以下内容未经整理

占位

强制审计：无法关闭此审计，比如记录数据库的开启和关闭。

标准审计：

基于值得审计：创建触发器，基于值进行记录。Trigger占用资源多

细粒度审计：加一些where条件，针对触发where条件的情况进行审计。

统一审计Unified Auditing

启用统一审计之后，会产生两个角色：

1. AUDIT_ADMIN：

• 创建审计策略
• 执行AUDIT和NOAUDIT语句
• 查看审计数据
• 管理审计线索audit trail（数据表 in AUDSYS schema）

1. AUDIT_VIEWER:

• 查看和分析数据
• 执行DBMS_AUDIT_UTIL PL/SQL软件包。

Unified Auditing是True的时候，统一审计的功能才是开启的。

select value from v$option where parameter = 'Unified Auditing';

VALUE
----------------------------------------------------------------
FALSE

1. 停止lsrnctl监听

   [oracle@ol7-19c ~]$ lsnrctl stop

   LSNRCTL for Linux: Version 19.0.0.0.0 - Production on 05-FEB-2023 10:38:19

   Copyright (c) 1991, 2019, Oracle. All rights reserved.

   Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=ol7-19c.localdomain)(PORT=1521)))
   The command completed successfully

2. 停止数据库

   [oracle@ol7-19c ~]$ sqlplus / as sysdba

   SQL*Plus: Release 19.0.0.0.0 - Production on Sun Feb 5 10:38:30 2023
   Version 19.3.0.0.0

   Copyright (c) 1982, 2019, Oracle. All rights reserved.

   Connected to:
   Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
   Version 19.3.0.0.0

   SQL> shutdown immediate;
   Database closed.
   Database dismounted.
   ORACLE instance shut down.
   SQL> exit

3. 验证后台进程已经停止。

   [oracle@ol7-19c ~]$ pgrep -lf smon
   [oracle@ol7-19c ~]$

4. 进入$ORACLE_HOME/rdbms/lib，重新编译ins_rdbms.mk(必须在Oracle数据库关闭时操作)

   [oracle@ol7-19c ~]$ cd $ORACLE_HOME/rdbms/lib

   [oracle@ol7-19c lib]$ make -f ins_rdbms.mk uniaud_on ioracle

5. 启用监听，开启数据库。

   [oracle@ol7-19c lib]$ lsnrctl start
   The command completed successfully

   [oracle@ol7-19c lib]$ sqlplus / as sysdba

   SQL> startup
   ORACLE instance started.

   Total System Global Area 1660941720 bytes
   Fixed Size 9135512 bytes
   Variable Size 989855744 bytes
   Database Buffers 654311424 bytes
   Redo Buffers 7639040 bytes
   Database mounted.
   Database opened.

6. 查看v$option里面的Unified Auditing参数，此时已经是True。

   SQL> select value from v$option where parameter = 'Unified Auditing';

   VALUE

   TRUE

CREATE AUDIT POLICY 审计策略名

ACTIONS 操作名 ON schema对象 ONLY TOPLEVEL

EVALUATE PER SESSION | PER STATEMENT | PER INSTANCE

ONLY TOPLEVEL不记录非直接的操作。比如用户update数据库的时候被记录，而通过存储过程更新数据则不记录。这样可以减少审计日志。

PER SESSION: 一个会话只记录一次出发的审计。

PER STATEMENT: 每次执行语句触发审计都会记录。审计线索占空间最多。

PER INSTANCE: 不过触发了多少次审计操作，实例只会记录一次。审计线索占空间最少。

发生对应的操作，则会写入到审计线索当中。

审计的范围

• 系统特权

  CREATE AUDIT POLICY audit_syspriv_pol1

  PRIVILEGES SELECT ANY TABLE, CREATE TABLE

• 动作

  CREATE AUDIT POLICY audit_actions_pol1

  ACTIONS AUDIT, ALTER TRIGGER

• 角色

  CREATE AUDIT POLICY audit_role_pol1

  ROLES DBA, CONNECT

• 系统特权、动作、角色的组合（或的关系）

  CREATE AUDIT POLICY audit_mixed_pol1

  PRIVILEGES DROP ANY TABLE

  ACTIONS CREATE TABLE, DROP TABLE, TRUNCATE TABLE

  ROLE hrmanager

• 针对于对象

  CREATE AUDIT POLICY audit_objpriv_pol1

  ACTIONS SELECT, UPDATE ON hr.employees;

