Oracle审计功能详解

精品文档，仅供学习与交流，如有侵权请联系网站删除Oracle审计功能详解一、 审计分类：Oracle中审计总体上可分为“标准审计”和“细粒度审计”后者也称为“基于政策的审计”，在Oracle10G之后功能得到很大增强。其中标准审计可分为用户级审计和系统级审计。用户级审计是任何Oracle用户可设置的审计，主要是用户针对自己创建的数据库表或视图进行审计，记录所有用户对这些表或视图的一切成功和(或)不成功的访问要求以及各种类型的SQL操作。系统级审计只能由DBA设置，用以监测成功或失败的登录要求、监测GRANT和REVOKE操作以及其他数据库级权限下的操作。二、 标准审计：2.1 分类：在ORACLE中分别支持以下三种标准审计类型：u 语句审计，对某种类型的SQL语句审计，不指定结构或对象。u 特权审计，对执行相应动作的系统特权的使用审计。u 对象审计，对一特殊模式对象上的指定语句的审计。这三种标准审计类型分别对如下3方面进行审计：u 审计语句的成功执行、不成功执行，或者其两者。u 对每一用户会话审计语句执行一次或者对语句每次执行审计一次。u 对全部用户或指定用户的活动的审计。当数据库的审计功能打开后，在语句执行阶段产生审计记录。审计记录包含有审计的操作、用户执行的操作、操作的日期和时间等信息。审计记录可存在数据字典表（称为审计记录）或操作系统审计记录中。数据库审计记录是在SYS模式的AUD$表中。2.2 和审计相关的两个主要参数Audit_sys_operations：默认为false，当设置为true时，所有sys用户（包括以sysdba,sysoper身份登录的用户）的操作都会被记录，audit trail不会写在aud$表中，这个很好理解，假如数据库还未启动aud$不可用，那么像conn /as sysdba这样的连接信息，只能记录在其它地方。假如是windows平台，audti trail会记录在windows的事件管理中，假如是linux/unix平台则会记录在audit_file_dest参数指定的文件中。Audit_trail：None：是默认值，不做审计；DB：将audit trail 记录在数据库的审计相关表中，如aud$，审计的结果只有连接信息；DB,Extended：与DB一样，但是审计结果里面除了连接信息还包含了当时执行的SQL_TEXT和SQL_BIND；OS：将audit trail 记录在操作系统文件中，文件名由audit_file_dest参数指定；XML：10g里新增，将audit trail以XML格式记录在操作系统文件中；XML,Extended：与XML一样，但是审计结果里面除了连接信息还包含了当时执行的SQL_TEXT和SQL_BIND注：这两个参数是static参数，需要重新启动数据库才能生效。2.3 审计级别当开启审计功能后，可在三个级别对数据库进行审计：Statement(语句)、Privilege（权限）、object（对象）。Statement：按语句来审计，比如audit table 会审计数据库中所有的create table,drop table,truncate table语句，alter session by cmy会审计cmy用户所有的数据库连接。用法：AUDIT sql_statement_clause BY SESSION | ACCESS WHENEVER NOT SUCCESSFUL;表1列出了可以审计的语句类型，并且在每个类别中包含了相关语句的简要描述。如果指定all，则审计该列表中的任何语句。然而，表2中的语句类型在启用审计时不属于all类别；必须在audit命令中显式地指定它们。表1 包括在ALL类别中的可审计语句语 句 选 项SQL操作ALTER SYSTEM所有ALTER SYSTEM选项，例如，动态改变实例参数，切换到下一个日志文件组，以及终止用户会话CLUSTERCREATE、ALTER、DROP或TRUNCATE集群CONTEXTCREATE CONTEXT或DROP CONTEXTDATABASE LINKCREATE或DROP数据库链接DIMENSIONCREATE、ALTER或DROP维数DIRECTORYCREATE或DROP目录INDEXCREATE、ALTER或DROP索引MATERIALIZED VIEWCREATE、ALTER或DROP物化视图NOT EXISTS由于不存在的引用对象而造成的SQL语句的失败PROCEDURECREATE或DROP FUNCTION、LIBRARY、PACKAGE、PACKAGE BODY或PROCEDUREPROFILECREATE、ALTER或DROP配置文件PUBLIC DATABASE LINKCREATE或DROP公有数据库链接PUBLIC