|
现实问题的细粒度审计,第 3 部分 现在您已经掌握了各种环境中的 FGA,下面您将了解到它如何能够在 Oracle Database 10g 中起到更大的作用 在本系列的前两个部分中,我向您介绍了细粒度审计 (FGA) 的概念,它用来在 Oracle9i Database 和更高版本中跟踪选定的语句。我还说明了如何在复杂的环境中(比如说在一个 Web 应用程序内部)通过应用程序上下文和客户端标识符来使用这个特性。这两篇文章为您提供了足够的信息,使您可以为几乎所有类型的数据库系统(无论它有多复杂)构建一个 FGA 设置程序。在这个第三部分,同时也是最后一部分中,我将说明 Oracle Database 10g 为表带来的 FGA 增强。 Oracle9i Database 中的 FGA 让我们简要地重述一下 FGA 的好处。关于完整的讨论,请参考本系列的第 1 部分和第 2 部分。 正规审计(通过 AUDIT 语句)记录使用的语句 — 如 SELECT 或 INSERT — 以及谁发出它、从哪一个终端、什么时候等等。然而,信息最重要的部分 — 哪条特定记录被修改了,以及数据本身的变化 — 没有捕获到。相反,许多用户编写触发器来捕获变化前后的数据值,并把它们记录在用户自定义的表中。但因为触发器只可能在 DML 语句(如 insert、update 和 delete)上使用,所以访问的一个主要的方面 — SELECT 语句 — 不能通过这种途径来审计。 因此 FGA 的价值在于:它只捕获 SELECT 语句。与触发器和 Log Miner 工具一起,FGA 提供了一种机制来审计各种类型的值修改和不涉及到修改的数据访问。 FGA 不仅填补了审计 SELECT 语句的空白,而且还提供了其它的一些引人注目的额外好处,这些好处使得数据库管理员的工作变得更加轻松。例如,FGA 允许一个用户自定义的过程在指定的审计条件出现的时候执行,因此您可以认为它是 SELECT 语句上的一个触发器 — 这是一个在其它方式下没有提供的功能。这个技巧可能非常有用 — 例如,任何时候当有人选择了收入超过 1 百万美元的员工的工资记录时,发送一封邮件给一个安全审计员,以在用户自定义的表中生成审计记录,这些表可以不受限制地进行处理(这与 SYS 拥有的 FGA_LOG$ 表不同);利用审计线索识别数据访问类型,以找出最可能的索引机制等等。 由于这些及其它的原因,FGA 成为数据库管理员工具箱中最重要的工具之一。不过,在 Oracle9i Database 中,它缺少一个重要的特性:在 SELECT 语句之外的语句上使用。 所有类型的 DML 在 Oracle Database 10g 中,FGA 已变得很完善 — 它可以审计所有类型的 DML 语句,而不只是 SELECT。 让我们看一个例子。在本系列的第 1 部分中,我介绍了一个名称为 ACCOUNTS 的表。在那个表上定义的 FGA 策略为:
begin dbms_fga.add_policy ( object_schema => 'BANK', object_name => 'ACCOUNTS', policy_name => 'ACCOUNTS_ACCESS', audit_column => 'BALANCE', audit_condition => 'BALANCE >= 11000' ); end;
在 Oracle 9i Database 下,这个策略只能审计 SELECT 语句。然而,在 Oracle Database 10g 中,您可以扩展它,使它包含 INSERT、UPDATE 和 DELETE。您可以通过指定一个新的参数来实现这个目的:
statement_types => 'INSERT, UPDATE, DELETE, SELECT'
这个参数将在所有包括的语句类型上启用审计。您甚至可能考虑为每种语句类型创建单独的策略,这将允许您随意地启用和禁用策略 — 尤其是,控制审计线索的创建,以管理它们占用的空间。不过,statement_type 参数默认情况下只审计 SELECT 语句。 在策略中添加新的参数之后,发出以下语句:
update accounts set balance = 1200 where balance >= 3000;
这将使一条记录插入到 FGA_LOG$ 表中。注意这条记录是由一个自动事务插入的;即使您回滚 update 语句,这条记录也将存在。您可以从另一个会话来检查线索是否存在。
select lsqltext from fga_log$; LSQLTEXT -------------------------------------------------------- update accounts set balance = 3100 where balance >= 3000
该行还包括其它所有的相关详细信息(如表名称、策略名称和事务 ID)。 与触发器方法相比较 那么 FGA 能做什么原来的基于触发器的方法不能做的事情? 在 Oracle Database 10g 之前,DML 语句审计是在一个触发器中进行的,类似于以下方式(注意:这不是真实的代码,只是一个代表性的示例):
CREATE TRIGGER XXXXX ON Table AFTER INSERT OR UPDATE OR DELETE FOR EACH ROW BEGIN INSERT INTO AUDIT_LOG Old Value, New Value, Time ..... END
触发器捕获旧的值和新的值,并填充 AUDIT_LOG 表。如果需要,还可以将它变为自动事务。最大的问题是触发器是对每行触发的,而不是每条语句一次。例如,以下语句:
