【正文】 CONNECT, AQ_USER_ROLE, OLAP_DBA TO PRIVS_TEST。 SELECT * FROM DBA_ROLE_PRIVS。 數(shù)據(jù)字典視圖 (12) USER_ROLE_PRIVS視圖：授予當(dāng)前用戶的系統(tǒng)權(quán)限。 (13) DBA_SYS_PRIVS視圖：授予用戶或者角色的系統(tǒng)權(quán)限。 (14) USER_SYS_PRIVS視圖：授予當(dāng)前用戶的系統(tǒng)權(quán)限。 (15) SESSION_PRIVS視圖：用戶當(dāng)前啟用的權(quán)限。 (16) ALL_COL_PRIVS視圖：當(dāng)前用戶或者 PUBLIC用戶組是其所有者、授予者 或者被授予者的用戶的所有列對象 (即表中的字段 )的授權(quán)。 (17) DBA_COL_PRIVS視圖：數(shù)據(jù)庫中所有的列對象的授權(quán)。 (18) USER_COL_PRIVS視圖：當(dāng)前用戶或其所有者、授予者或者被授予者的所 有列對象的授權(quán)。 (19) DBA_TAB_PRIVS：數(shù)據(jù)庫中所用對象的權(quán)限。 (20) ALL_ TAB_PRIVS：用戶或者 PUBLIC是其授予者的對象的授權(quán)。 (21) USER_ TAB_PRIVS：當(dāng)前用戶是其被授予者的所有對象的授權(quán)。 審計(jì) 審計(jì)是監(jiān)視和記錄所選用戶的數(shù)據(jù)活動，審計(jì)通常用于調(diào)查可疑活動和監(jiān)視 與收集特定數(shù)據(jù)庫活動的數(shù)據(jù)。審計(jì)操作類型包括登錄企圖、對象訪問和數(shù)據(jù)庫 操作。審計(jì)操作項(xiàng)目包括成功執(zhí)行的語句或執(zhí)行失敗的語句、在每個用戶會話中 執(zhí)行一次的語句和所有用戶或者特定用戶的活動。審計(jì)記錄包括被審計(jì)的操作、 執(zhí)行操作的用戶、操作的時間等信息。審計(jì)記錄被存儲在數(shù)據(jù)字典中。審計(jì)跟蹤 記錄包含不同類型的信息，主要依賴于所審計(jì)的事件和審計(jì)選項(xiàng)設(shè)置。每個審計(jì) 跟蹤記錄中信息通常包含用戶名、會話標(biāo)識符、終端標(biāo)識符、訪問的方案對象的 名稱、執(zhí)行的操作、操作的完成代碼、日期和時間戳和使用的系統(tǒng)權(quán)限。 管理員可以啟用和禁用審計(jì)信息記錄，但是，只有安全管理員才能夠?qū)τ涗? 審計(jì)信息進(jìn)行管理。當(dāng)在數(shù)據(jù)庫中啟用審計(jì)時，在語句執(zhí)行階段生成審計(jì)記錄。 注意，在 PL/SQL程序單元中的 SQL語句是單獨(dú)審計(jì)的。 審計(jì)啟用 數(shù)據(jù)庫的審計(jì)記錄存放在 SYS方案中的 AUD$表中。在初始狀態(tài)下， Oracle對于審計(jì)是關(guān)閉 的，因此必須手動開啟審計(jì)。具體步驟如下： (1) 在如圖 ，單擊“數(shù)據(jù)庫配置”類別中的“所有初始化參數(shù)”，進(jìn)入“初始化 參數(shù)”界面，如圖 。該界面有兩個選項(xiàng)界面：當(dāng)前和 Spfile界面?！爱?dāng)前”界面列出所 有初始化參數(shù)目前的配置值；在“ SPfile”界面設(shè)置初始化參數(shù)。 圖 Oracle企業(yè)管理器 圖 審計(jì)啟用 (2) 在如圖 ，在“過濾”文本框輸入審計(jì)參數(shù) audit_trail，單擊“開始”按 鈕，出現(xiàn)如圖 。 (3) 在“值”一欄輸入要設(shè)置的參數(shù)值，單擊“應(yīng)用”按鈕，然后重新啟動數(shù)據(jù)庫。 圖 登錄審計(jì) 用戶連接數(shù)據(jù)庫的操作過程稱為登錄，登錄審計(jì)用下列命名： (1) AUDIT SESSION。 (2) AUDIT SESSION WHENEVER SUCCESSFUL。 (3) AUDIT SESSION WHENEVER NOT SUCCESSFUL。 (4) NOAUDIT SESSION。 