oracle審計功能

1、Oracle使用大量不同的審計方法來監(jiān)控使用何種權(quán)限，以及訪問哪些對象。審計不會防止使用這些權(quán)限，但可以提供有用的信息，用于揭示權(quán)限的濫用和誤用。下表中總結(jié)了Oracle數(shù)據(jù)庫中不同類型的審計。審 計 類 型說    明語句審計按照語句類型審計SQL語句，而不論訪問何種特定的模式對象。也可以在數(shù)據(jù)庫中指定一個或多個用戶，針對特定的語句審計這些用戶權(quán)限審計審計系統(tǒng)權(quán)限，例如CREATE TABLE或ALTER INDEX。和語句審計一樣，權(quán)限審計可以指定一個或多個特定的用戶作為審計的目標模式對象審計審計特定模式對象上運行的特定語句(例如，DEPARTMENTS表上的

2、UPDATE語句)。模式對象審計總是應(yīng)用于數(shù)據(jù)庫中的所有用戶細粒度的審計根據(jù)訪問對象的內(nèi)容來審計表訪問和權(quán)限。使用程序包DBMS_FGA來建立特定表上的策略下面幾節(jié)介紹DBA如何管理系統(tǒng)和對象權(quán)限使用的審計。當需要一定的粒度時，DBA可以使用細粒度的審計來監(jiān)控對表中某些行或列的訪問，而不僅僅是是否訪問表。和審計相關(guān)的主要參數(shù)SQL>show parameter auditaudit_file_destaudit_sys_operationsaudit_trailaudit_sys_operations：默認為false，當設(shè)置為true時，所有sys用戶（包括以sysdba,sysope

3、r身份登錄的用戶）的操作都會被記錄，audit trail不會寫在aud$表中，這個很好理解，如果數(shù)據(jù)庫還未啟動aud$不可用，那么像conn /as sysdba這樣的連接信息，只能記錄在其它地方。如果是windows平臺，audti trail會記錄在windows的事件管理中，如果是linux/unix平臺則會記錄在audit_file_dest參數(shù)指定的文件中。audit_trail：None：是默認值，不做審計；DB：將audit trail 記錄在數(shù)據(jù)庫的審計相關(guān)表中，如aud$，審計的結(jié)果只有連接信息；DB,Extended：這樣審計結(jié)果里面除了連接信息還包含了當時執(zhí)行的具體語句

4、；OS：將audit trail 記錄在操作系統(tǒng)文件中，文件名由audit_file_dest參數(shù)指定；XML：10g里新增的。10g Values:· noneDisables database auditing.· osEnables database auditing and directs all audit records to the operating system's audit trail.· dbEnables database auditing and directs all audit records to the database

5、 audit trail (the SYS.AUD$ table).· db,extendedEnables database auditing and directs all audit records to the database audit trail (the SYS.AUD$ table). In addition, populates the SQLBIND and SQLTEXT CLOB columns of the SYS.AUD$ table.· xml

6、Enables database auditing and writes all audit records to XML format OS files.· xml,extendedEnables database auditing and prints all columns of the audit trail, including SqlText and SqlBind values.注：參數(shù)AUDIT_TRAIL不是動態(tài)的，為了使AUDIT_TRAIL參數(shù)中的改動生效，必須關(guān)閉數(shù)據(jù)庫并重新啟動。在對SYS.AUD$表進行審計時，應(yīng)該注意監(jiān)控該表的大小，以避免影響SYS表空間

7、中其他對象的空間需求。推薦周期性歸檔SYS.AUD$中的行，并且截取該表。Oracle提供了角色 DELETE_CATALOG_ROLE，和批處理作業(yè)中的特殊賬戶一起使用，用于歸檔和截取審計表。audit_file_dest：Audit_trail=OS時 文件位置1.語句審計所有類型的審計都使用audit命令來打開審計，使用noaudit命令來關(guān)閉審計。對于語句審計，audit命令的格式看起來如下所示：AUDIT sql_statement_clause BY SESSION | ACCESSWHENEVER NOT SUCCESSFUL;sql_statement_clause包含很多條不