SYNONYMCREATE或DROP公有同义词ROLECREATE、ALTER、DROP或SET角色ROLLBACK SEGMENTCREATE、ALTER或DROP回滚段SEQUENCECREATE或DROP序列SESSION登录和退出SYNONYMCREATE或DROP同义词SYSTEM AUDIT系统权限的AUDIT或NOAUDITSYSTEM GRANTGRANT或REVOKE系统权限和角色TABLECREATE、DROP或TRUNCATE表TABLESPACECREATE、ALTER或DROP表空间TRIGGERCREATE、ALTER(启用/禁用)、DROP触发器；具有ENABLE ALL TRIGGERS或DISABLE ALL TRIGGERS的ALTER TABLETYPECREATE、ALTER和DROP类型以及类型主体USERCREATE、ALTER或DROP用户VIEWCREATE或DROP视图表2 显式指定的语句类型语 句 选 项SQL 操 作ALTER SEQUENCE任何ALTER SEQUENCE命令ALTER TABLE任何ALTER TABLE命令COMMENT TABLE添加注释到表、视图、物化视图或它们中的任何列DELETE TABLE删除表或视图中的行EXECUTE PROCEDURE执行程序包中的过程、函数或任何变量或游标GRANT DIRECTORYGRANT或REVOKE DIRECTORY对象上的权限GRANT PROCEDUREGRANT或REVOKE过程、函数或程序包上的权限GRANT SEQUENCEGRANT或REVOKE序列上的权限GRANT TABLEGRANT或REVOKE表、视图或物化视图上的权限GRANT TYPEGRANT或REVOKE TYPE上的权限INSERT TABLEINSERT INTO表或视图LOCK TABLE表或视图上的LOCK TABLE命令SELECT SEQUENCE引用序列的CURRVAL或NEXTVAL的任何命令SELECT TABLESELECT FROM表、视图或物化视图UPDATE TABLE在表或视图上执行UPDATEPrivilege：按权限来审计，当用户使用了该权限则被审计，如执行grant select any table to a，当执行了audit select any table语句后，当用户a 访问了用户b的表时（如select * from b.t）会用到select any table权限，故会被审计。注重用户是自己表的所有者，所以用户访问自己的表不会被审计。用法：审计系统权限具有与语句审计相同的基本语法，但审计系统权限是在sql_statement_clause中，而不是在语句中，指定系统权限Object：按对象审计，只审计on要害字指定对象的相关操作，如aduit alter,delete,drop,insert on cmy.t by scott; 这里会对cmy用户的t表进行审计，但同时使用了by子句，所以只会对scott用户发起的操作进行审计。注重Oracle没有提供对schema中所有对象的审计功能，只能一个一个对象审计，对于后面创建的对象，Oracle则提供on default子句来实现自动审计，比如执行audit drop on default by access;后， 对于随后创建的对象的drop操作都会审计。但这个default会对之后创建的所有数据库对象有效，似乎没办法指定只对某个用户创建的对象有效，想比trigger可以对schema的DDL进行“审计”，这个功能稍显不足。用法：AUDIT schema_object_clause BY SESSION | ACCESS WHENEVER NOT SUCCESSFUL;schema_object_clause指定对象访问的类型以及访问的对象。可以审计特定对象上14种不同的操作类型，下表中列出了这些操作。对 象 选 项说 明ALTER改变表、序列或物化视图AUDIT审计任何对象上的命令COMMENT添加注释到表、视图或物化视图DELETE从表、视图或物化视图中删除行EXECUTE执行过程、函数或程序包FLASHBACK执行表或视图上的闪回操作GRANT授予任何类型对象上的权限INDEX创建表或物化视图上的索引INSERT将行插入表、视图或物化视图中LOCK锁定表、视图或物化视图READ对DIRECTORY对象的内容执行读操作RENAME重命名表、视图或过程SELECT从表、视图、序列或物化视图中选择行UPDATE更新表、视图或物化视图2.4 审计的一些其他选项by access / by session：by access 每一个被审计的操作都会生成一条audit trail。by session 一个会话里面同类型的操作只会生成一条audit trail，默认为by session。