Auditing - doag.org · Standard Auditing - Aktivierung - • Aktivierbar über init.ora Parameter - AUDIT_TRAIL (statisch) none | false Deaktiviert Standard bis Oracle 10g os Speicherung

Copyright ORDIX AG Auditing - Möglichkeiten, Umsetzung und Auswertung 1

Klaus ReimersLeiter Beratung & EntwicklungORDIX AG, Geschäftsstelle Kö[email protected]

Deutsche Oracle Anwenderkonferenz 2007Special Interest Group Database

AuditingMöglichkeiten, Umsetzung und Auswertung


Agenda

• Sinn und Zweck des Auditing

• Möglichkeiten und Umsetzung (mit Demos)

- Mandatory Auditing

- SYS Auditing

- Standard Auditing

- Fine Grained Auditing (FGA)

• Auditing im GRID Control

• Performancebetrachtung (mit Demos)

• Audit Vault


Agenda




- SYS Auditing

- Standard Auditing




• Audit Vault


Sinn und Zweck des Auditing- Fragestellungen -

Klassische Kundenanforderungen:

- Wer ändert Inhalte sensibler Tabellen?

- Wer verändert die Struktur von Tabellen?

- Wer greift mit welchen Rechten zu?

- Wer liest Kontodaten aus?

- Was macht der Benutzer REIMERS?

- Wer versucht, sich in die Datenbank zu hacken?

- ...


Agenda




- SYS Auditing

- Standard Auditing




• Audit Vault


Auditing - Überblick

4 Grundformen des Auditing:


- SYS Auditing

- Standard Auditing



Agenda




- SYS Auditing

- Standard Auditing




• Audit Vault


Mandatory Auditing

Überwachung von:- Startup

- Shutdown

- Zugriff mit SYSDBA oder SYSOPER

Automatische Speicherung

- UNIX: $ORACLE_HOME/rdbms/audit

• modifizierbar über init.ora Parameter: audit_file_dest

- Microsoft: Ereignisanzeige


Mandatory Auditing- Unix -

Audit file /oracle/product/10g/rdbms/audit/ora_22195.aud

Oracle Database 10g Enterprise Edition Release 10.1.0.3.0 - ProductionWith the Partitioning, OLAP and Data Mining optionsORACLE_HOME = /oracle/product/10gSystem name: LinuxNode name: trainixRelease: 2.6.5-7.97-smpVersion: #1 SMP Fri Jul 2 14:21:59 UTC 2004Machine: i686Instance name: ora00Redo thread mounted by this instance: 1Oracle process number: 10Unix process pid: 22195, image: oracle@trainix (TNS V1-V3)

Tue Aug 30 17:19:51 2005ACTION : 'CONNECT'DATABASE USER: '/'PRIVILEGE : SYSDBACLIENT USER: ora00CLIENT TERMINAL: pts/0STATUS: 0

Audit file /oracle/product/10g/rdbms/audit/ora_22195.aud

Oracle Database 10g Enterprise Edition Release 10.1.0.3.0 - ProductionWith the Partitioning, OLAP and Data Mining optionsORACLE_HOME = /oracle/product/10gSystem name: LinuxNode name: trainixRelease: 2.6.5-7.97-smpVersion: #1 SMP Fri Jul 2 14:21:59 UTC 2004Machine: i686Instance name: ora00Redo thread mounted by this instance: 1Oracle process number: 10Unix process pid: 22195, image: oracle@trainix (TNS V1-V3)

Tue Aug 30 17:19:51 2005ACTION : 'CONNECT'DATABASE USER: '/'PRIVILEGE : SYSDBACLIENT USER: ora00CLIENT TERMINAL: pts/0STATUS: 0


Mandatory Auditing- Microsoft -


Mandatory AuditingAuswerteskript - Auszug

Audit file/oracle/product/ora10g/admin/emrep/adump/ora_16019.aud

SunOS; dakar; sun4u;emrep;;SYSDBA;oracle;;0 'SYS' 'CONNECT';#######################Audit file