8、同的信息，例如希望審計的SQL語句類型以及審計什 么人。此外，希望在每次動作發(fā)生時都對其進行審計(by access)或者只審計一次(by session)。默認是by session。有時希望審計成功的動作：沒有生成錯誤消息的語句。對于這些語句，添加whenever successful。而有時只關(guān)心使用審計語句的命令是否失敗，失敗原因是權(quán)限違犯、用完表空間中的空間還是語法錯誤。對于這些情況，使用 whenever not successful。對于大多數(shù)類別的審計方法，如果確實希望審計所有類型的表訪問或某個用戶的任何權(quán)限，則可以指定all而不是單個的語句類型或?qū)ο蟆１?列出了可以審計的語句

9、類型，并且在每個類別中包含了相關(guān)語句的簡要描述。如果指定all，則審計該列表中的任何語句。然而，表2中的語句類型在啟用審計時不屬于all類別；必須在audit命令中顯式地指定它們。表1 包括在ALL類別中的可審計語句語 句 選 項SQL操作ALTER SYSTEM所有ALTER SYSTEM選項，例如，動態(tài)改變實例參數(shù)，切換到下一個日志文件組，以及終止用戶會話CLUSTERCREATE、ALTER、DROP或TRUNCATE集群CONTEXTCREATE CONTEXT或DROP CONTEXTDATABASE LINKCREATE或DROP數(shù)據(jù)庫鏈接DIMENSIONCREATE、ALTER

10、或DROP維數(shù)DIRECTORYCREATE或DROP目錄INDEXCREATE、ALTER或DROP索引MATERIALIZED VIEWCREATE、ALTER或DROP物化視圖NOT EXISTS由于不存在的引用對象而造成的SQL語句的失敗PROCEDURECREATE或DROP FUNCTION、LIBRARY、PACKAGE、PACKAGE BODY或PROCEDUREPROFILECREATE、ALTER或DROP配置文件PUBLIC DATABASE LINKCREATE或DROP公有數(shù)據(jù)庫鏈接PUBLIC SYNONYMCREATE或DROP公有同義詞ROLECREATE、AL

11、TER、DROP或SET角色ROLLBACK SEGMENTCREATE、ALTER或DROP回滾段SEQUENCECREATE或DROP序列SESSION登錄和退出SYNONYMCREATE或DROP同義詞SYSTEM AUDIT系統(tǒng)權(quán)限的AUDIT或NOAUDITSYSTEM GRANTGRANT或REVOKE系統(tǒng)權(quán)限和角色TABLECREATE、DROP或TRUNCATE表TABLESPACECREATE、ALTER或DROP表空間TRIGGERCREATE、ALTER(啟用/禁用)、DROP觸發(fā)器；具有ENABLE ALL TRIGGERS或DISABLE ALL TRIGGERS的A

12、LTER TABLETYPECREATE、ALTER和DROP類型以及類型主體USERCREATE、ALTER或DROP用戶VIEWCREATE或DROP視圖表2 顯式指定的語句類型語 句 選 項SQL 操 作ALTER SEQUENCE任何ALTER SEQUENCE命令A(yù)LTER TABLE任何ALTER TABLE命令COMMENT TABLE添加注釋到表、視圖、物化視圖或它們中的任何列DELETE TABLE刪除表或視圖中的行EXECUTE PROCEDURE執(zhí)行程序包中的過程、函數(shù)或任何變量或游標GRANT DIRECTORYGRANT或REVOKE DIRECTORY對象上的權(quán)限G

13、RANT PROCEDUREGRANT或REVOKE過程、函數(shù)或程序包上的權(quán)限GRANT SEQUENCEGRANT或REVOKE序列上的權(quán)限GRANT TABLEGRANT或REVOKE表、視圖或物化視圖上的權(quán)限GRANT TYPEGRANT或REVOKE TYPE上的權(quán)限INSERT TABLEINSERT INTO表或視圖LOCK TABLE表或視圖上的LOCK TABLE命令SELECT SEQUENCE引用序列的CURRVAL或NEXTVAL的任何命令SELECT TABLESELECT FROM表、視圖或物化視圖UPDATE TABLE在表或視圖上執(zhí)行UPDATE一些示例可以幫助讀

14、者更清楚地了解所有這些選項。在示例數(shù)據(jù)庫中，用戶KSHELTON具有HR模式和其他模式中所有表上的權(quán)限。允許 KSHELTON創(chuàng)建其中一些表上的索引，但如果有一些與執(zhí)行計劃改動相關(guān)的性能問題，則需要知道何時創(chuàng)建這些索引?？梢允褂萌缦旅顚徲?KSHELTON創(chuàng)建的索引：SQL> audit index by kshelton;Audit succeeded.后面的某一天，KSHELTON在HR.JOBS表上創(chuàng)建了一個索引：SQL> create index job_title_idx on (job_title);Index created.檢查數(shù)據(jù)字典視圖DBA_A

