[통합 감사] Oracle 12c 통합 감사 기초 소개

Oracle 12c 통합 감사 (통합 감사)
저작권 성명: 본 고 는 블 로 거들 의 오리지널 글 입 니 다. 출처 를 밝 혀 주 십시오. 감사합니다.http://blog.csdn.net/lukeunique
이 장 에 서 는 통일 감사 (Unified Auditing) 의 기초 지식 에 대해 개요 적 인 설명 과 회 고 를 한다.
감사 (감사)
감사 기능 (Audit) 은 사용자 가 실행 하 는 데이터베이스 작업 을 감시 하 는 데 사용 되 며, Oracle 은 감사 추적 결 과 를 지정 한 곳 에 저장 합 니 다.
통합 감사 (통합 감사)
Oracle Database 12c 는 통 일 된 감사 기능 이 라 고 불 리 는 새로운 감사 구 조 를 내 놓 았 다. 통 일 된 감 사 는 주로 전략 과 조건 을 이용 하여 Oracle 데이터베이스 내부 에서 효과 적 인 감 사 를 선택적으로 집행 한다. 새로운 구 조 는 기 존의 감사 추적 을 단일 감사 추적 으로 통일 시 켜 관 리 를 간소화 하고 데이터베이스 생 성 된 감사 데이터 의 안전성 을 향상 시 켰 다.
통일 감사 에 관 한 기초 지식 은 다음 오 라 클 의 공식 온라인 문 서 를 참고 하여 간단 한 소개 만 할 수 있 습 니 다.
Database Security Guide
https://docs.oracle.com/database/121/DBSEG/auditing.htm#DBSEG630
초기 에 설 치 된 12c 데이터 베 이 스 는 이전 버 전의 기본 값 과 호 환 되 기 위해 혼합 모드 를 사용 합 니 다. 즉, 전통 적 인 감사 와 통합 감사 가 동시에 유효 합 니 다. 수 동 으로 완전한 통합 감사 에 이식 할 수도 있 고, 통합 감사 가 무효 화 될 수도 있 습 니 다. 전통 적 인 감사 에 따라 아래 의 SQL 문 서 를 통 해 통합 감사 가 유효 하 는 지 확인 할 수 있 습 니 다. TRUE 는 완전한 통합 감사 가 유효 하 다 고 밝 혔 습 니 다. FALSE 는 완전한 일괄 감사 가 아니 라 고 밝 혔 다.

SQL>SELECT PARAMETER，VALUE FROM V$OPTION WHERE PARAMETER = 'Unified Auditing';
PARAMETER         VALUE
----------------  ----------
Unified Auditing  TRUE

(주의: SE 의 데이터베이스 12.1.0.1 과 12.1.0.2 버 전에 서 Bug 17466854 의 영향 으로 완전한 통합 감사 가 유효 하 더 라 도 V $OPTION 의 Unified Auditing 행 은 FALSE 로 표 시 됩 니 다. Bug 17466854 는 향후 버 전 12.2 에서 복 구 됩 니 다.)
데이터베이스 감사의 혼합 모드 를 다음 과 같은 방법 으로 완전한 통합 감사 (UNIX 의 경우) 로 전환 할 수 있다.

SQL> conn /as sysdba
SQL> SHUTDOWN IMMEDIATE
SQL> EXIT

$ lsnrctl stop listener_name
$ cd $ORACLE_HOME/rdbms/lib
$ make -f ins_rdbms.mk uniaud_on ioracle ORACLE_HOME=$ORACLE_HOME
$ lsnrctl start listener_name

SQL> conn /as sysdba
SQL> STARTUP

데이터베이스 통합 감사 기능 을 다음 과 같은 방법 으로 닫 을 수도 있다 (UNIX 의 경우).

SQL> conn /as sysdba
SQL> SHUTDOWN IMMEDIATE
SQL> EXIT

$ lsnrctl stop listener_name
$ cd $ORACLE_HOME/rdbms/lib
$ make -f ins_rdbms.mk uniaud_off ioracle
$ lsnrctl start listener_name

SQL> conn /as sysdba
SQL> STARTUP

기본 유효한 감사 정책
12c 데이터베이스 에서 일부 감사 전략 을 미리 정 의 했 고 버 전에 따라 기본적으로 열 리 는 감사 전략 도 약간 다르다.
audit unified enabled policies 보 기 를 통 해 기본적으로 열 린 통 일 된 감사 정책 을 확인 할 수 있 습 니 다.

