Oracle審計(jì)功能介紹

1、Oracle審計(jì)功能審計(jì)分類：Oracle中審計(jì)總體上可分為“標(biāo)準(zhǔn)審計(jì)”和“細(xì)粒度審計(jì)”后者也稱為“基于政策的審計(jì)”，在Oracle10G之后功能得到很大增強(qiáng)。其中標(biāo)準(zhǔn)審計(jì)可分為用戶級審計(jì)和系統(tǒng)級審計(jì)。用戶級審計(jì)是任何Oracle用戶可設(shè)置的審計(jì)，主要是用戶針對自己創(chuàng)建的數(shù)據(jù)庫表或視圖進(jìn)行審計(jì)，記錄所有用戶對這些表或視圖的一切成功和(或)不成功的訪問要求以及各種類型的SQL操作。系統(tǒng)級審計(jì)只能由DBA設(shè)置，用以監(jiān)測成功或失敗的登錄要求、監(jiān)測GRANT和REVOKE操作以及其他數(shù)據(jù)庫級權(quán)限下的操作。標(biāo)準(zhǔn)審計(jì)：2.1 分類：在ORACLEE中分別支持以以下三種標(biāo)準(zhǔn)準(zhǔn)審計(jì)類型： 語句句審計(jì)，對某某種

2、類型的SSQL語句審審計(jì)，不指定定結(jié)構(gòu)或?qū)ο笙蟆?特權(quán)權(quán)審計(jì)，對執(zhí)執(zhí)行相應(yīng)動作作的系統(tǒng)特權(quán)權(quán)的使用審計(jì)計(jì)。 對象象審計(jì)，對一一特殊模式對對象上的指定定語句的審計(jì)計(jì)。這三種標(biāo)準(zhǔn)審計(jì)計(jì)類型分別對對如下3方面面進(jìn)行審計(jì)： 審計(jì)計(jì)語句的成功功執(zhí)行、不成成功執(zhí)行，或或者其兩者。 對每每一用戶會話話審計(jì)語句執(zhí)執(zhí)行一次或者者對語句每次次執(zhí)行審計(jì)一一次。 對全全部用戶或指指定用戶的活活動的審計(jì)。 當(dāng)數(shù)數(shù)據(jù)庫的審計(jì)計(jì)功能打開后后，在語句執(zhí)執(zhí)行階段產(chǎn)生生審計(jì)記錄。審審計(jì)記錄包含含有審計(jì)的操操作、用戶執(zhí)執(zhí)行的操作、操操作的日期和和時(shí)間等信息息。審計(jì)記錄錄可存在數(shù)據(jù)據(jù)字典表（稱稱為審計(jì)記錄錄）或操作系系統(tǒng)審計(jì)記錄錄中

3、。數(shù)據(jù)庫庫審計(jì)記錄是是在SYS模式的的AUD$表中中。2.2設(shè)置ORRACLE標(biāo)標(biāo)準(zhǔn)審計(jì)：下列步驟可以設(shè)設(shè)置ORACCLE的標(biāo)準(zhǔn)準(zhǔn)審計(jì)功能： 修改初始化參數(shù)數(shù)文件（innit.orra）如果使用服務(wù)器器參數(shù)文件使使用alteer sysstem sset = scopee=spfiile|booth，詳情情參照1.11節(jié)中關(guān)于參參數(shù)文件的介介紹），設(shè)置置 AUDIIT_TRAAIL參數(shù)，并并且重啟數(shù)據(jù)據(jù)庫。AUDDIT_TRRAIL的取取值如下： DB/TRUE：啟動審計(jì)功功能，并且把把審計(jì)結(jié)果存存放在數(shù)據(jù)庫庫的 SYSS.AUD$ 表中 OS：啟動審審計(jì)功能，并并把審計(jì)結(jié)果果存放在操作作系統(tǒng)

4、的審計(jì)計(jì)信息中 DB_EXTENNDED：具具有DB/TTRUE的功功能，另外填填寫AUD$的SQLBIIND和SQLTEEXT字段 NONNE/FALLSE：關(guān)閉閉審計(jì)功能 2.設(shè)置AUDDIT_TRRAIL參數(shù)數(shù)：如果設(shè)置 AUUDIT_TTRAIL = OS, 還需要修修改參數(shù)AUUDIT_FFILE_DDEST。 如果操操作系統(tǒng)支持持設(shè)置AUDDIT_TRRAIL=OOS，文件會會自動存放在在AUDITT_FILEE_DEST所指指定的目錄下下，并且文件件名包含進(jìn)程程的PID。 比如： AUDDIT_FIILE_DEEST = $ORACCLE_HOOME/rddbms/aaudit

