</p> 3、审计级别9 [! n! [! x9 u( d( ~6 _( _% [( S
当开启审计功能后(audit_trail=DB/OS),可在三个级别对数据库进行审计:Statement(语句) 、Privilege(权限)、object(对象)+ ?7 d2 _* W7 P. Z% @
Statement
# x% C$ M) k7 y3 v1 f0 @7 w1 d 按语句来审计,比如audit table 会审计数据库中所有的create table,drop table,truncate table语句,alter session by cmy会审计cmy用户所有的数据库连接。
3 l2 g+ A- L6 q! Y$ x+ Q) w Privilege6 e4 l7 O6 H' F1 d8 h+ J
按权限来审计,当用户使用了该权限则被审计,如执行grant select any table to a; audit select any table;语句后,当用户a 访问了用户b的表时(如select * from b.t;)会用到select any table权限,故会被审计。注意用户是自己表的所有者,所以用户访问自己的表不会被审计
; F7 T# j0 C/ _" P6 i2 Y0 z, s1 _ Object
+ f) t- T" f2 i" i( f- P! b @ 按对象审计,只审计on关键字指定对象的相关操作,如aduit alter,delete,drop,insert on cmy.t by scott; 这里会对cmy用户的t表进行审计,但同时使用了by子句,所以只会对scott用户发起的操作进行审计.注意Oracle没有提供对schema中所有对象的审计功能,只能一个一个对象审计,对于后面创建的对象,Oracle则提供on default子句来实现自动审计,比如执行audit drop on default by access;后,对于随后创建的对象的drop操作都会审计。但这个default会对之后创建的所有数据库对象有效,似乎没办法指定只对某个用户创建的对象有效,想比 trigger可以对schema的DDL进行“审计”,这个功能稍显不足。& V! w6 }0 @8 Y" Q
4、审计的一些其他选项
6 _7 f# E7 i+ K$ x" z* O1 f- R" x by access / by session :by access 每一个被审计的操作都会生成一条audit trail。 by session,一个会话里面同类型的操作只会生成一条audit trail。 默认为by session
- J6 r' t' W. R0 N whenever [ not ] successful :whenever successful 操作成功(dba_audit_trail中returncode字段为0) 才审计,whenever not successful反之。省略该子句的话,不管操作成功与否都会审计。
& r3 M) b* _% f1 p8 C) H; N 5、和审计相关的视图4 t5 Y8 E% g4 `2 o
dba_audit_trail
: k4 w! O+ h& S) E; x4 V 保存所有的audit trail,实际上它只是一个基于aud$的视图。其它的视图dba_audit_session,dba_audit_object,dba_audit_statement都只是dba_audit_trail的一个子集。6 J2 v, U' Q0 Z* M7 `5 [
dba_stmt_audit_opts( X( |& d, C( L+ u) L3 n/ R
可以用来查看statement审计级别的audit options,即数据库设置过哪些statement级别的审计。dba_obj_audit_opts,dba_priv_audit_opts视图功能与之类似( y$ k6 u1 ^' d0 X
all_def_audit_opts) k% A5 e: q5 {# S2 R
用来查看数据库用on default子句设置了哪些默认对象审计。
! q2 s m3 I6 t5 O0 @* T 6、取消审计
0 `# s" X2 y8 z 将对应审计语句的audit改为noaudit即可,如audit session whenever successful;取消审计noaudit session whenever successful; |