`

Oracle FGA审计

 
阅读更多

大家对trigger可能比较熟悉,但Oracle还有一个叫FGA的功能,它的作用和trigger类似,但功能更强大.它的全称是Fine-Grained Audit ,是Audit的一种特殊方式. 使用FGA只要调用Oracle的包DBMS_FGA.ADD_POLICY创建一些policy(审计策略)就行.每个policy只能针对一个表或视 图.建好策略后所以对表或视图的DML操作(select,insert,update,delete都可以记录到,当然也可以添加一些筛选条件只监测某 些特殊的操作.

补充:所谓审计就是记录你的任意操作,假如你的操作(执行DML语句)符合指定的条件,则你执行的sql语句,将被记录到sys用户下的一些表中,还会将你的其他信息,比如执行时间,用户名,通过什么工具,机器名等.FGA在oracle 9i中就有了,但在9i中只能审计select语句.从10g开始才能审计所有的DML操作

FGA与Triger的明显区别:

1.FGA使用自治的事务,即使DML操作被rollback了,它仍然照样执行不会rollback.而trigger是会被rollback的.

2.做更新操作时trigger可以记录更新前的旧值和更新后的新值,而FGA是不记录旧值.

1.包DBMS_FGA.ADD_POLICY的用法

创建审计策略的语法

DBMS_FGA.ADD_POLICY (

object_schema VARCHAR2, --schema的名字,表或视图的拥有者

object_name VARCHAR2, --对象名,表或视图的名字

policy_name VARCHAR2, --审计策略名字,它和数据库中其他对象一样,需要有一个不重复,唯一的名字

audit_condition VARCHAR2, --筛选条件比如可以选择哪些符合条件的操作被记录

audit_column VARCHAR2, --表中的某一列,可以只记录对表中某一列的操作.如果不指定表示审计所有的列

handler_schema VARCHAR2, --是下面的handler_module的拥有者,其实也只能是创建policy的用户,而上面的object_schema可以是任意用户

handler_module VARCHAR2,--可以是一个一个存储过程或函数,但监测到任何一条符合条件的操作时执行它.

enable BOOLEAN, --true 或false表示policy是开启或关闭状态,如果是false表示不进行审计

statement_types VARCHAR2, --表示哪些操作将被审计,可以填上select,insert,update,delete中的一个或几个

audit_trail BINARY_INTEGER IN DEFAULT,--有参数db,xml表示审计到的信息保存到数据库中或是以xml文件形式保存到磁盘上

audit_column_opts BINARY_INTEGER IN DEFAULT); --这 个选项其实只有在audt_column中指定了某列时才起作用.它有any_columns,all_columns两个选项假如表中有 eno,ename两列,并在audit_column中指定了这两列,那么选any_columns表示只要操作其中的任意一列都将被记录,而这里指定 all_columns的话是说只有一个sql语句同时操作了这两列才被记录

 

举例,假如创建表:create table temp(eno int,ename varchar2(30));针对这个表创建policy

每个策略只能针对一个表或视图,而一个表或视图可能对应多个策略.当表被删除时策略也随之默认被删除

BEGIN
SYS.DBMS_FGA.ADD_POLICY (
object_schema => 'ARWEN'
,object_name => 'TEMP'
,policy_name => 'FGA_TEMP'

,audit_condition => NULL
,audit_column => eno,ename
,handler_schema => null
,handler_module => null

,enable => TRUE
,statement_types =>'SELECT,INSERT,UPDATE,DELETE'
,audit_trail => SYS.DBMS_FGA.DB+SYS.DBMS_FGA.EXTENDED

--DBMS_FGA.DB表示记录将被保存到数据库中,DBMS_FGA.EXTENDED表示如果sql语句中带有绑定变量也会被记录下来.

--如果是这样选audit_trail => SYS.DBMS_FGA.DB表示不会记录绑定变量

--SYS.DBMS_FGA.DB+SYS.DBMS_FGA.EXTENDED改成SYS.DBMS_FGA.XML+SYS.DBMS_FGA.EXTENDED表示记录保存成xml文件

--xml文件所在目录可以通过SHOW PARAMETER AUDIT_FILE_DEST查看,如果要更改目录ALTER SYSTEM SET AUDIT_FILE_DEST = directory_path DEFERRED;

,audit_column_opts => SYS.DBMS_FGA.ALL_COLUMNS)
END;

 

查看创建好的policy对象和符合审计条件时被记录的操作

我们可以通过select * from dba_objects查看table,view等对象,类似的policy创建好后我们可以通过SELECT * FROM DBA_AUDIT_POLICIES来查看.

