【正文】 CONNECT, AQ_USER_ROLE, OLAP_DBA TO PRIVS_TEST。 SELECT * FROM DBA_ROLE_PRIVS。 數(shù)據(jù)字典視圖 (12) USER_ROLE_PRIVS視圖：授予當(dāng)前用戶的系統(tǒng)權(quán)限。 (13) DBA_SYS_PRIVS視圖：授予用戶或者角色的系統(tǒng)權(quán)限。 (14) USER_SYS_PRIVS視圖：授予當(dāng)前用戶的系統(tǒng)權(quán)限。 (15) SESSION_PRIVS視圖：用戶當(dāng)前啟用的權(quán)限。 (16) ALL_COL_PRIVS視圖：當(dāng)前用戶或者 PUBLIC用戶組是其所有者、授予者 或者被授予者的用戶的所有列對(duì)象 (即表中的字段 )的授權(quán)。 (17) DBA_COL_PRIVS視圖：數(shù)據(jù)庫(kù)中所有的列對(duì)象的授權(quán)。 (18) USER_COL_PRIVS視圖：當(dāng)前用戶或其所有者、授予者或者被授予者的所 有列對(duì)象的授權(quán)。 (19) DBA_TAB_PRIVS：數(shù)據(jù)庫(kù)中所用對(duì)象的權(quán)限。 (20) ALL_ TAB_PRIVS：用戶或者 PUBLIC是其授予者的對(duì)象的授權(quán)。 (21) USER_ TAB_PRIVS：當(dāng)前用戶是其被授予者的所有對(duì)象的授權(quán)。 審計(jì) 審計(jì)是監(jiān)視和記錄所選用戶的數(shù)據(jù)活動(dòng)，審計(jì)通常用于調(diào)查可疑活動(dòng)和監(jiān)視 與收集特定數(shù)據(jù)庫(kù)活動(dòng)的數(shù)據(jù)。審計(jì)操作類型包括登錄企圖、對(duì)象訪問和數(shù)據(jù)庫(kù) 操作。審計(jì)操作項(xiàng)目包括成功執(zhí)行的語(yǔ)句或執(zhí)行失敗的語(yǔ)句、在每個(gè)用戶會(huì)話中 執(zhí)行一次的語(yǔ)句和所有用戶或者特定用戶的活動(dòng)。審計(jì)記錄包括被審計(jì)的操作、 執(zhí)行操作的用戶、操作的時(shí)間等信息。審計(jì)記錄被存儲(chǔ)在數(shù)據(jù)字典中。審計(jì)跟蹤 記錄包含不同類型的信息，主要依賴于所審計(jì)的事件和審計(jì)選項(xiàng)設(shè)置。每個(gè)審計(jì) 跟蹤記錄中信息通常包含用戶名、會(huì)話標(biāo)識(shí)符、終端標(biāo)識(shí)符、訪問的方案對(duì)象的 名稱、執(zhí)行的操作、操作的完成代碼、日期和時(shí)間戳和使用的系統(tǒng)權(quán)限。 管理員可以啟用和禁用審計(jì)信息記錄，但是，只有安全管理員才能夠?qū)τ涗? 審計(jì)信息進(jìn)行管理。當(dāng)在數(shù)據(jù)庫(kù)中啟用審計(jì)時(shí)，在語(yǔ)句執(zhí)行階段生成審計(jì)記錄。 注意，在 PL/SQL程序單元中的 SQL語(yǔ)句是單獨(dú)審計(jì)的。 審計(jì)啟用 數(shù)據(jù)庫(kù)的審計(jì)記錄存放在 SYS方案中的 AUD$表中。在初始狀態(tài)下， Oracle對(duì)于審計(jì)是關(guān)閉 的，因此必須手動(dòng)開啟審計(jì)。具體步驟如下： (1) 在如圖 ，單擊“數(shù)據(jù)庫(kù)配置”類別中的“所有初始化參數(shù)”，進(jìn)入“初始化 參數(shù)”界面，如圖 。該界面有兩個(gè)選項(xiàng)界面：當(dāng)前和 Spfile界面?！爱?dāng)前”界面列出所 有初始化參數(shù)目前的配置值；在“ SPfile”界面設(shè)置初始化參數(shù)。 圖 Oracle企業(yè)管理器 圖 審計(jì)啟用 (2) 在如圖 ，在“過濾”文本框輸入審計(jì)參數(shù) audit_trail，單擊“開始”按 鈕，出現(xiàn)如圖 。 (3) 在“值”一欄輸入要設(shè)置的參數(shù)值，單擊“應(yīng)用”按鈕，然后重新啟動(dòng)數(shù)據(jù)庫(kù)。 圖 登錄審計(jì) 用戶連接數(shù)據(jù)庫(kù)的操作過程稱為登錄，登錄審計(jì)用下列命名： (1) AUDIT SESSION。 (2) AUDIT SESSION WHENEVER SUCCESSFUL。 (3) AUDIT SESSION WHENEVER NOT SUCCESSFUL。 (4) NOAUDIT SESSION。 