第一條命令開啟連接數(shù)據(jù)庫審計(jì)，第二條只是審計(jì)成功的連接圖，第三條只是審 計(jì)的連接失敗。第四條命令禁止會話審計(jì)。 登錄審計(jì) 數(shù)據(jù)庫的審計(jì)記錄存放在 SYS方案中的 AUD$表中，可以通過 DBA_AUDIT_SESSION數(shù)據(jù)字典 視圖來查看 $。例如： SELECT OS_Username,Username,Terminal, DECODE(Returncode,’ 0’ ,’ Connected’ ,’ 1005’ ,’ FailedNull’ ,‘ 1017’ ,’ Failed’ ,Returncode), TO_CHAR(Timestamp,’ DDMONYY HH24:MI:SS’ ), TO_CHAR(Logoff_time, ’ DDMONYY HH24:MI:SS’ ) FROM DBA_AUDIT_SESSION。 (1) OS_Username：使用的操作系統(tǒng)帳戶 (2) Username： Oracle帳戶名 (3) Terminal ：使用的終端 ID (4) Returncode：如果為 0，連接成功；否則就檢查兩個常用錯誤號，確定失敗的原因。檢查的 兩個錯誤號為 ORA1005和 ORA1017。這兩個錯誤代碼覆蓋了經(jīng)常發(fā)生的登錄錯誤。當(dāng)用戶輸 入一個用戶名但無口令時就返回 ORA1005；當(dāng)用戶輸入一個無效口令時就返回 ORA1017。 (5) Timestamp：登錄時間 (6) Logoff_time：注銷的時間 操作審計(jì) 對表、數(shù)據(jù)庫鏈接、表空間、同義詞、回滾段、用戶或索引等數(shù)據(jù)庫對象的任何 操作都可被審計(jì)。這些操作包括對象的建立、修改和刪除。 語法格式： AUDIT {statement_opt∣ system_priv} [BY user,…n] [BY {SESSION∣ ACCESS}] [WHENEVER [NOT] SUCCESSFUL] 說明： statement_opt：審計(jì)操作。對于每個審計(jì)操作，產(chǎn)生審計(jì)記錄含有下述信息： 執(zhí)行操作的用戶、操作類型、操作涉及到的對象及操作的日期和時間。審計(jì)記錄 被寫入審計(jì)跟蹤 (audit trail)，審計(jì)跟蹤包含審計(jì)記錄的數(shù)據(jù)庫表?？梢酝ㄟ^數(shù)據(jù) 字典視圖檢查審計(jì)跟蹤來了解數(shù)據(jù)庫的活動。 system_priv：指定審計(jì)的系統(tǒng)權(quán)限。 Oracle立即為指定的系統(tǒng)權(quán)限和語句選項(xiàng) 組提供捷徑。 BY user,…n ：指定審計(jì)的用戶。若忽略該子句， Oracle審計(jì)所有用戶的語句。 n 表示可同時指定多個用戶。 BY SESSION：同一會話中同一類型的全部 SQL語句僅寫單個記錄。 BY ACCESS：每個被審計(jì)的語句寫一個記錄。 操作審計(jì) 【例 】 使用戶 HR的所有更新操作都要被審計(jì)。 AUDIT UPDATE TABLE BY HR。 若要審計(jì)影響角色的所有命令，可輸入命令： AUDIT ROLE。 若要禁止這個設(shè)置值，可輸入命令： NOAUDIT ROLE。 被審計(jì)的操作都被指定一個數(shù)字代碼，這些代碼可通過 AUDIT_ACTIONS視圖來訪問。例如： SELECT Action, Name FROM AUDIT_ACTIONS。 已知操作代碼就可以通過 DBA_AUDIT_OBJECT視圖檢索登錄審計(jì)記錄。例如： SELECT OS_Username,Username,Terminal,Owner,Obj_Name,Action_Name, DECODE(Returncode,’ 0’ ,’ S uccess’ ,Returncode), TO_CHAR(Timestamp,’ DDMONYYYYY HH24:MI:SS’ ) FROM DBA_AUDIT_OBJECT。 其中： OS_Username：操作系統(tǒng)帳戶 Username：帳戶名 Terminal ：所用的終端 ID Action_name：操作碼 Owner：對象擁有者 Obj_Name：對象名 Returncode：返回代碼。