如果我们对表temp执行了DML操作,那些信息将会被操作到sys用户下的表中,Select* from sys.dba_fga_audit_trail可以查找到.(注意这只有前面设置将记录信息

保存到数据库才能这样查,如果保存到xml文件中可以Select *from V$XML_AUDIT_TRAIL)

 

2.删除审计策略,假如删除上面创建的策略

begin

SYS.DBMS_FGA.DROP_POLICY (

object_schema => 'ARWEN'

,object_name => 'TEMP'

,policy_name => 'FGA_TEMP'

);

end;

3.使用handler_module

 

假如你想在审计到某些操作时还进行进一步的处理,比如把信息写到自己创建的日志中,或者发送邮件通知相关人员.就要在创建policy时使用handler_module的功能,指定一个存储过程去做相应的处理.假如我创建一个存储过程temp_handler

CREATE OR REPLACE PROCEDURE temp_handler

( v_object_schema VARCHAR2

, v_object_name VARCHAR2

, v_policy_name VARCHAR2

)

IS

v_temp varchar2(30);

begin

null;

end temp_handler;

--这里的存储过程有点特殊,它必须带v_object_schema VARCHAR2, v_object_name VARCHAR2, v_policy_name VARCHAR2这三个参数才行,如果直接写一个一般的存储过程就会出错的.在policy中调用存储过程就这样 写

 

BEGIN
SYS.DBMS_FGA.ADD_POLICY (
object_schema => 'ARWEN'
,object_name => 'TEMP'
,policy_name => 'FGA_TEMP'

,audit_condition => NULL
,audit_column => eno,ename
,handler_schema =>'ARWEN' --注意此处的用户只能是创建此policy的用户,如果是其他用户名会出错的
,handler_module => 'TEMP_HANDLER'

,enable => TRUE
,statement_types =>'SELECT,INSERT,UPDATE,DELETE'
,audit_trail => SYS.DBMS_FGA.DB+SYS.DBMS_FGA.EXTENDED

,audit_column_opts => SYS.DBMS_FGA.ALL_COLUMNS)
END;

 

参考至:http://www.linuxidc.com/Linux/2013-06/86603.htm

如有错误,欢迎指正

邮箱:czmcj@163.com

分享到:
评论

相关推荐

    oracle开启audit(审计)

    除了基本的Audit功能外,Oracle还提供了更高级的Fine-Grained Auditing(FGA),它允许基于条件的审计,使得审计信息更加精确和可控。下面是如何使用DBMS_FGA包来管理FGA策略: 1. **添加FGA策略** 使用`DBMS_FGA...

    Oracle数据库审计功能的安全审计获取技术.doc

    Oracle数据库的审计功能主要通过两种方式实现:系统审计(System Auditing)和Fine-Grained Auditing(FGA)。系统审计是对数据库操作的广泛跟踪,包括登录、登出、权限分配等。而FGA则允许对特定对象或操作进行更...

    Oracle 细粒度审计(FGA)初步认识

    Oracle 细粒度审计(Fine-Grained Auditing, FGA)是一种强大的安全特性,它允许数据库管理员(DBA)精确地控制并记录数据库中特定操作的详细信息。这一功能自Oracle 9i版本开始引入,最初仅限于记录SELECT语句,但...

    oracle数据库审计

    ### Oracle数据库审计详解 #### 一、Oracle数据库审计概述 Oracle数据库审计功能是数据库安全机制的重要组成部分之一,它主要用于监控用户对数据库的操作行为,并记录这些操作以便后续进行审查和分析。通过启用...

    oracle触发器实现审计功能

    Oracle 9i之后引入了Fine-Grained Audit (FGA),这是一个更为先进的审计机制,提供了更精细的控制和过滤选项,可以在不使用触发器的情况下实现部分审计需求。然而,在Oracle 8i/9i版本中,触发器仍然是实现细粒度...

