「Oracle Database10g アクティビティの監査」の版間の差分

Oracle Database10g アクティビティの監査

[[Oracle][Oracle Database10g]]

提供される監査

以下の3つの監査が提供されている

1. データベース監査
2. 値ベース監査
3. ファイングレイン監査(FGA)

データベース監査

• 監査対象のイベントに関して、発生したイベント、時間、発生させたユーザー、クライアントマシンなどの情報を取得できる

AUDIT_TRAILで監査を使用可能にする

• http://otndnld.oracle.co.jp/document/products/oracle10g/102/doc_cd/network.102/B19269-04/auditing.htm#115334

AUDIT_TRAIL = { none | os | db | db,extended | xml | xml,extended } 

• オプション指定(os, xml, xml,extendedにより、ファイルに書き出される場合、AUDIT_FILE_DESTに書き出される。

<blockquote>SQLBINDおよびSQLTEXTには、データベース初期化ファイルinit.oraでAUDIT_TRAIL=DB_EXTENDEDを指定しないかぎりデータは移入されません。 これは、CLOBデータの移入が比較的高コストであるためです。 </blockquote>

AUDIT_TRAILを変更

SQL> alter system set audit_trail = db scope=spfile;

System altered.

データベースを再起動し、確認

SQL> show parameters audit_

NAME                                 TYPE        VALUE
------------------------------------ ----------- ------------------------------
audit_file_dest                      string      /opt/oracle/app/admin/oradb1/a
                                                 dump
audit_sys_operations                 boolean     FALSE
audit_syslog_level                   string
audit_trail                          string      DB

AUDITで監査を開始する

• 後続のユーザー・セッションでのSQL文の実行の監査。特定のSQL文、または特定のシステム権限によって許可されたすべてのSQL文の実行を監査できます。SQL文操作の監査は、後続セッションにのみ適用され、現行のセッションには適用されません。
• 特定のスキーマ・オブジェクトに対する操作の監査。スキーマ・オブジェクト操作の監査は、後続のセッションと同様に、現行のセッションにも適用されます。

SQL> audit all by access;

Audit succeeded.

確認

値ベース監査

• 値ベース監査は、データベースの監査を拡張したもので、監査対象のイベントだけでなく、実際の値も取得する。
• データベーストリガーを使用して実装
• 値の変更のたびに監査トリガーが実行されるため、データベースへの負荷が高くなることによるパフォーマンスの劣化に注意する

• 自律型トリガーの使用

監査対象のテーブル

SQL> desc exam.test
 Name                                      Null?    Type
 ----------------------------------------- -------- ----------------------------
 ID                                                 NUMBER
 NAME                                               CHAR(10)

監査情報格納テーブルの作成

SQL> create table system.test_audit ( test_id number, up_date date,
  2                             new_name char(10), old_name char(10) );

Table created.

トリガーの作成

SQL> create or replace trigger system.audit_test
  2     before update of name on exam.test for each row
  3  declare 
  4     pragma autonomous_transaction;
  5  begin
  6     insert into system.test_audit values( :old.id, sysdate,
  7                                             :new.name, :old.name );
  8     commit;
  9  end;
 10  /

1行更新

SQL> update test set name = 'AAAAA' where id = 4;

1行が更新されました。

監査テーブルが更新された

SQL> select * from system.test_audit;

   TEST_ID UP_DATE  NEW_NAME   OLD_NAME
---------- -------- ---------- ----------
         4 09-07-09 AAAAA      jkl

ファイングレイン監査(FGA)

• SQL分を監査するには、ファイングレイン監査を利用する
• データベース監査を拡張し、発生したアクションだけでなく、発行されたSQLも取得
• DBMS_FGAパッケージを使用して、対象となる表やビューに監査ポリシー(FGAポリシー)を作成
• 詳細な監査条件を指定することによって、標準監査よりも詳細な監査を実施でき、不適切な監査または不要な監査を最小限に抑えることができる
• 監査を使用可能にするときに、AUDIT_TRAILを設定する必要はなく、適切と思われるFGA方針を追加および削除して、監視する特定の操作またはオブジェクトに適用する
• FGAポリシーの作成には、DBMS_FGA.ADD_POLICYプロシージャを使用
• 監査レコードは、SYS.FGA_LOG$表に格納され、DBA_FGA_AUDIT_TRAILビューを介してアクセスできる

FGA_POLICYの作成

SQL> execute dbms_fga.add_policy ( -
> object_schema => 'exam',      -
> object_name => 'test',        -
> policy_name => 'chk_exam_test', -
> audit_condition => 'id > 0',          -
> audit_column => 'name',       -
> statement_types => 'insert,update,delete,select');

PL/SQL procedure successfully completed.

NULL監査条件

• audit_conditionにNULLを指定（または指定を省略）すると、この指定はTRUEとして解釈され、指定列（audit_column）に影響を与える指定アクション（statement_types）の監査が保証されます。

監査対象のテーブルを操作

SQL> conn exam/north123@oradb1;
接続されました。
SQL> select * from test
  2  ;

        ID NAME
---------- --------------------
         4 jkl
         3 ghi

SQL> insert into test values (5, 'mno');

1行が作成されました。

SQL> delete from test where id = 3;

1行が削除されました。

監査ログを確認

監査エントリを確認するデータディクショナリ

ALL_AUDIT_POLICIES

DBA_AUDIT_POLICIES