狠狠撸

狠狠撸Share a Scribd company logo
1

DML AUDITING
株式会社インサイトテクノロジー
コンサルティング部
岸本 拓也
2

DML

= Data Manupilation Language

Insert,Update,Delete
3

emp表に不正なデータがあったとしたら…
SQL> select * from emp;
EMPNO ENAME
JOB
---------- -----------------------------7369 SMITH
7499 ALLEN
7521 WARD
7566 JONES
7654 MARTIN
7698 BLAKE
7782 CLARK
7788 SCOTT
7839 KING
7844 TURNER
7876 ADAMS
7900 JAMES
7902 FORD
7934 MILLER
9999 KISHIMOTO

MGR HIREDATE
SAL
COMM
DEPTNO
--------------------------- ---------- ---------- ---------- ---------- ---------CLERK
7902 17-DEC-80
800
20
SALESMAN
7698 20-FEB-81
1600
300
30
SALESMAN
7698 22-FEB-81
1250
500
30
MANAGER
7839 02-APR-81
2975
20
SALESMAN
7698 28-SEP-81
1250
1400
30
MANAGER
7839 01-MAY-81
2850
30
MANAGER
7839 09-JUN-81
2450
10
ANALYST
7566 19-APR-87
3000
20
PRESIDENT
17-NOV-81
5000
10
SALESMAN
7698 08-SEP-81
1500
0
30
CLERK
7788 23-MAY-87
1100
20
CLERK
7698 03-DEC-81
950
30
ANALYST
7566 03-DEC-81
3000
20
CLERK
7782 23-JAN-82
1300
10
CONS
01-MAY-03
5000000
10
4
5

Agenda
? V$sql
? Logmnr

? Trigger
? Audit
? FGA

Unified Auditing
6

今日はDB監査製品”PISO”の話はありません
7

v$sqlの特徴
1. 共有プールに蓄積されているSQL情報を参照する

V$ビュー
2. 取得できる情報=実行時間(キャッシュにロードされた
時間)、実行したOracleユーザ、SQL文
3. LRUアルゴリズムにより、最近使われていないSQL情
報はキャッシュアウトされる(Aged-out)
select * from v$sql;
8

v$sqlやってみた
Select a.username,s.first_load_time,s.sql_fulltext from v$sql s,all_users a
where a.user_id=s.PARSING_USER_ID
and lower(sql_fulltext) like ‘%emp%’;
USERNAME
-----------------------------------------------------------------------------------------FIRST_LOAD_TIME
----------------------------------------------------------------------------------------------SQL_FULLTEXT
-----------------------------------------------------------------------------------------------------XPRT
2011-10-12/11:35:39
insert into EMP(EMPNO,ENAME,JOB,HIREDATE,SAL,DEPTNO) values
(9999,'KISHIMOTO','CONS',TO_DATE('20030501','YYYYMMDD'),5000000,
10)
9

Logmnr
1. REDOログやArchivelogファイルから更新トランザク

ション情報を捕捉する機能
2. 取得できるデータ:実行時間,Oracleユーザ名,SQL文,変
更前後データ
Logmnr利用手順

10

1. 対象のREDOログ or Archivelogを指定する
SQL> EXEC
DBMS_LOGMNR.ADD_LOGFILE('+DISK_TABLE/lx50/onlinelog
/group_1.257.730315617',DBMS_LOGMNR.NEW);
2. ディクショナリの指定
SQL> EXEC
dbms_logmnr.start_logmnr(OPTIONS=>DBMS_LOGMNR.DICT
_FROM_ONLINE_CATALOG);
3. V$logmnr_contentsによるデータ取得
select * from v$logmnr_contents where seg_name='EMP‘
4. Logmnrの終了
SQL> EXECUTE DBMS_LOGMNR.END_LOGMNR;
11

Logmnrやってみた
SQL> select * from v$logmnr_contents where seg_name='EMP';
88915714
0A001F00EC290000

10/11 14:43:00

10

31

DDL
EMP
EMP

10732 0A001F00EC290000

5

10

31

10732

0 XPRT

2 TABLE
AAAAAAAAAAAAAAAAAB

UNKNOWN
UNKNOWN
UNKNOWN
0

0

0

UNKNOWN
1
1
161
6
create table emp as select * from scott.emp;
0x0000a1.00000006.00ac
0
16520