whenever not successful：whenever successful 操作成功(dba_audit_trail中returncode字段为0) 才审计,whenever not successful 反之。省略该子句的话，不管操作成功与否都会审计。2.5 和审计相关的视图dba_audit_trail：保存所有的audit trail，实际上它只是一个基于aud$的视图。其它的视图dba_audit_session,dba_audit_object,dba_audit_statement都只是dba_audit_trail的一个子集。dba_stmt_audit_opts：可以用来查看statement审计级别的audit options，即数据库设置过哪些statement级别的审计。dba_obj_audit_opts,dba_priv_audit_opts视图功能与之类似all_def_audit_opts：用来查看数据库用on default子句设置了哪些默认对象审计。1. SYS.AUD$审计功能的底层视图,如果需要对数据进行删除,只需要对aud$视图进行删除既可,其他视图里的数据都是由aud$所得.2. DBA_AUDIT_EXISTS列出audit not exists和audit exists产生的审计跟踪,我们默认的都是audit exists.3. DBA_AUDIT_TRAIL可以在里面查处所有审计所跟踪的信息，保存所有的audit trail，实际上它只是一个基于aud$的视图。其它的视图dba_audit_session,dba_audit_object,dba_audit_statement都只是dba_audit_trail的一个子集。4. DBA_AUDIT_OBJECT可以查询所有对象跟踪信息.(例如,对grant,revoke等不记录),信息完全包含于dba_audit_trail5. DBA_AUDIT_SESSION所得到的数据都是有关logon或者logoff的信息.6. DBA_AUDIT_STATEMENT列出grant ,revoke ,audit ,noaudit ,alter system语句的审计跟踪信息.7. DBA_PRIV_AUDIT_OPTS通过系统和由用户审计的当前系统特权8. DBA_OBJ_AUDIT_OPTS可以查询到所有用户所有对象的审计选项9. DB_STMT_AUDIT_OPTS可以用来查看statement审计级别的audit options，即数据库设置过哪些statement级别的审计。dba_obj_audit_opts,dba_priv_audit_opts视图功能与之类似10. ALL_DEF_AUDIT_OPTS用来查看数据库用on default子句设置了哪些默认对象审计11. AUDIT_ACTIONS可以查询出在aud$等视图中actions列的含义12. SYSTEM_PRIVILEGE_MAP可以查询出aud$等视图中priv$used列的含义(注意前面加-)13. STMT_AUDIT_OPTION_MAP 审计选项类型代码14. DBA_AUDIT_POLICIES审计POLICIES15. DBA_COMMON_AUDIT_TRAIL标准审计+细粒度审计合并视图16. DBA_FGA_AUDIT_TRAIL细粒度审计策略的审计跟踪条目2.6 取消审计将对应审计语句的audit改为noaudit即可，如audit session whenever successful对应的取消审计语句为noaudit session whenever successful;2.7设置ORACLE标准审计：下列步骤可以设置ORACLE的标准审计功能： 1. 修改初始化参数文件（init.ora）如果使用服务器参数文件使用alter system set = scope=spfile|both，详情参照1.1节中关于参数文件的介绍），设置 AUDIT_TRAIL参数，并且重启数据库。AUDIT_TRAIL的取值如下： l DB/TRUE：启动审计功能，并且把审计结果存放在数据库的 SYS.AUD$ 表中l DB_EXTENDED：具有DB/TRUE的功能，另外记录AUD$的SQLBIND和SQLTEXT字段 l OS：启动审计功能，并把审计结果存放在操作系统的审计信息中 lXML：启动审计功能，并且把审计结果以XML格式存放在操作系统的审计信息中lXML_EXTENDED：具有XML的功能，另外会记录SQLBIND和SQLTEXT信息 l NONE/FALSE：关闭审计功能 2.设置AUDIT_TRAIL参数：如果设置 AUDIT_TRAIL = OS, 还需要修改参数AUDIT_FILE_DEST。