- 論壇徽章:
- 0
|
--增加 FGA 策略
-- 審計(jì)表
GRANT RESOURCE,CONNECT TO BANK IDENTIFIED BY BANK;
CREATE TABLE BANK.ACCOUNTS
(
ACCT_NO NUMBER PRIMARY KEY,
CUST_ID NUMBER NOT NULL ,
BALANCE NUMBER(15,2) NULL
);
insert into bank.accounts values(1,1,10000);
insert into bank.accounts values(2,2,20000);
commit;
Begin
dbms_fga.drop_policy (
object_schema=>;'BANK',
object_name=>;'ACCOUNTS',
policy_name=>;'ACCOUNTS_ACCESS');
dbms_fga.add_policy (
object_schema=>;'BANK',
object_name=>;'ACCOUNTS',
policy_name=>;'ACCOUNTS_ACCESS');
end;
/
select * from bank.accounts;
select timestamp, db_user,os_user,object_schema,object_name,sql_text from dba_fga_audit_trail;
-- 審計(jì)列和審計(jì)條件, 在add_policy中加入
-- audit_column =>; 'BALANCE'
-- audit_condition =>; 'BALANCE >;= 11000'
Begin
dbms_fga.drop_policy (
object_schema=>;'BANK',
object_name=>;'ACCOUNTS',
policy_name=>;'ACCOUNTS_ACCESS');
dbms_fga.add_policy (
object_schema=>;'BANK',
object_name=>;'ACCOUNTS',
audit_column =>; 'BALANCE',
audit_condition =>; 'BALANCE >;= 11000',
policy_name=>;'ACCOUNTS_ACCESS');
end;
/
-- 這個(gè)不可用��,Why?
select BALANCE from bank.accounts;
select timestamp, db_user,os_user,object_schema,object_name,sql_text from dba_fga_audit_trail;
--管理 FGA 策略
--要?jiǎng)h除策略,您可以使用以下語(yǔ)句:
begin
dbms_fga.drop_policy (
object_schema =>; 'BANK',
object_name =>; 'ACCOUNTS',
policy_name =>; 'ACCOUNTS_ACCESS'
);
end;
/
-- 對(duì)于更改策略而言�,沒(méi)有隨取隨用的解決方案。要更改策略中的任何參數(shù)���,必須刪除策略�����,再使用更改后的參數(shù)添加策略��。
-- 需要臨時(shí)禁用審計(jì)收集 — 例如�,如果您希望將線索表移動(dòng)到不同的表空間或者要?jiǎng)h除線索表���。您可以按如下方法禁用 FGA 策略:
begin
dbms_fga.enable_policy (
object_schema =>; 'BANK',
object_name =>; 'ACCOUNTS',
policy_name =>; 'ACCOUNTS_ACCESS',
enable =>; FALSE
);
end;
/
-- 重新啟用很簡(jiǎn)單 enable =>; TRUE
--演示何時(shí)審計(jì)操作以及何時(shí)不審計(jì)操作的各種情況 SQL 語(yǔ)句 審計(jì)狀態(tài)
select balance from accounts; 進(jìn)行審計(jì)����。用戶選擇了在添加策略時(shí)所指定的審計(jì)列 BALANCE����。
select * from accounts; 進(jìn)行審計(jì)。即使用戶沒(méi)有明確指定列 BALANCE����,* 也隱含地選擇了它�����。