172

3

0

0

0

0

0

0

0

41891

1

0

0 USER DDL (PlSql=0 RecDep=0)

16521

88915958
07000300F8290000

10/11 14:45:06

INSERT
EMP
EMP
XPRT
UNKNOWN
UNKNOWN
UNKNOWN

7

3

10744 07000300F8290000

1

7

3

10744

0 XPRT

2 TABLE
AAAKOjAAHAAAD+5AAA

0

0

0

UNKNOWN
1
1
161
44
444
3 12583784
26
7098
7
7
16313
41891
0
41891
insert into "XPRT"."EMP"("EMPNO","ENAME","JOB","MGR","HIREDATE","SAL","COMM","DEPTNO") values ('9999','KISHIMOTO','CONS',NULL,TO_DATE('05/01 00:00:00', 'mm/dd
hh24:mi:ss'),'5000000',NULL,'10');
delete from "XPRT"."EMP" where "EMPNO" = '9999' and "ENAME" = 'KISHIMOTO' and "JOB" = 'CONS' and "MGR" IS NULL and "HIREDATE" = TO_DATE('05/01 00:00:00', 'mm/dd
hh24:mi:ss') and "SAL" = '5000000' and "COMM" IS NULL and "
DEPTNO" = '10' and ROWID = 'AAAKOjAAHAAAD+5AAA';
0x0000a1.0000002c.01bc
0
0 no supplemental log data found
3
16592
16593
本番機でlogmnrぐりぐりやったら怒られる
よね(多分)

対象database

1. ディクショナリを出力するディレクトリを指定 --初期化パラメタutl_file_dirにディレクトリの
指定が必要
BEGIN
DBMS_LOGMNR_D.build (
-ログデータ
dictionary_filename => 'logmnr.log',
-ディクショ
dictionary_location => '/tmp');
対象DB
分析DB
ナリデータ
END;
/
対象DB#2

分析database
1. ftpでredo log or archivelogをget
2. ftpでディクショナリファイルをget
3. 分析対象ログファイルを指定
SQL> EXEC
DBMS_LOGMNR.ADD_LOGFILE('/tmp/redo1.log',DBMS_LOGMNR.NEW);
4. ディクショナリファイルの指定
SQL> execute dbms_logmnr.start_logmnr(dictfilename=>'/tmp/logmnr.log');
5. v$logmnr_contentsでデータ取得
SQL> select * from v$logmnr_contents where seg_name='EMP';

12
13

あのうちasmにREDO logあるんだけど
SQL> select GROUP#,MEMBER from v$logfile;
GROUP# MEMBER
---------- ---------------------------------------------------------------------------------------------------1 +DISK_TABLE/lx50/onlinelog/group_1.257.730315617
2 +DISK_TABLE/lx50/onlinelog/group_2.258.730315849
3 +DISK_TABLE/lx50/onlinelog/group_3.259.730316073
4 +DISK_TABLE/lx50/onlinelog/group_4.260.730316305
5 +DISK_TABLE/lx50/onlinelog/group_5.267.730320225
6 +DISK_TABLE/lx50/onlinelog/group_6.268.730320515
7 +DISK_TABLE/lx50/onlinelog/group_7.269.730320789
8 +DISK_TABLE/lx50/onlinelog/group_8.270.730321081
-asmcmdにてファイルシステムにCOPYして下さい。
ASMCMD> cp '+DISK_TABLE/lx50/onlinelog/group_1.257.730315617' /tmp/redo2.log
copying +DISK_TABLE/lx50/onlinelog/group_1.257.730315617 -> /tmp/redo2.log
14

Logmnr -ログファイル転送時の注意点1. 分析対象と同じデータベース?キャラクタ?セットを使
用している。
JA16EUCTILDE->AL32UTF8はできた
2. 同じハードウェアプラットフォームで稼動している。
3. DB_BLOCK_SIZEが同一である。
4. バージョンがR8.0以上である。
10gR2->11gR2でもできた
15

↑ここまで作
りこみ不要
ここから作り
こみ必要↓
16

Audit
Oracleが提供するDBアクセス監査機能
設定手順
# 初期化パラメタaudit_trailの設定
audit_trail=DB
# 監査の設定
audit insert,update,delete on xprt.emp;
監査ログ

sys.aud$
表
or
Audit_file_dest
ディレクトリ配
下のファイル
Auditやってみた -AUD$出力編#初期化パラメタaudit_trailの設定 #audit_trail変更時はDB再起動が必
要
SQL> sho parameter audit_trail
NAME
TYPE
VALUE
------------------------------------ --------------------------------- , EXTENDED
-----------------------------audit_trail
string
DB

#監査の設定

SQL> audit insert,update,delete on xprt.emp;
Audit succeeded.