15、UDIT_TRAIL中的審計跟蹤，可以看到KSHELTON實際上在8月12日的5:15 P.M.創(chuàng)建了索引：SQL> select username, to_char(timestamp,'MM/DD/YY HH24:MI') Timestamp,2 obj_name, action_name, sql_text from dba_audit_trail3 where username = 'KSHELTON'USERNAME TIMESTAMP OBJ_NAME ACTION_NAME SQL_TEXT- - - - -KSHELTON 08/12/07

16、 17:15 JOB_TITLE_IDX CREATE INDEX create index hr.job_title_idx (job_title)1 row selected.注意：從Oracle Database 11g開始，只有在初始參數(shù)AUDIT_TRAIL被設(shè)置為DB_EXTENDED時，才填充DBA_AUDIT_TRAIL中的列SQL_TEXT和SQL_BIND。默認情況下，AUDIT_TRAIL的值是DB。為了關(guān)閉HR.JOBS表上KSHELTON的審計，可以使用noaudit命令，如下所示：SQL> noaudit index by kshelton;

17、Noaudit succeeded.也可能希望按常規(guī)方式審計成功的和不成功的登錄，這需要兩個audit命令：SQL> audit session whenever successful;Audit succeeded.SQL> audit session whenever not successful;Audit succeeded.2.權(quán)限審計審計系統(tǒng)權(quán)限具有與語句審計相同的基本語法，但審計系統(tǒng)權(quán)限是在sql_statement_clause中，而不是在語句中，指定系統(tǒng)權(quán)限。例如，可能希望將ALTER TABLESPACE權(quán)限授予所有的DBA，但希望在發(fā)生這種情況時生成審計記錄。

18、啟用對這種權(quán)限的審計的命令看起來類似于語句審計：SQL> audit alter tablespace by access whenever successful;Audit succeeded.每次成功使用ALTER TABLESPACE權(quán)限時，都會將一行內(nèi)容添加到SYS.AUD$。使用SYSDBA和SYSOPER權(quán)限或者以SYS用戶連接到數(shù)據(jù)庫的系統(tǒng)管理員可以利用特殊的審計。為了啟用這種額外的審計級別，可以設(shè)置初始參數(shù)AUDIT_SYS_OPERATIONS為TRUE。這種審計記錄發(fā)送到與操作系統(tǒng)審計記錄相同的位置。因此，這個位置是和操作系統(tǒng)相關(guān)的。當使用其中一種權(quán)限時執(zhí)行的所有SQ

19、L語句，以及作為用戶SYS執(zhí)行的任何SQL語句，都會發(fā)送到操作系統(tǒng)審計位置。模式對象審計審計對各種模式對象的訪問看起來類似于語句審計和權(quán)限審計：AUDIT schema_object_clause BY SESSION | ACCESSWHENEVER NOT SUCCESSFUL;schema_object_clause指定對象訪問的類型以及訪問的對象?？梢詫徲嬏囟▽ο笊?4種不同的操作類型，下表中列出了這些操作。對 象 選 項說    明ALTER改變表、序列或物化視圖AUDIT審計任何對象上的命令COMMENT添加注釋到表、視圖或物化視圖DELETE從表、視

20、圖或物化視圖中刪除行EXECUTE執(zhí)行過程、函數(shù)或程序包FLASHBACK執(zhí)行表或視圖上的閃回操作GRANT授予任何類型對象上的權(quán)限INDEX創(chuàng)建表或物化視圖上的索引INSERT將行插入表、視圖或物化視圖中LOCK鎖定表、視圖或物化視圖READ對DIRECTORY對象的內(nèi)容執(zhí)行讀操作RENAME重命名表、視圖或過程SELECT從表、視圖、序列或物化視圖中選擇行UPDATE更新表、視圖或物化視圖如果希望審計HR.JOBS表上的所有insert和update命令，而不管誰正在進行更新，則每次該動作發(fā)生時，都可以使用如下所示的audit命令：SQL> audit insert, update

