1、 什么是审计
简单来讲,就是把对数据库的操作记录下来。不管你是否打开数据库的审计功能,用管理员权限连接Instance、启动数据库、关闭数据库操作系统会强制记录。
2、 和审计相关的两个主要参数
Audit_sys_operations
默认为false,当设置为true时,所有sys用户(包括以sysdba,sysoper身份登录的用户)的操作都会被记录
audit_trail 参数的值可以设置为以下几种
1. NONE:不开启
2. DB:开启审计功能
3. OS:审计记录写入一个操作系统文件(如果是windows平台,audti trail会记录在windows的事件管理中,如果是linux/unix平台则会记录在audit_file_dest参数指定的文件中)。
4. TRUE:与参数DB一样
5. FALSE:不开启审计功能。
这个参数是写到spfile里面的,需要重启数据库
3、 审计级别
当开启审计功能后(audit_trail=DB/OS),可在三个级别对数据库进行审计:Statement(语句)、Privilege(权限)、object(对象)
Statement
按语句来审计,比如audit table会审计数据库中所有的create table,drop table,truncate table语句,audit session by edw会审计edw用户所有的数据库连接。
Privilege
按权限来审计,当用户使用了该权限则被审计。如执行grant select any table to edw、 audit select any table语句后,当用户edw访问了用户jbk的表时(如select * from jbk.t;)会用到select any table权限,故会被审计。
Object
按对象审计,只审计on关键字指定对象的相关操作,如audit alter,delete,drop,insert on edw.t by edw; 这里会对edw用户的t表进行审计,但同时使用了by子句,所以只会对edw用户发起的操作进行审计。
注意Oracle没有提供对schema中所有对象的审计功能,只能一个一个对象审计,对于后面创建的对象,Oracle则提供on default子句来实现自动审计,比如执行audit drop on default by access后, 对于随后创建的对象的drop操作都会审计。但这个default会对之后创建的所有数据库对象有效,似乎没办法指定只对某个用户创建的对象有效,相比trigger可以对schema的DDL进行“审计”,这个功能稍显不足。
4、 审计的一些其他选项
by access / by session
:by access 每一个被审计的操作都会生成一条audit trail; by session,一个会话里面同类型的操作只会生成一条audit trail。 默认为by session
whenever [ not ] successful
:whenever successful 操作成功(dba_audit_trail中returncode字段为0) 才审计,whenever not successful反之。省略该子句的话,不管操作成功与否都会审计。
5、 和审计相关的视图
审计相关系统参数查看
审计相关视图
6、 开启审计
起始设置
细化设置
7、 取消审计
全部取消
部分取消