Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Oracle Новый топик    Ответить
 Временный аудит измений БД  [new]
RizONE
Member

Откуда: Махачкала
Сообщений: 284
интересно сделать две вещи:
1) запустить в базу одного единственного пользователя и проследить все изменения во всех таблицах (во всех схемах)
2) запустить в базу одного единственного пользователя и проследить все изменения в таблицах конкретной схемы.
попытки типа:
AUDIT insert, delete, update on WORK.* by access whenever successful

не проконали.
7 июн 12, 11:35    [12680491]     Ответить | Цитировать Сообщить модератору
 Re: Временный аудит измений БД  [new]
RizONE
Member

Откуда: Махачкала
Сообщений: 284
SQL> audit table;
Audit succeeded.
SQL> SELECT audit_option FROM dba_stmt_audit_opts;

AUDIT_OPTION
----------------------------------------
ALTER SYSTEM
USER
TABLE

SQL> AUDIT insert, delete, update on WORKS.OBJ by access whenever successful;
Audit succeeded.

SQL> SELECT audit_option FROM dba_stmt_audit_opts;
AUDIT_OPTION
----------------------------------------
ALTER SYSTEM
USER
TABLE
SQL>

А геде аудит на вставку/изменение строк в конкретной таблице?
7 июн 12, 17:15    [12683574]     Ответить | Цитировать Сообщить модератору
 Re: Временный аудит измений БД  [new]
фгвше
Guest
RizONE
А геде аудит на вставку/изменение строк в конкретной таблице?


dba_obj_audit_opts
вестимо
7 июн 12, 17:55    [12683862]     Ответить | Цитировать Сообщить модератору
 Re: Временный аудит измений БД  [new]
RizONE
Member

Откуда: Махачкала
Сообщений: 284
select * from dba_stmt_audit_opts
union
select * from dba_priv_audit_opts;

ALTER SYSTEM BY ACCESS    BY ACCESS
TABLE             BY ACCESS    BY ACCESS
USER              BY ACCESS    BY ACCESS

select * from dba_obj_audit_opts;

WORKS     REG     TABLE	-/-	-/-	-/-	A/-	-/-	-/-	A/-	-/-	-/-	-/-	A/-	-/-	-/-	-/-	-/-	-/-	-/-

update works.reg set obj_id=630305 where id=695542;

select * from sys.aud$;
select * from dba_audit_trail;

Результат пусто!
Аудит не работает или я не там ищу?
8 июн 12, 10:03    [12685604]     Ответить | Цитировать Сообщить модератору
 Re: Временный аудит измений БД  [new]
Домашний Любомудров
Guest
show parameter audit
8 июн 12, 10:47    [12685921]     Ответить | Цитировать Сообщить модератору
 Re: Временный аудит измений БД  [new]
RizONE
Member

Откуда: Махачкала
Сообщений: 284
SQL> show parameter audit;

NAME                                 TYPE
------------------------------------ --------VALUE------------------------------
audit_file_dest                    string           C:\ORACLE\ADMIN\BASE\ADUMP
audit_sys_operations           boolean         TRUE
audit_trail                          string            DB
SQL>
8 июн 12, 11:12    [12686129]     Ответить | Цитировать Сообщить модератору
 Re: Временный аудит измений БД  [new]
Домашний Любомудров
Guest
Не пытаешься ли ты отследить записи аудита, когда выполняется операция от SYS / SYSDBA ?
Ты разрешил их аудировать (audit_sys_operations=TRUE), но такой аудит всегда выполняется за пределами БД. Т.е. в твоем случае (Windows) это Event Viewer
8 июн 12, 11:16    [12686176]     Ответить | Цитировать Сообщить модератору
 Re: Временный аудит измений БД  [new]
RizONE
Member

Откуда: Махачкала
Сообщений: 284
Домашний Любомудров
Не пытаешься ли ты отследить записи аудита, когда выполняется операция от SYS / SYSDBA ?
Ты разрешил их аудировать (audit_sys_operations=TRUE), но такой аудит всегда выполняется за пределами БД. Т.е. в твоем случае (Windows) это Event Viewer

Мне нужен аудит любого юзера, будь он SYS / SYSDBA.
Но в данном, конкретном случае, я все эти действия делаю от имени SYS / SYSDBA
8 июн 12, 11:23    [12686240]     Ответить | Цитировать Сообщить модератору
 Re: Временный аудит измений БД  [new]
RizONE
Member

Откуда: Махачкала
Сообщений: 284
Домашний Любомудров,
В Application вижу записи аудита - спасибо!
Однако, аудиту подвергаются изменения в таблицах, не перечисленных в dba_obj_audit_opts.
Значит ли это, что установка audit_sys_operations=TRUE приводит к аудиту всего (изменения таблиц, курсоры, функции...) для пользователя SYS / SYSDBA, а для обычного юзера аудитятся только таблицы из dba_obj_audit_opts?
8 июн 12, 11:54    [12686587]     Ответить | Цитировать Сообщить модератору
 Re: Временный аудит измений БД  [new]
Домашний Любомудров
Guest
Можно просто прочитать про это в документации ;-)
Можно подумать, что защита от SYSDBA (если попытаться таки ее реализовать не Enterprise средствами), в том числе и мониторинг его действий (аудит) должны предусматривать трудность компроментации этих данных. Для винды это Event Log (слабовато, конечно, но лучше, чем ничего), для юниксов -- сислог (syslog) на другую машинку (через известный протокол обмена)
Ну, и следует не забывать, что SYSDBA / SYSOPER могут совершать действия, которые должны быть запротоколированы, даже тогда, когда БД еще не запущена и, следовательно, ни о каких таблицах (SYS.AUD$) речь идти не может
8 июн 12, 12:29    [12686889]     Ответить | Цитировать Сообщить модератору
 Re: Временный аудит измений БД  [new]
RizONE
Member

Откуда: Махачкала
Сообщений: 284
Домашний Любомудров
Можно просто прочитать про это в документации ;-)

ссылку на источники плиз т.к. в имеющихся книжках ни слова про это (в таком развернутом виде)
8 июн 12, 14:55    [12688293]     Ответить | Цитировать Сообщить модератору
 Re: Временный аудит измений БД  [new]
RizONE
Member

Откуда: Махачкала
Сообщений: 284
ап
9 июн 12, 11:45    [12692990]     Ответить | Цитировать Сообщить модератору
 Re: Временный аудит измений БД  [new]
фгвше
Guest
За сутки мог бы и сам найти...

Security Guide
9 июн 12, 12:36    [12693301]     Ответить | Цитировать Сообщить модератору
Все форумы / Oracle Ответить