SQL> --12.1.0.2       
SQL> select USER_NAME,POLICY_NAME,ENABLED_OPT,SUCCESS,FAILURE from audit_unified_enabled_policies;

USER_NAME   POLICY_NAME         ENABLED_OPT  SUCCES FAILUR
-------------------- -------------------- ---------------- ------ ------
ALL USERS   ORA_SECURECONFIG     BY           YES  YES
ALL USERS   ORA_LOGON_FAILURES   BY           NO   YES

SQL> --12.1.0.1       
SQL> select USER_NAME,POLICY_NAME,ENABLED_OPT,SUCCESS,FAILURE from audit_unified_enabled_policies;

USER_NAME   POLICY_NAME         ENABLED_OPT  SUCCES FAILUR
-------------------- -------------------- ---------------- ------ ------
ALL USERS   ORA_SECURECONFIG     BY           YES  YES

위의 출력 결 과 를 통 해 알 수 있 듯 이 어떠한 설정 도 하지 않 은 상태 에서 12.1.0.2 데이터베이스 환경 에서 기본적으로 ORA SECURECONFIG 와 ORA LOGON FAILURES 감사 전략 을 열 었 습 니 다. 데이터 베 이 스 는 이 두 개의 감사 전략 에 따라 해당 하 는 조작 을 감사 합 니 다. 12.1.0.1 데이터베이스 환경 에서 기본적으로 ORA SECURECONFIG 감사 전략, 데이터 베 이 스 를 열 었 습 니 다.이 감사 전략 에 따라 상응하는 조작 에 대해 감 사 를 진행 할 것 이다.
설명 이 필요 한 것 은 ORA SECURECONFIG 감사 전략 이 12.1.0.1 과 12.1.0.2 버 전에 서 의 정의 가 다르다 는 것 이다.
12.1.0.1 데이터베이스 환경 에서 ORA SECURECONFIG 감사 전략 은 모든 LOGON 과 LOGOFF 에 대한 감 사 를 포함한다.
한편, 12.1.0.2 데이터베이스 에서 ORA SECURECONFIG 감사 전략 은 로그 인 실패 만 감사 하 는 데 사용 되 는 새로운 감사 전략 ORA LOGON FAILURES 를 추가 했다. 이렇게 하면 더욱 편리 하 게 관리 할 수 있 고 대량의 LOGON 과 LOGOFF 의 감사 테이블 공간 낭 비 를 개선 할 수 있다.
ORA SECURECONFIG 감사 정책 의 상세 한 내용 은 다음 과 같은 공식 온라인 문 서 를 참고 할 수 있 습 니 다.
http://docs.oracle.com/database/121/DBSEG/audit_config.htm#CHDIGFHG
ORA LOGON FAILURES 감사 전략 에 대한 자세 한 내용 은 다음 과 같 습 니 다.http://docs.oracle.com/database/121/DBSEG/audit_config.htm#DBSEG703
기본 감사 정책 방법 이 잘못 되 었 습 니 다.

SQL>--12.1.0.2   
SQL> noaudit policy ORA_SECURECONFIG;
Noaudit succeeded.
SQL> noaudit policy ORA_LOGON_FAILURES;
Noaudit succeeded.

SQL>--12.1.0.1   
SQL> noaudit policy ORA_SECURECONFIG;
Noaudit succeeded.

맞 춤 형 감사 전략의 작성
사용 자 는 자신의 업무 수요 에 따라 CREATE AUDIT POLICY 문 을 통 해 맞 춤 형 감사 전략 을 만들어 감사 목적 을 달성 할 수 있다.
감사 전략 은 문 CREATE AUDIT POLICY 의 상세 한 문법 으로 만 들 고 다음 과 같은 공식 온라인 문 서 를 참고 할 수 있 습 니 다.
https://docs.oracle.com/database/121/DBSEG/audit_config.htm#DBSEG357

CREATE AUDIT POLICY policy_name
{ {privilege_audit_clause [action_audit_clause ] [role_audit_clause ]}
    | { action_audit_clause  [role_audit_clause ] } 
    | { role_audit_clause }
 }        
[WHEN audit_condition EVALUATE PER {STATEMENT|SESSION|INSTANCE}] 
[CONTAINER = {CURRENT | ALL}];  

감사 정책 관련 조작 예:

SQL> --        ，    scott.emp select  
SQL> create audit policy up1
  2  actions select on scott.emp;

       。

SQL> --       
SQL> audit policy up1;

     。

SQL> --         
SQL> set linesize 200
SQL> col POLICY_NAME format a20
SQL> col OBJECT_NAME format a15
SQL> select POLICY_NAME,AUDIT_OPTION_TYPE,OBJECT_NAME,COMMON from AUDIT_UNIFIED_POLICIES where POLICY_NAME = upper('up1');

POLICY_NAME  AUDIT_OPTION_TYPEOBJECT_NAME COMMON
-------------------- ------------------------------------ --------------- ------
UP1  OBJECT ACTIONEMP NO

