Fine Grained Auditing의 활용

  • 사용자 및 오브젝트의 액세스 패턴 에 관한 Auditing 이외에 보다 정교하고 세분화된 조건을 만족하기 위하여 Fine Grained Auditing 을 사용한다
  • Fine Grained Auditing을 사용하여 다음의 Policy를 구현할 수 있다.
    • 사전에 정의된 조건에 맞는 결과에 대해서만 Audit
    • 지정된 컬럼들 (Any or All) 이 사용된 경우에만 Audit
    • SQL 단위의 Audit ( Select 및 DML 포함)

         

  • 실행 계획

       ① 중요한 테이블과 컬럼의 목록을 작성한다.

② 정보 접근에 대한 감사 기준을 설정한다. (예: salary가 500 이하인 경우는 감사 조건에 포함시키지 않음).

③ 가능한 모든 기준을 감안하여 조건을 조합하며, 하나의 구문이 두 개 이상의 조건에 적용되지 않도록 한다.

④ 정의된 조건을 이용하여 FGA 정책을 구현한다. ( DBMS_FGA.ADD_POLICY)

⑤ FGA 정책을 활성화한다. (AUDIT_TRAIL = DB_EXTEND)

⑥ 일정 시간이 경과한 후 FGA 감사 로그 파일을 분석한다. (DBA_FGA_AUDIT_TRAIL)

⑦ 로그 파일의 삭제를 위한 스케줄을 설정하고 FGA 로그 테이블을 삭제한다.

   

  • 세부적인 Auditing조건을 쉽고 간단하게 Auditing 설정 예

       

       

  • TEST 작업 스크립트

exec dbms_fga.drop_policy(

object_schema => 'SCOTT',

object_name => 'EMP',

policy_name => 'CONA_ACCESS_FGA'

);

begin

dbms_fga.add_policy (

object_schema => 'SCOTT',

object_name => 'EMP',

policy_name => 'EMP_ACCESS_FGA',

audit_column => 'ENAME',

audit_condition => 'SYS_CONTEXT(''USERENV'',''IP_ADDRESS'') NOT IN (''127.0.0.1'',''10.103.90.1'',' ||

'''10.103.90.2'',''10.103.90.3'',''10.103.90.4''' ||

',''10.103.90.12'',''10.103.90.13'',''10.103.90.22'',''10.103.90.23''' ||

',''10.103.90.32'',''10.103.90.33'',''10.103.90.42'',''10.103.90.43'')' ,

statement_types => 'INSERT,UPDATE,DELETE,SELECT',

audit_trail => DBMS_FGA.DB + DBMS_FGA.EXTENDED );

end;

/

 

select ENAME from scott.emp;

select *from scott.emp;

select *from DBA_FGA_AUDIT_TRAIL;

   

블로그 이미지

운명을바꾸는자

IT와 함께 살아가는 삶

,