select cust_id from accounts where balance < 10000; 進(jìn)行審計(jì)����。即使用戶沒(méi)有明確指定列 BALANCE�����,where 子句也隱含地選擇了它����。
select cust_id from accounts; 不進(jìn)行審計(jì)。用戶沒(méi)有選擇列 BALANCE�����。
select count(*) from accounts; 不進(jìn)行審計(jì)����。用戶沒(méi)有明確或隱含地選擇列 BALANCE�����。
--處理器模塊
-- FGA 的功能不只是記錄審計(jì)線索中的事件;FGA 還可以任意執(zhí)行過(guò)程����。
-- 過(guò)程可以執(zhí)行一項(xiàng)操作,比如當(dāng)用戶從表中選擇特定行時(shí)向?qū)徲?jì)者發(fā)送電子郵件警告����,或者可以寫(xiě)到不同的審計(jì)線索中。
-- 這種存儲(chǔ)代碼段可以是獨(dú)立的過(guò)程或者是程序包中的過(guò)程�,稱為策略的處理器模塊。
-- 實(shí)際上由于安全性原因���,它不必與基表本身處于同一模式中��,您可能希望特意將它放置在不同的模式中����。
-- 由于只要 SELECT 出現(xiàn)時(shí)過(guò)程就會(huì)執(zhí)行���,非常類似于 DML 語(yǔ)句啟動(dòng)的觸發(fā)器����,您還可以將其看作 SELECT 語(yǔ)句觸發(fā)器。
-- 以下參數(shù)指定將一個(gè)處理器模塊指定給策略:
-- handler_schema 擁有數(shù)據(jù)過(guò)程的模式
-- handler_module 過(guò)程名稱
-- 處理器模塊還可以采用程序包的名稱來(lái)代替過(guò)程名稱��。在這種情況下�����,參數(shù) handler_module 在 package.procedure 的格式中指定���。
--FGA 數(shù)據(jù)字典視圖
-- FGA 策略的定義位于數(shù)據(jù)字典視圖 DBA_AUDIT_POLICIES 中�����。表 2 包含該視圖中一些重要列的簡(jiǎn)短描述��。
-- 審計(jì)線索收集在 SYS 擁有的表 FGA_LOG$ 中��。對(duì)于 SYS 擁有的任何原始表���,此表上的某些視圖以對(duì)用戶友好的方式顯示信息。DBA_FGA_AUDIT_TRAIL 是該表上的一個(gè)視圖��。
-- 一個(gè)重要的列是 SQL_BIND�����,它指定查詢中使用的綁定變量的值 — 這是顯著增強(qiáng)該工具功能的一項(xiàng)信息。
-- 另一個(gè)重要的列是 SCN��,當(dāng)發(fā)生特定的查詢時(shí)����,它記錄系統(tǒng)更改號(hào)�����。
-- 此信息用于識(shí)別用戶在特定時(shí)間看到了什么���,而不是現(xiàn)在的值����,它使用了閃回查詢���,這種查詢能夠顯示在指定的 SCN 值時(shí)的數(shù)據(jù)����。
--視圖和 FGA
-- 到目前為止我已經(jīng)討論了在表上應(yīng)用 FGA�;現(xiàn)在讓我們來(lái)看如何在視圖上使用 FGA。假定在 ACCOUNTS 表上定義視圖 VW_ACCOUNTS 如下:
create view bank.vw_accounts as select * from bank.accounts;
select * from bank.vw_accounts;
select timestamp, db_user,os_user,object_schema,object_name,sql_text from dba_fga_audit_trail;
-- 如果您只希望審計(jì)對(duì)視圖的查詢而不是對(duì)表的查詢���,可以對(duì)視圖本身建立策略����。
-- 通過(guò)將視圖名稱而不是表的名稱傳遞給打包的過(guò)程 dbms_fga.add_policy 中的參數(shù) object_name,可以完成這項(xiàng)工作�����。
-- 隨后 DBA_FGA_AUDIT_TRAIL 中的 OBJECT_NAME 列將顯示視圖的名稱�,并且不會(huì)出現(xiàn)有關(guān)表訪問(wèn)的附加記錄。
--其它用途
-- 除了記錄對(duì)表的選擇訪問(wèn)��,F(xiàn)GA 還可用于某些其它情況:
