添加 Oracle 服务器
- 点击设置 > 日志源配置 > 数据库审核。您也可以点击主页右上角的+添加按钮,并选择应用。
- 下一步,选择Oracle服务器标签。
- 输入设备的名称,然后点击添加按钮。
- 在 EventLog Analyzer 中添加 Oracle 设备后,按照以下说明配置 Oracle 服务器。
Oracle服务器配置
参考: http://download.oracle.com/docs/cd/B28359_01/network.111/b28531/auditing.htm#CEGBIIJD
对于安装在 Windows 平台上的 Oracle 服务器
- 使用 sqlplus 命令连接到 SQL *Plus。
- 执行下面给出的命令来检查 audit_trail 是否设置为 OS。
Show parameter AUDIT_TRAIL;
- 使用以下命令更改审计参数:
Show parameter AUDIT_TRAIL;ALTER SYSTEM SET AUDIT_TRAIL=OS SCOPE=SPFILE;
- 重新启动 Oracle 服务器以使更改生效。
- 禁用AUDIT_TRAIL
ALTER SYSTEM SET audit_trail = NONE SCOPE=SPFILE;
对于安装在 Unix 平台上的 Oracle 服务器
- 执行下面给出的命令来检查 audit_trail 是否设置为 OS。
Show parameter AUDIT_TRAIL;
- 使用以下命令更改审计参数:
ALTER SYSTEM SET AUDIT_TRAIL=OS SCOPE=SPFILE;
要启用 Oracle syslog 审计,请遵循以下过程:
- 在初始化参数文件 initsid.ora 中 手动添加和设置AUDIT_SYSLOG_LEVEL。
AUDIT_SYSLOG_LEVEL参数设置为以下格式,例如AUDIT_SYSLOG_LEVEL=facility.priority。
facility: 描述记录消息的操作系统部分。可接受的值为 user、local0–local7、syslog、daemon、kern、mail、auth、lpr、news、uucp 和 cron。
local0–local7 值是预定义的标签,使您能够将系统日志消息分类。这些类别可以是日志文件或 syslog 实用程序可以访问的其他目标。要查找有关这些类型标记的更多信息,请参阅 syslog 实用程序 MAN 页面。
priority: 定义消息的严重性。可接受的值为notice、info、debug、warning、err、crit、alert和emerg。
syslog 守护程序将分配给AUDIT_SYSLOG_LEVEL参数的 facility 参数的值与syslog.conf文件进行比较,以确定记录信息的位置。
例如,以下语句将定义facility为local1,并且优先级为warning:
AUDIT_SYSLOG_LEVEL=local1.warning
有关 AUDIT_SYSLOG_LEVEL 的更多信息,请参阅 Oracle 数据库参考。
- 使用超级用户 (root) 权限登录到包含 syslog 配置文件 /etc/syslog.conf 的机器。
- 将审计文件目标添加到 syslog 配置文件/etc/syslog.conf。
F例如:假设您已将 AUDIT_SYSLOG_LEVEL 设置为 local1.warning,请输入以下内容:
local1.warning /var/log/audit.log
此设置将所有警告消息记录到/var/log/audit.log文件。
- 重新启动syslog日志记录器:
$/etc/rc.d/init.d/syslog restart
现在,所有审计记录都将通过 syslog 守护进程捕获在文件 /var/log/audit.log 中。
- 重新启动 Oracle 服务器以使更改生效。
注意: 当以 SYSDBA/SYSOPER 登录时,Oracle 数据库提供的有关数据库活动监控的信息有限。因此,为了获得 Oracle 数据库的完整审计跟踪活动,我们建议您以具有 SYSDBA/SYSOPER 以外的权限的用户身份登录。
审计报表
DDL
您可以审计数据库中选定用户的 DDL 活动。
- 对用户的所有权限进行审计:
AUDIT ALL PRIVILEGES by user_name; (或) AUDIT CREATE TABLE by user_name;
- 对特定权限进行审计:
AUDIT CREATE TABLE by user_name;
在“CREATE TABLE”附近添加所需的审计选项。
- 重新启动 Oracle 服务器以使更改生效。
注意: 要检查在任何用户下启用的审计选项,请执行下面给出的语句。
SELECT user_name, audit_option, success, failure FROM DBA_STMT_AUDIT_OPTS;
DML
此审计使您能够审计特定对象的特定语句。它始终适用于数据库的所有用户。
AUDIT SELECT, INSERT, UPDATE, DELETE on table_name
您还可以在这里添加所需的审计选项。
- 下面的语句为将来可能创建的对象指定了默认的审计选项:
AUDIT SELECT, INSERT, UPDATE, DELETE on DEFAULT;
- 重新启动 Oracle 服务器以使更改生效。
注意: 要检查在任何对象下启用的审计选项,只需执行下面的语句。Ult为将来可能创建的对象审计选项
SELECT OWNER, OBJECT_NAME, OBJECT_TYPE, INS, UPD, DEL FROM DBA_OBJ_AUDIT_OPTS;
要禁用审计选项,请在同一语句中使用 NOAUDIT 而不是 AUDIT。
点击查看有关审核选项的详细信息。
|