使用触发器实现对Oracleii的细粒度审计.docVIP

使用触发器?实现对Or?acle 8i/9i的细粒?度审计 摘要 ??? 对于Ora?cle 8i/9i来说，自带的审计?手段只能捕?获到“谁”执行此操作?，而不能捕获?执行了“什么”，审计的内容?无法显示数?据的变化情?况，很难满足细?粒度审计的?要求。 所以目前来?讲，在特定的位?置配置相应?的触发器用?来记录和跟?踪数据前后?的变化，成为在这两?个版本的O?racle?数据库中做?到细粒度审?计的唯一可?靠的方法。 ??? 本文介绍了?使用触发器?的基本的思?路，以及几种典?型的触发器?，如对DDL?，DML操作?和其他的几?种触发器的?编写。从技术和实?践的角度阐?述了此种审?计手段的功?能和可行性?。 Audit?ing Oracl?e 8i/9i in Parti?cular? by Trigg?erNetwo?rk Secur?ity Divis?ion??? Neuso?ft Co., Ltd. Summa?ry??? In the Oracl?e 8i/9i, some commo?n audit? metho?ds can only log that who have done which? opera?tion in a table?. For examp?le ,the admin?istra?tor can find that a user calle?d hacke?r had done some updat?e in a impor?tant table? boss, but nothi?ng was logge?d about? what the data had been chang?ed to.? ??? So we can make some trigg?er in the syste?m ,which? works? as a logge?r,they can recor?d the chang?es in parti?cular?. This artic?le is about? what the trigg?er is, how to write? a trigg?er and how it works?. 关键词：??? ORACL?E数据库，触发器，审计；??? ORACL?E ，trigg?er ，audit?. 1.绪论 ??? Oracl?e是以高级?结构化查询?语言(SQL)为基础的大?型关系型数?据库，是目前最流?行的客户/服务器体系?结构的数据?库之一。以其良好的?性能和稳定?的表现，成为市场占?有率最高的?大型数据库?产品。 ??? 随着Ora?cle广泛?的应用，用户对数据?库中数据保?护和操作监?控的意识逐?渐增强，越来越多的?用户提出了?更高的安全?方面的要求?。Oracl?e也一直在?加强数 据库产品在?审计和日志?记录方面的?能力，如在8i之?后，加入了对归?档日志的分?析工具—logmi?ner，在9i中加?入了FGA?（细粒度审计?）的模块，最终在 Oracl?e 10g产品?中实现了对?整体数据的?详细审计功?能。虽然如此，在Orac?le 8i/9i的审计?功能还不是?很完善，本文介绍了?如何在上述?版本的Or?acle产?品中实现对?数据的及时?和详尽的审?计跟踪和日?志记录。 1.1.Oracl?e 8i/9i的日志?和审计功能? 1.1.1.?logmi?ner分析?工具 ??? Oracl?e自身具有?很多的日志?，如监听器的?日志、管理员登陆?的日志、每次启动的?配置日志和?错误日志等?等，分别存放在?不同文件夹?内。而对于数据?的更改和数?据定义等操?作的记录，Oracl?e提供了一?个强大的日?志分析工具?logmi?ner。[1] ??? logmi?ner是O?racle?在8i之后?推出的一个?对数据库的?归档文件的?分析器。归档文件记?录了Ora?cle所有?的数据变化?的情况，只有在数据?库工作在 归档模式（archi?ve）下的时候才?会生成，而默认Or?acle是?在非归档（noarc?hive）模式下的。工作在归档?模式的好处?是，只要有相应?的归档 文件，就可以把数?据恢复到任?意时刻的状?态。logmi?ner就是?对这些归档?文件进行分?析，就可以得到?数据在过去?时间的所有?的更改情况?。 ??? logmi?ner分析?之后会得到?一张表v$logmn?r_con?tents?，记录了详尽?信息，可以使用S?QL语句进?行查询。如查询某段?时间里，特定的表的? 数据有那些?变化等。使用log?miner?工具分析的?过程比较复?杂，8i与9i?之间也有一?些细节上的?差别。对具体的配?置和