如果操作系统支持设置AUDIT_TRAIL=OS，文件会自动存放在AUDIT_FILE_DEST所指定的目录下，并且文件名包含进程的PID。3. 确认审计相关的表是否已经安装 SQLPLUS connect / AS SYSDBA SQLPLUS select * from sys.aud$; - 没有记录返回 SQLPLUS select * from dba_audit_trail; - 没有记录返回 如果做上述查询的时候发现表不存在，说明审计相关的表还没有安装，需要安装。 SQLPLUS connect / as sysdba SQLPLUS $ORACLE_HOME/rdbms/admin/cataudit.sql 审计表安装在SYSTEM表空间。所以要确保SYSTEM表空间又足够的空间存放审计信息。4. 关闭并重启数据库 5. 设置所需要的审计信息 下面是一个例子 SQL connect system/manager SQL grant audit system to scott; SQL connect scott/tiger SQL audit session; 停止审计： SQL noaudit session; 通常设置了标准审计后都是通过Audit语句开启审计，使用noaudit语句收回审计。如下所示：对修改SC表结构或数据的操作进行审计可使用如下语句：AUDIE ALTER，UPDATE ON SC;取消对SC表的一切审计可使用如下语句：NOAUDIT ALL ON SC;2.8设置审计的实例（对试图尝试口令的访问的审计）：以下是一个审计的实例，用于记录尝试通过野蛮尝试法破译ORACLE帐号口令的例子：1. 修改审计相关参数（参照上面介绍的方法） 2. 重启数据库 3. 设置审计信息 SQLAUDIT ALL BY ACCESS WHENEVER NOT SUCCESSFUL 4. 查询AUD$ SQL select returncode, action#, userid, userhost, terminal,timestamp from aud$ RETURNCODE ACTION# USERID USERHOST TERMINAL 1017 100 SCOTT WPRATA-BR 1017 100 SCOTT WPRATA-BR 1017 100 SCOTT WPRATA-BR ORA-1017的含义为错误的用户名口令。通过查看AUD$表可以清楚地看到WPRATA-BR尝试破译SCOTT的口令。可以通过下面一个存储过程来分析AUD$表，找出可疑的信息：create or replace procedure AuditLogin(Since Varchar2,Times PLS_Integer)isUSER_ID VARCHAR2(20);cursor c1 is select userid,count(*) from sys.aud$ where returncode=1017 and timestamp#=to_date(Since,yyyy-mm-dd) group by userid;cursor C2 IS Select userhost, terminal,TO_CHAR(timestamp#,YYYY-MM-DD:HH24:MI:SS) from sys.aud$ WHERE returncode=1017 and timestamp#=to_date(Since,yyyy-mm-dd) AND USERID=USER_ID;ct PLS_INTEGER;V_USERHOST VARCHAR2(40);V_TERMINAL VARCHAR(40);V_DATE VARCHAR2(40);BEGIN OPEN C1; dbms_output.enable(1024000); LOOP FETCH C1 INTO USER_ID,CT; EXIT WHEN C1%NOTFOUND; IF(CT=TIMES) THEN DBMS_OUTPUT.PUT_LINE(USER BROKEN ALARM:|USER_ID); OPEN C2; LOOP FETCH C2 INTO V_USERhOST,V_TERMINAL,V_DATE; DBMS_OUTPUT.PUT_LINE(CHR(9)|HOST:|V_USERHOST|,TERM:|V_TERMINAL|,TIME:|V_DATE); EXIT WHEN C2%NOTFOUND; END LOOP; close c2; END IF; END LOOP; close c1;END;一下是执行结果：SQLset serveroutput on;SQL execute auditlogin(2004-01-01,2);USER BROKEN ALARM:SYS HOST:,TERM:XUJI,TIME:2004-09-22:11:08:00 HOST:,TERM:XUJI,TIME:2004-09-22:11:08:01 HOST:,TERM:XUJI,TIME:2004-09-22:11:09:29 HOST:,TERM:XUJI,TIME:2004-09-22:11:09:29PL/SQL 过程已成功完成。