#監査ログの確認(DBアクセスのWho,Where,When,Howが取得される)
SQL> Select OS_USERNAME,USERNAME,USERHOST,TERMINAL,TIMESTAMP,OWNER,OBJ_NAME,SES_ACTIONS,SQL_TEXT
from dba_audit_object;
oracle
XPRT
INSIGHT10-db1
pts/1
10/13 15:42:31 XPRT
EMP
------S--------insert into EMP(EMPNO,ENAME,JOB,HIREDATE,SAL,DEPTNO) values
(9999,'KISHIMOTO','CONS',TO_DATE('20030501','YYYYMMDD'),5000000,10)
oracle
#失敗したアクセスも取得される
SCOTT
connect scott
INSIGHT10-db1
SQL> insert into xprt.emp(EMPNO,ENAME,JOB,HIREDATE,SAL,DEPTNO) …
pts/1
ORA-01031: insufficient privileges
10/13 16:03:48 XPRT
EMP
------F--------insert into xprt.EMP(EMPNO,ENAME,JOB,HIREDATE,SAL,DEPTNO) values
(8888,'OBATA','CONS',TO_DATE('20030501','YYYYMMDD'),50,10)

17
Auditやってみた -OSファイル出力編#初期化パラメタaudit_trailの設定
SQL> sho parameter audit
NAME
TYPE
VALUE
------------------------------------ --------------------------------- -----------------------------audit_trail
string
OS
audit_file_dest
string
/u01/app/oracle/admin/ora112d/adump

#監査の設定
SQL> audit select on scott.emp;
Audit succeeded.

#監査ログの確認(DBアクセスのWho,Where,Whenが取得される)
Audit file /u01/app/oracle/admin/ora112d/adump/ora112d1_ora_27606_1.aud
Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, Real Application Clusters, Automatic Storage Management, OLAP,
Data Mining and Real Application Testing options
ORACLE_HOME = /u01/app/oracle/product/11.2.0/dbhome_1
System name: Linux
Node name:
RH5-64-112-node1-p
aud$表出力 or OSファイル出力でも
Release:
2.6.18-92.el5
Select文によるアクセスでもログ取得が可能
Version:
#1 SMP Tue Apr 29 13:16:15 EDT 2008
Machine:
x86_64
VM name:
VMWare Version: 6
Instance name: ora112d1
Redo thread mounted by this instance: 1
Oracle process number: 53
Unix process pid: 27606, image: oracle@RH5-64-112-node1-p (TNS V1-V3)
Thu Oct 13 19:11:54 2011 +09:00
LENGTH: "317"
SESSIONID:[6] "163305" ENTRYID:[1] "1" STATEMENT:[2] "11" USERID:[5] "SCOTT" USERHOST:[18] "RH5-64-112-node1p" TERMINAL:[5] "pts/1" ACTION:[3] "103" RETURNCODE:[1] "0" OBJ$CREATOR:[5] "SCOTT" OBJ$NAME:[3] "EMP"
SES$ACTIONS:[16] "---------S------" SES$TID:[5] "75335" OS$USERID:[7] "ora112d" DBID:[10] "3195200308"

18
19

Auditやってみた -注意点監査ログ出力のオーバーヘッドにより、DBアクセスが遅くな
ります。

#audit設定なし
SQL> select * from scott.dept;
Elapsed: 00:00:00.31
#audit設定あり
SQL> select * from xprt.dept;
Elapsed: 00:00:00.72
Audit負荷検証