update accounts set balance = 1200 where balance >= 3000;
对全部 10,000 条记录触发,在审计表中插入 10,000 行。这种方法可能严重地损害 update 语句的性能,甚至可能因审计线索中的空间问题而导致失败。使用语句触发器也无济于事,因为它不能捕获个别记录的任何新的或旧的值。比较而言,在 FGA 方法中,只创建一条记录,并且插入只在每条语句上执行一次,而不是每行一次 — 即使有的话,对性能的影响也很小。 在 FGA 中,您可以指定相关的列来限定审计线索仅在这些列被访问时才创建。在触发器中,通过使用触发器定义的 WHERE,这种功能也可以实现。不过,其中存在一个非常重要的差异 — 在触发器中,只有当列被修改时(而不是被访问时)才检查它们。在 FGA 中,无论何时列被访问(无论它们被修改与否),审计就开始。这个特性使得 FGA 比触发器具有更多的功能。 另一个优点是 FGA 工具的适用性。有时,在一个视图上定义的 INSTEAD OF 触发器在基表上更新视图;另一个 INSTEAD OF 触发器不能捕获由其它的触发器所作的修改,因此这些修改不能被记录。然而,FGA 是建立在视图或表的基础上的,它能够捕获变化,而不论变化来自哪里 — 用户语句或触发器。 那么,是否存在触发器比 FGA 更好的情况呢?可能有两种情况:
在变化期间 FGA 的行为 数据始终在变化,因此它有可能变得适用于审计条件 — 虽然之前它不适用于审计条件,反之亦然。这个问题带来了一些关于 FGA 在不同情况下的行为的有趣问题。考虑我们的例子,其中在 UPDATE 上已经定义了 FGA 策略,条件为 BALANCE >= 3000,审计列是 BALANCE。 第 1 种情况 之前:BALANCE = 1000 用户发出:
update accounts set balance = 1200 where ACCOUNT_NO = ....
旧的和新的 balance 都小于 3,000,审计条件不满足;因此这条语句将不会被审计。 第 2 种情况 之前:BALANCE = 1000 用户发出:
update accounts set balance = 3200 where ACCOUNT_NO = ....
新的 balance 大于 3,000,审计条件满足;因此这条语句将 会被审计。 第 3 种情况 之前:BALANCE = 3200 用户发出:
update accounts set balance = 1200 where ACCOUNT_NO = ....
新的 balance 小于 3,000,但旧的 balance 大于 3,000。因此审计条件满足,这条语句将被审计。 第 4 种情况 用户插入一行,其中有 BALANCE < 3000。
insert into accounts values (9999,1200,'X');
因为 balance 1,200 不满足审计条件,所以这条语句不被审计。如果 balance 列大于或等于 3,000,它将被审计。 第 5 种情况 用户插入一行,其中 balance 的值为空。
insert into accounts (account_no, status) values (9997, 'X');
因为 balance 为空,该列没有任何默认值,所以审计条件不满足(比较 NULL >= 3000 结果为 FALSE),这条语句不会被审计。重要注意事项:假设该列有一个大于 3,000 的默认值时,这条语句仍然不会被审计,即使插入行的 balance 列值大于 3000。 所有相关的列? 考虑在表 ACCOUNTS 上定义的一个策略,如下:
begin dbms_fga.add_policy ( object_schema => 'ANANDA', object_name => 'ACCOUNTS', policy_name => 'ACCOUNTS_SEL', audit_column => 'ACCOUNT_NO, BALANCE', audit_condition => 'BALANCE >= 3000', statement_types => 'SELECT' ); end;
您可以看到,策略是在 ACCOUNT_NO 和 BALANCE 上定义的。假定帐户 9995 的余额是 3,200,如果用户发出以下语句:
select balance from accounts where account_no = 9995;
这条语句将被审计,因为 balance 列被选中,且余额为 3,200,大于 3,000,满足审计条件。不管这三个列中哪一个被选中,都将触发审计。 在某些情况下,列的组合可能很重要,而不是某个特定的列。例如,如果一个用户想查出在银行的总余额,她发出:
select sum(balance) from accounts;
这条查询几乎没什么害处;它不明确指出帐户所有者和帐户余额。Acme Bank 安全策略可能不会要求审计这条查询。不过,这条查询
select balance from accounts where account_no = 9995
必须被审计;因为它明确地指定了一个帐户。默认地,所有语句都被审计(无论使用了什么样的列组合)。这将创建大量不需要的审计线索项目,并可能带来一些空间限制问题。为了限制它们,您可以指定仅当在查询中使用了希望的列组合时才开始审计。当定义策略时,您可以使用一个新的参数:
audit_column_opts => DBMS_FGA.ALL_COLUMNS
这个参数将使策略仅当列 ACCOUNT_NO 和 BALANCE 在查询中都被访问时才创建审计线索项目。例如,以下查询将产生一个审计线索项目。
