[통합 감사] Oracle 12c 통합 감사 기초 소개
저작권 성명: 본 고 는 블 로 거들 의 오리지널 글 입 니 다. 출처 를 밝 혀 주 십시오. 감사합니다.http://blog.csdn.net/lukeunique
이 장 에 서 는 통일 감사 (Unified Auditing) 의 기초 지식 에 대해 개요 적 인 설명 과 회 고 를 한다.
감사 (감사)
감사 기능 (Audit) 은 사용자 가 실행 하 는 데이터베이스 작업 을 감시 하 는 데 사용 되 며, Oracle 은 감사 추적 결 과 를 지정 한 곳 에 저장 합 니 다.
통합 감사 (통합 감사)
Oracle Database 12c 는 통 일 된 감사 기능 이 라 고 불 리 는 새로운 감사 구 조 를 내 놓 았 다. 통 일 된 감 사 는 주로 전략 과 조건 을 이용 하여 Oracle 데이터베이스 내부 에서 효과 적 인 감 사 를 선택적으로 집행 한다. 새로운 구 조 는 기 존의 감사 추적 을 단일 감사 추적 으로 통일 시 켜 관 리 를 간소화 하고 데이터베이스 생 성 된 감사 데이터 의 안전성 을 향상 시 켰 다.
통일 감사 에 관 한 기초 지식 은 다음 오 라 클 의 공식 온라인 문 서 를 참고 하여 간단 한 소개 만 할 수 있 습 니 다.
Database Security Guide
https://docs.oracle.com/database/121/DBSEG/auditing.htm#DBSEG630
초기 에 설 치 된 12c 데이터 베 이 스 는 이전 버 전의 기본 값 과 호 환 되 기 위해 혼합 모드 를 사용 합 니 다. 즉, 전통 적 인 감사 와 통합 감사 가 동시에 유효 합 니 다. 수 동 으로 완전한 통합 감사 에 이식 할 수도 있 고, 통합 감사 가 무효 화 될 수도 있 습 니 다. 전통 적 인 감사 에 따라 아래 의 SQL 문 서 를 통 해 통합 감사 가 유효 하 는 지 확인 할 수 있 습 니 다. TRUE 는 완전한 통합 감사 가 유효 하 다 고 밝 혔 습 니 다. FALSE 는 완전한 일괄 감사 가 아니 라 고 밝 혔 다.
SQL>SELECT PARAMETER,VALUE FROM V$OPTION WHERE PARAMETER = 'Unified Auditing';
PARAMETER VALUE
---------------- ----------
Unified Auditing TRUE
(주의: SE 의 데이터베이스 12.1.0.1 과 12.1.0.2 버 전에 서 Bug 17466854 의 영향 으로 완전한 통합 감사 가 유효 하 더 라 도 V $OPTION 의 Unified Auditing 행 은 FALSE 로 표 시 됩 니 다. Bug 17466854 는 향후 버 전 12.2 에서 복 구 됩 니 다.)
데이터베이스 감사의 혼합 모드 를 다음 과 같은 방법 으로 완전한 통합 감사 (UNIX 의 경우) 로 전환 할 수 있다.
SQL> conn /as sysdba
SQL> SHUTDOWN IMMEDIATE
SQL> EXIT
$ lsnrctl stop listener_name
$ cd $ORACLE_HOME/rdbms/lib
$ make -f ins_rdbms.mk uniaud_on ioracle ORACLE_HOME=$ORACLE_HOME
$ lsnrctl start listener_name
SQL> conn /as sysdba
SQL> STARTUP
데이터베이스 통합 감사 기능 을 다음 과 같은 방법 으로 닫 을 수도 있다 (UNIX 의 경우).
SQL> conn /as sysdba
SQL> SHUTDOWN IMMEDIATE
SQL> EXIT
$ lsnrctl stop listener_name
$ cd $ORACLE_HOME/rdbms/lib
$ make -f ins_rdbms.mk uniaud_off ioracle
$ lsnrctl start listener_name
SQL> conn /as sysdba
SQL> STARTUP
기본 유효한 감사 정책
12c 데이터베이스 에서 일부 감사 전략 을 미리 정 의 했 고 버 전에 따라 기본적으로 열 리 는 감사 전략 도 약간 다르다.
audit unified enabled policies 보 기 를 통 해 기본적으로 열 린 통 일 된 감사 정책 을 확인 할 수 있 습 니 다.