/oracle/product/ora10g/admin/emrep/adump/ora_16021.aud SunOS; dakar; sun4u;emrep;;SYSDBA;oracle;;0 'SYS' 'CONNECT';#######################Audit file


/oracle/product/ora10g/admin/emrep/adump/ora_17431.aud SunOS; dakar; sun4u;emrep;;SYSDBA;oracle;pts/4;0 '/' 'CONNECT';

Audit file/oracle/product/ora10g/admin/emrep/adump/ora_16019.aud

SunOS; dakar; sun4u;emrep;;SYSDBA;oracle;;0 'SYS' 'CONNECT';#######################Audit file



/oracle/product/ora10g/admin/emrep/adump/ora_17431.aud SunOS; dakar; sun4u;emrep;;SYSDBA;oracle;pts/4;0 '/' 'CONNECT';


Agenda




- SYS Auditing

- Standard Auditing




• Audit Vault


SYS Auditing

• Überwachung aller Aktionen des Users SYS- auch bei Anmeldung über SYSDBA oder SYSOPER

• Aktivierbar über init.ora Parameter

AUDIT_SYS_OPERATIONS (statisch)

- true aktiviert

- false deaktiviert

• Speicherung

- UNIX: $ORACLE_HOME/rdbms/audit

• modifizierbar über init.ora Parameter: audit_file_dest

- Microsoft: Ereignisanzeige


SYS AuditingAuswerteskript - Auszug

#######################Audit file /oracle/product/ora10g/admin/emrep/adump/ora_2469.aud SunOS; dakar; sun4u;emrep;;SYSDBA;oracle;pts/1;0 '/' 'CONNECT';#######################Audit file /oracle/product/ora10g/admin/emrep/adump/ora_24793.aud SunOS; dakar; sun4u;emrep;;SYSDBA;oracle;pts/1;0 '/' 'CONNECT' 'SHUTDOWN';#######################Audit file /oracle/product/ora10g/admin/emrep/adump/ora_24798.aud SunOS; dakar; sun4u;emrep;;SYSDBA;oracle;Not Available;0 '/' 'STARTUP';#######################Audit file /oracle/product/ora10g/admin/emrep/adump/ora_24828.aud SunOS; dakar; sun4u;emrep;;SYSDBA;oracle;pts/1;0 '/' 'CONNECT' 'SELECT DECODE(null,'','Total System Global Area','') NAME_COL_PLUS_SHOW_SGA,

SUM(VALUE), DECODE (null,'', 'bytes','') units_col_plus_show_sga FROM V$SGAUNION ALL SELECT NAME NAME_COL_PLUS_SHOW_SGA , VALUE, DECODE (null,'','bytes','') units_col_plus_show_sga FROM V$SGA'

'ALTER DATABASE MOUNT';

#######################Audit file /oracle/product/ora10g/admin/emrep/adump/ora_2469.aud SunOS; dakar; sun4u;emrep;;SYSDBA;oracle;pts/1;0 '/' 'CONNECT';#######################Audit file /oracle/product/ora10g/admin/emrep/adump/ora_24793.aud SunOS; dakar; sun4u;emrep;;SYSDBA;oracle;pts/1;0 '/' 'CONNECT' 'SHUTDOWN';#######################Audit file /oracle/product/ora10g/admin/emrep/adump/ora_24798.aud SunOS; dakar; sun4u;emrep;;SYSDBA;oracle;Not Available;0 '/' 'STARTUP';#######################Audit file /oracle/product/ora10g/admin/emrep/adump/ora_24828.aud SunOS; dakar; sun4u;emrep;;SYSDBA;oracle;pts/1;0 '/' 'CONNECT' 'SELECT DECODE(null,'','Total System Global Area','') NAME_COL_PLUS_SHOW_SGA,

SUM(VALUE), DECODE (null,'', 'bytes','') units_col_plus_show_sga FROM V$SGAUNION ALL SELECT NAME NAME_COL_PLUS_SHOW_SGA , VALUE, DECODE (null,'','bytes','') units_col_plus_show_sga FROM V$SGA'