2.9将审计相关的表移动到其他表空间：由于AUD$表等审计相关的表存放在SYSTEM表空间，因此为了不影响系统的性能，保护SYSTEM表空间，最好把AUD$移动到其他的表空间上。可以使用下面的语句来进行移动：SQL connect / as sysdba;SQL alter table aud$ move tablespace ;SQL alter index I_aud1 rebuild online tablespace ;SQL alter table audit$ move tablespace ;SQL alter index i_audit rebuild online tablespace ;SQL alter table audit_actions move tablespace ;SQL alter index i_audit_actions rebuild online tablespace ;2.10审计语句样例多层环境下的审计：appserve-应用服务器，jackson-clientAUDIT SELECT TABLE BY appserve ON BEHALF OF jackson;审计连接或断开连接：AUDIT SESSION;AUDIT SESSION BY jeff, lori; - 指定用户审计权限(使用该权限才能执行的操作)：AUDIT DELETE ANY TABLE BY ACCESS WHENEVER NOT SUCCESSFUL;AUDIT DELETE ANY TABLE;AUDIT SELECT TABLE, INSERT TABLE, DELETE TABLE, EXECUTE PROCEDURE BY ACCESS WHENEVER NOT SUCCESSFUL;对象审计：AUDIT DELETE ON jeff.emp;AUDIT SELECT, INSERT, DELETE ON jward.dept BY ACCESS WHENEVER SUCCESSFUL;取消审计：NOAUDIT session;NOAUDIT session BY jeff, lori;NOAUDIT DELETE ANY TABLE;NOAUDIT SELECT TABLE, INSERT TABLE, DELETE TABLE,EXECUTE PROCEDURE;NOAUDIT ALL; - 取消所有statement审计NOAUDIT ALL PRIVILEGES; - 取消所有权限审计NOAUDIT ALL ON DEFAULT; - 取消所有对象审计2.11清除审计信息DELETE FROM SYS.AUD$;TRUNCATE TABLE SYS.AUD$;DELETE FROM SYS.AUD$ WHERE obj$name=EMP;三、 细粒度审计： 细粒度审计 (FGA)（通过 Oracle9i 引入）可以理解为“基于政策的审计”。与标准的审计功能相反，FGA 可用于指定生成审计记录必需的条件：FGA 政策通过使用“dbms_fga”程序包以编程方式绑定到对象（表、视图）。类似于用于通过 VPD (dbms_rls) 进行访问控制的程序包，它允许您创建任何需要的条件，例如：仅当以下条件为真时审计事件： 在早上九点到下午六点之间或在星期六和星期日对某个表进行了访问。 使用了公司网络外部的某个 IP 地址。 选定或更新了特定列。 使用了该列的特定值。 这将创建更有意义的审计线索，因为无需记录每一个人对表的每一次访问。从 Oracle 数据库 10g 开始，FGA 支持在一个策略中使用“选择”、“插入”、“更新”和“删除”语句的任意组合。事实上，绑定到表的 FGA 政策简化了审计政策的管理，因为这将只需在数据库中对其更改一次，不用在每个应用程序中一次次进行。此外。无论用户通过何种方式连接至数据库（通过应用程序、Web 接口或通过 SQL*Plus），其操作都会记录下来。