明使用触发器如何进行用户操作的留痕

delete、drop操作审计
(1) 创建drop操作的用户留痕表
CREATE TABLE DROP_LOG
(
   SESSION_ID     INT NOT NULL,
   DROP_TIME      DATE,
   IP_ADDRESS     VARCHAR2 (20),
   OBJECT_OWNER   VARCHAR2 (30),
   OBJECT_NAME    VARCHAR2 (30),
   OBJECT_TYPE    VARCHAR2 (20),
   DROP_BY_USER   VARCHAR2 (30)
);
(2) 创建删除表操作的触发器
- DROP表
CREATE OR REPLACE TRIGGER DROP_INFO
AFTER DROP ON MDMCNOOC01.schema 
BEGIN
INSERT INTO DROP_LOG
(SESSION_ID,
DROP_TIME,
IP_ADDRESS,
OBJECT_OWNER,
OBJECT_NAME,
OBJECT_TYPE,
DROP_BY_USER)
VALUES(userenv('sessionid'),
SYSDATE,
sys_context('userenv','ip_address'),
SYS.DICTIONARY_OBJ_OWNER,
SYS.DICTIONARY_OBJ_NAME,
SYS.DICTIONARY_OBJ_TYPE,
SYS.LOGIN_USER);
end;
/
-- TRUNCATE表
CREATE OR REPLACE TRIGGER TRUNCATE_INFO
AFTER TRUNCATE ON MDMCNOOC01.schema
BEGIN
INSERT INTO DROP_LOG
(SESSION_ID,
DROP_TIME,
IP_ADDRESS,
OBJECT_OWNER,
OBJECT_NAME,
OBJECT_TYPE,
DROP_BY_USER)
VALUES(userenv('sessionid'),
SYSDATE,
sys_context('userenv','ip_address'),
SYS.DICTIONARY_OBJ_OWNER,
SYS.DICTIONARY_OBJ_NAME,
SYS.DICTIONARY_OBJ_TYPE,
SYS.LOGIN_USER);
end;
/

(3) 查看操作信息(操作审计)

SELECT * FROM DROP_LOG;

方案二,开启库audit审计记录登录功能

Oracle的审计功能(Audit)用于监视用户所执行的数据库操作,审计记录可存在数据字典表(称为审计记录:存储在SYSTEM表空间中的sys.aud$表中,可通过视图dba_audit_trail查看)或操作系统审计记录中(默认位置为$ORACLE_BASE/admin/$ORACLE_SID/adump/),默认情况下审计是不开启。

和审计相关的两个参数说明,

参数1:audit_sys_operations

默认为false,当设置为true时,所有sys用户(包括以sysdba、sysoper身份登录的用户)的操作都会被记录,audit trail不会写在aud$表中,Linux/Unix平台中则会记录在audit_file_dest参数指定的文件中。

参数2:audit_trail

None:是默认值,不做任何审计。

DB:审计的结果只有连接信息,记录在数据库的审计表aud$。

DB,Extended:这样审计结果里面除了连接信息还包含了当时执行的具体语句。

OS:将audit trail 记录在操作系统文件中,文件名由参数audit_file_dest指定位置。

XML:10g里新增的。

注意:上述两个参数是static参数,需重启数据库方可生效。

(1) 检查审计功能是否开启

SQLPLUS> connect / AS SYSDBA SQLPLUS> select * from sys.aud$; --没有记录返回 
SQLPLUS> select * from dba_audit_trail; - 没有记录返回

如上述查询发现表不存在,说明审计相关的表还没有安装,需要安装。安装方式如下,

SQLPLUS> connect / as sysdba SQLPLUS> @$ORACLE_HOME/rdbms/admin/cataudit.sql

注意:审计表默认安装在SYSTEM表空间,所以要确保SYSTEM表空间充足。

(2) 开启审计功能

设置审计参数

SQL> alter system set audit_trail=db scope=spfile; --如果要审计管理用户(以sysdba/sysoper角色登陆),需要开此参数, 
SQL> alter system set audit_sys_operations=TRUE scope=spfile;

重新启动数据库。

(3) 以SYSTEM帐号登录数据库执行下列语句,设置CONNECT审计并检查是否设置成功:

SQL> connect system/password
--审计登陆用户
SQL> audit connect
如下是常用的几个审计举例,
-- 审计所有对表的操作
SQL> audit all on table;
 
-- 审计用户test对表的所有操作
sql> audit table by test;
 
-- 审计任何用户删除用户test表的操作
SQL> AUDIT DELETE ANY test.TABLE;
 
-- 审计任何用户删除失败的情况
SQL> AUDIT DELETE ANY TABLE WHENEVER NOT SUCCESSFUL;
 