若是 0，則連接成功；否則就報(bào)告一個錯誤數(shù)值。 Timestamp：登錄時間 對象審計(jì) 除了系統(tǒng)級的對象操作外，還可以審計(jì)對象的數(shù)據(jù)處理操作。這些操作可能包括 對表的選擇、插入、更新和刪除操作。這種操作類型的審計(jì)方式與操作審計(jì)非常 相似。 語法格式： AUDIT {object_opt∣ ALL} ON {[schema.]object∣ DIRECTORY directory_name∣ DEFAULT} [BY SESSION∣ ACCESS] [WHENEVER [NOT] SUCCESSFUL] 其中： object_opt：指定審計(jì)操作。表 。 ALL：指定所有對象類型的對象選項(xiàng)。 schema：包含審計(jì)對象的方案。若忽略 schema，則對象在你自己的模式中。 object：標(biāo)識審計(jì)對象。對象必須是表、視圖、序列、存儲過程、函數(shù)、包、快照或庫， 也可是它們的同義詞。 ON DEFAULT：缺省審計(jì)選項(xiàng)，以后創(chuàng)建的任何對象都自動用這些選項(xiàng)審計(jì)。用于視圖的 缺省審計(jì)選項(xiàng)總是視圖基表的審計(jì)選項(xiàng)的聯(lián)合。 ON DIRECTORY directory_name：審計(jì)的目錄名。 BY SESSION： Oracle在同一會話中對在同一對象上的同一類型的全部操作寫單個記錄。 BY ACCESS： O對每個被審計(jì)的操作寫一個記錄。 WHENEVER SUCCESSFUL：只審計(jì)完全成功的 SQL語句。 對象審計(jì) 表 對象審計(jì) 【例 】 對 XS表的所有 INSERT命令進(jìn)行審計(jì)；對 XS_KC表的每個命令都要 進(jìn)行審計(jì)；對 KC表的 DELETE命令都要進(jìn)行審計(jì)。 AUDIT INSERT ON 。 AUDIT ALL ON 。 AUDIT DELETE ON 。 通過對 DBA_AUDIT_OBJECT視圖進(jìn)行查詢，就可以看到最終的審計(jì)記錄。 權(quán)限審計(jì) 權(quán)限審計(jì)表示只審計(jì)某一個系統(tǒng)權(quán)限的使用狀況。既可以審計(jì)某個用戶所使用的 系統(tǒng)權(quán)限，也可以審計(jì)所有用戶使用的系統(tǒng)權(quán)限。 【例 】 分別對 nick和 admin用戶進(jìn)行系統(tǒng)權(quán)限級別的審計(jì)。 SQLaudit delete any table whenever not successful。 SQLaudit create table whenever not successful。 SQLaudit alter any table,alter any procedure by nick by access Whenever not successful。 SQLaudit create user by admin whenever not successful。 權(quán)限審計(jì) 通過查詢數(shù)據(jù)字典 DBA_PRIV_AUDIT_OPTS（必須以 sys用戶連接數(shù)據(jù)庫進(jìn)行 查詢），可以了解對哪些用戶進(jìn)行了權(quán)限審計(jì)及審計(jì)的選項(xiàng)。 SQLSELECT USER_NAME,PRIVILEGE,SUCCESS,FAILURE 2 FROM DBA_PRIV_AUDIT_OPTS ORDER BY USER_NAME。 USER_NAME PRIVILEGE SUCCESS FAILURE ADMIN ALTER ANY TABLE NOT SET BY ACCESS ADMIN ALTER ANY PROCEDURE NOT SET BY ACCESS NICK CREATE USER NOT SET BY ACCESS CREATE TABLE NOT SET BY ACCESS DELETE ANY TABLE NOT SET BY SESSION 演講完畢，謝謝觀看！