21、on by access whenever successful;Audit successful.用戶KSHELTON決定向HR.JOBS表添加兩個新行：SQL> insert into (job_id, job_title, min_salary, max_salary)2  values ('IN_CFO','Internet Chief Fun Officer', 7500, 50000);1 row created.SQL> insert into (job_id, job_titl

22、e, min_salary, max_salary)2  values ('OE_VLD','Order Entry CC Validation', 5500, 20000);1 row created.查看DBA_AUDIT_TRAIL視圖，可以看到KSHELTON會話中的兩個insert命令：USERNAME   TIMESTAMP      OWNER    OBJ_NAME   ACTION_NAMESQL_TEXT- - -

23、 - -KSHELTON   08/12/07 22:54 HR       JOBS       INSERTinsert into (job_id, job_title, min_salary, max_salary)values ('IN_CFO','Internet Chief Fun Officer', 7500, 50000);KSHELTON   08/12/07 22:53

24、 HR       JOBS       INSERTinsert into (job_id, job_title, min_salary, max_salary)values ('OE_VLD','Order Entry CC Validation', 5500, 20000);KSHELTON   08/12/07 22:51      

25、0;              LOGON3 rows selected. 4.細粒度的審計從Oracle9i開始，通過引入細粒度的對象審計，或稱為FGA，審計變得更為關(guān)注某個方面，并且更為精確。由稱為DBMS_FGA的PL/SQL程序包實現(xiàn)FGA。使用標準的審計，可以輕松發(fā)現(xiàn)訪問了哪些對象以及由誰訪問，但無法知道訪問了哪些行或列。細粒度的審計可解決這個問題，它不僅為需要訪問的行指定謂詞(或where子句)，還指定了表中訪問的列。通過只在訪問某些行和列時審

26、計對表的訪問，可以極大地減少審計表條目的數(shù)量。程序包DBMS_FGA具有4個過程：ADD_POLICY添加使用謂詞和審計列的審計策略DROP_POLICY刪除審計策略DISABLE_POLICY禁用審計策略，但保留與表或視圖關(guān)聯(lián)的策略ENABLE_POLICY啟用策略用戶TAMARA通常每天訪問HR.EMPLOYEES表，查找雇員的電子郵件地址。系統(tǒng)管理員懷疑TAMARA正在查看經(jīng)理們的薪水信息，因此他們建立一個FGA策略，用于審計任何經(jīng)理對SALARY列的任何訪問：begindbms_fga.add_policy(object_schema =>   'HR

27、',object_name =>     'EMPLOYEES',policy_name =>     'SAL_SELECT_AUDIT',audit_condition => 'instr(job_id,''_MAN'') > 0',audit_column =>    'SALARY');end;可以使用數(shù)據(jù)字典視圖DBA_FGA_AUDIT_TR

28、AIL訪問細粒度審計的審計記錄。如果一般需要查看標準的審計行和細粒度的審計行，則數(shù)據(jù)字典視圖DBA_COMMON_AUDIT_TRAIL結(jié)合了這兩種審計類型中的行。繼續(xù)看示例，用戶TAMARA運行了如下兩個SQL查詢：SQL> select employee_id, first_name, last_name, email from hr.employees2     where employee_id = 114;EMPLOYEE_ID FIRST_NAME       

29、60;   LAST_NAME                 EMAIL- - -   -114    Den                   Raphaely  

30、                DRAPHEAL1 row selected.SQL> select employee_id, first_name, last_name, salary from hr.employees2     where employee_id = 114;EMPLOYEE_ID FIRST_NAME      

31、60;    LAST_NAME                     SALARY- - -   -114    Den                &#

32、160;  Raphaely                       110001 row selected.第一個查詢訪問經(jīng)理信息，但沒有訪問SALARY列。第二個查詢與第一個查詢相同，但是訪問了SALARY列，因此觸發(fā)了FGA策略，從而在審計跟蹤中生成了一行：SQL> select to_char(timestamp,'mm/dd/yy hh24

33、:mi') timestamp,2      object_schema, object_name, policy_name, statement_type3  from dba_fga_audit_trail4  where db_user = 'TAMARA'TIMESTAMP        OBJECT_SCHEMA  OBJECT_NAME     POLICY_NAME&#

