目录
- 1. 审计功能简介
- 2. dm8官方技术参考文档
- 3. dm8审计功能配置
-
- 3.1 登录审计用户
- 3.2 开启审计开关
- 3.3 查询审计日志
- 3.4 审计设置
-
- 3.4.1 配置语句级审计
- 3.4.2 取消语句级审计
- 3.5 审计日志查阅
- 4. python获取dm8审计日志
1. 审计功能简介
审计机制是 DM 数据库管理系统安全管理的重要组成部分之一。 DM 数据库除了提供数据安全保护措施外,还提供对日常事件的事后审计监督。 DM 具有一个灵活的审计子系统,可以通过它来记录系统级事件、个别用户的行为以及对数据库对象的访问。通过考察、跟踪审计信息,数据库审计员可以查看用户访问的形式以及曾试图对该系统进行的操作,从而采取积极、有效的应对措施。
2. dm8官方技术参考文档
达梦dm8数据库自带审计功能,dm8数据库安装参考官方技术文档 https://eco.dameng.com/document/dm/zh-cn/start/
达梦审计功能配置参考官方手册,手册位于dm8安装路径下: dm8/doc/DM8 - Security Management.pdf,本文只简单介绍重点配置,详细功能可自行参阅官方手册
3. dm8审计功能配置
3.1 登录审计用户
达梦数据库提供了专门用于审计的用户,默认用户名为:SYSAUDITOR 密码:SYSAUDITOR
可通过disql命令进行登录审计用户,如下图:
3.2 开启审计开关
在 DM 系统中,专门为审计设置了开关,要使用审计功能首先要打开审计开关。审计开关由过程 VOID SP_SET_ENABLE_AUDIT(param int) ;控制, 过程执行完后会立即生效, param 有三种取值:
- 0: 关闭审计
- 1: 打开普通审计
- 2:打开普通审计和实时审计
缺省值为0
例:打开普通审计开关,执行以下命令:
SP_SET_ENABLE_AUDIT(1);
注意:审计开关必须由具备数据库审计员权限的管理员进行设置
数据库审计员可通过查询V$DM_INI 动态视图查询 ENABLE_AUDIT 的当前值:
SELECT * FROM V$DM_INI WHERE PARA_NAME='ENABLE_AUDIT';
执行结果如下:
3.3 查询审计日志
通过下面语句可查询审计日志
SELECT * FROM "SYSAUDITOR"."V$AUDITRECORDS";
3.4 审计设置
数据库审计员指定被审计对象的活动称为审计设置,只有具有 AUDIT DATABASE 权限的审计员才能进行审计设置。 DM 提供审计设置系统过程来实现这种设置,被审计的对象可以是某类操作,也可以是某些用户在数据库中的全部行踪。只有预先设置的操作和用户才能被 DM 系统自动进行审计。
DM 允许在三个级别上进行审计设置:
| 审计级别 | 说明 |
|---|---|
| 系统级 | 系统的启动与关闭,此级别的审计无法也无需由用户进行设置,只要审计开关打开就会自动生成对应审计记录 |
| 语句级 | 导致影响特定类型数据库对象的特殊 SQL 或语句组的审计。 如 AUDITTABLE 将审计 CREATE TABLE、 ALTER TABLE 和 DROP TABLE 等语句 |
| 对象级 | 审计作用在特殊对象上的语句。 如 test 表上的 INSERT 语句 |
审计设置存放于 DM 字典表 SYSAUDIT 中,进行一次审计设置就在 SYSAUDIT 中增加一条对应的记录,取消审计则删除 SYSAUDIT 中相应的记录。
下面重点介绍语句级审计配置方法,其他详细配置可查阅官方手册
3.4.1 配置语句级审计
语句级审计的动作是全局的,不对应具体的数据库对象。下面列出几个常用的审计选项,其他支持选项可自行查阅官方手册
| 审计选项 | 审计的数据库操作 | 说明 |
|---|---|---|
| ALL | 所有的语句级审计选项 | 所有可审计操作 |
| USER | CREATE USER 、ALTER USER、DROP USER | 创建/修改/删除用户操作 |
| TABLE | CREATE TABLE、ALTER TABLE、DROP TABLE、TRUNCATE TABLE | 创建/修改/删除/清空基表操作 |
| DELETE TABLE | DELETE FROM TABLE | 表上的删除操作 |
| SELECT TABLE | SELECT FROM TABLE | 表上的查询操作 |
| CONNECT | LOGIN、LOGOUT | 登录/退出操作 |
设置语句级审计的系统过程如下:
VOID
SP_AUDIT_STMT(
TYPE VARCHAR(30),
USERNAME VARCHAR (128),
WHENEVER VARCHAR (20)
)
参数说明:
- TYPE 语句级审计选项,即上表中的第一列
- USERNAME 用户名,NULL 表示不限制
- WHENEVER 审计时机,可选的取值为: ALL所有的, SUCCESSFUL 操作成功时, FAIL:操作失败时
例 1 :审计表的创建、修改、 删除和清空。
SP_AUDIT_STMT('TABLE', 'NULL', 'ALL');
例 2 对 SYSDBA 创建、修改、删除用户成功进行审计
SP_AUDIT_STMT('USER', 'SYSDBA', 'SUC