5、$ lls -l $ORACCLE_HOOME/rddbms/aaudit -rw-rw- 1 ora922 ddba 881 MMar 177 09:557 oraa_132664.audd $ pps -eff|grepp 132664 oraa92 133264 113235 0 09:56:433 ? 0:00 orracleVV92 (DDESCRIIPTIONN=(LOCCAL=Y) SQLL sellect sspid, progrram, uusernaame frrom v$proceess; SPIID PROOGRAM USEERNAMEE - - - . 132664

6、ooracleefrhpp11 (TTNS V11-V3) oora92 3. 確認(rèn)審計(jì)計(jì)相關(guān)的表是是否已經(jīng)安裝裝 SQLPPLUS conneect / AS SYYSDBA SQLPPLUS selecct * ffrom ssys.auud$; - 沒有有記錄返回 SQLPPLUS selecct * ffrom ddba_auudit_ttrail; - 沒有記記錄返回 如果做上述述查詢的時(shí)候候發(fā)現(xiàn)表不存存在，說明審審計(jì)相關(guān)的表表還沒有安裝裝，需要安裝裝。 SQLPPLUS conneect / as syysdba SQLPPLUS $ORAACLE_HHOME/rrdbms/adm

7、inn/cataaudit.sql 審計(jì)表安裝裝在SYSTTEM表空間間。所以要確確保SYSTTEM表空間間又足夠的空空間存放審計(jì)計(jì)信息。4. 關(guān)閉并重重啟數(shù)據(jù)庫 5. 設(shè)置所需需要的審計(jì)信信息 下面是一個(gè)例例子 SQL connnect ssystemm/manaager SQL grannt auddit syystem to sccott; SQL connnect sscott/tigerr SQL audiit sesssion; 停止審計(jì)： SQL noauudit ssessioon; 通常設(shè)置了標(biāo)準(zhǔn)準(zhǔn)審計(jì)后都是是通過Auddit語句開開啟審計(jì)，使使用noauudit語句句收回審

8、計(jì)。如如下所示：對修改SC表結(jié)結(jié)構(gòu)或數(shù)據(jù)的的操作進(jìn)行審審計(jì)可使用如如下語句：AUDIE AALTER，UUPDATEE ON SSC;取消對SC表的的一切審計(jì)可可使用如下語語句：NOAUDITT ALL ON SCC;2.3設(shè)置審計(jì)計(jì)的實(shí)例（對對試圖嘗試口口令的訪問的的審計(jì)）：以下是一個(gè)審計(jì)計(jì)的實(shí)例，用用于記錄嘗試試通過野蠻嘗嘗試法破譯OORACLEE帳號口令的的例子：1. 修改審計(jì)計(jì)相關(guān)參數(shù)（參參照上面介紹紹的方法） 2. 重啟數(shù)據(jù)據(jù)庫 3. 設(shè)置審計(jì)計(jì)信息 SQLAUDITT ALL BY ACCCESS WHENEEVER NNOT SUUCCESSSFUL 4. 查詢AUUD$ SQL

9、 seleect reeturnccode, actioon#, uuseridd, useerhostt, terrminall,timeestampp from auud$ RETUURNCODDE ACTIOON# USSERID USEERHOSTT TERRMINALL - - - - - 10117 1100 SCCOTT WPRRATA-BBR 10117 1100 SCCOTT WPRRATA-BBR 10117 1100 SCCOTT WPRRATA-BBR ORA-10017的含義義為錯誤的用用戶名口令。通通過查看AUUD$表可以以清楚地看到到WPRATTA-BR嘗嘗試破譯

10、SCCOTT的口口令。可以通通過下面一個(gè)個(gè)存儲過程來來分析AUDD$表，找出出可疑的信息息：create or reeplacee procceduree AudiitLogiin(Sinnce Vaarcharr2,Timmes PLLS_Intteger)isUSER_IDD VARCCHAR2(20);cursor c1 iss seleect usserid,countt(*) ffrom ssys.auud$ whhere rreturnncode=10177 andd timeestampp#=too_datee(Sincce,yyyyy-mmm-dd) groupp by uus

11、eridd;cursor C2 ISS Seleect usserhosst, teerminaal,TO_CHAR(timesstamp#,YYYYY-MM-DD:HHH24:MII:SS) from sys.aaud$ WWHERE returrncodee=10117 annd timmestammp#=tto_datte(Sinnce,yyyyy-mmm-dd) ANDD USERRID=USSER_IDD;ct PLS_INTEGGER;V_USERHHOST VVARCHAAR2(400);V_TERMIINAL VVARCHAAR(40);V_DATE VARCHHAR2(440