34、160;      STATEMENT_TYPE-  -  -  - -08/12/07 18:07  HR               EMPLOYEES       SAL_SELECT_AUDIT SELECT1 row selected.因為在本章前面的VPD示例中建立了細粒度的訪

35、問控制來阻止對SALARY列的未授權(quán)訪問，因此需要加倍檢查策略函數(shù)，確保仍然正確限制了SALARY信息。細粒度的審計以及標準審計是確保首先正確建立授權(quán)策略的好方法。5.與審計相關(guān)的數(shù)據(jù)字典視圖下表包含了與審計相關(guān)的數(shù)據(jù)字典視圖。數(shù)據(jù)字典視圖說    明AUDIT_ACTIONS包含審計跟蹤動作類型代碼的描述，例如INSERT、DROP VIEW、DELETE、LOGON和LOCKDBA_AUDIT_OBJECT與數(shù)據(jù)庫中對象相關(guān)的審計跟蹤記錄DBA_AUDIT_POLICIES數(shù)據(jù)庫中的細粒度審計策略DBA_AUDIT_SESSION與CONNECT和DISCON

36、NECT相關(guān)的所有審計跟蹤記錄DBA_AUDIT_STATEMENT與GRANT、REVOKE、AUDIT、NOAUDIT和ALTER SYSTEM命令相關(guān)的審計跟蹤條目DBA_AUDIT_TRAIL包含標準審計跟蹤條目。USER_AUDIT_TRAILUSER_TRAIL_AUDIT只包含已連接用戶的審計行DBA_FGA_AUDIT_TRAIL細粒度審計策略的審計跟蹤條目                  

37、0;                                                 

38、0; (續(xù)表)  數(shù)據(jù)字典視圖說    明DBA_COMMON_AUDIT_TRAIL將標準的審計行和細粒度的審計行結(jié)合在一個視圖中DBA_OBJ_AUDIT_OPTS對數(shù)據(jù)庫對象生效的審計選項DBA_PRIV_AUDIT_OPTS對系統(tǒng)權(quán)限生效的審計選項DBA_STMT_AUDIT_OPTS對語句生效的審計選項6.保護審計跟蹤審計跟蹤自身需要受到保護，特別是在非系統(tǒng)用戶必須訪問表SYS.AUD$時。內(nèi)置的角色DELETE_ANY_CATALOG是非SYS用戶可以訪問審計跟蹤的一種方法(例如，歸檔和截取審計跟蹤，以確保它不會影響到SYS表空間中

39、其他對象的空間需求)。為了建立對審計跟蹤自身的審計，以SYSDBA身份連接到數(shù)據(jù)庫，并運行下面的命令：SQL> audit all on sys.aud$ by access;Audit succeeded.現(xiàn)在，所有針對表SYS.AUD$的動作，包括select、insert、update和delete，都記錄在SYS.AUD$自身中。但是，您可能會問，如果某個人刪除了標識對表SYS.AUD$訪問的審計記錄，這時會發(fā)生什么？此時將刪除表中的行，但接著插入另一行，記錄行的刪除。因此，總是存在一些針對SYS.AUD$表的(有意的或偶然的)活動的證據(jù)。此外，如果將AUDIT_SYS _OPE

40、RATIONS設(shè)置為True，使用as sysdba、as sysoper或以SYS自身連接的任何會話將記錄到操作系統(tǒng)審計位置中，甚至Oracle DBA可能都無法訪問該位置。因此，有許多合適的安全措施，用于確保記錄數(shù)據(jù)庫中所有權(quán)限的活動，以及隱藏該活動的任何嘗試。7.啟用增強的審計從Oracle Database 11g開始，數(shù)據(jù)庫配置助手(Database Configuration Assistant，DBCA)很容易啟用默認的(增強的)審計。雖然記錄審計信息有一些系統(tǒng)開銷，但兼容性需求(例如，Sarbanes-Oxley法案中規(guī)定的兼容性需求)要求嚴格監(jiān)控所有業(yè)務(wù)操作，包括數(shù)據(jù)庫中與安