'ALTER DATABASE MOUNT';


Agenda




- SYS Auditing

- Standard Auditing




• Audit Vault


Standard Auditing- Aktivierung -

• Aktivierbar über init.ora Parameter

- AUDIT_TRAIL (statisch)

none | false DeaktiviertStandard bis Oracle 10g

os Speicherung auf Betriebssystemebene

db | true Speicherung in der Datenbank (SYS.AUD$)Standard in Oracle 11g

db_extended zusätzliche Speicherung von SQL-Text und Bind-Variablen

xml Speicherung im XML-Format auf Betriebssystemebene

xml, extended zusätzliche Speicherung von SQL-Text und Bind-Variablen


Standard Auditing- Möglichkeiten -

• Auditing auf Tabellen und Views

• Auditing auf Aufruf von Prozeduren

• Auditing von Nutzung besonderer Systemprivilegien, wie z. B.

- DISABLE TRIGGER

- Nutzung des ANY Privilegs

• Auditing auf erfolgreiche/erfolglose Durchführung einer Aktion

• Beschränkung auf definierte Benutzer

• Möglichkeit der Definition- jedes Zugriffs (BY ACCESS)- oder einmalig (BY SESSION)


Standard Auditing- Beispiele (I) -

• DDL Statements:

- z. B.: AUDIT TABLE;

Protokolliert CREATE, DROP und TRUNCATEauf alle Tabellen

• DML Statements

- z. B.: AUDIT SELECT TABLE;

Protokolliert alle lesenden Zugriffe auf alle Tabellen


• Auditing nur für bestimmte Benutzer aktiviert

- z. B.: AUDIT DELETE TABLE BY KR;

Alle löschenden Zugriffe des Users KR werden protokolliert.

• Auditing nur erfolgreicher/erfolgloser Aktionen

- z. B.: AUDIT ROLE WHENEVER SUCCESSFUL;

AUDIT ROLE WHENEVER NOT SUCCESSFUL;

Alle erfolgreichen/erfolglosen DDL-Statements auf Roleswerden protokolliert.

Standard Auditing- Beispiele (II) -


• Auditing nur für bestimmte Tabellen

- z. B.: AUDIT UPDATE TABLE ON KR.MITARBEITER;

Alle ändernden Zugriffe auf die Tabelle MITARBEITERdes User KR werden protokolliert.

• Komplettes Auditing

- AUDIT ALL on KR;protokolliert alle DDL-Aktionen

- AUDIT ALL PRIVILEGESprotokolliert alle Veränderungen der System-Privilegienaller Benutzer

Standard Auditing- Beispiele (III) -


Views

DBA_STMT_AUDIT_OPTS aktivierte Audit Options aufStatement-Ebene

DBA_PRIV_AUDIT_OPTS aktivierte Audit Options aufPrivilegien-Ebene

DBA_AUDIT_TRAIL alle Audit-Einträge

DBA_AUDIT_SESSION per CONNECT oder DISCONNECTausgelöst

DBA_AUDIT_STATEMENT per AUDIT, NOAUDIT, GRANT,REVOKE, ALTER SYSTEMausgelöst

DBA_AUDIT_OBJECT objektbezogene Einträge

DBA_AUDIT_EXISTS per AUDIT EXISTS oder AUDITNOEXISTS ausgelöst


Agenda




- SYS Auditing

- Standard Auditing




• Audit Vault


Fine Grained Auditing

Erweiterung der Auditing-Möglichkeiten durch FGA:

• DML- und SELECT-Statements mitschneiden

• Monitoring des Datenzugriffs basierend auf dem Inhalt

• Kann wie ein SELECT-Trigger wirken

Nicht zu verwechseln mit FGAC


FGA Policy erstellen

Beispiel:• Audit aufsetzten für jeden, der ein SELECT

gegen eine bestimmte Tabelle ausführt, FGA-Policy für die Tabelle

• Voraussetzung:Privileg execute für das Package dbms_fga.

begindbms_fga.add_policy ( object_schema=>‚test',

object_name=>'mitarbeiter', policy_name=>'mitarbeiter_zugriff'

);end;


object_name=>'mitarbeiter', policy_name=>'mitarbeiter_zugriff'

);end;


Auswirkung der FGA Policy

Auswirkung der Policy:• Jedes SELECT gegen die

Tabelle wird in einer internenTabelle protokolliert.