12、);BEGIN OPEEN C1; dbmms_outtput.eenablee(10244000); LOOOP FFETCH C1 INNTO USSER_IDD,CT; EEXIT WWHEN CC1%NOTTFOUNDD; IIF(CT=TIMEES) THHEN DBMSS_OUTPPUT.PUUT_LINNE(USSER BRROKEN ALARMM:|UUSER_IID); OPENN C2; LOOPP FEETCH CC2 INTTO V_UUSERhOOST,V_TERMIINAL,VV_DATEE; DBBMS_OUUTPUT.PUT_LLINE(CCHR(9)|HOOS

13、T:|V_USSERHOSST|,TERM:|V_TERMIINAL|,TIMME:|V_DATTE); EXXIT WHHEN C22%NOTFFOUND; END LOOP; closse c2; EEND IFF; ENDD LOOPP; cloose c11;END;/一下是執(zhí)行結(jié)果果：SQLsett servverouttput oon;SQL exxecutee audiitlogiin(20004-011-01,2);USER BRROKEN ALARMM:SYS HOSTT:,TERRM:XUJJI,TIMME:20004-09-22:111:08:000 HOSTT:,TER

14、RM:XUJJI,TIMME:20004-09-22:111:08:001 HOSTT:,TERRM:XUJJI,TIMME:20004-09-22:111:09:229 HOSTT:,TERRM:XUJJI,TIMME:20004-09-22:111:09:229PL/SQL 過程已成功功完成。2.4將審計(jì)相相關(guān)的表移動動到其他表空空間：由于AUD$表表等審計(jì)相關(guān)關(guān)的表存放在在SYSTEEM表空間，因因此為了不影影響系統(tǒng)的性性能，保護(hù)SSYSTEMM表空間，最最好把AUDD$移動到其其他的表空間間上。可以使使用下面的語語句來進(jìn)行移移動：sqlconnnect / as sysdbba;sql

15、altter taable aaud$ mmove ttablesspace ;sqlaltter inndex II_aud11 rebuuild oonlinee tabllespacce ;SQL allter ttable auditt$ movve tabblespaace ;SQL allter iindex i_auddit reebuildd onliine taablesppace ;SQL allter ttable auditt_actiions mmove ttablesspace ;SQL allter iindex i_auddit_acctionss rebuui

16、ld oonlinee tabllespacce ;細(xì)粒度審計(jì)： 細(xì)粒度度審計(jì) (FFGA)（通通過 Oraacle9ii 引入）可可以理解為“基基于政策的審審計(jì)”。與標(biāo)標(biāo)準(zhǔn)的審計(jì)功功能相反，F(xiàn)FGA 可用用于指定生成成審計(jì)記錄必必需的條件：FGA 政策通通過使用“ddbms_ffga”程序序包以編程方方式綁定到對對象（表、視視圖）。類似似于用于通過過 VPD (dbmms_rlss) 進(jìn)行行訪問控制的的程序包，它它允許您創(chuàng)建建任何需要的的條件，例如如：僅當(dāng)以下下條件為真時(shí)時(shí)審計(jì)事件： 在早上九點(diǎn)到下下午六點(diǎn)之間間或在星期六六和星期日對對某個(gè)表進(jìn)行行了訪問。 使用了公司網(wǎng)絡(luò)絡(luò)外部的某個(gè)個(gè) IP

17、 地地址。 選定或更新了特特定列。 使用了該列的特特定值。 這將創(chuàng)建更有意意義的審計(jì)線線索，因?yàn)闊o無需記錄每一一個(gè)人對表的的每一次訪問問。從 Orracle 數(shù)據(jù)庫 110g 開始始，F(xiàn)GA 支持在一個(gè)個(gè)策略中使用用“選擇”、“插插入”、“更更新”和“刪刪除”語句的的任意組合。事事實(shí)上，綁定定到表的 FFGA 政策策簡化了審計(jì)計(jì)政策的管理理，因?yàn)檫@將將只需在數(shù)據(jù)據(jù)庫中對其更更改一次，不不用在每個(gè)應(yīng)應(yīng)用程序中一一次次進(jìn)行。此此外。無論用用戶通過何種種方式連接至至數(shù)據(jù)庫（通通過應(yīng)用程序序、Web 接口或通過過 SQL*Plus），其其操作都會記記錄下來。3.1 使用細(xì)細(xì)粒度審計(jì)： 1、創(chuàng)建建測試表

