Se pretende mediante un sencillo ejemplo práctico para ver cómo se puede auditar las conexiónes a una base de datos ORACLE o auditar los intentos de modificación a las tablas de un usuario.
Teniendo en cuenta que el parámetro que habilita la posibilidad de auditar la base de datos ORACLE en el init.ora es audit_trail que el comando sql que activa la auditoría sobre algo es AUDIT ( para desactivar NOAUDIT ) y que la tabla para mirar ( usuario sys ) el seguimiento de auditoría es dba_audit_trail vamos a realizar este sencillo ejemplo.
-
Activar la auditoria de intento de conexiones fallidas para todos los usuarios.
Miramos que actualmente no está activada la auditoria en la base de datos
SQL> select name , value from v$parameter where name like ‘audit_trail’;
audit_trail NONE
Activamos la auditoría de la base de datos
SQL> alter system set audit_trail = DB scope = spfile;
Reiniciamos la base de datos ( shutdown immediate, startup ) y comprobamos que la auditoría se ha activado.
SQL> select name , value from v$parameter where name like ‘audit_trail’;
audit_trail DB
Activamos la auditoría para ver la conexión y desconexión de los usuarios a la base de datos, se hace con la siguiente sentencia
SQL> audit connect;
- Visualizar las tablas de auditoría para comprobar que se insertan datos cuando intentamos conectarnos sin lograrlo.
En el apartado anterior hemos activado la auditoría para ver como se conectan los usuarios a la base de datos, vamos a realizar varias pruebas y mostrar dónde se puede comprobar que los usuarios se han conectado a la base de datos.
Nos conectamos con varios usuarios a la base de datos ( en nuestro caso con system y el usuario user9 que está creado )
SQL> connect user9/user9;
SQL> connect system/system;
Tras habernos conectado a la base de datos miramos la tabla dba_audit_trail para ver que datos contiene.
SQL> select username , action_name , priv_used , returncode from dba_audit_trail ;
«SYSTEM» «LOGON» 1017
«SYSTEM» «LOGON» 1017
«USER9» «LOGON» 1017
«USER9» «LOGON» «CREATE SESSION» 0
«USER9» «LOGON» 1017
«USER9» «LOGON» 1017
Observarmos que en esta tabla se registran los intentos de conexión de los usuarios, por lo tanto podemos saber quien se ha conectado a la base de datos
- Activar la auditoria sobre la modificación de tablas del usuario Scott.
Ahora vamos a activar la auditoría sobre la modificación de las tablas sobre el usuario Scott, de esta forma cualquier modificación realizada en una tabla que pertenezca a este usuario será registrada en las tablas y podremos ver quien ha realizado esa modifiación.
SQL>audit insert,update on scott . bonus by access;
SQL>audit insert,update on scott . emp by access;
SQL>audit insert,update on scott .dept by access;
SQL>audit insert,update on scott . salgrade by access;
En este caso estamos auditando cada una de las tablas que pertenencen al usuario scott ( bonus, emp, dept, salgrade ) en caso de que alguien inserte algo en ellas o realice alguna actualización. ( si queremos auditar el borrado o la lectura de alguna fila, solo hay que añadir los permisos de select y delete detrás del comando audit).Al ponerlo by access se guardará un registro en la tabla de auditoría por cada intento de insert o update que se realice sobre cada una de las tablas nombradas. ( exite también el registro by session, en el cual se registra por sesión única el intento de insert o update sobre las tablas ).
Miramos la tabla user_obj_audit_opts ( con el usuario scott )
SQL>select * from user_obj_audit_opts;
«BONUS» «TABLE» «-/-» «-/-» «-/-» «-/-» «-/-» «-/-» «A/A» «-/-» «-/-» «-/-» «A/A» «-/-» «-/-» «-/-» «-/-» «-/-«
«DEPT» «TABLE» «-/-» «-/-» «-/-» «-/-» «-/-» «-/-» «A/A» «-/-» «-/-» «-/-» «A/A» «-/-» «-/-» «-/-» «-/-» «-/-«
«EMP» «TABLE» «-/-» «-/-» «-/-» «-/-» «-/-» «-/-» «A/A» «-/-» «-/-» «-/-» «A/A» «-/-» «-/-» «-/-» «-/-» «-/-«
«SALGRADE» «TABLE» «-/-» «-/-» «-/-» «-/-» «-/-» «-/-» «A/A» «-/-» «-/-» «-/-» «A/A» «-/-» «-/-» «-/-» «-/-» «-/-«
Y observamos que es lo que estamos auditando del usuario scott, en este caso se vería que eta activada para cada una de las tablas la auditoría para update e insert.
