oracle数据库sys用户的审计(网文摘录)

(一)打开数据库关键操作日志审计开关
G:q0w{LL,pA0Alter system set audit_sys_operations=true;
7H6Mi0TS'Y i g0审计日志产生在$ORACLE_HOME/rdbms/audit目录下，因该日志所占空间较大，保存时间较短，如一周。ITPUB个人空间?1b:Y`*Z8j8pY3[
文件样本：ITPUB个人空间TB$n u-em b+[.Z/x
Audit file /oracle/app/oracle/product/9.2.0.6/rdbms/audit/ora_10010.audITPUB个人空间U7|Ks2eL A/P[QaB
Oracle9i Enterprise Edition Release 9.2.0.6.0 - 64bit Production
GY+r#TJ'es0With the Partitioning and Real Application Clusters options
`\Cafj j"nw+]A0JServer Release 9.2.0.6.0 - Production
Zh4v7x|%sD)h3m?&E0ORACLE_HOME = /oracle/app/oracle/product/9.2.0.6
rY8|gtEjyt0System name:    HP-UXITPUB个人空间7Hq}PP'y
ij7Xp[
Node name:      order_ht1
*}hpD.a}m1b J0Release:        B.11.23ITPUB个人空间m5q$tIV4__]@
Version:        U
+Q.QF+zP0Machine:        9000/800
B8v5Q]3w\0Instance name: order1ITPUB个人空间lhsvaIN#vS
Redo thread mounted by this instance: 1
^:c7KG6s@4GL0Oracle process number: 1250
u,U)uB
bM,P0Unix process pid: 10010, image:oracle@order_ht1(TNS V1-V3)

Mon Feb 13 15:20:21 2006
`m-K^~J[&r0ACTION : 'CONNECT'
E*V:d XflY0XV.p
|0DATABASE USER: '/'
5{b? X9KFx-y0PRIVILEGE : SYSDBA
5y;Z_.u%za-q0CLIENT USER: oracle
T-UQI^2jI0CLIENT TERMINAL: pts/taITPUB个人空间z9a5s@:Xh6Z
STATUS: 0

Mon Feb 13 15:23:23 2006ITPUB个人空间$D)o.Go
Q|p6r
ACTION : 'alter system set log_archive_dest_state_2=DEFER scope=spfile'
'n0d5y%UG/W)C0DATABASE USER: '/'
Qc A2oI D0PRIVILEGE : SYSDBAITPUB个人空间?*L/AQ2q~qp
CLIENT USER: oracleITPUB个人空间}Do1X @vn
CLIENT TERMINAL: pts/ta
-j0I`s$G u0STATUS: 0ITPUB个人空间9\J#C"DcQ
V/]~
(二)日志审核
!CpS;X-aR4A.C0因为日志包含所有sys用户的所有操作信息，可能会包含大量查询select信息，日志量较大，使用纯人工方式的方式审计费时费力，可以通过脚本实现。

其中audconf.txt 可以根据需要，包含被审计的action，如比较重要的操作：

rp4_r+ln"T0startup
E!vw.jJ MFsj'I0shutdownITPUB个人空间D5YOw T"y
alter tablespace
9f$wBty:q]0alter database
E[gi m b3VeQ,y0alter system
g`K i+} `#J0]0dropITPUB个人空间"yc5R;[4X*u%\r
truncate
-OGS;G{"pl"u0deleteITPUB个人空间B0?7LJ$l
}y5P3Z
create user
+o2T/?L(A"ST4} p%X0alter user
Q.aw(p-x rFc(F"c0x0grant
u5D4Ah?&N0revoke

 

每天1点系统自动调度/oracle/audit.sh
;[/x#a'~:Z00 1 * * * /oracle/audit.shITPUB个人空间9j B^mw*Fs7d}
/oracle/audit.sh脚本如下：ITPUB个人空间6N7];xW ?_
. /oracle/.profile
RXr;]h8? X'r A0cd $ORACLE_HOME/rdbms/audit
b FN ie;?0filename=aud`date +%y%m`.logITPUB个人空间g_p9X%hD
filedir=aud`date +%y%m`_detail
g&YF&V7G0if [ ! -f $filename ]ITPUB个人空间L\9^'Yrx0J
thenITPUB个人空间 _%z%w1ITj\8_,n,G
  >$filenameITPUB个人空间3Jl_
i:s t
fiITPUB个人空间V6Pb*`)Py
if [ ! -d $filedir ]
6\E"w p&m"Zqv0thenITPUB个人空间i*H%w2~wr
   mkdir $filedirITPUB个人空间#{7pB1@~h/X Q\?F
fiITPUB个人空间]ZY.E#Zr2_
egrep  'ACTION :' *.aud|egrep -if audconf.txt|egrep -v 'alter system archive log current'>>$filename
eb1c3J0Qs'C0if [ $? -eq 1 ]ITPUB个人空间!t,J2i {z1BiB
thenITPUB个人空间VCWN0lR Mrv
   exitITPUB个人空间fP QL:b?Y
fiITPUB个人空间'YA%g"H W}Q'f*M'Gs
egrep  'ACTION :' *.aud|egrep -if audconf.txt|egrep -v 'alter system archive log current'|cut -d : -f 1|xargs grep -l 'ACTION

:'|while read file

z0v n{5E
kY#s$wr0do
Xk:E9|v6t;Ui6f0        mv $file ./$filedir/$file.sysITPUB个人空间yM
p1|&{
done

该脚本实现如下功能，ITPUB个人空间[3F
kI9Zl$L0` l
每月自动生成审计汇总文件$ORACLE_HOME/rdbms/audit/audyymm.log，该汇总文件保存时间可以较长，如保存一年
\:S6F'[!go%Adx0汇总文件样本aud0602.log：
WA2FL]3n0ACTION : 'alter system set log_archive_dest_state_2=DEFER scope=spfile'
G9~"_X6x0每天自动从日志文件中查找日志中是否包含关键操作，如果包含关键操作添加到汇总文件

中$ORACLE_HOME/rdbms/audit/audyymm.log，同时将详细日志文件备份到$ORACLE_HOME/rdbms/audit/audyymm_detail目录下

原文链接:http://blog.sina.com.cn/s/blog_3ebdf8ad0100079k.html