-- 只审计删除成功的情况
SQL> AUDIT DELETE ANY TABLE WHENEVER SUCCESSFUL;
 
-- 审计SYSTEM用户对表user.table的delete,update,insert操作
SQL> AUDIT DELETE,UPDATE,INSERT ON user.table by SYSTEM;

SQL> select user_name, audit_option, success, failure from sys.dba_stmt_audit_opts;
USER_NAME   AUDIT_OPTION         SUCCESS                        FAILURE
----------- -------------------- ------------------------------ ------------------------------
            ALTER SYSTEM         BY ACCESS                      BY ACCESS
            SYSTEM AUDIT         BY ACCESS                      BY ACCESS
            CREATE SESSION       BY ACCESS                      BY ACCESS
            CREATE USER          BY ACCESS                      BY ACCESS
            ALTER USER           BY ACCESS                      BY ACCESS
            DROP USER            BY ACCESS                      BY ACCESS
            PUBLIC SYNONYM       BY ACCESS                      BY ACCESS
            DATABASE LINK        BY ACCESS                      BY ACCESS
            ROLE                 BY ACCESS                      BY ACCESS
            PROFILE              BY ACCESS                      BY ACCESS
            CREATE ANY TABLE     BY ACCESS                      BY ACCESS

(4) 查询aud$表就可以查看到审计结果了,

SQL> select sessionid, to_char(timestamp#,'DD-MON-YY:HH24:MI:SS') \
login,userid, to_char(logoff$time,'DD-MON-YY:HH24:MI:SS') logoff \
from sys.aud$ where userid='USERNAME';

(5) 关闭审计的方法,直接在审计语句前加no,例如,

SQL> noaudit connect
SQL> noaudit all on t_test;

另外,请注意aud$表等审计相关的表存放在SYSTEM表空间,为了不影响系统性能,保护SYSTEM表空间不被占用,最好将aud$移动到其他的表空间上,可使用下面语句执行移动表空间的操作,

sql> connect / as sysdba;
sql> alter table aud$ move tablespace <new tablespace>;
sql> alter index I_aud1 rebuild online tablespace <new tablespace>;
SQL> alter table audit$ move tablespace <new tablespace>;
SQL> alter index i_audit rebuild online tablespace <new tablespace>;
SQL> alter table audit_actions move tablespace <new tablespace>;
SQL> alter index i_audit_actions rebuild online tablespace <new tablespace>;