20
Audit CPU負荷検証結果

21
Audit CPU負荷検証結果

22
23

FGA
1. FGA(Fine Grained Auditing機能)はAudit

よりきめ細やかな監査設定が可能
2. EE版限定機能
3. Auditと同じで負荷は考慮する必要あり
24

FGAやってみた
SQL> BEGIN
DBMS_FGA.ADD_POLICY(
OBJECT_SCHEMA => 'SCOTT',
OBJECT_NAME => 'EMP',
STATEMENT_TYPES => 'INSERT,UPDATE,DELETE,SELECT',
AUDIT_COLUMN => 'SAL',
AUDIT_CONDITION => 'SAL>1000000 ,
POLICY_NAME => 'AUDIT_ACCESS_TO_EMP');
END;
/
SQL> SELECT * FROM dba_fga_audit_trail;
170557 11-10-17 SCOTT
piso112d
RH5-64-112-node1-p

piso112d
SCOTT
EMP
AUDIT_ACCESS_TO_EMP
6981053
insert into EMP(EMPNO,ENAME,JOB,HIREDATE,SAL,DEPTNO) values
(9997,'KISHIMOTO','CONS',TO_DATE('20030501','YYYYMMDD'),5000000,10)

INSERT
16859

11-10-17 10:49:16.906690 +09:00
1
08000D0012090000
26
8
3195200308
25

FGAやってみた
BEGIN
DBMS_FGA.ADD_POLICY(
OBJECT_SCHEMA => 'SCOTT',
OBJECT_NAME => 'EMP',
STATEMENT_TYPES => 'INSERT,UPDATE,DELETE,SELECT',
AUDIT_COLUMN => 'SAL',
AUDIT_CONDITION => 'SAL>1000000 ,
POLICY_NAME => 'AUDIT_ACCESS_TO_EMP');
END;
/

SQL> select * from emp;
SQL> insert into emp(empno,sal) values(8888,1000);
?監査条件に合致しないので
SQL> insert into emp(empno,sal) values(7777,1000001); 監査ログは取得されない
SQL> select timestamp,sql_text from dba_fga_audit_trail:
TIMESTAMP
SQL_TEXT
-------------- ---------------------------------------------------------------------------------------------10/17 11:08:19 select * from emp
10/17 11:33:21 insert into emp(empno,sal) values(7777,1000001)
26

DML Trigger
1. DML triggerを作成し、セッション情報を捕捉することが

できる
2. 自律型トランザクションの宣言をすればトランザクショ
ンに負荷を与えずにログ取得が可能

~通常のトランザクション~
~自律型トランザクション~
トランザクション
トランザクション
開始
開始

Insert into emp values(…);
Triggerによりストアドプロシー
ジャが実行される

トランザクション
開始
Triggerによりストアドプロシー
ジャが実行される

Commit/Roleback
Commit/Roleback
Commit/Roleback
トランザクション
トランザクション
終了
終了

トランザクション
終了
27

DML Triggerやってみた
create table audit_emp
( SDATE
DATE
, USERNAME
VARCHAR2(30)
, OSUSER
VARCHAR2(30)
, TERMINAL
VARCHAR2(30)
, MODULE
VARCHAR2(48)
, EVENT
VARCHAR2(10))
/
create or replace TRIGGER audit_emp_dml
before insert or update or delete on scott.emp
declare
PRAGMA AUTONOMOUS_TRANSACTION;
--自律型トランザクションの宣言
v_event varchar2(6);
begin
case
when inserting then
v_event := 'INSERT';
when updating then
v_event := 'UPDATE';
when deleting then
v_event := 'DELETE';
end case;
insert into scott.audit_emp values(
sysdate
,SYS_CONTEXT(‘USERENV’,‘SESSION_USER’)
,SYS_CONTEXT(‘USERENV’,‘OS_USER’)
,SYS_CONTEXT(‘USERENV’,‘TERMINAL’)
,SYS_CONTEXT(‘USERENV’,‘MODULE’)
,v_event);

–Oracleユーザ情報
--OSユーザ情報
-端末情報
--モジュール情報

commit;
end;
/
SQL> insert into EMP(EMPNO,ENAME,JOB,HIREDATE,SAL,DEPTNO) values (9999,'KISHIMOTO','CONS',TO_DATE('20030501','YYYYMMDD'),5000000,10);
SQL> select * from audit_emp
SDATE
USERNAME
OSUSER
TERMINAL
MODULE
EVENT
-------------- ------------------------------ ------------------------------ ------------------------------ ------------------------------------------------ ---------10/17 21:51:32 SCOTT
oracle
pts/3
SQL*Plus
INSERT
28