(A/A) –> activado / por acceso
La prueba que se puede realizar es conectarse con otro usuario que tenga permisos de insert y update sobre estas tablas y realizar una serie de inserciones y actualizaciones en esas tablas. En este caso suponemos que un usuario, user9 que tiene permisos de inserción y actualización sobre las tablas del usuario scott ha realizado una serie de inserciones y actualizaciones sobre estas tablas. La forma de ver si las ha realizado o no ( teniendo activada la auditoría es la siguiente ).
SQL>select * from sys . dba_audit_trail where ( action_name = ‘INSERT’ ) or ( action_name = ‘UPDATE’ ) ;
El resultado es el siguiente:
«ERIN-0S2WXM4BDG\Erin» «USER9» «ERIN-0S2WXM4BDG» 19/04/2006 15:38:56 «SCOTT» «BONUS» 2 «INSERT» 267 2 47 0
«ERIN-0S2WXM4BDG\Erin» «USER9» «ERIN-0S2WXM4BDG» 19/04/2006 15:39:09 «SCOTT» «BONUS» 2 «INSERT» 267 3 50 0
«ERIN-0S2WXM4BDG\Erin» «USER9» «ERIN-0S2WXM4BDG» 19/04/2006 15:39:19 «SCOTT» «BONUS» 6 «UPDATE» 267 4 55 0
Observamos que se han registrado los intentos de inserción y de modificación sobre la tabla BONUS.
DatabaseAndTechnology 
Escelente aporte, muchas grcias desde Perú.
Me gustaMe gusta
Esta muy bien explicado, así como me gusta, paso por paso. Muchas gracias.
Me gustaMe gusta
Tal vez sea una tonteria lo que pregunte pero que herramientas utilizo para conectarme a la base de datos de oracle, y tambien si estas instrucciones se puede consultar con un login de usuario o tiene que ser un administrador
Me gustaMe gusta
men esta re bn este compartir que nos has realizado me sirvio para un trabajo que estoy realizando
gracias
Me gustaMe gusta
Muchas gracias por toda esa información, me ha servido un MUNDO.
Me gustaMe gusta
No, vamos a ver a lo que yo me refiero es que la Auditoría se graba en las tablas aud$ y fga_log$, sea del usuario que sea.
Y estas dos tablas estan sobre el Tablespace SYSTEM, por lo tanto los registros de auditoría que se vayan almacenando harán que engorde el tablespace SYSTEM.
A mi me interesaría poder guardar la Auditoría sobre un tablespace diferente para llevar un mejor control del espacio ocupado en disco, pero para eso solo se me ocurre cambiar de tablespace las dos tablas de SYS: aud$ y fga_log$ y no se si eso podrá suponer un problema o no. Si lo hago me puedo cargar algo?
Tampoco se si hay otra forma de lograr esto o hay que morir en el Tablespace SYSTEM sin mas remedio??
Gracias
Un saludo
Me gustaMe gusta
Colmenero:
Claro que puedes elegir el tablespace… lo unico que debe de hacer es asignarle el tablespace nuevo al usuario con el que vas hacer la auditoria…
Saludos.
Me gustaMe gusta
Hola wenas. Hay forma de indicar el tablespace sobre el que debe guardarse la auditoría??
Puedo crear un tablespace nuevo y definir que la Auditoría se grabe en él, en vez de usar el tablespace System?
Podria loguear con el usuario SYS y cambiar el Tablespace de las tablas aud$ y fga_log$ al que a mi me interese???
Gracias
Un saludo
Me gustaMe gusta
hoal gracias por tu aporte excelente! como hago para activar la auditoría en create, alter drop?
grac ias
Me gustaMe gusta
hola ya termine de auditar mi base de datos, y esta muy buena… tengo un manual …si alguien esta interesado escribirme a chrislg1122@hotmail.com saludos gente ORACLE
Me gustaMe gusta
hola muy interesante lo que compartiste, lo tome como base para la configuracion de la auditoria que estoy haciendo en mi base de datos. gracias me fue muy util (y)
Me gustaMe gusta
excelente..estube buscando un documento tal…una sola pregunta….esto me genera espacio en disco me imagino…se tiene q estar borrando verdad?
Me gustaMe gusta
Hey men tu aporte esta bueno, claro esta ke tienes ke tener en cuenta ke la explicacion ke das no es para cualkier oracle… de = forma estubo muy bueno… ; – )
Me gustaMe gusta