SQL> --           
SQL> col POLICY_NAME format a20
SQL> col USER_NAME format a20
SQL> select USER_NAME,POLICY_NAME,ENABLED_OPT,SUCCESS,FAILURE  from AUDIT_UNIFIED_ENABLED_POLICIES;

USER_NAMEPOLICY_NAME  ENABLED_OPT  SUCCES FAILUR
-------------------- -------------------- ---------------- ------ ------
ALL USERSORA_SECURECONFIG BY   YESYES
ALL USERSORA_LOGON_FAILURES   BY   NO YES
ALL USERSUP1  BY   YESYES

SQL> --       
SQL> NOAUDIT POLICY UP1;

     。

SQL> --             ，UP1     。
SQL> select USER_NAME,POLICY_NAME,ENABLED_OPT,SUCCESS,FAILURE  from AUDIT_UNIFIED_ENABLED_POLICIES;

USER_NAMEPOLICY_NAME  ENABLED_OPT  SUCCES FAILUR
-------------------- -------------------- ---------------- ------ ------
ALL USERSORA_SECURECONFIG BY   YESYES
ALL USERSORA_LOGON_FAILURES   BY   NO YES

SQL> --      
SQL> DROP AUDIT POLICY UP1;

       。

SQL> select POLICY_NAME,AUDIT_OPTION_TYPE,OBJECT_NAME,COMMON from AUDIT_UNIFIED_POLICIES where POLICY_NAME = upper('up1');

    

주의: 특정한 감사 정책 을 삭제 하기 전에 이 감사 정책 을 무효 로 해 야 합 니 다. 그렇지 않 으 면 ORA - 46361 에 오류 가 발생 할 수 있 습 니 다.

SQL> DROP AUDIT POLICY UP1;
DROP AUDIT POLICY UP1
*
  1      :
ORA-46361:          ,          。

AUDIT UNIFIED POLICIES 는 데이터베이스 내 모든 감사 정책 의 상세 함 을 확인 하 는 데 사 용 됩 니 다.
AUDIT UNIFIED ENABLED POLICIES 는 현재 유효한 감사 정책 을 확인 하 는 데 사 용 됩 니 다.
통일 감사의 동적 보기 와 사전 표 에 대한 상세 한 내용 은 다음 과 같은 공식 온라인 문 서 를 참고 할 수 있 습 니 다.https://docs.oracle.com/database/121/DBSEG/audit_config.htm#DBSEG0635
감사 기록 결과
이전 감사 기능 은 서로 다른 구성 요소 가 서로 다른 위치 에 저장 되 었 습 니 다. 예 를 들 어:

SYS. AUD $는 데이터베이스 의 표준 감사 결 과 를 저장 합 니 다

SYS. FGA LOG $는 입자 도 감사 결과 (fine - grained auditing)

를 저장 합 니 다.

DVSYS. AUDIT TRAIL $는 Oracle Database Vault 와 Oracle Label Security 등 구성 요소 의 감사 결 과 를 저장 합 니 다

등등...

통합 감사 기능 에 서 는 저 장 · 조회 가 더욱 단순화 되 고 모든 감사 결 과 는 새로 추 가 된 AUDSYS schema 에 저장 되 며 사전 표 UNIFIED AUDIT TRAIL 을 통 해 확인 할 수 있다.

SQL> col OS_USERNAME format a15
SQL> col SQL_TEXT format a30
SQL> COL AUDIT_TYPE format a10
SQL> col  ACTION_NAME format a10
SQL> col UNIFIED_AUDIT_POLICIES  format a10
SQL>  select AUDIT_TYPE,OS_USERNAME,TERMINAL,ACTION_NAME,
  2  SQL_TEXT,UNIFIED_AUDIT_POLICIES
  3   from UNIFIED_AUDIT_TRAIL where OBJECT_NAME='EMP';

AUDIT_TYPE OS_USERNAME TERMINAL ACTION_NAM SQL_TEXT   UNIFIED_AU
---------- --------------- -------------------------------- ---------- ------------------------------ ----------
Standard   XXXXX-CN\walt   XXXX-CN SELECT SELECT COUNT(*) FROM scott.emp UP1

통일 감사 사용 의 총화:
감사 정책 만 들 기
↓
감사 전략 을 유효 하 게 하 다.
↓
관련 조작 을 실행 하 다
↓
통 일 된 감사 결 과 를 데이터 파일 에 기록 하 다.
↓
감사 결 과 를 확인 하 다.
저작권 성명: 본 고 는 블 로 거들 의 오리지널 글 입 니 다. 출처 를 밝 혀 주 십시오. 감사합니다.http://blog.csdn.net/lukeunique