细粒度审计的程序包DBMS_FGA具有4个过程：ADD_POLICY -添加使用谓词和审计列的审计策略DROP_POLICY -删除审计策略DISABLE_POLICY -禁用审计策略，但保留与表或视图关联的策略ENABLE_POLICY -启用策略3.1 使用细粒度审计： 1、创建测试表： create table ACCOUNT(AACT_NO number not null, CUST_ID number not null, BALANCE number(15,2) 2、添加审计策略： begin DBMS_FGA.ADD_POLICY(object_schema = TEST, object_name = ACCOUNT, policy_name = ACCOUNT_ACCESS);end;这段代码必须由具有执行程序包 dbms_fga 权限的用户来执行。建议应该建立一个专门的用户来专门负责添加审计策略。该过程有许多参数，具体含义如下：OBJECT_SCHEMA对其定义了 FGA 策略的表或视图的所有者OBJECT_NAME表或视图的名称POLICY_NAME策略的名称，由用户自定义 例如，ACCOUNTS_ACCESSPOLICY_TEXT在添加策略时指定的审计条件 例如，BALANCE = 11000POLICY_COLUMN审计列 例如，BALANCEENABLED如果启用则为 YES，否则为 NO PF_SCHEMA拥有策略处理器模块的模式（如果存在）PF_PACKAGE处理器模块的程序包名称（如果存在）PF_FUNCTION处理器模块的过程名称（如果存在）3、在定义了策略以后，当用户以通常的方式对表进行查询时，如下所示： select * from bank.accounts; 审计线索记录此操作。可以使用以下语句查看线索： select timestamp, db_user,os_user,object_schema,object_name,sql_textfrom dba_fga_audit_trail;TIMESTAMP DB_USER OS_USER OBJECT_ OBJECT_N SQL_TEXT26-MAR-10 TEST ananda TEST ACCOUNT select * from account注意名为 DBA_FGA_AUDIT_TRAIL 的新视图，它记录细粒度的访问信息。其中显示了审计事件的时间标记、查询者的数据库用户 ID、操作系统用户 ID、查询中所使用表的名称和所有者，最后还有确切的查询语句。3.2 审计列和审计条件：默认情况下会对被审计对象的所有列开启审计，当任何一列被访问时都会纪录一条审计信息，这在现实情况下不太常见，因为这样会使审计信息表增长过快造成存储空间的压力，因此通常都会设置审计条件，当条件触发时再发起审计。例如我们可以对Account表的Balance列设置审计条件，当访问该列并触发审计条件时才进行审计。如下所示：begindbms_fga.add_policy (object_schema=TEST,object_name=ACCOUNT,policy_name=ACCOUNT_ACCESS,audit_column = BALANCE,audit_condition = BALANCE = 11000end;该策略将在访问BALANCE列并且只有访问列值大于等于11000时才发起审计。因此根据该条件户有如下不同审计状态：SQL 语句审计状态select balance from account;进行审计。用户选择了在添加策略时所指定的审计列 BALANCE。select * from account;进行审计。即使用户没有明确指定列 BALANCE，* 也隐含地选择了它。select cust_id from account where balance TEST,object_name = ACCOUNT,policy_name = ACCOUNT_ACCESSend;对于更改策略而言，没有随取随用的解决方案。要更改策略中的任何参数，必须删除策略，再使用更改后的参数添加策略。但是可以暂时禁用已有策略，如下所示：begindbms_fga.enable_policy (object_schema = TEST,object_name = ACCOUNT,policy_name = ACCOUNT_ACCESS,enable = FALSEend;若要重新启用它，可使用同一函数，只需将参数 enable 设置为 TRUE。3.5 FGA 数据字典视图：FGA 策略的定义位于数据字典视图 DBA_AUDIT_POLICIES 中。该市途中各列含义如下：SESSION_ID审计会话标识符；与 V$SESSION 视图中的会话标识符不同TIMESTAMP审计记录生成时的时间标记DB_USER发出查询的数据库用户OS_USER操作系统用户USERHOST用户连接的机器的主机名CLIENT_ID客户标识符（如果由对打包过程 dbms_session.set_identifier 的调用所设置）EXT_NAME外部认证的客户名称，如 LDAP 用户OBJECT_SCHEMA对该表的访问触发了审计的表所有者OBJECT_NAME对该表的 SELECT 操作触发了审计的表名称POLICY_NAME触发审计的策略名称（如果对表定义了多个策略，则每个策略将插入一条记录。