【正文】 SQLSELECT USER_NAME,PRIVILEGE,SUCCESS,FAILURE 2 FROM DBA_PRIV_AUDIT_OPTS ORDER BY USER_NAME。 SQLaudit create user by admin whenever not successful。 SQLaudit create table whenever not successful。 【例 】 分別對(duì) nick和 admin用戶進(jìn)行系統(tǒng)權(quán)限級(jí)別的審計(jì)。 權(quán)限審計(jì) 權(quán)限審計(jì)表示只審計(jì)某一個(gè)系統(tǒng)權(quán)限的使用狀況。 AUDIT DELETE ON 。 AUDIT INSERT ON 。 WHENEVER SUCCESSFUL：只審計(jì)完全成功的 SQL語(yǔ)句。 BY SESSION： Oracle在同一會(huì)話中對(duì)在同一對(duì)象上的同一類(lèi)型的全部操作寫(xiě)單個(gè)記錄。用于視圖的 缺省審計(jì)選項(xiàng)總是視圖基表的審計(jì)選項(xiàng)的聯(lián)合。對(duì)象必須是表、視圖、序列、存儲(chǔ)過(guò)程、函數(shù)、包、快照或庫(kù)， 也可是它們的同義詞。若忽略 schema，則對(duì)象在你自己的模式中。 ALL：指定所有對(duì)象類(lèi)型的對(duì)象選項(xiàng)。 語(yǔ)法格式： AUDIT {object_opt∣ ALL} ON {[schema.]object∣ DIRECTORY directory_name∣ DEFAULT} [BY SESSION∣ ACCESS] [WHENEVER [NOT] SUCCESSFUL] 其中： object_opt：指定審計(jì)操作。這些操作可能包括 對(duì)表的選擇、插入、更新和刪除操作。若是 0，則連接成功；否則就報(bào)告一個(gè)錯(cuò)誤數(shù)值。例如： SELECT OS_Username,Username,Terminal,Owner,Obj_Name,Action_Name, DECODE(Returncode,’ 0’ ,’ S uccess’ ,Returncode), TO_CHAR(Timestamp,’ DDMONYYYYY HH24:MI:SS’ ) FROM DBA_AUDIT_OBJECT。例如： SELECT Action, Name FROM AUDIT_ACTIONS。 若要禁止這個(gè)設(shè)置值，可輸入命令： NOAUDIT ROLE。 AUDIT UPDATE TABLE BY HR。 BY ACCESS：每個(gè)被審計(jì)的語(yǔ)句寫(xiě)一個(gè)記錄。 n 表示可同時(shí)指定多個(gè)用戶。 BY user,…n ：指定審計(jì)的用戶。 system_priv：指定審計(jì)的系統(tǒng)權(quán)限。審計(jì)記錄 被寫(xiě)入審計(jì)跟蹤 (audit trail)，審計(jì)跟蹤包含審計(jì)記錄的數(shù)據(jù)庫(kù)表。 語(yǔ)法格式： AUDIT {statement_opt∣ system_priv} [BY user,…n] [BY {SESSION∣ ACCESS}] [WHENEVER [NOT] SUCCESSFUL] 說(shuō)明： statement_opt：審計(jì)操作。 (5) Timestamp：登錄時(shí)間 (6) Logoff_time：注銷(xiāo)的時(shí)間 操作審計(jì) 對(duì)表、數(shù)據(jù)庫(kù)鏈接、表空間、同義詞、回滾段、用戶或索引等數(shù)據(jù)庫(kù)對(duì)象的任何 操作都可被審計(jì)。這兩個(gè)錯(cuò)誤代碼覆蓋了經(jīng)常發(fā)生的登錄錯(cuò)誤。 (1) OS_Username：使用的操作系統(tǒng)帳戶 (2) Username： Oracle帳戶名 (3) Terminal ：使用的終端 ID (4) Returncode：如果為 0，連接成功；否則就檢查兩個(gè)常用錯(cuò)誤號(hào)，確定失敗的原因。 登錄審計(jì) 數(shù)據(jù)庫(kù)的審計(jì)記錄存放在 SYS方案中的 AUD$表中，可以通過(guò) DBA_AUDIT_SESSION數(shù)據(jù)字典 視圖來(lái)查看 $。 第一條命令開(kāi)啟連接數(shù)據(jù)庫(kù)審計(jì)，第二條只是審計(jì)成功的連接圖，第三條只是審 計(jì)的連接失敗。 (3) AUDIT SESSION WHENEVER NOT SUCCESSFUL。 圖 登錄審計(jì) 用戶連接數(shù)據(jù)庫(kù)的操作過(guò)程稱(chēng)為登錄，登錄審計(jì)用下列命名： (1) AUDIT SESSION。 圖 Oracle企業(yè)管理器 圖 審計(jì)啟用 (2) 在如圖 ，在“過(guò)濾”文本框輸入審計(jì)參數(shù) audit_trail，單擊“開(kāi)始”按 鈕，出現(xiàn)如圖 。該界面有兩個(gè)選項(xiàng)界面：當(dāng)前和 Spfile界面。在初始狀態(tài)下， Oracle對(duì)于審計(jì)是關(guān)閉 的，因此必須手動(dòng)開(kāi)啟審計(jì)。 注意，在 PL/SQL程序單元中的 SQL語(yǔ)句是單獨(dú)審計(jì)的。 管理員可以啟用和禁用審計(jì)信息記錄，但是，只有安全管理員才能夠?qū)τ涗? 審計(jì)信息進(jìn)行管理。審計(jì)跟蹤 記錄包含不同類(lèi)型的信息，主要依賴(lài)于所審計(jì)的事件和審計(jì)選項(xiàng)設(shè)置。審計(jì)記錄包括被審計(jì)的操作、 執(zhí)行操作的用戶、操作的時(shí)間等信息。審計(jì)操作類(lèi)型包括登錄企圖、對(duì)象訪問(wèn)和數(shù)據(jù)庫(kù) 操作。 (21) USER_ TAB_PRIVS：當(dāng)前用戶是其被授予者的所有對(duì)象的授權(quán)。 (19) DBA_TAB_PRIVS：數(shù)據(jù)庫(kù)中所用對(duì)象的權(quán)限。 (17) DBA_COL_PRIVS視圖：數(shù)據(jù)庫(kù)中所有的列對(duì)象的授權(quán)。 (15) SESSION_PRIVS視圖：用戶當(dāng)前啟用的權(quán)限。 (13) DBA_SYS_PRIVS視圖：授予用戶或者角色的系統(tǒng)權(quán)限。 SELECT * FROM DBA_ROLE_PRIVS。 GRANT CREATE ANY TABLE, EXECUTE ANY PROCEDURE, SELECT ANY TABLE TO PRIVS_TEST。然后使用 SELECT * FROM DBA_ROLE_PRIVS語(yǔ)句，看有什么結(jié)果。 (部分 )結(jié)果： GRANTEE GRANTED_ROLE ADM DEF ADMIN CONNECT NO YES ADMIN DBA NO YES … … … … DBA RESOURCE NO YES DBA DELETE_CATALOG_ROLE YES YES DBA EXECUTE_CATALOG_ROLE YES YES DBA EXP_FULL_DATABASE NO YES DBA IMP_FULL_DATABASE NO YES … … … … 這里，顯示的是所有用戶 (或角色 )的信息。 (11) DBA_ROLE_PRIVS視圖：授予給用戶 (或角色 )的角色，也就是用戶 (或角色 ) 與角色之間的授予關(guān)系。 (9) DBA_ROLES視圖：當(dāng)前數(shù)據(jù)庫(kù)中存在的所有角色。 (7) V$SESSION視圖：每個(gè)當(dāng)前會(huì)話的會(huì)話信息。 (5) USER_PASSWORD_LIMITS視圖：分配給該用戶的口令配置文件參數(shù)。 (3)USER_USERS視圖：當(dāng)前正在使用數(shù)據(jù)庫(kù)的用戶信息。 執(zhí)行結(jié)果如圖 。 數(shù)據(jù)字典視圖 (1) ALL_USERS視圖：當(dāng)前用戶可以看見(jiàn)的所有用戶。 為過(guò)期口令設(shè)定寬限期為 10， 10過(guò)后還未修改口令，帳戶就會(huì)過(guò)期。 【例 】 設(shè)置 PASSWORD_GRACE_TIME為 10天。 命令修改了 LIMITED_PROFILE概要文件， PASSWORD_LIFE_TIME設(shè)為 10， 因此使用這個(gè)概要文件的用戶在 10天后就會(huì)過(guò)期。 管理概要文件 【例 】 強(qiáng)制 LIMITED_PROFILE概要文件的用戶每 10天改變一次口令。 ALTER PROFILE語(yǔ)句中的關(guān)鍵字和參數(shù)與 CREATE PROFILE語(yǔ)句相同，請(qǐng)參照 CREATE PROFILE的語(yǔ)法說(shuō)明。 圖 管理概要文件 1. 