18、： creaate tablee ACCOUUNT(AACT_NNO nummber not null, CUUST_IDD numbber not null, BAALANCEE numbber(15,2); 2、添加加審計(jì)策略： begiin DBMMS_FGAA.DROPP_POLIICY(obbject_schemma = TESTT, objeect_naame = AACCOUNNT, poliicy_naame = AACCOUNNT_ACCCESS);end;這段代碼必須由由具有執(zhí)行程程序包 dbbms_fgga 權(quán)限的的用戶來執(zhí)行行。建議應(yīng)該該建立一個(gè)專專門的用戶來來專門負(fù)責(zé)

19、添添加審計(jì)策略略。該過程有有許多參數(shù)，具具體含義如下下：OBJECT_SCHEMMA對其定義了 FFGA 策略略的表或視圖圖的所有者OBJECT_NAME表或視圖的名稱稱POLICY_NAME策略的名稱，由由用戶自定義義 例如如，ACCOOUNTS_ACCESSSPOLICY_TEXT在添加策略時(shí)指指定的審計(jì)條條件 例例如，BALLANCE = 111000POLICY_COLUMMN審計(jì)列 例例如，BALLANCEENABLEDD如果啟用則為 YES，否否則為 NOO PF_SCHEEMA擁有策略處理器器模塊的模式式（如果存在在）PF_PACKKAGE處理器模塊的程程序包名稱（如如果存在）P

20、F_FUNCCTION處理器模塊的過過程名稱（如如果存在）3、在定義了策策略以后，當(dāng)當(dāng)用戶以通常常的方式對表表進(jìn)行查詢時(shí)時(shí)，如下所示示： select * froom bannk.acccountss; 審計(jì)線索記錄此此操作?？梢砸允褂靡韵抡Z語句查看線索索： select timesstamp, db_userr,os_userr,object_schemma,object_name,sql_texxtfrom dbba_fgaa_audiit_traail;TIMESTAAMP DBB_USERR OS_UUSER OOBJECTT_ OBJJECT_NN SQL_TEXT- - - - -

21、 -26-MAR-10 TEST anaanda TEST ACCCOUNT selecct * ffrom aaccounnt注意名為 DBBA_FGAA_AUDIIT_TRAAIL 的新新視圖，它記記錄細(xì)粒度的的訪問信息。其其中顯示了審審計(jì)事件的時(shí)時(shí)間標(biāo)記、查查詢者的數(shù)據(jù)據(jù)庫用戶 IID、操作系系統(tǒng)用戶 IID、查詢中中所使用表的的名稱和所有有者，最后還還有確切的查查詢語句。3.2 審計(jì)列列和審計(jì)條件件：默認(rèn)情況下會對對被審計(jì)對象象的所有列開開啟審計(jì)，當(dāng)當(dāng)任何一列被被訪問時(shí)都會會紀(jì)錄一條審審計(jì)信息，這這在現(xiàn)實(shí)情況況下不太常見見，因?yàn)檫@樣樣會使審計(jì)信信息表增長過過快造成存儲儲空間的壓力力，因

22、此通常常都會設(shè)置審審計(jì)條件，當(dāng)當(dāng)條件觸發(fā)時(shí)時(shí)再發(fā)起審計(jì)計(jì)。例如我們們可以對Acccountt表的Ballance列列設(shè)置審計(jì)條條件，當(dāng)訪問問該列并觸發(fā)發(fā)審計(jì)條件時(shí)時(shí)才進(jìn)行審計(jì)計(jì)。如下所示示：begindbms_fgga.addd_poliicy (object_schemma=TTEST,object_name=ACCCOUNT,policy_name=ACCCOUNT_ACCESSS,audit_ccolumnn = BALANNCE,audit_ccondittion = BAALANCEE = 111000 );end;該策略將在訪問問BALANNCE列并且且只有訪問列列值大于等于于11

23、0000時(shí)才發(fā)起審審計(jì)。因此根根據(jù)該條件戶戶有如下不同同審計(jì)狀態(tài)：SQL 語句審計(jì)狀態(tài)select balannce frrom acccountt;進(jìn)行審計(jì)。用戶戶選擇了在添添加策略時(shí)所所指定的審計(jì)計(jì)列 BALLANCE。select * froom acccount;進(jìn)行審計(jì)。即使使用戶沒有明明確指定列 BALANNCE，* 也隱含地選選擇了它。select cust_id frrom acccountt wherre ballance TESTT,object_name = AACCOUNNT,policy_name = AACCOUNNT_ACCCESS );end;對于更改策略而而言