• View dba_fga_audit_trail

SELECT * frommitarbeiter;

selecttimestamp,db_user,os_user,object_schema,object_name,sql_text

fromdba_fga_audit_trail;

SELECT * frommitarbeiter;

selecttimestamp,db_user,os_user,object_schema,object_name,sql_text

fromdba_fga_audit_trail;


FGA Data Dictionary Views

FGA Data Dictionary Views:• Die vom Audit erstellten Datensätze werden in

FGA_LOG$ (gehört SYS) gespeichert. DieInformationen werden in einigen Views zur Verfügunggestellt, z. B. DBA_FGA_AUDIT_TRAIL.

• Die Definition einer FGA Policy kann über die ViewDBA_AUDIT_POLICIES eingesehen werden.

Select * from dba_audit_policies;

Select * from dba_fga_audit_trail;

Select * from dba_audit_policies;

Select * from dba_fga_audit_trail;


Audit Columns

Das Audit wird fokussiert auf Spalten

Durch Angabe einer Audit Column werden nurAngaben zu SELECTs gespeichert, die auf einebestimmte Spalte zugreifen.


object_name=>'mitarbeiter', policy_name=>'mitarbeiter_zugriff', audit_column => 'gehalt' );end;


object_name=>'mitarbeiter', policy_name=>'mitarbeiter_zugriff', audit_column => 'gehalt' );end;


Audit Conditions

Das Audit weiter fokussieren auf Bedingungen auf Spalten

Durch Angabe einer Audit Condition werden nurAngaben zu SELECTs gespeichert, die auf einebestimmte Spalte zugreifen und eine bestimmteBedingung erfüllen.


object_name=>'mitarbeiter', policy_name=>'mitarbeiter_zugriff', audit_condition => 'gehalt >= 50000'

);end;


object_name=>'mitarbeiter', policy_name=>'mitarbeiter_zugriff', audit_condition => 'gehalt >= 50000'

);end;


„Reichweite“ der FGA Policies

Oracle9i• SELECT-Statements

ORACLE 10g• zusätzlich DML-Statements

- INSERT- UPDATE- DELETE


FGA und Views

FGA Policy wirkt auch bei Abfragen über Views:

• Auch der Zugriff auf die Tabelle über eine View fällt unterdas Audit und wird gespeichert.

• Aufgeführt wird diese Abfrage unter dem object_nameder Tabelle

Eine FGA Policy kann auch speziell für eine Viewerstellt werden:

• Für eine View wird eine eigene Policy erstellt.• Die Abfrage der View erscheint dann unter dem eigenen

object_name der View.


dbms_fga.add_policy

DBMS_FGA.ADD_POLICY( object_schema VARCHAR2, object_name VARCHAR2, policy_name VARCHAR2, audit_condition VARCHAR2, audit_column VARCHAR2, handler_schema VARCHAR2, handler_module VARCHAR2, enable BOOLEAN -- Default TRUE, statement_types VARCHAR2 -- Default SELECT, audit_trail BINARY_INTEGER IN DEFAULT, audit_column_opts BINARY_INTEGER IN DEFAULT);

audit_trailDefault:

DB + ExtendedMöglichkeiten:

DBDB + extendedXMLXML +Extended

DBMS_FGA.ADD_POLICY( object_schema VARCHAR2, object_name VARCHAR2, policy_name VARCHAR2, audit_condition VARCHAR2, audit_column VARCHAR2, handler_schema VARCHAR2, handler_module VARCHAR2, enable BOOLEAN -- Default TRUE, statement_types VARCHAR2 -- Default SELECT, audit_trail BINARY_INTEGER IN DEFAULT, audit_column_opts BINARY_INTEGER IN DEFAULT);

audit_trailDefault:

