Beruflich Dokumente
Kultur Dokumente
ORACLE AUDIT - ACTIVER UN AUDIT SUR DES OBJETS ORACLE ET GERER LES
TRACES.
Comment activer un audit dans Oracle.
Comment auditer et tracer une table et objets dans Oracle.
Comment faire un audit de session dans Oracle.
Comment paramtrer une trace avec SQL AUDIT.
L'Audit Oracle est l'outil de surveillance et de protection pour les administrateurs de base de donnes
Oracle, notamment dans la dtection d'activits suspectes aussi bien au niveaux des utilisateurs que
des administrateurs eux-mmes. Protection et prservation de la confidentialit des informations
stockes en base sont devenues les proccupations principales d'une DSI.
L'Audit Oracle permet de tracer les commandes DDL (CREATE TABLE, DROP TABLE, ...), les
commandes DML (SELECT, DELETE, UPDATE, ...), les privilges utiliss (SELECT ANY TABLE,
CREATE TABLE, ...).
Pour activer un audit sur une base de donnes Oracle, il faut avoir le rle DBA, un utilisateur final ne
peut pas activer un audit de base.
Une multitude de Vues dans le dictionnaire de donnes Oracle sont disponibles pour consulter l'audit,
ces vues sont principalement issues de la table SYS.AUD$, la plus gnrique est la vue
DBA_AUDIT_TRAIL.
Vues classes par type d'Audit :
DBA_AUDIT_OBJECT.
Rsultats audit sur les objets de la base Oracle.
DBA_AUDIT_SESSION.
Rsultats audit sur connections et dconnections des utilisateurs Oracle.
DBA_AUDIT_STATEMENT.
Rsultats audit sur les commandes utilisateurs GRANT, REVOKE, AUDIT, NOAUDIT,
ALTER SYSTEM.
SQL>
Si le paramtre AUDIT_TRAIL a la valeur NONE alors la base n'est pas en mode AUDIT.
Si le paramtre AUDIT_SYS_OPERATIONS a la valeur FALSE alors la base n'est pas en mode
AUDIT.
PARAMETRE AUDIT_FILE_DEST.
Si l'audit de base de donnes est active, le paramtre AUDIT_FILE_DEST du fichier PFILE /
SPFILE spcifie l'emplacement du rpertoire adump.
Pensez vrifier que le paramtre AUDIT_FILE_DEST est correctement renseign car c'est dans ce
rpertoire ADUMP qu'Oracle va crire les traces d'audit si l'option choisi pour AUDIT_TRAIL=os ou
xml ou xml,extended.
PARAMETRE AUDIT_SYS_OPERATIONS.
AUDIT_SYS_OPERATIONS active ou dsactive la vrification des oprations mises par les
utilisateurs se connectant avec les privilges SYSDBA ou SYSOPER.
Les valeurs de ce paramtre sont True ou False.
C'est dans le rpertoire ADUMP qu'Oracle va crire les traces d'audit si cette option est active.
AUDIT_TRAIL=none.
L'audit de la base de donnes Oracle est dsactiv.
AUDIT_TRAIL=os.
Activation de l'audit, la valeur os indique que toutes les traces d'audit sont diriges vers le
rpertoire $ORACLE_BASE/ADMIN/$DB_UNIQUE_NAME/ADUDMP ou dans l'observateur
des vnements Application pour un OS Windows.
AUDIT_TRAIL=db.
Activation de l'audit, la valeur db permet la redirection de tous les enregistrements dans la
table de trace SYS.AUD$.
AUDIT_TRAIL=db,extended.
Activation de l'audit, la valeur db,extended permet la redirection de tous les enregistrements
de traces dans la table de trace SYS.AUD$ avec en supplment les colonnes SQLBIND et
SQLTEXT de la table SYS.AUD$ renseignes.
AUDIT_TRAIL=xml.
Activation de l'audit, la valeur xml indique une criture de tous les enregistrements d'audit
dans des fichiers au format XML dirigs vers le rpertoire ADUMP.
AUDIT_TRAIL=xml,extended.
Activation de l'audit, la valeur xml,extended indique l'enregistrement des traces d'audit dans
des fichiers au format XML, avec les valeurs SQLBIND et SQLTEXT en supplment, le tout
dirig vers le rpertoire ADUMP.
Ici, audit sur toutes les suppressions, et modifications effectues sur la table EMP du schma SCOTT
et dont les requtes s'excutent avec succs.
SQL> AUDIT delete, update ON scott.emp WHENEVER SUCCESSFUL;
Audit russi.
SQL>
Maintenant on fait un UPDATE et un DELETE sur cette table.
SQL> UPDATE scott.emp
SET ename='TEST AUDIT'
WHERE ename='JONES';
1 ligne mise jour.
SQL> COMMIT;
Validation effectue.
SQL> DELETE FROM scott.emp
WHERE ename='TEST AUDIT';
1 ligne supprime.
COMMIT;
Validation effectue.
SQL>
SQL>
Arrter l'audit se fait avec la commande sql NOAUDIT SQL> NOAUDIT ALL;
Remettre la base de donnes en mode normal : SQL> ALTER SYSTEM SET AUDIT_TRAIL=none
SCOPE=SPFILE; puis redmarrage de la base.
Il est possible aussi de faire un TRUNCATE TABLE SYS.AUD$ afin de librer de l'espace en fin
d'audit.