    Oracle细粒度审计的安全性应用.pdf

    Oracle细粒度审计(Fine-Grained Auditing, FGA)是Oracle数据库提供的一种高级安全特性,用于增强审计功能,特别适用于需要详细监控特定操作和数据访问情况的场景。传统的Oracle审计选项只能在宏观级别跟踪用户对...

    ORACLE10G 审计操作

    细粒度审计(Fine-Grained Auditing, FGA)是 Oracle 10g 引入的一项新功能,允许数据库管理员更加精确地控制哪些操作应该被审计。与传统的审计不同,FGA 可以针对具体的表、列或行定义审计策略。这意味着不仅可以...

    ORACLE审计小结

    在Oracle 10g及更高版本中引入了细粒度审计 (Fine-Grained Auditing, FGA),它可以更加精确地记录用户对数据的访问情况。与之前的版本相比,FGA不仅能够记录 `SELECT` 操作,还可以记录 `UPDATE`, `INSERT` 和 `...

    oracle审计资料

    Oracle 数据库的审计功能是其安全性的重要组成部分,它允许管理员跟踪和记录数据库的使用情况,以便检测潜在的滥用和误用。Oracle 提供了多种审计类型来满足不同级别的监控需求。 1. **语句审计**: 语句审计关注...

    Oracle实用教程(第五版)(Oracle11g版)

    安全性方面,Fine-Grained Auditing (FGA) 提供了更细粒度的审计功能,帮助管理员监控敏感操作。此外,Management Pack则提供了全面的数据库管理和监控工具,简化了数据库的日常维护工作。 对于初学者,理解Oracle...

    oracle 10g _64x

    而Fine-Grained Auditing(FGA)则提供了更细致的审计功能,便于追踪和审核敏感操作。 在XML处理方面,Oracle 10g增强了对XML的支持,包括XMLDB,一个内置的XML数据库,可以直接在数据库中存储和查询XML文档,提高...

    Oracle Security

    接着,作者详细讲解了审计机制,包括SQL审计和Fine-Grained Auditing (FGA),这些工具可以帮助管理员跟踪和记录数据库活动,以便在发生安全事件时进行调查。同时,书中也提到了Oracle的审计策略设计和分析,以提高...

    oracle12c安装包

    - **增强审计功能**:通过细粒度审计(FGA)和统一审计框架,增强了安全性监控能力。 #### 4. 简化管理 - **自动诊断与修复**:系统能够自动检测问题并尝试修复,减少了管理员的工作负担。 - **统一管理工具**:如...

    Oracle11g OCP题库.zip

    此外,还要了解Oracle的审计功能,如System Auditing、Fine-Grained Auditing (FGA) 和 Unified Auditing。 5. **网络配置**:这包括Net Services组件的理解,如Listener.ora和TNSNAMES.ORA文件的配置,以及如何...

    Oracle11g R2 64位

    - **细粒度审计**(Fine-Grained Auditing, FGA):对特定用户操作进行精确跟踪,帮助监控潜在的安全威胁。 3. **高可用性和灾难恢复**: - **Real Application Clusters (RAC)**:提供集群环境下的高可用性解决...

    Oracle10g培训PPT

    1. Fine-Grained Auditing (FGA):Oracle 10g加强了审计功能,可以对特定的数据库活动进行细致的审计,满足法规遵从性需求。 2. Label Security:提供了基于数据敏感性的安全策略,允许对数据行设置访问级别,增强...

    Oracle数据安全

    2. **实施细粒度审计**:通过Oracle Fine-Grained Auditing (FGA),可以精确地监控对敏感数据的所有访问行为。 3. **利用预置和定制化的审计报表**:Oracle提供了丰富的报表模板,同时支持用户根据实际需求定制报表...

    【王炸】Oracle DSI-适用于10g,11g,12c,18c,19c-DBA必备

    - **Fine-Grained Auditing (FGA)**:提供详细的审计功能,跟踪敏感操作,增强数据安全性。 - **Oracle Label Security**:基于多层安全标签实现数据访问控制,确保数据的机密性和完整性。 - **Enterprise ...

    DQL DML细刻度审计.txt

    oracle细粒度审计(FGA) 是oracle提供的对表细粒度的级别的审计功能,可以捕获DML、SELECT等客户端发起的操作。

Global site tag (gtag.js) - Google Analytics