db2audit 審計 (適用於db2 9.7)
查看審計狀態
db2audit describe
審計實例1
將審計功能配置成只記錄失敗的 AUDIT 和 VALIDATE 事件,
並使用 NORMAL 錯誤處理選項。為此,發出以下 db2audit 命令:
db2audit configure scope validate status failure errortype normal
db2audit configure scope audit status failure errortype normal
審計實例2
為了將審計功能配置成監視所有事件類型,同時記錄成功的和失敗的嘗試,
並且使用 AUDIT 錯誤處理選項,可發出以下 db2audit 命令:
db2audit configure scope all status both errortype audit
刷新審計日志到磁盤
db2audit flush
審計日志歸檔
如果需要提前審計日志,需要將審計日志歸檔,否則報錯:
AUD0036N Extract can not be performed on the active audit log file "/home/db2inst1/sqllib/security/auditdata/db2audit.db.SAMPLE.log.0".
1、歸檔實例審計日志(默認)
db2audit archive
2、歸檔數據庫審計日志
db2audit archive database perbank
提取設計日志
1、提取日志到文件
db2audit extract file instance.aud from files db2audit.instance.log.0.20161012143559
db2audit extract file db.aud from files db2audit.db.PERBANK.log.0.20161012133839
2、提取日志到數據庫
首先提取日志到定界ascii,然后導入數據庫
每種審計類別的日志格式有差異,需要根據根據每種日志類別建立日志表
mkdir output
db2audit extract delasc delimiter ! to output from files db2audit.instance.log.0.20161012165310
db2audit extract delasc delimiter ! to output from files db2audit.db.PERBANK.log.0.20161012165131
創建審計日志表
create table audit_result(
aud_timestamp timestamp,
category varchar(8),
audit_event varchar(32),
event_correlator int,
event_status int,
userid varchar(1024),
authid varchar(128),
application_id varchar(128),
application_name varchar(128),
instance_name varchar(128),
hostname varchar(128)
)
將審計日志寫入表
db2 load from audit.del of del modified by chardel! insert into audit_result nonrecoverable
審計對特定表的任何訪問的示例
請考慮這樣一家公司,其 EMPLOYEE 表包含非常敏感的信息,並且該公司希望審計對該表中的數據的任何和所有 SQL 訪問。
可以使用 EXECUTE 類別來跟蹤對表的所有訪問;該類別審計 SQL 語句,並可以選擇審計在執行時為該語句提供的輸入數據值。
跟蹤該表上的活動需要執行兩個步驟。首先,安全性管理員創建一個指定 EXECUTE 類別的審計策略,然后安全性管理員將該策略與表關聯:
CREATE AUDIT POLICY SENSITIVEDATAPOLICY
CATEGORIES EXECUTE STATUS BOTH ERROR TYPE AUDIT
COMMIT
AUDIT TABLE EMPLOYEE USING POLICY SENSITIVEDATAPOLICY
COMMIT
審計 SYSADM 或 DBADM 執行的任何操作的示例
為了完成安全合格證書,一家公司必須表明能夠監視數據庫內由擁有系統管理(SYSADM)或數據庫管理(DBADM)權限
的那些人執行的任何和所有活動。
要捕獲數據庫內的所有操作,應審計 EXECUTE 和 SYSADMIN 類別。安全性管理員創建一個審計這兩種類別的審計策略。
安全性管理員可以使用 AUDIT 語句將此審計策略與 SYSADM 和 DBADM 權限關聯。然后,擁有 SYSADM 或 DBADM 權限
的任何用戶將記錄任何可審計事件。以下示例顯示如何創建這種審計策略並將它與 SYSADM 和 DBADM 權限關聯:
CREATE AUDIT POLICY ADMINSPOLICY CATEGORIES EXECUTE STATUS BOTH,
SYSADMIN STATUS BOTH ERROR TYPE AUDIT
COMMIT
AUDIT SYSADM, DBADM USING POLICY ADMINSPOLICY
COMMIT
審計特定角色執行的任何訪問的示例
一家公司允許對其企業數據庫進行 Web 應用程序訪問。使用 Web 應用程序的確切個人未知。只知道使用的角色,該角
色用於管理數據庫權限。該公司希望監視作為該角色成員的任何人的操作,以便檢查他們提交給數據庫的請求並確保他
們只通過 Web 應用程序訪問數據庫。
EXECUTE 類別包含跟蹤這種情況下的用戶活動所需的審計級別。第一步是創建適當的審計策略並將它與 Web 應用程序所
使用的角色關聯(在本示例中,角色為 TELLER 和 CLERK):
CREATE AUDIT POLICY WEBAPPPOLICY CATEGORIES EXECUTE WITH DATA
STATUS BOTH ERROR TYPE AUDIT
COMMIT
AUDIT ROLE TELLER, ROLE CLERK USING POLICY WEBAPPPOLICY
COMMIT
刪除審計策略
AUDIT TABLE T REMOVE POLICY;
DROP AUDIT POLICY SENSITIVEDATAPOLICY;
AUDIT SYSADM, DBADM REMOVE POLICY;
DROP AUDIT POLICY ADMINSPOLICY;
參考:
http://www-01.ibm.com/support/docview.wss?uid=swg21633218
http://www.ibm.com/developerworks/cn/data/library/techarticles/dm-0603wasserman/index.html
https://www.ibm.com/support/knowledgecenter/SSEPGG_9.5.0/com.ibm.db2.luw.wn.doc/doc/i0051525.html
http://www.ibm.com/support/knowledgecenter/zh/SSEPGG_9.7.0/com.ibm.db2.luw.admin.sec.doc/doc/c0050525.html