在此情况下，该列显示哪些行是由哪个策略插入的。)SCN记录了审计的 Oracle 系统更改号SQL_TEXT由用户提交的 SQL 语句 SQL_BIND由 SQL 语句使用的绑定变量（如果存在）3.6视图和 FGA：假定在 ACCOUNTS 表上定义视图 VW_ACCOUNT 如下： create view vw_account as select * from account;现在，如果用户从视图中而不是从表中进行选择： select * from vw_account;您将看到以下审计线索： select object_name, sql_text from dba_fga_audit_trail;OBJECT_NAME SQL_TEXTACCOUNT select * from vw_account注意，是基表名称而不是视图名称出现在 OBJECT_NAME 列中，因为视图中的选择是从基表中进行选择。但是，SQL_TEXT 列记录了用户提交的实际语句。如果只希望审计对视图的查询而不是对表的查询，可以对视图本身建立策略。通过将视图名称而不是表的名称传递给打包的过程 dbms_fga.add_policy 中的参数 object_name，可以完成这项工作。随后 DBA_FGA_AUDIT_TRAIL 中的 OBJECT_NAME 列将显示视图的名称，并且不会出现有关表访问的附加记录。3.7 其它用途： 除了记录对表的选择访问，FGA 还可用于某些其它情况： 可以对数据仓库使用 FGA，以捕获特定的表、视图或物化视图上发生的所有语句，这有助于计划索引。不需要到 V$SQL 视图去获取这些信息。即使 SQL 语句已经超出了 V$SQL 的期限，在 FGA 审计线索中将会始终提供它。 由于 FGA 捕获绑定变量，它可以帮助了解绑定变量值的模式，这有助于设计直方图集合等。 可以向审计者或 DBA 发送警告，这有助于跟踪恶意应用程序。 由于 FGA 可以作为 SELECT 语句的触发器，可以在需要这种功能的任何时候使用它。3.8 FGA在10G中的增强：3.8.1 对所有DML的审计： 在9i中FGA只能对Select语句进行审计，而不能对其他DML语句（Update、Delete、Insert）进行审计，如果想对其他DML语句进行审计那么只能采取数据库处发起的形式来实现。在10G中实现了对所有DML语句的审计，如下所示：begin dbms_fga.add_policy ( object_schema = TEST, object_name = ACCOUNT, policy_name = ACCOUNT_ACCESS, audit_column = BALANCE, audit_condition = BALANCE = 3000， statement_types = INSERT, UPDATE, DELETE, SELECTend;通过statement_types = INSERT, UPDATE, DELETE, SELECT参数制定了新的策略，该策略可以对Select之外的所有DML操作进行审计。因此根据新的审计条件和审计策略会有如下不同情况：第 1 种情况 之前：BALANCE = 1000 用户发出： update account set balance = 1200 where ACCOUNT_NO = .旧的和新的 balance 都小于 3,000，审计条件不满足；因此这条语句将不会被审计。第 2 种情况 之前：BALANCE = 1000 用户发出： update account set balance = 3200 where ACCOUNT_NO = .新的 balance 大于 3,000，审计条件满足；因此这条语句将 会被审计。 第 3 种情况 之前：BALANCE = 3200 用户发出： update account set balance = 1200 where ACCOUNT_NO = .新的 balance 小于 3,000，但旧的 balance 大于 3,000。因此审计条件满足，这条语句将被审计。 第 4 种情况 用户插入一行，其中有 BALANCE = 3000 结果为 FALSE），这条语句不会被审计。重要注意事项：假设该列有一个大于 3,000 的默认值时，这条语句仍然不会被审计，即使插入行的 balance 列值大于 3000。 注意对于DML语句的审计是由一个自动事务插入的；即使回滚 DML语句的操作，审计记录也将存在不会跟着回滚。