41、全相關(guān)的操作?？梢栽趧?chuàng)建數(shù)據(jù)庫時或在數(shù)據(jù)庫已經(jīng)創(chuàng)建之后使用DBCA配置默認審計。如果已經(jīng)改變了很多審計設(shè)置，并想要將審計選項重置為基線值，則在數(shù)據(jù)庫已創(chuàng)建之后使用DBCA配置默認審計就非常有用。除將初始參數(shù)AUDIT_TRAIL的值設(shè)置為DB外，默認審計設(shè)置還審計audit role命令本身。另外，在Audited Privileges選項卡的Oracle Enterprise Manager Audit Settings頁面中，可以查看默認的審計權(quán)限。補充說明：8、實例講解8.1、激活審計審計相關(guān)的表安裝   SQLPLUS> connect&#

42、160;/ AS SYSDBA   SQLPLUS> select * from sys.aud$;     -沒有記錄返回    SQLPLUS> select * from dba_audit_trail;   - 沒有記錄返回  如果做上述查詢的時候發(fā)現(xiàn)表不存在，說明審計相關(guān)的表還沒有安裝，需要安裝。

43、   SQLPLUS> connect / as sysdba   SQLPLUS> $ORACLE_HOME/rdbms/admin/cataudit.sql  審計表安裝在SYSTEM表空間。所以要確保SYSTEM表空間又足夠的空間存放審計信息。   安裝后要重啟數(shù)據(jù)庫 將審計相關(guān)的表移動到其他表空間 由于AUD$表等審計相關(guān)的表存放在SYSTEM表空間，因此為了不影響系統(tǒng)的性能，保護SYSTEM表空

44、間，最好把AUD$移動到其他的表空間上?？梢允褂孟旅娴恼Z句來進行移動： sql>connect / as sysdba;sql>alter table aud$ move tablespace <new tablespace>sql>alter index I_aud1 rebuild online tablespace <new tablespace>SQL> alt

45、er table audit$ move tablespace <new tablespace>SQL> alter index i_audit rebuild online tablespace <new tablespace>SQL> alter table audit_actions move tablespace <new tablesp

46、ace>SQL> alter index i_audit_actions rebuild online tablespace <new tablespace>SQL> conn /as sysdbaSQL> show parameter auditNAME                   

47、              TYPE        VALUE- - -audit_file_dest                      string  

48、0;   /u01/app/oracle/admin/ORCL/adumpaudit_sys_operations                 boolean     FALSEaudit_syslog_level             

49、60;     stringaudit_trail                          string      NONESQL> alter system set audit_sys_operations=TRUE scope=spfile

50、;    -審計管理用戶(以sysdba/sysoper角色登陸)SQL> alter system set audit_trail=db,extended scope=spfile;SQL> startup force;SQL> show parameter auditNAME                      

51、0;          TYPE        VALUE- - -audit_file_dest                      string      /u01/ap

52、p/oracle/admin/ORCL/adumpaudit_sys_operations                 boolean     TRUEaudit_syslog_level                 &#

53、160; stringaudit_trail                          string      DB, EXTENDED          8.2、開始審計SQL> co

54、nn /as sysdbaSQL> audit all on t_test;SQL> conn u_testSQL> select * from t_test;SQL> insert into u_test.t_test (c2,c5) values ('test1','2');SQL> commit;SQL> delete from u_test.t_test;SQL> commit;SQL> conn /as sysdbaSQL> col DEST_NAME format a30col OS_USERNA

55、ME format a15col USERNAME format a15col USERHOST format a15col TERMINAL format a15col OBJ_NAME format a30col SQL_TEXT format a60SQL> select OS_USERNAME,username,USERHOST,TERMINAL,TIMESTAMP,OWNER,obj_name,ACTION_NAME,sessionid,os_process,sql_text from dba_audit_trail;sql> audit select table by

56、u_test by access;如果在命令后面添加by user則只對user的操作進行審計,如果省去by用戶,則對系統(tǒng)中所有的用戶進行審計(不包含sys用戶).例：AUDIT DELETE ANY TABLE;    -審計刪除表的操作AUDIT DELETE ANY TABLE WHENEVER NOT SUCCESSFUL;    -只審計刪除失敗的情況AUDIT DELETE ANY TABLE WHENEVER SUCCESSFUL;    -只審計刪除成功的情況AUDIT DELETE,UPDATE,INSERT ON user.table by test;    -審計test用戶對表user.table的delete,update,insert操作8.3、撤銷審計SQL> noaudit all on t_test;9、審計語句多層環(huán)境下的審計：appserve-應(yīng)用服務(wù)器，jackson-clientAUDIT SELECT TABLE BY appserve ON BEHALF OF jackson;審計連接或斷開連接