《Sybase数据库审计介绍》由会员分享,可在线阅读,更多相关《Sybase数据库审计介绍(4页珍藏版)》请在金锄头文库上搜索。
1、审计功能是数据库管理系统安全性重要的一部分。通过审计功能,凡是与数据库安全性相关的操 作均可被记录下来。只要检测审计记录,系统安全员便可掌握数据库被使用状况。例如,检查库 中实体的存取模式,监测指定用户的行为。审计系统可以跟踪用户的全部操作,这也使审计系统 具有一种威慑力,提醒用户安全使用数据库。审计系统的构成 Sybsecurity 数据库 存放在Sybsystempocs中的一组系统存储过程 Master 库中的配置选项 内存审计队列 审计处理程序Sybsecurity 数据库Sybsecurity库是SQLServer审计系统的基础,它是由审计系统的安装程序Sybinit来建立的,除包括
2、 Model 库中所有表之外,还另有两张系统表。 Sysaudits 审计记录表。所有审计信息均被记载在这个表中 Sysauditoptions 审计选择设置记录系统存储过程:支持审计系统的操作,设置审计内容及审计功能Master 库的配置选项设置内存审计列队大小内存审计队列当定义的审计事件发生时,审计记录首先被放在内存审计队列,在它被审计处理程序存放审计记录之前,将一直存在这里。如果系统发生故障,内存审计队列记录可能丢失。内存审计队列 溢出会影响整个系统的性能。当审计队列没有空间时,如果用户执行一个被定义的审计的操作, 那么审计处理程序将进入一种睡眠状态,等待有足够的内存空间才运行用户的命令
3、。内存审计队 列空间可由 sp-configure 来设置,参数为 audit queue size 。审计数据流图1. 用户将要在TableA中插入记录Insert已被定义为审计事件。2. 检查操作权限,关于这条命令和处理的信息被记录在内存审计队列。3. 审计处理过程被调度的,将内存审计队列的信息写入Sybsecurity库的Sysaudits表中。4. 审计信息被存在Sysaudit表中,这些信息随系统运输愈来愈多,如果需要的话,可将这 些数据倒到另外一个表中存放起来,或挎贝到磁带上存放。这些工作可以由 Threshold Manager来做建议使用insert into .select来
4、备份ysaudit数据,因为这个操作记log。5. 大量的数据存到存贮介质上可以使用 Dump 或 Bulk copy 。审计级别 SQL Server 级包括如下操作 login , logout , reboot , remote Procedue call , fatal error, privilege d command.Database 级包括操作 grant , revoke, truncate table, drop,use Object 级包括 table/view access , procedure, trigger 执行 user 级包括 Table/View acce
5、ss , Command Text安装审计系统审计系统由 SYBASE 安装程序 sybinit 安装。整个安装过程完成以下操作 执行 disk init 初始化用户指定使用的设备,并在其上创建 Sybsecurity 数据库。 运行 sp-auditinstall 建立一个段空间,并将 sysaudit 表建在这个段上。 运行installsecurity,建立sysauditoptions表,建立审计系统存储过程 重新启动 SQL Server 。建议不在 Sybsecurity 库中建立任何用户表,存贮过程等。因为 sysaudits 表是相当动态变化 的,必须监控其设备的使用情况。用于
6、审计的系统存储过程 sp-auditdatabase 设置数据库级事件审计 sp-auditobject 设置访问表与视图事件的审计 sp-auditsproc 设置执行系统存储过程与触发事件审计 sp-auditlogin 设置指定用户全部操作的审计 sp-auditoption 设置审计选项 sp-addauditrecord 增加用户定义的审计记录审计数据管理记录审计事件的表 sysaudits 增长很快,对这些记录信息必须做有效的管理,定期将审计记录归档。归档可以由手工操作完成,也可以用系统Threshold Manager来完成。如果用Threshol d 那么必须将 sysaudit 表放在独自的段上。现提供几种方法处理审计记录信息,用户可根据自己系统需求选择其中之一。 将审计记录拷贝到档案表中存放或直接将数据存放外存介质。 截断sysandits表,不保存审计记录。 将档案表中数据存放于外存介质。审计记录表 sysaudits 溢出,会导致以下的问题 审计处理过程会死掉 当前内存审计队列的数据将丢失 用户程序向内存审计队列发送数据时被杀掉 取消审计系统功能sp-auditoption enable auditing, off停止审计系统工作之后,删除 sybsecurity 库drop database sybsearuity
