Db2审计功能学习.docVIP

Db2审计功能学习 DB2 UDB 审计功能是 DBA 工具箱中一件重要的安全性工具。审计发生在实例级，这意味着一旦启动审计功能，它就会审计那个实例中所有数据库的活动。审计功能必须单独启动和停止。 图 1. DB2 UDB 架构中的 DB2 审计功能 启动审计功能后，生成的审计记录被写入到一个缓冲区，然后刷新到磁盘上的一个审计文件中。审计结束后，便可以将审计文件从它本地的原始格式转换成一种易读的文本文件。还可以将审计记录装载到 DB2 表中，以便于使用 SQL 查询数据和生成定制的报告。 db2audit 命令使用和配置 db2audit.cfg 文件存储审计功能的配置信息。只能使用 db2audit 命令行语法对它进行修改。 db2audit.log 文件在默认情况下并不存在，只有在生成了审计记录或者刷新了审计缓冲区的情况下，该文件才会出现 审计功能的配置主要有两个方面。一方面是设置缓冲区的大小，另一方面是配置所审计的事件的类型。 缓冲区的大小是由 AUDIT_BUF_SZ 这个数据库管理器配置参数决定的。该参数指定为审计缓冲分配的 4K 大小的页面的数量。 如果将缓冲区大小设置为 0，那么将发生同步写日志操作，而不使用审计缓冲区。在这种配置中，生成审计记录的事件必须等到记录被写到磁盘上，才能返回它的状态。由于对于每条记录都要进行这样的等待，DB2 的性能将有所降低。如果缓冲区的大小大于 0，那么审计记录是异步写的。也就是说，审计记录在被刷新到磁盘之前，是先存放在审计缓冲区中的。为了防止缓冲时间过长，DB2 定时强制地写审计记录。还可以使用 db2audit flush 命令手动地刷新审计缓冲区。在异步写日志的情况下，生成审计记录的事件无需等到审计记录被写到磁盘便可返回它的状态。 表 1. 可以审计的数据库事件类型 事件类型 描述 审计(AUDIT) 当审计设置被更改或者审计日志被访问时生成记录 权限检查(CHECKING) 在对访问或操作 DB2 对象或函数的尝试进行权限检查时生成记录 对象维护(OBJMAINT) 在创建或删除数据对象时生成记录 安全性维护(SECMAINT) 在授予或者撤销对象或数据库特权或 DBADM 权限时生成记录 当数据库管理器的安全性配置参数 SYSADM_GROUP、SYSCTRL_GROUP 或 SYSMAINT_GROUP 被修改时也会生成记录 系统管理(SYSADMIN) 当执行需要 SYSADM、SYSMAINT 或 SYSCTRL 权限的操作时生成记录 用户验证(VALIDATE) 当认证用户或检索系统安全性信息时生成记录 操作上下文(CONTEXT) 当执行数据库操作时，生成记录以便显示操作上下文 这样分类可以更好地解释审计记录。当与日志的事件相关符字段一起使用时，可以从一组事件跟踪回到一个数据库操作，该数据库操作可以提供分析审计结果所需的上下文。 db2audit 命令语法 例子：1.将审计功能配置成只记录失败的 AUDIT 和 VALIDATE 事件，并使用 NORMAL 错误处理选项。为此，发出以下 db2audit 命令： db2audit configure scope audit, validate status failure errortype normal 将审计功能配置成监视所有事件类型，同时记录成功的和失败的尝试，并且使用 AUDIT 错误处理选项db2audit configure scope all status both errortype audit 3.查看当前审计配置设置和状态，请使用以下 db2audit 命令 db2audit describe db2audit configure reset 如果初始的审计配置文件已丢失或被毁坏，则该命令还创建一个新的审计配置文件。 db2audit start/stop 二.导出审计记录 db2audit.log 文件中的审计记录是以一种原始格式存储的。 db2audit.log 文件提取审计记录之前，发出以下命令将缓冲区中的所有审计记录刷新到磁盘： db2audit flush db2audit.log 文件中将记录提取到一个文本文件，发出以下 db2audit 命令：db2audit extract file c:\temp\audit_01_22_2006.aud from files /home/* ********其中 c:\temp\audit_01_22_2006.aud 是所需的输出文件的文件名的路径。如果不指定一个文件名，那么这些记录将被写入到 $INSTHOME/sqllib 的 security 子目录中的 db2audit.out 文件