select account_no, balance from accounts;
但这条查询不会产生审计线索项目。
select account_no from accounts;
使用这个参数将把审计的数量限制在一个更易管理的大小。如果希望采用默认的行为 — 即任意列被选中时都进行审计,那么您可以对同一参数的使用不同值。
audit_column_opts => DBMS_FGA.ANY_COLUMNS
捕获赋值变量 利用 Oracle Database 10g,其它的有用信息(如在查询中使用的赋值变量的值)可以写到常规的审计线索中。您可以通过设置初始化参数来执行这项任务
audit_trail = DB_EXTENDED
在 FGA 审计线索中,获取赋值变量的值可能有意义也可能没意义。如果您想要停止记录这些值,您可以在 add_policy() 过程中使用另一个参数,如下:
audit_trail => DB
默认情况下,捕获赋值变量,这个参数的值为 DB_EXTENDED。 全部综合在一起 现在您已经了解了 Oracle Database 10g 中的几个新的 FGA 参数,下面让我们看看策略创建脚本的声明现在是什么样子。 下面我们定义对应四种语句类型的四种不同的策略。SELECT 语句的策略显示如下,这里我们选择了不记录赋值变量的值,并仅当列 ACCOUNT_NO 和 BALANCE 在查询中都被使用时才触发审计。
begin dbms_fga.add_policy ( object_schema => 'ANANDA', object_name => 'ACCOUNTS', policy_name => 'ACCOUNTS_SEL', audit_column => 'ACCOUNT_NO, BALANCE', audit_condition => 'BALANCE >= 3000', statement_types => 'SELECT', audit_column_opts => DBMS_FGA.ALL_COLUMNS, audit_trail => DB ); end;
同样,我们将为 INSERT、UPDATE 和 DELETE 语句创建类似的策略。它们可以随意地启用或禁用。 结合常规审计和细粒度审计 在 Oracle Database 10g 中,常规审计也得到了巨大的改进。通过 AUDIT 命令执行常规审计,它现在能够捕获大量其它有用的信息,例如:
您可以看到,在内容和功能方面,常规审计类似于细粒度审计。然而,作为一个数据库管理员,您有兴趣知道所有的审计项目,而不只是一个审计项目。一个新的视图,DBA_COMMON_AUDIT_TRAIL,结合了常规线索和 FGA 线索。用以下查询来检查它们二者:
select * from dba_common_audit_trail;
这个视图结合了 DBA_AUDIT_TRAIL 和 DBA_FGA_AUDIT_TRAIL,拥有来自每个视图的相关信息。这个视图从数据字典中创建,如下所示。
select 'Standard Audit', SESSIONID, PROXY_SESSIONID, STATEMENTID, ENTRYID, EXTENDED_TIMESTAMP, GLOBAL_UID, USERNAME, CLIENT_ID, Null, OS_USERNAME, USERHOST, OS_PROCESS, TERMINAL, INSTANCE_NUMBER, OWNER, OBJ_NAME, Null, NEW_OWNER, NEW_NAME, ACTION, ACTION_NAME, AUDIT_OPTION, TRANSACTIONID, RETURNCODE, SCN, COMMENT_TEXT, SQL_BIND, SQL_TEXT, OBJ_PRIVILEGE, SYS_PRIVILEGE, ADMIN_OPTION, GRANTEE, PRIV_USED, SES_ACTIONS, LOGOFF_TIME, LOGOFF_LREAD, LOGOFF_PREAD, LOGOFF_LWRITE, LOGOFF_DLOCK, SESSION_CPU from DBA_AUDIT_TRAIL UNION ALL select 'Fine Grained Audit', SESSION_ID, PROXY_SESSIONID, STATEMENTID, ENTRYID, EXTENDED_TIMESTAMP, GLOBAL_UID, DB_USER, CLIENT_ID, EXT_NAME, OS_USER, USERHOST, OS_PROCESS, Null, INSTANCE_NUMBER, OBJECT_SCHEMA, OBJECT_NAME, POLICY_NAME, Null, Null, Null, STATEMENT_TYPE, Null, TRANSACTIONID, Null, SCN, COMMENT$TEXT, SQL_BIND, SQL_TEXT, Null, Null, Null, Null, Null, Null, Null, Null, Null, Null, Null, Null from DBA_FGA_AUDIT_TRAIL
FGA 和常规审计:差异 如果标准审计和细粒度审计在 Oracle Database 10g 中是类似的,您可能要问,在什么情况下,FGA 将是更好的选择?好的,让我们研究一下它们的差异。
通过上面的比较,您将了解为什么可以证明 FGA 在某些情况下很有用。利用 Oracle Database 10g 中的增强的常规审计特性,一些以前认为不可能的任务 — 例如捕获赋值变量的值 — 变得十分容易。 |
|
|