DB + ExtendedMöglichkeiten:

DBDB + extendedXMLXML +Extended


Agenda




- SYS Auditing

- Standard Auditing




• Audit Vault


GRID Control Administration


GRID ControlAuditierte Berechtigungen


GRID ControlAuditierte Objekte


GRID ControlAuditierte Anweisungen


GRID ControlAudit Trail


GRID ControlAuditierte nicht erfolgreiche Anmeldungen


GRID ControlAuditierte Berechtigungen


GRID ControlAuditierte Objekte


GRID ControlOS Audit Trails Auswahl


GRID ControlOS Audit Trails


Agenda




- SYS Auditing

- Standard Auditing




• Audit Vault


Beispieltransaktion - Demonstration

4711 | 4000 | ....

Database Buffer Log Buffer Shared Pool

4711 | 4000 | ...

Update Mitarbeiter

set gehalt=5000

where manr=4711;

4000

update MA set gehalt = 4000where rowid = ‘...‘

5000update MA set gehalt = 5000

where rowid = ‘...‘

AUD

ITAUDIT

AUDITAUDIT

AU

DIT


Performance-Einflüsse

• UNDO TABLESPACE- UNDO Segmente- UNDO_RETENTION

• DBWR + Leseprozesse haben höhere Last

• Log Buffer- UNDO Statement- REDO Statement

• LGWR hat höhere Last• ARCH hat höhere Last

• Flashback Area- DB_FLASHBACK_RETENTION_TARGET

• RVWR hat höhere Last

• RMAN - inkrementelle Sicherungen- Block Change Tracking

Wenn das System „LUFT“ hat, kann man AUDITING nutzen!


Agenda




- SYS Auditing

- Standard Auditing




• Audit Vault


Definition Audit Vault

Neues Produkt von Oracle, mit dem Audit-Daten- generiert aus Oracle Datenbanken (Stand Okt. 2007) -

zentral in einer Datenbank abgelegt, vor Manipulationen geschütztund ausgewertet werden können.

Data Warehouse für Audit-Daten


Anforderungen

• Zentrale Ablage von Audit Daten und Schutz dieser Audit Daten vorManipulationen.

• Bewahrt revisionsrelevante Daten in einem „virtuellen Tresor“ auf undstellt diese „auf Knopfdruck“ der Innenrevision, Wirtschaftsprüfern etc.zur Verfügung.

• Einhalten von Standards gefordert durch Regularien wie BASEL II,PCI (Payment Card Industry), SOX etc.

• Nachvollzug von Datenänderungen;insbesondere von Datenänderungen, die an einer Applikation vorbeidurchgeführt werden könnten.

• Management ist nicht mehr zwangsläufig seinem „SuperAdministrator“ ausgeliefert.


Architektur

AuditSources

Audit VaultAgent

Kollektoren

DBAUD

OSAUD

REDO

Aud

it D

ata

Col

lect

ion

Data Warehouse

Alerts & Monitoring

Reporting

Management

Security

Audit Vault Server


Komponenten

• Audit Vault AgentInstallation pro Quellsystem, das auditiert werden soll.

• KollektorenDie Agenten steuern die sogenannten Kollektoren (DBAUD, OSAUD,REDO), die die Audit-Trails und die Redo-Log-Dateien lesen.

• Audit Data SourceEine auf einem Datenbank Server laufende Datenbank-Instanz.

• Audit Vault Server- Oracle Audit Vault Datenbank- Grafische Web-Benutzeroberfläche (Audit Vault Console)

Documents

Auditing - doag.org · Standard Auditing - Aktivierung - • Aktivierbar über init.ora Parameter - AUDIT_TRAIL (statisch) none | false Deaktiviert Standard bis Oracle 10g os Speicherung