3.8.2制定相关的列策略：在表 ACCOUNT 上定义的一个策略，如下： begin dbms_fga.add_policy ( object_schema = TEST, object_name = ACCOUNT, policy_name = ACCOUNT_SEL, audit_column = ACCOUNT_NO, BALANCE, audit_condition = BALANCE = 3000, statement_types = SELECTend;在某些情况下，列的组合可能很重要，而不是某个特定的列。以上策略是在 ACCOUNT_NO 和 BALANCE 上定义的。那么如果用户发出以下语句： select balance from accounts where account_no = 9995;这条语句将被审计，因为 balance 列被选中，且余额为 3,200，大于 3,000，满足审计条件。如果一个用户想查出在银行的总余额，他发出： select sum(balance) from account;这条查询几乎没什么害处；它不明确指出帐户所有者和帐户余额。因此安全策略可能不会要求审计这条查询。不过，这条查询 select balance from account where account_no = 9995必须被审计；因为它明确地指定了一个帐户。默认地，所有语句都被审计（无论使用了什么样的列组合）。这将创建大量不需要的审计线索项目，并可能带来一些空间限制问题。为了限制它们，您可以指定仅当在查询中使用了希望的列组合时才开始审计。当定义策略时，您可以使用一个新的参数： audit_column_opts = DBMS_FGA.ALL_COLUMNS这个参数将使策略仅当列 ACCOUNT_NO 和 BALANCE 在查询中都被访问时才创建审计线索项目。例如，以下查询将产生一个审计线索项目。 select account_no, balance from account;但这条查询不会产生审计线索项目。 select account_no from account;使用这个参数将把审计的数量限制在一个更易管理的大小。如果希望采用默认的行为 即任意列被选中时都进行审计，那么您可以对同一参数的使用不同值。 audit_column_opts = DBMS_FGA.ANY_COLUMNS3.8.3 与标准审计的结合： 通过制定如下审计策略实现标准审计与细粒度审计的结合begin dbms_fga.add_policy ( object_schema = TEST, object_name = ACCOUNT, policy_name = ACCOUNT_SEL, audit_column = ACCOUNT_NO, BALANCE, audit_condition = BALANCE = 3000, statement_types = SELECT, audit_column_opts = DBMS_FGA.ALL_COLUMNS, audit_trail = DBend;通过指定audit_trail = DB参数实现在细粒度审计时开启标准审计。在 Oracle Database 10g 中，标准审计也得到了巨大的改进。通过 AUDIT 命令执行标准审计，它现在能够捕获大量其它有用的信息。在内容和功能方面，标准审计类似于细粒度审计。然而，作为一个数据库管理员，有兴趣知道所有的审计项目，而不只是一个审计项目。一个新的视图，DBA_COMMON_AUDIT_TRAIL，结合了标准审计线索和 FGA审计 线索。用以下查询来检查它们二者如： select * from dba_common_audit_trail;通过这条查询可以同时查看两种审计收集的信息。四、FGA 审计和标准审计的差异 ： 标准审计必须用参数 AUDIT_TRAIL 在数据库级启用。这个参数不是动态的；您必须重启数据库来使其生效。相比而言，FGA 不需要任何参数修改。 一旦被设置在一个对象上，标准审计将保持在那里。要解除它，必须用 NOAUDIT 命令删除审计选项。这可能很不方便，因为在一个表上丢弃审计选项也将丢弃元数据信息。然而，FGA 可以临时禁用和启用，不丢失任何元数据信息。 FGA 只能够处理四种类型的语句：SELECT、INSERT、UPDATE 和 DELETE。相比而言，常规审计可以处理其它许多语句和权限，甚至会话连接和断开。 标准审计每次会话只创建一条记录（按会话）或每次访问对象创建一条记录（按访问）这种占用资源很少的方式对于控制审计线索表中的空间非常重要。FGA 并不是同样节省资源；它每次访问运行一次 使得线索更大。 通过记录线索，标准审计可以用来检测任何中断企图，如果企图没有成功，则将产生错误代码。而 FGA 不能。 标准审计可以写数据库表或 OS 文件。后者在审计员（不是数据库管理