SQL> --12.1.0.2
SQL> select USER_NAME,POLICY_NAME,ENABLED_OPT,SUCCESS,FAILURE from audit_unified_enabled_policies;
USER_NAME POLICY_NAME ENABLED_OPT SUCCES FAILUR
-------------------- -------------------- ---------------- ------ ------
ALL USERS ORA_SECURECONFIG BY YES YES
ALL USERS ORA_LOGON_FAILURES BY NO YES
SQL> --12.1.0.1
SQL> select USER_NAME,POLICY_NAME,ENABLED_OPT,SUCCESS,FAILURE from audit_unified_enabled_policies;
USER_NAME POLICY_NAME ENABLED_OPT SUCCES FAILUR
-------------------- -------------------- ---------------- ------ ------
ALL USERS ORA_SECURECONFIG BY YES YES
위의 출력 결 과 를 통 해 알 수 있 듯 이 어떠한 설정 도 하지 않 은 상태 에서 12.1.0.2 데이터베이스 환경 에서 기본적으로 ORA SECURECONFIG 와 ORA LOGON FAILURES 감사 전략 을 열 었 습 니 다. 데이터 베 이 스 는 이 두 개의 감사 전략 에 따라 해당 하 는 조작 을 감사 합 니 다. 12.1.0.1 데이터베이스 환경 에서 기본적으로 ORA SECURECONFIG 감사 전략, 데이터 베 이 스 를 열 었 습 니 다.이 감사 전략 에 따라 상응하는 조작 에 대해 감 사 를 진행 할 것 이다.
설명 이 필요 한 것 은 ORA SECURECONFIG 감사 전략 이 12.1.0.1 과 12.1.0.2 버 전에 서 의 정의 가 다르다 는 것 이다.
12.1.0.1 데이터베이스 환경 에서 ORA SECURECONFIG 감사 전략 은 모든 LOGON 과 LOGOFF 에 대한 감 사 를 포함한다.
한편, 12.1.0.2 데이터베이스 에서 ORA SECURECONFIG 감사 전략 은 로그 인 실패 만 감사 하 는 데 사용 되 는 새로운 감사 전략 ORA LOGON FAILURES 를 추가 했다. 이렇게 하면 더욱 편리 하 게 관리 할 수 있 고 대량의 LOGON 과 LOGOFF 의 감사 테이블 공간 낭 비 를 개선 할 수 있다.
ORA SECURECONFIG 감사 정책 의 상세 한 내용 은 다음 과 같은 공식 온라인 문 서 를 참고 할 수 있 습 니 다.
http://docs.oracle.com/database/121/DBSEG/audit_config.htm#CHDIGFHG
ORA LOGON FAILURES 감사 전략 에 대한 자세 한 내용 은 다음 과 같 습 니 다.http://docs.oracle.com/database/121/DBSEG/audit_config.htm#DBSEG703
기본 감사 정책 방법 이 잘못 되 었 습 니 다.
SQL>--12.1.0.2
SQL> noaudit policy ORA_SECURECONFIG;
Noaudit succeeded.
SQL> noaudit policy ORA_LOGON_FAILURES;
Noaudit succeeded.
SQL>--12.1.0.1
SQL> noaudit policy ORA_SECURECONFIG;
Noaudit succeeded.
맞 춤 형 감사 전략의 작성
사용 자 는 자신의 업무 수요 에 따라 CREATE AUDIT POLICY 문 을 통 해 맞 춤 형 감사 전략 을 만들어 감사 목적 을 달성 할 수 있다.
감사 전략 은 문 CREATE AUDIT POLICY 의 상세 한 문법 으로 만 들 고 다음 과 같은 공식 온라인 문 서 를 참고 할 수 있 습 니 다.