-- 您可以對(duì)數(shù)據(jù)倉(cāng)庫(kù)使用 FGA�,以捕獲特定的表、視圖或物化視圖上發(fā)生的所有語(yǔ)句��,這有助于計(jì)劃索引��。您不需要到 V$SQL 視圖去獲取這些信息����。即使 SQL 語(yǔ)句已經(jīng)超出了 V$SQL 的期限,在 FGA 審計(jì)線索中將會(huì)始終提供它����。
-- 由于 FGA 捕獲綁定變量����,它可以幫助您了解綁定變量值的模式��,這有助于設(shè)計(jì)直方圖集合等�����。
-- 處理器模塊可以向?qū)徲?jì)者或 DBA 發(fā)送警告�����,這有助于跟蹤惡意應(yīng)用程序����。
-- 由于 FGA 可以作為 SELECT 語(yǔ)句的觸發(fā)器�����,您可以在需要這種功能的任何時(shí)候使用它��。
--結(jié)論
-- FGA 使您在 Oracle 數(shù)據(jù)庫(kù)中支持隱私和職能策略�。因?yàn)閷徲?jì)發(fā)生在數(shù)據(jù)庫(kù)內(nèi)部而不是應(yīng)用程序中,所以無(wú)論用戶使用的訪問(wèn)方法是什么(通過(guò)諸如 SQL*Plus 等工具或者應(yīng)用程序)�����,都對(duì)操作進(jìn)行審計(jì),允許進(jìn)行非常簡(jiǎn)單的設(shè)置�����。
-- 下一次我將討論高級(jí) FGA 技術(shù)以及 Oracle Database 10g 中的新特性�,這些特性使 FGA 的功能極為強(qiáng)大,適用于所有類型的審計(jì)情況��。
數(shù)據(jù)字典視圖 DBA_AUDIT_POLICIES 中重要的列
-----------------------------------------------------------------------
OBJECT_SCHEMA 對(duì)其定義了 FGA 策略的表或視圖的所有者
OBJECT_NAME 表或視圖的名稱
POLICY_NAME 策略的名稱 — 例如�����,ACCOUNTS_ACCESS
POLICY_TEXT 在添加策略時(shí)指定的審計(jì)條件 — 例如��,BALANCE >;= 11000
POLICY_COLUMN 審計(jì)列 — 例如�����,BALANCE
ENABLED 如果啟用則為 YES�,否則為 NO
PF_SCHEMA 擁有策略處理器模塊的模式(如果存在)
PF_PACKAGE 處理器模塊的程序包名稱(如果存在)
PF_FUNCTION 處理器模塊的過(guò)程名稱(如果存在)
數(shù)據(jù)字典視圖 DBA_FGA_AUDIT_TRAIL 中重要的列
-----------------------------------------------------------------------
SESSION_ID 審計(jì)會(huì)話標(biāo)識(shí)符;與 V$SESSION 視圖中的會(huì)話標(biāo)識(shí)符不同
TIMESTAMP 審計(jì)記錄生成時(shí)的時(shí)間標(biāo)記
DB_USER 發(fā)出查詢的數(shù)據(jù)庫(kù)用戶
OS_USER 操作系統(tǒng)用戶
USERHOST 用戶連接的機(jī)器的主機(jī)名
CLIENT_ID 客戶標(biāo)識(shí)符(如果由對(duì)打包過(guò)程 dbms_session.set_identifier 的調(diào)用所設(shè)置)
EXT_NAME 外部認(rèn)證的客戶名稱�����,如 LDAP 用戶
OBJECT_SCHEMA 對(duì)該表的訪問(wèn)觸發(fā)了審計(jì)的表所有者
OBJECT_NAME 對(duì)該表的 SELECT 操作觸發(fā)了審計(jì)的表名稱
POLICY_NAME 觸發(fā)審計(jì)的策略名稱(如果對(duì)表定義了多個(gè)策略,則每個(gè)策略將插入一條記錄���。在此情況下�����,該列顯示哪些行是由哪個(gè)策略插入的�����。)
SCN 記錄了審計(jì)的 Oracle 系統(tǒng)更改號(hào)
SQL_TEXT 由用戶提交的 SQL 語(yǔ)句
SQL_BIND 由 SQL 語(yǔ)句使用的綁定變量(如果存在) |
|
免費(fèi)注冊(cè)
發(fā)表于 2003-12-22 09:46