• 记录所有操作

  CREATE AUDIT POLICY audit_objpriv_pol1

  ACTIONS ALL

• 针对存储过程

  CREATE AUDIT POLICY audit_objpriv_pol2

  ACTIONS EXECUTE, GRANT ON hr.raise_salary_proc

为所有用户启用审计

AUDIT POLICY 审计名；

为某些用户启用审计

AUDIT POLICY 审计名 BY 用户1，用户2；

为所有用户启用审计并排除一些用户

AUDIT POLICY 审计名 EXCEPT 用户1，用户2；

对于操作成功和失败的时候开展审计

AUDIT POLICY 审计名 WHENEVER SUCCESSFUL;

AUDIT POLICY 审计名 WHENEVER NOT SUCCESSFUL;

禁用审计

NOAUDIT POLICY

CDB$ROOT创建的Audit Policy应用到所有的PDB(Common).

APP$ROOT创建的Audit Policy应用到APP容器下的所有PDB(Common).

PDB创建的Audit Policy应用到这个PDB(Local)

ALTER AUDIT POLICY命令用来修改审计策略。

ALTER AUDIT POLICY 审计名

ADD ACTIONS select ON hr.job_history

创建audit_admin用户

SQL> create user c##audmgr container=all;
User created.

SQL> alter user c##audmgr identified by oracle account unlock;
User altered.

SQL> grant connect, audit_admin to c##audmgr container=all;
Grant succeeded.

创建audit_viewer用户

SQL> create user c##audvwr container=all;

User created.

SQL> alter user c##audvwr identified by oracle account unlock;

User altered.

SQL> grant connect, audit_viewer to c##audvwr;

Grant succeeded.

1. 使用上一个实作创建的c##audmgr登录pdb1

   [oracle@ol7-19c dbhome_1]$ sqlplus c##audmgr/oracle@pdb1;
   SQL*Plus: Release 19.0.0.0.0 - Production on Sun Feb 5 11:20:07 2023
   Version 19.3.0.0.0
   Connected to:
   Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
   Version 19.3.0.0.0
   SQL>

2. 创建一个audit policy，对于HR.Jobs表的任何更新，都会被审计记录。

   SQL> create audit policy audit_jobs_update
   2 actions update on hr.jobs;

   Audit policy created.

3. 启用这个policy

   SQL> audit policy audit_jobs_update;

   Audit succeeded.

4. 查询audit_unified_policies可以看得到创建的audit policy以及它的配置。

   SQL> select policy_name, audit_option, object_name
   2 from audit_unified_policies
   3 where policy_name='AUDIT_JOBS_UPDATE';

   POLICY_NAME AUDIT_OPTION OBJECT_NAME

   ---

   AUDIT_JOBS_UPDATE UPDATE JOBS

5. 使用其他用户，对hr.jobs表进行更新操作。

   SQL> update hr.jobs
   2 set max_salary=10000
   3 where job_id='ST_MAN';

   1 row updated.

6. 切换到c##audmgr用户，查询unified_audit_policies。

   SQL> col dbusername for a10
   SQL> col action_name for a10
   SQL> col "date" for a20
   SQL> col unified_audit_policies for a22
   SQL> select unified_audit_policies, dbusername, action_name,
   2 to_char(event_timestamp, 'DD-MON-YY HH24:MI') "DATE"
   3 from unified_audit_trail
   4 where dbusername in ('PDBADMIN')
   5 and action_name not in ('LOGON', 'LOGOFF')
   6 order by 4;

   UNIFIED_AUDIT_POLICIES DBUSERNAME ACTION_NAM DATE

   ---

   AUDIT_JOBS_UPDATE PDBADMIN UPDATE 05-FEB-23 11:37
   AUDIT_JOBS_UPDATE PDBADMIN UPDATE 05-FEB-23 11:37

基于值的审计

细粒度审计

审计所有的行，

条件出错，报ORA-28112