日期:2014-05-16  浏览次数:20536 次

再谈细粒度审计(DBMS_FGA)

大部分内容都是来自oracle官方文档,权当学习学习。

1.DBMS_FGA包在基于成本的优化器下是很有效的.
  在基于规则的优化器下可能生成不必要的审计记录.(因为审计监控可以在行过滤前发生)
无论是基于规则或是基于成本的优化器,都可以通过DBA_FGA_AUDIT_TRAIL视图分析SQL文本和其对应的绑定变量.

2.DBMS_FGA的子程序
  ADD_POLICY
  DISABLE_POLICY
  DROP_POLICY
  ENABLE_POLICY

 

ADD_POLICY
在任何表或视图对象上的FGA审计策略的最大数量为256.
语法:
DBMS_FGA.ADD_POLICY(
   object_schema      VARCHAR2,--要被审计的对象的模式(如果为NULL,则默认为当前登录用户的模式)
   object_name        VARCHAR2,--要被审计的对象名
   policy_name        VARCHAR2,--唯一的审计策略名
   audit_condition    VARCHAR2,--监控条件.为NULL,则表示都监控,即条件为TRUE
   audit_column       VARCHAR2,--检查访问的列. 可以包含OLS隐藏列或对象类型列.缺省为NULL,为审计所有列
   handler_schema     VARCHAR2,--包含事件句柄的模式.缺省为NULL, 使用当前模式
   handler_module     VARCHAR2,--事件句柄的函数名.如果必要包含还包含包名.该函数仅仅当查询的第一行匹配到了审计条件时被调用.
                  --如果存储以某个异常失败,用户的SQL语句也将失败
   enable             BOOLEAN, --为TRUE时,表示启用该策略(缺省为TRUE)
   statement_types    VARCHAR2,--审计的SQL语句的类型.只有INSERT、UPDATE、DELETE、SELECT几个类型.
   audit_trail        BINARY_INTEGER IN DEFAULT,--细粒度审计的目的地(DB或XML).并且也指定是否填充fga_log$的LSQLTEXT和LSQLBIND。
   audit_column_opts  BINARY_INTEGER IN DEFAULT);--当查询参考audit_column参数指定的任何列或所有列参考时,建立是否一个语句被审计了.
例如:

DBMS_FGA.ADD_POLICY (
   object_schema      =>  'scott', 
   object_name        =>  'emp', 
   policy_name        =>  'mypolicy1', 
   audit_condition    =>  'sal < 100', 
   audit_column       =>  'comm,sal', 
   handler_schema     =>   NULL, 
   handler_module     =>   NULL, 
   enable             =>   TRUE, 
   statement_types    =>  'INSERT, UPDATE', 
   audit_trail        =>   DBMS_FGA.XML + DBMS_FGA.EXTENDED, 
   audit_column_opts  =>   DBMS_FGA.ANY_COLUMNS); 



说明:
1.FGA策略不应该应用到外部行的列,如LOB列(LOB列单独存储的).
2.每个审计策略都是单独应用到查询的.每个审计策略最多生成一条审计记录,不管有多少行满足审核条件.
3.如果一个表上定义的FGA策略收到了一个快速的路径插入(直接路径加载)或向量更新,则该HINT在任何这样的操作之前自动禁用.禁用该HINT允许
  审计按照审计策略发生.
4.审计条件必须是一个BOOL表达式,可以使用USER或者SYS_CONTEXT等函数.不能使用AND或OR连接两个条件.
  它不能包含序列或子查询.
  使用SYS_CONTEXT函数时,不能使用CURRENT_SQL、CURRENT_SQL_LENGTH、CURRENT_BIND.
  不能使用伪列(LEVEL、PRIOR、ROWNUM等)
  如果条件为'1=1',则强制审计指定列的所有的语句类型.该参数为NULL时,使审计在没有行处理的时候也发生.
5.审计函数(handler_module)是管理员的一种报警机制(可以建立一个发邮件的函数,用来给管理员发邮件提示警报).如函数:
  PROCEDURE fname ( object_schema VARCHAR2, object_name VARCHAR2, policy_name VARCHAR2 )  AS ...
6.如果审计追踪包含XML,则细粒度审计记录将写到XML格式的操作系统文件中,并存储在参数AUDIT_FILE_DEST指定的目录中.
  AUDIT_FILE_DEST缺省路径为$ORACLE_BASE/admin/$DB_UNIQUE_NAME/adump (UNIX)
                           $ORACLE_BASE\admin\$DB_UNIQUE_NAME\adump (WINDOWS)
  如果审计追踪包含DB,则细粒度审计记录将写到表SYS.FGA_LOG$中.如果是在只读数据库中则,默认写到XML文件中,而不管此参数的设置.
  如果审计追踪包含EXTENDED,则查询的SQL文本和SQL绑定变了的信息包含在审计追踪里.
  注意SQL文本可能包含敏感信息.如信用卡号码等.
  audit_trail参数的几种设置:DBMS_FGA.DB、DBMS_FGA.DB + DBMS_FGA.EXTENDED、DBMS_FGA.XML、DBMS_FGA.XML + DBMS_FGA.EXTENDED.
  该参数出现在ALL_AUDIT_POLICIES视图中.
  可以通过命令改变AUDIT_FILE_DEST的值:
  ALTER SYSTEM SET AUDIT_FILE_DEST = '<New Directory>' DEFERRED
7.在很多平台,审计的XML文件格式都是<process_name>_<processId>.xml,如:ora_2111.xml.
  WINDOWS平台格式为<process_name>_<ThreadId>.xml.
8