informix安全审计相关的内容

1，adtcfg配置文件：

位于${INFORMIXDIR}/aaodir/ 目录下；

2，onaudit 配置程序：用法

Onaudit -- Audit Subsystem Configuration Utility

Usage: onaudit <action> [-f file] [-u name] [-r bmsk] [-e eset] [-y]
       onaudit [-c] [-n] [-l lev] [-e err] [-p path] [-s size]
action: one of
    -a   -- add a mask
    -d   -- delete a mask
    -m   -- modify a mask
    -o   -- output a mask
 -r bmsk -- name of basemask
 -c      -- print audit configuration
 -n      -- start new log file
 -l lev  -- set ADTMODE
 -e err  -- set ADTERR
 -p path -- set ADTPATH
 -s size -- set ADTSIZE
 -f file -- include instruction file
 -u mask -- name of target/mask
 -e eset -- event set added to (+) or removed from (-) mask
 -y      -- respond yes to all prompts

3，onshowaudit 实用程序，用于显示审计信息。

开启审计的方法
1）通过修改adtcfg配置文件参数ADTMODE 的值。 此方法需要重启数据库才生效。
2）通过onaudit -l 1 修改ADTMODE的方式使之后的会话都审计，且修改配置文件adtcfg的值，使重启后也生效。

配置文件adtcfg各参数的含义

ADTMODE         0                       # Auditing mode
ADTPATH         /opt/informix/aaodir    # Directory where audit trails will be written by OnLine
ADTSIZE         50000                   # Maximum size of any single audit trail file
ADTERR          0                       # Error handling modes.

特别指出ADTMODE的含义（以下内容来源于网络）
ADTMODE=1 写到informix审计记录中。不自动审计DBSSO和DBSA活动。
ADTMODE=2 写到操作系统的审计记录中。这个选项只在操作系统支持审计的时候才会生效。不自动审计DBSSO和DBSA的活动。
ADTMODE=3 写到INFORMIX审计记录中。自动审计所有的DBSSO活动。
ADTMODE=4 写到操作系统审计记录中。自动审计所有的DBSSO活动。
ADTMODE=5 写到INFORMIX审计记录中。自动审计DBSA活动。
ADTMODE=6 写到操作系统审计记录中。自动审计DBSA活动。
ADTMODE=7 写到INFORMIX审计记录中。自动审计所有DBSSO和DBSA活动

同可以使用onaudit修改ADTMODE参数一样，亦可使用onaudit命令修改adtcfg中的其它参数（见onaudit语法）。

设置审计掩码
使用onaudit 设置维护审计掩码，即onaudit 实用程序的action部分
1，增加掩码，_default,_require和_exclude掩码（以上3种为以"_"开头的模版掩码中的特殊掩码）和用户掩码；

    onaudit -a -u _default -e +ACTB        --增加 _default掩码，值为增加ACTB
    onaudit -a -u _require -e +GRDB        --增加 _require掩码，值为增加GRDB
    onaudit -a -u _exclude -e +RDRW        --增加 _exclude掩码，值为增加RDRW
    onaudit -a -u _ifx     -e +CRIX        --增加 _ifx 模版掩码，值为增加CRIX
    onaudit -a -u informix -e +UPRW        --增加 informix用户掩码，值为UPRW

2，修改掩码，使用onaudit -m

    onaudit -m -u _default -e +OPDB              --修改 _default掩码，值为增加OPDB

3，删除掩码，使用onaudit -d

    onaudit -d -u _default                       --删除 _default掩码

4，显示掩码

    onaudit -o

关于掩码的具体信息，请参考 Security in IBM Informix Dynamic Server 一书

示例配置informix审计

设置审计目录为默认 onaudit -p ${INFORMIXDIR}/aaodir

1，使用onaudit开启审计

    onaudit -l 1

2，仅设置针对informix用户的DLRW，UPRW两项操作，其中UPRW操作为成功的操作

    onaudit -a -u informix -e +DLRW,SUPRW

在4位掩码前加F表示失败操作，S表示成功，不加表示均记录; +表示增加掩码，-表示减去
通过onaudit -o 显示刚增加的掩码，应有刚增加的记录

然后，使用informix用户测试更新/删除表里的记录

3，测试操作完成后，通过onshowaudit查看审计记录

示例：

informix% onshowaudit

ONSHOWAUDIT Secure Audit Utility
INFORMIX-SQL Version 11.50.UC6    
ONLN|2010-11-08 15:46:06.000|suse10|10311|ids11_online_net|informix|0:UPRW:testdb:103:3145732:261:3145732:261

ONLN|2010-11-08 15:46:15.000|suse10|10311|ids11_online_net|informix|0:DLRW:testdb:103:3145732:261

简单解释下各字段的含义：
ONLE-online server,时间字段,会话号,INFORMIXSERVER,用户,审计信息结果

4，删除掩码

    onaudit -d -u informix

5，停止审计

    onaudit -l 0