oracle安全审计登录登出、ddl操作记录触发器
07-28
oracle登录、登出触发器(时间、来访ip、用户信息、sid等等),ddl操作记录触发器(含create、drop、alter、truncate等),都属于事后触发,不影响业务操作
oracle用户登录审计
weixin_33790053的博客
04-23 576
Oracle中可以按照如下方式对用户登陆失败进行审计: 1、确认sys.aud$ 是否存在? desc sys.aud$ 2、观察user$表中lcount为非0的用户,如果包含被锁账户,则可以判定很有可能是该用户登陆尝试失败过多 造成了账户被锁: select name,lcount from sys.user$; 3、修改audi...
Oracle审计功能开启指南:从配置到管理
最新发布
Garinzsw的博客
09-18 677
本文详细介绍了Oracle数据库审计功能的开启方法,包括审计功能的基本概念、配置步骤和后续管理建议。通过开启审计,企业可以监控和记录数据库操作,满足合规要求,特别是针对SYS用户的关键操作审计
Oracle审计用户登录信息
安呀智数据坊的博客
05-21 1259
数据库安全中,登录失败审计是防止暴力破解和非法访问的重要措施。Oracle数据库提供了多种审计机制,但在某些特殊场景下,如传统审计功能被禁用(AUDIT_TRAIL=NONE),需要通过定制化方案实现精准审计
oracle数据库登录审计,oracle数据库审计
weixin_33037051的博客
04-04 433
一、何谓数据库审计数据库审计,就是对数据库的活动做跟踪记录,主要包括数据库连接,SQL语句执行,数据库对象访问这些方面的跟踪记录。二、审记记录的存储方式分为两种:一种是存储在操作系统文件中,一种是存储在system表空间中的SYS.AUD$表中。三、对数据库性能影响的考虑审计必然需要占用CPU,因此,需要综合平衡审计需求与性能之间的平衡性问题,以确定出最好的审许策略。四、审记结果中包含哪些信息前...
查询Oracle用户的最后一次登录的时间
文档搬运工
02-04 5366
整理自网络,已经测试过。 CREATE TABLE SYSTEM.LOGIN_LOG ( SESSION_ID NUMBER(8,0) NOT NULL, LOGIN_ON_TIME DATE, LOGIN_OFF_TIME DATE, USER_IN_DB
ORACLE12C 开启统一审计
11-20
4. 便捷性:通过Oracle企业管理控制台(Oracle Enterprise Manager Console),统一审计提供了更加直观和方便的审计配置与管理界面。 开启统一审计的基本步骤如下: 1. 关闭数据库实例:在开启统一审计之前,需要...
Oracle 12c统一审计配置与DML操作指南
Oracle 12c引入了统一审计...Oracle 12c的统一审计功能提供了一种强大的审计管理工具,通过上述配置,您可以更好地监控和控制数据库操作,确保数据安全和合规性。在实施过程中,请务必遵循最佳实践和安全策略。
利用Oracle审计功能记录数据库操作.doc
10-05
Oracle审计功能是数据库管理系统中的一种安全机制,它允许系统管理员监控和记录用户的数据库操作,以确保数据的安全性和合规性。审计功能可以详细追踪并记录特定的数据库活动,这对于故障排查、安全审计和合规性检查...
oracle开启audit(审计)
09-28
Oracle数据库管理中,开启Audit(审计)是一项重要的安全措施,用于跟踪和记录用户活动、权限使用情况以及系统操作,以增强安全性并满足合规性要求。本文将深入探讨如何在Oracle环境中配置和使用Audit功能,包括...
ORACLE AUDIT 审计
2301_76957510的博客
03-21 2602
审计(Audit)用于监视用户所执行的数据库操作,并且Oracle会将审计跟踪结果存放到OS文件(默认位置为$ORACLE_BASE/admin/$ORACLE_SID/adump/)或数据库(存储在system表空间中的SYS.AUD$表中,可通过视图dba_audit_trail查看)中。在Oracle11g之前,oracle数据库自带的审计功能是关闭的,考虑到性能和审计管理的复杂性,用户一般不打开审计功能.如果有审计要求,DBA会采用trigger来实现对DDL审计的方法来折中.例如 ...
配置 Oracle 审计(传统审计和统一审计
cxj252的博客
08-03 2119
在19c环境里面想关闭传统审计,只使用同一审计(默认是audit_trail 为 DB,混合审计模式,两者都可以使用);然后就将参数设置为none,结果过了一段时间发现同一审计也是没有记录的(因为没有执行make操作,本文会有操作描述)
Oracle11g audit审计配置
Asui2233的博客
07-19 2594
Oracle 11g audit 审计配置
oracle数据库登录审计,oracle数据库审计功能
weixin_34778803的博客
04-04 200
eg:[root@oracle-one ~]# su - oracle[oracle@oracle-one ~]$ sqlplus / as sysdbaSQL*Plus: Release 11.2.0.1.0 Production on Fri Aug 16 02:43:02 2013Copyright (c) 1982, 2009, Oracle. All rights reserved.Co...
oracle 审计设置,oracle数据库审计设置
weixin_42510262的博客
04-10 999
--开启oracle审计su - oraclesqlplus / as sysdbaSQL> show parameter audit--看到有下面的内容表示审计没有开启audit_sys_operations 4 Type boolean FALSEaudit_trail 4 NONE--ORACLE实例采用spfile启动下,开启的SQL命令如下:SQ...
oracle 11gR2启用对sys用户操作行为的审计
weixin_34061042的博客
04-18 497
oracle 11gR2中,缺省在audit_file_dest目录会记录sys用户的登录审计信息,但并不会审计操作内容。启用对sys用户操作行为的审计SQL> alter system set audit_sys_operations=TRUE scope=spfile;System altered.因为是audit_sys_operations是静态参数,需要重新...
oracle 审计设置,oracle审计简单设置
weixin_34885009的博客
04-10 1357
数据库审计参数:audit_trailSQL> show parameter auditNAME TYPE VALUE------------------------------------ ----------- ------------------------------audit_file_dest...
Oracle(98)如何启用审计
qq_43012298的博客
09-01 894
通过上述步骤和代码示例,可以启用Oracle数据库审计功能,并配置具体的审计策略。启用审计功能后,数据库管理员可以监控和记录用户活动,识别潜在的安全威胁,并确保数据库系统的安全性和合规性。定期查看和管理审计记录,有助于维护系统的高效运行。
【简单易懂】Oracle审计功能
HQC66666的博客
11-18 9028
设置为true那么sys用户的操作也会被审计,但此值默认为false,此参数控制以sysdba和sysoper权限登陆的用户以及sys用户本身的登陆,审计记录一定会写在操作系统文件中(无论AUDIT_TRAIL参数如何设置)。
Oracle10G审计配置与选项解析
"Oracle 10G 审计操作详解" Oracle数据库审计功能是一种强大的监控工具,用于...Oracle 10G的审计功能提供了全面的数据库活动监控能力,通过合理的配置,可以实现对关键操作的追踪,以保障数据库的安全性和合规性。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值