第一條命令開啟連接數(shù)據(jù)庫(kù)審計(jì)，第二條只是審計(jì)成功的連接圖，第三條只是審 計(jì)的連接失敗。第四條命令禁止會(huì)話審計(jì)。 登錄審計(jì) 數(shù)據(jù)庫(kù)的審計(jì)記錄存放在 SYS方案中的 AUD$表中，可以通過 DBA_AUDIT_SESSION數(shù)據(jù)字典 視圖來查看 $。例如： SELECT OS_Username,Username,Terminal, DECODE(Returncode,’ 0’ ,’ Connected’ ,’ 1005’ ,’ FailedNull’ ,‘ 1017’ ,’ Failed’ ,Returncode), TO_CHAR(Timestamp,’ DDMONYY HH24:MI:SS’ ), TO_CHAR(Logoff_time, ’ DDMONYY HH24:MI:SS’ ) FROM DBA_AUDIT_SESSION。 (1) OS_Username：使用的操作系統(tǒng)帳戶 (2) Username： Oracle帳戶名 (3) Terminal ：使用的終端 ID (4) Returncode：如果為 0，連接成功；否則就檢查兩個(gè)常用錯(cuò)誤號(hào)，確定失敗的原因。檢查的 兩個(gè)錯(cuò)誤號(hào)為 ORA1005和 ORA1017。這兩個(gè)錯(cuò)誤代碼覆蓋了經(jīng)常發(fā)生的登錄錯(cuò)誤。當(dāng)用戶輸 入一個(gè)用戶名但無口令時(shí)就返回 ORA1005；當(dāng)用戶輸入一個(gè)無效口令時(shí)就返回 ORA1017。 (5) Timestamp：登錄時(shí)間 (6) Logoff_time：注銷的時(shí)間 操作審計(jì) 對(duì)表、數(shù)據(jù)庫(kù)鏈接、表空間、同義詞、回滾段、用戶或索引等數(shù)據(jù)庫(kù)對(duì)象的任何 操作都可被審計(jì)。這些操作包括對(duì)象的建立、修改和刪除。 語(yǔ)法格式： AUDIT {statement_opt∣ system_priv} [BY user,…n] [BY {SESSION∣ ACCESS}] [WHENEVER [NOT] SUCCESSFUL] 說明： statement_opt：審計(jì)操作。對(duì)于每個(gè)審計(jì)操作，產(chǎn)生審計(jì)記錄含有下述信息： 執(zhí)行操作的用戶、操作類型、操作涉及到的對(duì)象及操作的日期和時(shí)間。審計(jì)記錄 被寫入審計(jì)跟蹤 (audit trail)，審計(jì)跟蹤包含審計(jì)記錄的數(shù)據(jù)庫(kù)表?？梢酝ㄟ^數(shù)據(jù) 字典視圖檢查審計(jì)跟蹤來了解數(shù)據(jù)庫(kù)的活動(dòng)。 system_priv：指定審計(jì)的系統(tǒng)權(quán)限。 Oracle立即為指定的系統(tǒng)權(quán)限和語(yǔ)句選項(xiàng) 組提供捷徑。 BY user,…n ：指定審計(jì)的用戶。若忽略該子句， Oracle審計(jì)所有用戶的語(yǔ)句。 n 表示可同時(shí)指定多個(gè)用戶。 BY SESSION：同一會(huì)話中同一類型的全部 SQL語(yǔ)句僅寫單個(gè)記錄。 BY ACCESS：每個(gè)被審計(jì)的語(yǔ)句寫一個(gè)記錄。 操作審計(jì) 【例 】 使用戶 HR的所有更新操作都要被審計(jì)。 AUDIT UPDATE TABLE BY HR。 若要審計(jì)影響角色的所有命令，可輸入命令： AUDIT ROLE。 若要禁止這個(gè)設(shè)置值，可輸入命令： NOAUDIT ROLE。 被審計(jì)的操作都被指定一個(gè)數(shù)字代碼，這些代碼可通過 AUDIT_ACTIONS視圖來訪問。例如： SELECT Action, Name FROM AUDIT_ACTIONS。 已知操作代碼就可以通過 DBA_AUDIT_OBJECT視圖檢索登錄審計(jì)記錄。例如： SELECT OS_Username,Username,Terminal,Owner,Obj_Name,Action_Name, DECODE(Returncode,’ 0’ ,’ S uccess’ ,Returncode), TO_CHAR(Timestamp,’ DDMONYYYYY HH24:MI:SS’ ) FROM DBA_AUDIT_OBJECT。 其中： OS_Username：操作系統(tǒng)帳戶 Username：帳戶名 Terminal ：所用的終端 ID Action_name：操作碼 Owner：對(duì)象擁有者 Obj_Name：對(duì)象名 Returncode：返回代碼。