まとめ1
v$sql
特徴

取得可能
な監査証
跡

Logmnr

DML Trigger

共有プールにキャッシュされて REDOログ,Archivelogに記録さ
DML Triggerを作成し、監査証跡を
いるSQL情報をv$sqlビューで取 れているトランザクションログ
データ出力
得
を取得

実行時間
Oracleユーザ名
SQL文

メリット データ取得に際し、事前準備は不要

監査証跡として取得できるデータは限られて
いる
デメリッ
インスタンス再起動もしくは時間が経つと
ト
キャッシュアウトされデータが取得ができな
くなる

実行時間
Oracleユーザ名
SQL文
変更前データ
変更後データ

データ取得に際し、事前準備は不要
REDOログ,Archivelogをコピーすれば
別サーバ上で分析が可能

監査証跡として取得できるデータは限られて
いる
データ量が多いので長期保存するには向かな
い

実行時間
Oracleユーザ名
クライアント情報
(OSユーザ名,プログラム名,端末情報)
イベント名
(insert,update,delete,truncate,alter)
変更前データ
変更後データ

自律型トランザクションによりログを取得するように
すれば
トランザクションに直接影響を与えずにログ取得が可
能

select文は取得できない
sql文は取得できない
29

まとめ2
Audit

特徴

取得可能な監
査証跡

FGA

初期化パラメタaudit_trailを設定後、
表単位で監査対象を選択

DBMS_FGAパッケージにて表のカラム,
条件指定で監査対象データを指定

実行時間
Oracleユーザ名
クライアント情報
(OSユーザ名,プログラム名,端末情報)
SQL文

実行時間
Oracleユーザ名
クライアント情報
(OSユーザ名,プログラム名,端末情報)
SQL文

メリット

監査証跡データとして必要なアクセス記録
(Who,When,Where,How)が取得できる

監査証跡データとして必要なアクセス記録
(Who,When,Where,How)が取得できる
カラム,条件指定を利用すればAuditより、きめ細やか
な監査対象の指定ができる

デメリット

Oracleの負荷を懸念する必要有

Oracleの負荷を懸念する必要有
EE版でないと機能は使えない
12c新機能:Unified Auditing
1.

30

Audit文で表毎に監査設定をする必要がない
--ポリシの作成
CREATE AUDIT POLICY dml_pol
ACTIONS DELETE on hr.employees1,
INSERT on hr.employees2,
UPDATE on hr.employees3,
ALL on hr.departments;
--監査の開始
Audit policy dml_pol except scott;

2.

事前設定は不要
1)初期化パラメタaudit_trailは設定不要
2)ネットの記事などには以下のコマンドを実行する手順が掲載されているが、実行しなくても利用可能
make -f ins_rdbms.mk uniaud_on ioracle ORACLE_HOME=$ORACLE_HOME
※デフォルト設定は下位互換性サポート
=Mixed Mode Auditing
? 12cのテ ータヘ ースは、従来のAuditとUnified Auditingの両方か 使用可能
? インストール時は、いす れも使用可能なMixed モート
動作
? Mixed モート の場合は、AUDIT_SYS_OPERATIONのSYSDBAのロク ファイルは 従来通りOSのテ ィレクトリ上に出力さ
れる
? また、RMANやDatapump等のユーティリティのロク は、Unified Auditingに統合されない

3.

監査情報の拡張
RMAN,Datapumpなど

4.
5.

FGAの機能は統合され、監査条件、除外条件の指定が可能
監査ログへの書込みはキュー書込みモードが採用され、パフォーマンスが向上
31

Unified auditing監査ログ書込み方式
32

Unified auditingの新アーキテクチャ
33

負荷検証 in 12c on RHEL6.4
No Audit
100
80
60

40
20
0
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41
CPU使用率

Immediate Mode
100
90
80
70
60
50
40
30
20
10
0

CPU使用率

1 4 7 10 13 16 19 22 25 28 31 34 37 40 43 46 49 52 55

Queue Mode
100
90
80
70
60
50
40
30
20
10
0

CPU使用率

1 3 5 7 9 11131517192123252729313335373941
34

ご清聴ありがとうございました
35

More Related Content

Oracle DML Auditing Technique