Início / dba / Perguntas / 29254
Accepted
Centurion
Asked: 2012-11-26 07:30:56 +0800 CST

É possível monitorar a função e conceder/revogar privilégios usando gatilhos?

  • 772

É possível monitorar a função e conceder/revogar privilégios usando gatilhos? Estou ciente de fazer isso usando as ferramentas de auditoria da Oracle, no entanto, é interessante se é possível fazer isso usando gatilhos.

oracle trigger

3 respostas

  1. Best Answer

    Você poderia fazer isso com gatilhos DDL ( [before|after] grantou revoke).

    Os documentos estão no Oracle® Database PL/SQL Language Reference . Você deve examinar cuidadosamente a tabela de funções de atributos de eventos e a seção Funções de atributos de eventos para acionadores de eventos do cliente para saber quais informações estão disponíveis nesses contextos.

    Aqui está um gatilho de exemplo (provavelmente incompleto, este é apenas um exemplo) que registraria informações básicas sobre grante revokeeventos, assumindo uma logtabela com colunas apropriadas:

    create or replace trigger trigger1 after grant or revoke on database
  declare
    priv  dbms_standard.ora_name_list_t;
    who   dbms_standard.ora_name_list_t;
    npriv pls_integer;
    nwho  pls_integer;
  begin
    npriv := ora_privilege_list(priv);
    if (ora_sysevent = 'GRANT') then
      nwho := ora_grantee(who);
    else
      nwho := ora_revokee(who);
    end if;
    for i in 1..npriv
    loop
      for j in 1..nwho
      loop
        insert into log values
          (
            systimestamp,
            ora_sysevent,
            who(j),
            priv(i),
            ora_dict_obj_owner,
            ora_dict_obj_name
          );
      end loop;
    end loop;
  end;

    Exemplo:

    SQL> grant select on log to bar;
Grant succeeded.

SQL> revoke select on log from bar;
Revoke succeeded.

SQL> select * from log;
DT                           WHAT   WHO PRIV   OWN OBJ
25-NOV-12 05.29.19.095403 PM GRANT  BAR SELECT MAT LOG
25-NOV-12 05.29.27.004610 PM REVOKE BAR SELECT MAT LOG
    • 6

  2. Melhoria: Adicionado usuário de login, endereço IP. Isso mostrará quem deu concessão ou revogação.

    Tabela de registro

    create table log ( 
    Action_DaTe date
    , Pvs_name varchar2(15)
    , PRIVILEGE varchar2(30)
    , OWNER varchar(20)
    , OBJECT_NAME varchar2(30)
    , Username varchar2(30)
    , login_user varchar2(20)
    , IP_address varchar2(15)
);

    Gatilho modificado

    create or replace trigger gr_trigger after grant or revoke on database
  declare
    priv  dbms_standard.ora_name_list_t;
    who   dbms_standard.ora_name_list_t;
    npriv pls_integer;
    nwho  pls_integer;
  begin
    npriv := ora_privilege_list(priv);
    if (ora_sysevent = 'GRANT') then
      nwho := ora_grantee(who);
    else
      nwho := ora_revokee(who);
    end if;
    for i in 1..npriv
    loop
      for j in 1..nwho
      loop
        insert into log values
          (
            systimestamp,
            ora_sysevent,
            priv(i),
            ora_dict_obj_owner,
            ora_dict_obj_name,
            who(j),
            ora_login_user,
            (NVL(ora_client_ip_address, 'N/A'))
          );
      end loop;
    end loop;
  end;
    • 0

  3. Observe que npriv é NULL para novos nomes de ação Oracle 12c GRANT INHERIT PRIVILEGES e REVOKE INHERIT PRIVILEGES, portanto, seu código deve incluir uma verificação para npriv is NOT NULL antes de FOR LOOP para evitar erros em ORA-06502: PL/SQL: numeric or value erro.

    Exemplo:

    se npriv não for nulo, então for i in 1..npriv loop ... ... end if;

    • 0

relate perguntas