若是 0，則連接成功；否則就報(bào)告一個(gè)錯(cuò)誤數(shù)值。 Timestamp：登錄時(shí)間 對(duì)象審計(jì) 除了系統(tǒng)級(jí)的對(duì)象操作外，還可以審計(jì)對(duì)象的數(shù)據(jù)處理操作。這些操作可能包括 對(duì)表的選擇、插入、更新和刪除操作。這種操作類型的審計(jì)方式與操作審計(jì)非常 相似。 語(yǔ)法格式： AUDIT {object_opt∣ ALL} ON {[schema.]object∣ DIRECTORY directory_name∣ DEFAULT} [BY SESSION∣ ACCESS] [WHENEVER [NOT] SUCCESSFUL] 其中： object_opt：指定審計(jì)操作。表 。 ALL：指定所有對(duì)象類型的對(duì)象選項(xiàng)。 schema：包含審計(jì)對(duì)象的方案。若忽略 schema，則對(duì)象在你自己的模式中。 object：標(biāo)識(shí)審計(jì)對(duì)象。對(duì)象必須是表、視圖、序列、存儲(chǔ)過程、函數(shù)、包、快照或庫(kù)， 也可是它們的同義詞。 ON DEFAULT：缺省審計(jì)選項(xiàng)，以后創(chuàng)建的任何對(duì)象都自動(dòng)用這些選項(xiàng)審計(jì)。用于視圖的 缺省審計(jì)選項(xiàng)總是視圖基表的審計(jì)選項(xiàng)的聯(lián)合。 ON DIRECTORY directory_name：審計(jì)的目錄名。 BY SESSION： Oracle在同一會(huì)話中對(duì)在同一對(duì)象上的同一類型的全部操作寫單個(gè)記錄。 BY ACCESS： O對(duì)每個(gè)被審計(jì)的操作寫一個(gè)記錄。 WHENEVER SUCCESSFUL：只審計(jì)完全成功的 SQL語(yǔ)句。 對(duì)象審計(jì) 表 對(duì)象審計(jì) 【例 】 對(duì) XS表的所有 INSERT命令進(jìn)行審計(jì)；對(duì) XS_KC表的每個(gè)命令都要 進(jìn)行審計(jì)；對(duì) KC表的 DELETE命令都要進(jìn)行審計(jì)。 AUDIT INSERT ON 。 AUDIT ALL ON 。 AUDIT DELETE ON 。 通過對(duì) DBA_AUDIT_OBJECT視圖進(jìn)行查詢，就可以看到最終的審計(jì)記錄。 權(quán)限審計(jì) 權(quán)限審計(jì)表示只審計(jì)某一個(gè)系統(tǒng)權(quán)限的使用狀況。既可以審計(jì)某個(gè)用戶所使用的 系統(tǒng)權(quán)限，也可以審計(jì)所有用戶使用的系統(tǒng)權(quán)限。 【例 】 分別對(duì) nick和 admin用戶進(jìn)行系統(tǒng)權(quán)限級(jí)別的審計(jì)。 SQLaudit delete any table whenever not successful。 SQLaudit create table whenever not successful。 SQLaudit alter any table,alter any procedure by nick by access Whenever not successful。 SQLaudit create user by admin whenever not successful。 權(quán)限審計(jì) 通過查詢數(shù)據(jù)字典 DBA_PRIV_AUDIT_OPTS（必須以 sys用戶連接數(shù)據(jù)庫(kù)進(jìn)行 查詢），可以了解對(duì)哪些用戶進(jìn)行了權(quán)限審計(jì)及審計(jì)的選項(xiàng)。 SQLSELECT USER_NAME,PRIVILEGE,SUCCESS,FAILURE 2 FROM DBA_PRIV_AUDIT_OPTS ORDER BY USER_NAME。 USER_NAME PRIVILEGE SUCCESS FAILURE ADMIN ALTER ANY TABLE NOT SET BY ACCESS ADMIN ALTER ANY PROCEDURE NOT SET BY ACCESS NICK CREATE USER NOT SET BY ACCESS CREATE TABLE NOT SET BY ACCESS DELETE ANY TABLE NOT SET BY SESSION 演講完畢，謝謝觀看！