CATEGORII DOCUMENTE |
Auditarea consta in monitorizarea unor anumite tipuri de actiuni ale utilizatorilor bazei de date, fiind necesara investigarii activitatilor cu posibil impact negativ asupra bazei, cat si culegerii de informatii despre activitatile specifice bazei de date.
Auditarea trebuie sa acopere strict o serie de activitati ce sunt relevante pentru administrarea eficienta a bazei de date, fiind necesara stabilirea unui set minimal de politici de auditare care sa vina in intampinarea cerintelor de securitate si performanta ale bazei de date. Este necesar un astfel de compromis, deoarece auditarea intregii activitati a bazei de date poate duce la o supraincarcare a server-ului Oracle, cu implicatii negative asupra gestionarii eficiente a spatiului fizic al bazei de date, in conditiile in care nu toate inregistrarile generate in urma auditarii sunt necesare sau relevante pentru o buna administrare a bazei de date.
Auditarea se poate realiza la nivel de sesiune sau acces. De asemenea se poate decide ce anume se auditeaza:
utilizatori, declaratii sau utilizatori;
executia declaratiilor;
executia cu fara succes a diverselor operatii;
Se poate reduce generarea de inregistrari astfel:
Specificand anumiti utilizatori ce urmeaza a fi auditati.
realizarea auditarii dupa sesiune, nu dupa acces;
Auditand fie actiunile reusite, fie cele nereusite, dar nu ambele.
Sintaxa:
AUDIT
[ privilegiu sistem ] [,.]
[ declaratie
[ shortcut
[BY [utilizator[,.]]]
[BY [SESSION][ACCESS]]
[WHENEVER [NOT] SUCCESSFUL]
Privilegiu sistem: se auditeaza un privilegiu sistem sau o lista de privilegii sistem separate prin virgula.
Declaratie: se auditeaza o comanda sau o lista de comenzi separate prin virgula.
Shortcut: este un nume de scurtatura sau o lista de nume de scurtatura separate prin virgula. Scurtatura este un nume generic pentru o colectie de privilegii de sistem ce urmeaza a fi auditate, sau pentru o colectie de declaratii.
BY utilizator: identifica un utilizator sau o lista de utilizatori pe care va fi efectuata auditarea actiunilor alese. Toti utilizatorii vor fi auditati daca este omisa aceasta optiune.
BY SESSION/ACCESS: determina daca toate utilizarile unei actiuni auditate sunt insumate intr-o singura inregistrarea per sesiune (BY SESSION) sau daca o inregistrare separata va fi generata de fiecare data cand este efectuata actiunea (BY ACCESS). Optiunea implicita este BY SESSION.
WHENEVER [NOT] SUCCESFUL: determina daca sunt inregistrate numai incercarile reusite (SUCCESFUL) de a folosi actiunea auditata, sau cele nereusite (NOT SUCCESFUL). Daca este omisa optiunea WHENEVER toate actiunile reusite sau nereusite sunt auditate.
Informatiile de audit se cumuleaza in tabele SYS.AUD$ din schema utilizatorului SYS, spatiul-tabel SYSTEM, dar se poate opta pentru stocarea informatiilor la nivelul sistemului de operare. Trebuie avuta in vedere si verificat periodic dimensiunea spatiului disponibil informatiilor de audit. Daca tabela SYS.AUD$ devine plina, blocand spatiu-tabel SYSTEM intreaga baza de date va ingheta, nemaiputand efectua tranzactii. Pentru a evita astfel de probleme, se recomanda mutarea tabelei SYS.AUD$ din spatiul-tabel SYSTEM intr-un spatiu-tabel dedicat, astfel:
Se dezactiveaza optiunea de auditare a bazei de date.
Se muta efectiv tabela in alta locatie prin comanda:
ALTER TABLE SYS.AUD$ MOVE TABLESPACE nume_spatiu_tabel;
Se creaza indecsii necesari in functie de criteriile dupa care se va face valorificarea informatiilor inregistrate:
CREATE INDEX nume_index ON SYS.AUD$(sessionid, ses$tid)
TABLESPACE nume_spatiu_tabel;
Reactivarea optiunii de auditare.
Pornirea instantei: se inregistreaza detalii ca utilizatorul sistemului de operare ce porneste instanta, identificatorul de terminal al utilizatorului, data si ora la care a fost pornita instanta, daca auditul este activat sau dezactivat pentru instanta respectiva.
Oprirea instantei: se inregistreaza detalii ca utilizatorul sistemului de operare ce opreste instanta, identificatorul de terminal al utilizatorului, data si ora la care a fost pornita instanta.
Privilegiile administratorului: inregistreaza utilizatorul sistemului de operarea care se conecteaza la instanta Oracle si privilegiile acestuia.
Este activata de catre administratorul bazei de date.
Monitorizeaza si inregistreaza activitatile utilizatorilor bazei de date.
Nu poate monitoriza modificari la nivel de coloana.
monitorizarea modificarilor la nivelul unor coloane ale unor tabele mai sensibile ale bazei de date, se poate realiza prin folosirea unor trigger-I, proceduri stocate sau prin programe la nivelul clientului.
Pentru modificarea facilitatii de auditare se modifica parametrul AUDIT_TRAIL definit in fisierul de parametri de initializare a bazei.
Sintaxa este urmatoarea:
AUDIT_TRAIL= optiune
unde optiune poate avea una din valorile:
TRUE (sau DB) - activeaza facilitatea de auditare si inregistreaza informatiile de auditare la nivelul bazei de date, in tabela SYS.AUD
OS - activeaza facilitatea de auditare si inregistreaza informatiile de auditare la nivelul sistemului de operare;
FALSE (sau NONE) - dezactiveaza facilitatea de auditare;
In momentul in care se executa o operatie asupra bazei de date procesele server examineaza optiunile de auditare pentru a verifica daca genereaza inregistrari de audit pentru respectiva operatie.
In cazul in care nu se mai doreste realizarea auditarii unui anumit obiect se poate folosi comanda NOAUDIT .
Exemple:
Auditarea declaratii
AUDIT TABLE
Auditarea privilegii
AUDIT create any trigger;
Auditarea unui obiect
AUDIT DELECT ON sys.aud
Oprirea auditarea unui obiect
NO AUDIT DELECT ON sys.aud
O alta facilitate oferita este auditarea "fine-grained" care permite un control mai fin si punctual asupra unui utilizator, obiect sau a unei operatii.
Acesta se realizeaza prin folosirea pachetului DBMS_FGA si prin definirea de politici de auditare.
Obtinerea de informatii referitoarea la optiunile de auditare se poate obtine prin interogarea urmatoarelor vederi:
ALL_DEF_AUDIT_OPTS
DBA_STMT_AUDIT_OPTS
DBA_PRIV_AUDIT_OPTS
DBA_OBJ_AUDIT_OPTS
Obtinerea de informatii asupra inregistrarilor de audit se poate obtine prin interogarea urmatoarelor vederi:
DBA_AUDIT_TRAIL
DBA_AUDIT_EXISTS
DBA_AUDIT_OBJECT
DBA_AUDIT_SESSION
DBA_AUDIT_STATEMENT
Politica de confidentialitate | Termeni si conditii de utilizare |
Vizualizari: 2038
Importanta:
Termeni si conditii de utilizare | Contact
© SCRIGROUP 2024 . All rights reserved