https://docs.oracle.com/database/121/DBSEG/audit_config.htm#DBSEG357
CREATE AUDIT POLICY policy_name
{ {privilege_audit_clause [action_audit_clause ] [role_audit_clause ]}
| { action_audit_clause [role_audit_clause ] }
| { role_audit_clause }
}
[WHEN audit_condition EVALUATE PER {STATEMENT|SESSION|INSTANCE}]
[CONTAINER = {CURRENT | ALL}];
감사 정책 관련 조작 예:
SQL> -- , scott.emp select
SQL> create audit policy up1
2 actions select on scott.emp;
。
SQL> --
SQL> audit policy up1;
。
SQL> --
SQL> set linesize 200
SQL> col POLICY_NAME format a20
SQL> col OBJECT_NAME format a15
SQL> select POLICY_NAME,AUDIT_OPTION_TYPE,OBJECT_NAME,COMMON from AUDIT_UNIFIED_POLICIES where POLICY_NAME = upper('up1');
POLICY_NAME AUDIT_OPTION_TYPEOBJECT_NAME COMMON
-------------------- ------------------------------------ --------------- ------
UP1 OBJECT ACTIONEMP NO
SQL> --
SQL> col POLICY_NAME format a20
SQL> col USER_NAME format a20
SQL> select USER_NAME,POLICY_NAME,ENABLED_OPT,SUCCESS,FAILURE from AUDIT_UNIFIED_ENABLED_POLICIES;
USER_NAMEPOLICY_NAME ENABLED_OPT SUCCES FAILUR
-------------------- -------------------- ---------------- ------ ------
ALL USERSORA_SECURECONFIG BY YESYES
ALL USERSORA_LOGON_FAILURES BY NO YES
ALL USERSUP1 BY YESYES
SQL> --
SQL> NOAUDIT POLICY UP1;
。
SQL> -- ,UP1 。
SQL> select USER_NAME,POLICY_NAME,ENABLED_OPT,SUCCESS,FAILURE from AUDIT_UNIFIED_ENABLED_POLICIES;
USER_NAMEPOLICY_NAME ENABLED_OPT SUCCES FAILUR
-------------------- -------------------- ---------------- ------ ------
ALL USERSORA_SECURECONFIG BY YESYES
ALL USERSORA_LOGON_FAILURES BY NO YES
SQL> --
SQL> DROP AUDIT POLICY UP1;
。
SQL> select POLICY_NAME,AUDIT_OPTION_TYPE,OBJECT_NAME,COMMON from AUDIT_UNIFIED_POLICIES where POLICY_NAME = upper('up1');
주의: 특정한 감사 정책 을 삭제 하기 전에 이 감사 정책 을 무효 로 해 야 합 니 다. 그렇지 않 으 면 ORA - 46361 에 오류 가 발생 할 수 있 습 니 다.
SQL> DROP AUDIT POLICY UP1;
DROP AUDIT POLICY UP1
*
1 :
ORA-46361: , 。
AUDIT UNIFIED POLICIES 는 데이터베이스 내 모든 감사 정책 의 상세 함 을 확인 하 는 데 사 용 됩 니 다.
AUDIT UNIFIED ENABLED POLICIES 는 현재 유효한 감사 정책 을 확인 하 는 데 사 용 됩 니 다.
통일 감사의 동적 보기 와 사전 표 에 대한 상세 한 내용 은 다음 과 같은 공식 온라인 문 서 를 참고 할 수 있 습 니 다.https://docs.oracle.com/database/121/DBSEG/audit_config.htm#DBSEG0635
감사 기록 결과
이전 감사 기능 은 서로 다른 구성 요소 가 서로 다른 위치 에 저장 되 었 습 니 다. 예 를 들 어:
SQL> col OS_USERNAME format a15
SQL> col SQL_TEXT format a30
SQL> COL AUDIT_TYPE format a10
SQL> col ACTION_NAME format a10
SQL> col UNIFIED_AUDIT_POLICIES format a10
SQL> select AUDIT_TYPE,OS_USERNAME,TERMINAL,ACTION_NAME,
2 SQL_TEXT,UNIFIED_AUDIT_POLICIES
3 from UNIFIED_AUDIT_TRAIL where OBJECT_NAME='EMP';
AUDIT_TYPE OS_USERNAME TERMINAL ACTION_NAM SQL_TEXT UNIFIED_AU
---------- --------------- -------------------------------- ---------- ------------------------------ ----------
Standard XXXXX-CN\walt XXXX-CN SELECT SELECT COUNT(*) FROM scott.emp UP1
통일 감사 사용 의 총화:
감사 정책 만 들 기
↓
감사 전략 을 유효 하 게 하 다.
↓
관련 조작 을 실행 하 다
↓
통 일 된 감사 결 과 를 데이터 파일 에 기록 하 다.
↓
감사 결 과 를 확인 하 다.
저작권 성명: 본 고 는 블 로 거들 의 오리지널 글 입 니 다. 출처 를 밝 혀 주 십시오. 감사합니다.http://blog.csdn.net/lukeunique
이 내용에 흥미가 있습니까?
현재 기사가 여러분의 문제를 해결하지 못하는 경우 AI 엔진은 머신러닝 분석(스마트 모델이 방금 만들어져 부정확한 경우가 있을 수 있음)을 통해 가장 유사한 기사를 추천합니다:
activemq 5.5 의 입문 은 설치, 시작, 데이터베이스 지속 화 를 포함한다Apache ActiveMQ 5.5.0 은 주로 유지보수 버 전 으로 130 개가 넘 는 문 제 를 복 구 했 으 며 대부분 bug 와 개선 이 었 다. Improved performance for offline d...
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
CC BY-SA 2.5, CC BY-SA 3.0 및 CC BY-SA 4.0에 따라 라이센스가 부여됩니다.