A  B  C  D  E  F  G  H  I  J  K  L  M  N  O  P  Q  R  S  T  U  V  W  X  Y  Z  Sonderzeichen  sybase-tech-blog

  Bookmark us:
  
  
  RSS:
  Add to Google
Web de.sybinfo.org

what's new (latest 20)
UnpinUnpin
dbcc dbrebootdbcc dbreboot
sybmonsybmon
Pluggable Component Interface (PCI)Pluggable Component Interface
lct_admin("lastchance")lct_admin("lastchance&quo
sp_displayrolessp_displayroles
keep countkeep count
sp_activerolessp_activeroles
Locking SchemaLocking Schema
Stored ProceduresStored Procedures
TRIGGER EVENTTRIGGER EVENT
Virtual Page SizeVirtual Page Size
ALTER EVENTALTER EVENT
Join OperatorenJoin Operatoren
Joins: StrategienJoins: Strategien
CREATE EVENTCREATE EVENT
EreignisseEreignisse
AUDITING-OptionAUDITING-Option
sa_enable_auditing_typesa_enable_auditing_type
AuditingAuditing
internal
goto: contact
goto: disclaimer


Kategorie: ASE: Auditing

Auditing

Auditing, wurde im ASE, mit Version 10 eingeführt und seither beständig verbessert und verfeinert, bevor es in Version 11.5 signifikant überarbeitet wurde. Auditing ist ein grundlegendes Element im Rahmen der Serversicherheit, denn worauf es in jedem Sicherheitskonzept ankommt ist, über Unregelmäßigkeiten Rechenschaft ablegen zu können. Zu diesem Zweck ermöglicht ASE Audit Protokolle zu erstellen, um beispielsweise Einbrüche ins System oder Missbrauch von Ressourcen zu ermitteln. Der ASE Auditingprozess kann folgende Szenarien protokollieren

  • Nutzungsdauer des Systems durch einzelne Benutzer
  • Welche Objekte in der Datenbank werden genutzt?
  • Wie werden Daten manipuliert? Aufzeichnung der DML
  • Nicht authorisierte Zugriffsversuche auf Datenbank oder Datenserver
Mit Hilfe dieser Protokollfunktionen ist der System Security Officer (siehe auch Rollen), jederzeit in der Lage Auskunft über Aktivitäten auf dem System zu geben oder nachzuvollziehen. Der SSO ist der einzige, der in der Lage ist, Auditing an- oder auszuschalten, zu konfigurieren und auszuwerten.

Komponenten des Auditing Systems

Das ASE Auditing System besteht aus diesen Komponenten:

  • Die sybsecurity Systemdatenbank
  • Die Audit Queue, eine Speicherstruktur, die Auditeinträge puffert, bis sie endgültig ins Protokoll geschrieben werden
  • Konfigurationsparameter zur Verwaltung des Auditing Systems
  • zur Verwaltung des Auditing Systems

Das Auditprotokoll

ASE speichert das Auditing Protokoll in den Systemtabellen sysaudits_01 bis sysaudits_08. Die Anzahl der Systemtabellen wir bei der Installation des Auditsystems festgelegt, kann aber jederzeit erweitert werden. Es wird immer nur in eine der Tabellen geschrieben. Diese ist dann die aktive Tabelle, in die alle Protokolldaten geschrieben werden. Der sso kann die aktive Tabelle mit Hilfe der System Prozedur sp_configure ändern. Das Auditing System schreibt Protokolldaten erstmal in einen Puffer im Speicher, die Audit Queue. Von dort werden sie, durch den periodisch laufenden Audit Prozess, in die aktive Auditingtabelle übertragen. Nähert sich die Tabelle ihrem maximalen Füllgrad, können die Daten mit Hilfe einer Schwellwertaktionsprozedur (engl.: threshold action) in eine andere Datenbank übertragen und von dort archiviert werden.

Audit Konfigurationsoptionen

Mit diesen Konfigurationsoptionen kann der Auditing Prozess beeinflusst werden:

  • auditing - schaltet Auditing serverweit ein oder aus. Das Protokoll wird erst geschrieben, wenn diese Option eingeschaltet ist. Diese Option ist dynamisch, ASE muss also nicht gebootet werden, um sie zu aktivieren.
  • audit queue size - bestimmt die Größe der Audit Queue Speicherstruktur. Diese Option ist dynamisch.
  • suspend audit when device full - Bestimmt, wie der Audit Prozess sich bei vollem Auditdevice verhält. Mit dem Wert "1" stoppt ASE den Auditprozess und alle auditierbaren User, bei "0" trunkiert der Server die nächste Audittabelle und nutzt diese für die Protokollierung. Auch diese Option ist dynamisch.
  • current audit table - bestimmt, mit Hilfe von sp_configure die aktive Audittabelle. Diese Konfigurationsoption ist dynamisch.

Audit Systemprozeduren

Mit diesen System Prozeduren kann man das Auditsystem verwalten:

  • sp_audit - schaltet Auditeventoptionen an oder aus.
  • sp_displayaudit - zeigt eine Liste der aktiven Auditoptionen
  • sp_addauditrecord - fügt benutzerdefinierte Kommentare zum Auditprotokoll hinzu. Geht nur, wenn der SSO mittels sp_audit die Option ad hoc auditing aktiviert hat.