神通数据库审计
神通数据库 支持系统 特权审计、用户审计、语句审计和对象审计 四种类型的审计,既可以审计执行成功的语句也可以审计执行失败的语句
建议的审计策略:
- 明确你进行审计的目的
- 审计的命令、对象、用户尽可能少
- 先泛后精
- 保护审计踪迹
神通数据库的审计管理员能够执行的审计功能包括设置审计入口点、定制审计安全事件、配置入侵 检测误用规则、查看系统踪迹。
只有系统审计管理员可以启动、终止审计模块,可以对审计配置表(SYS_AUDCONF)进行配 置,查看、清除审计配置和审计踪迹等。
审计中心里一共有两类用户,一类 是审计管理员超级用户:SYSAUDIT,另一类则为审计管理员(AUDIT 组成员).只有这两类用户才能对审计中心中各个表及视图进行访问,
开启/关闭审计
只有审计管理员 (SYSAUDIT) 才有权开启和关闭审计功能。
开启审计功能需要审计管理员连接到数据库服务器来执行命令 START AUDIT
关闭审计功能需要审计管理员连接到数据库服务器来执行运行命令 DROP AUDIT
审计配置接口
在神通数据库中,所有审计配置都存在于系统表 SYS_AUDCONF 内,每条审计配置记录是一个元组, 它本身也有开启和关闭状态。
如果只想把部分审计 配置清除,请运行相应的 NOAUDIT 命令使之无效即可。当无用审计配置已经较多时又想进行新的审计配 置,建议先运行 CLEAN AUDIT CONFIGURATION 清除以前的审计配置,再进行新的审计配置,这样可
使当前的审计配置更醒目。
审计踪迹管理
神通数据库中,审计踪迹主要是记录在 系统表 SYS_AUDTRAIL 中的,此外还有两张辅助系统表 SYS_AUDCOMN 和 SYS_OBJECT 用于生成审计踪迹视图,使审计踪迹信息更全面、更易懂。
查看审计踪迹
要查看审计踪迹可以直接查询系统表 SYS_AUDTRAIL, 但是 SYS_AUDTRAIL 记录的信息比较简单,只记录了执行的命令、执行命的用户、时间和命令执行的结果,
因此该 系统表一般用于从总体上了解审计踪迹的信息。要详细了解各类审计踪迹的信息,还需要查看神通 数据库还提供的四张审计踪迹视图——特权审计踪迹视图 V_SYS_PRIVAUDTRAIL、语句审计踪迹 视图 V_SYS_STMTAUDTRAIL、用户审计踪迹视图 V_SYS_USRAUDTRAIL 和对象审计踪迹视图V_SYS_OBJAUDTRAIL。
清理审计踪迹
当对数据库的可疑操作来源明确以后,相应的审计踪迹就不再具有存在的意义,这时应该及时清理,否 则,当以后需要再进行审计时,这些过时的审计踪迹的存在就会对新的审计踪迹造成干扰,用户就需要花时间和精力去区分哪些是当前有用的审计踪迹。
命令为 clean audit trail