利用 OEM管理概要文件 (3) 刪除概要文件 按照如下步驟即可刪除指定的概要文件：在如圖 概要文件，單擊“刪除”按鈕，在出現(xiàn)的確認(rèn)界面中選擇“是”，就可以把指定的概 要文件從當(dāng)前數(shù)據(jù)庫(kù)中刪除。從“概要文件”下拉列表中選擇將要分配的概要文件，單擊“應(yīng) 用”按鈕，完成為某個(gè)用戶分配概要文件的操作。 管理概要文件 1. 利用 OEM管理概要文件 (1) 為用戶分配概要文件 如圖 ， 單擊“用戶”，進(jìn)入“用戶搜索”界面，如圖 。 若一個(gè)帳戶由于多次連接失敗而被鎖定，當(dāng)超過(guò)其概要文件的 PASSWORD_LOCK_TIME值時(shí)將自動(dòng)解鎖。 如果連續(xù) 5次與 AUTHOR帳戶的連接失敗，該帳戶將自動(dòng)由 Oracle鎖定。 CREATE PROFILE LIMITED_PROFILE LIMIT FAILED_LOGIN_ATTEMPTS 5 PASSWORD_LOCK_TIME 10。 */ [ PASSWORD_LOOK_TIME expression∣ UNLIMITED∣ DEFAULT ] /*指定次數(shù)的登錄失敗而引起的帳戶封鎖的天數(shù) */ [ PASSWORD_GRACE_TIME expression∣ UNLIMITED∣ DEFAULT ] /*在登錄依然被允許但已開(kāi)始發(fā)出警告之后的天數(shù) */ [ PASSWORD_VERIFY_FUNCTION function∣ NULL∣ DEFAULT ] /*允許 PL/SQL的口令校驗(yàn)?zāi)_本作為 CREATE PROFILE語(yǔ)句的參數(shù) */ /* function口令復(fù)雜性校驗(yàn)程序的名字。可以使用 K或 M來(lái)表示千字節(jié)或兆字節(jié) */ 創(chuàng)建概要文件 2. 使用 CREATE PROFILE命令創(chuàng)建概要文件 (2) password_parameters的表達(dá)式 [ FAILED_LOGIN__ATTEMPTS expression∣ UNLIMITED∣ DEFAULT ] /*在鎖定用戶帳戶之前登錄用戶帳戶的失敗次數(shù)。 ③ password_parameters：口令參數(shù)。 創(chuàng)建概要文件 2. 使用 CREATE PROFILE命令創(chuàng)建概要文件 語(yǔ)法格式： CREATE PROFILE LIMIT profile_name resource_parameters∣ password_parameters 說(shuō)明： ① profile_name：將要?jiǎng)?chuàng)建的概要文件的名稱(chēng)。 單擊“確定”按鈕，系統(tǒng)創(chuàng)建概要文件。 若選擇“登錄失敗后鎖定帳戶” 復(fù)選框，則可以設(shè)置限定用戶在登錄幾次失敗后將無(wú)法使用 該帳戶；在登錄失敗達(dá)到指定次數(shù)后，指定該帳戶將被鎖定的天數(shù)。 若選擇“啟用口令復(fù)雜性函數(shù)” 復(fù)選框，則可以強(qiáng)制用戶的口令符合復(fù)雜度標(biāo)準(zhǔn)。檢驗(yàn)口令的例行程序必須歸 SYS所有。 PL/SQL例行程序必須在本地使用，才能在應(yīng)用該概要文件的數(shù)據(jù)庫(kù)上執(zhí)行。 保留天數(shù)：限定口令失效后經(jīng)過(guò)多少天才可以重新使用。 ? 對(duì)于“歷史記錄”選項(xiàng)，設(shè)置如何保留。 有效期：多少天后口令失效。在該界面可以設(shè)置帳戶口令各種參數(shù)。 創(chuàng)建概要文件 (2) 口令選項(xiàng)頁(yè)面。 值：在現(xiàn)有值中選擇一個(gè)。它包括會(huì)話占用 CPU的時(shí)間、連接時(shí)間、會(huì)話中的讀取 數(shù)和分配的專(zhuān)用 SGA空間量 Default：使用 DEFAULT概要文件中為該資源指定的限值。專(zhuān) 用 SGA的限值只在使用多線程服務(wù)器體系結(jié)構(gòu)的情況下適用。 讀取數(shù) /調(diào)用：一個(gè)調(diào)用在處理一個(gè) PL/SQL語(yǔ)句時(shí)讀取數(shù)據(jù)塊的最大數(shù)量。 讀取數(shù) /會(huì)話：一個(gè)會(huì)話讀取的數(shù)據(jù)塊總量。長(zhǎng)時(shí)間運(yùn)行的查詢和其他操作不受此限值的約束。 空閑時(shí)間：一個(gè)會(huì)話處于空閑狀態(tài)的時(shí)間最大值 (以分鐘為單位 )。 CPU/