24、，沒有隨隨取隨用的解解決方案。要要更改策略中中的任何參數(shù)數(shù)，必須刪除除策略，再使使用更改后的的參數(shù)添加策策略。但是可可以暫時(shí)禁用用已有策略，如如下所示：begindbms_fgga.enaable_ppolicyy (object_schemma = TESTT,object_name = AACCOUNNT,policy_name = AACCOUNNT_ACCCESS,enable = FAALSE );end;若要重新啟用它它，可使用同同一函數(shù)，只只需將參數(shù) enablle 設(shè)置為為 TRUEE。3.5 FGAA 數(shù)據(jù)字典典視圖：FGA 策略的的定義位于數(shù)數(shù)據(jù)字典視圖圖 DBA_AUDI

25、TT_POLIICIES 中。該市途途中各列含義義如下：SESSIONN_ID審計(jì)會話標(biāo)識符符；與 V$SESSIION 視圖圖中的會話標(biāo)標(biāo)識符不同TIMESTAAMP審計(jì)記錄生成時(shí)時(shí)的時(shí)間標(biāo)記記DB_USERR發(fā)出查詢的數(shù)據(jù)據(jù)庫用戶OS_USERR操作系統(tǒng)用戶USERHOSST用戶連接的機(jī)器器的主機(jī)名CLIENT_ID客戶標(biāo)識符（如如果由對打包包過程 dbbms_seessionn.set_identtifierr 的調(diào)用所所設(shè)置）EXT_NAMME外部認(rèn)證的客戶戶名稱，如 LDAP 用戶OBJECT_SCHEMMA對該表的訪問觸觸發(fā)了審計(jì)的的表所有者OBJECT_NAME對該表的 SEEL

26、ECT 操作觸發(fā)了了審計(jì)的表名名稱POLICY_NAME觸發(fā)審計(jì)的策略略名稱（如果果對表定義了了多個(gè)策略，則則每個(gè)策略將將插入一條記記錄。在此情情況下，該列列顯示哪些行行是由哪個(gè)策策略插入的。)SCN記錄了審計(jì)的 Oraclle 系統(tǒng)更更改號SQL_TEXXT由用戶提交的 SQL 語語句 SQL_BINND由 SQL 語語句使用的綁綁定變量（如如果存在）3.6視圖和 FGA：假定在 ACCCOUNTSS 表上定義義視圖 VWW_ACCOOUNT 如如下： create view vw_acccountt as sselectt * frrom acccountt;現(xiàn)在，如果用戶戶從視圖中而而不

27、是從表中中進(jìn)行選擇： select * froom vw_accouunt;您將看到以下審審計(jì)線索： select objecct_namme, sqql_texxt froom dbaa_fga_auditt_traiil;OBJECT_NAME SQL_TTEXT- -ACCOUNTT sselectt * frrom vww_accoount注意，是基表名名稱而不是視視圖名稱出現(xiàn)現(xiàn)在 OBJJECT_NNAME 列列中，因?yàn)橐曇晥D中的選擇擇是從基表中中進(jìn)行選擇。但但是，SQLL_TEXTT 列記錄了了用戶提交的的實(shí)際語句。如果只希望審計(jì)計(jì)對視圖的查查詢而不是對對表的查詢，可可以對視圖本本

28、身建立策略略。通過將視視圖名稱而不不是表的名稱稱傳遞給打包包的過程 ddbms_ffga.addd_pollicy 中中的參數(shù) oobjectt_namee，可以完成成這項(xiàng)工作。隨隨后 DBAA_FGA_AUDITT_TRAIIL 中的 OBJECCT_NAMME 列將顯顯示視圖的名名稱，并且不不會出現(xiàn)有關(guān)關(guān)表訪問的附附加記錄。3.7 其它用用途： 除了記錄對表的的選擇訪問，F(xiàn)FGA 還可可用于某些其其它情況： 可以對數(shù)據(jù)倉庫庫使用 FGGA，以捕獲獲特定的表、視視圖或物化視視圖上發(fā)生的的所有語句，這這有助于計(jì)劃劃索引。不需需要到 V$SQL 視視圖去獲取這這些信息。即即使 SQLL 語句已經(jīng)

29、經(jīng)超出了 VV$SQL 的期限，在在 FGA 審計(jì)線索中中將會始終提提供它。 由于 FGA 捕獲綁定變變量，它可以以幫助了解綁綁定變量值的的模式，這有有助于設(shè)計(jì)直直方圖集合等等。 可以向?qū)徲?jì)者或或 DBA 發(fā)送警告，這這有助于跟蹤蹤惡意應(yīng)用程程序。 由于 FGA 可以作為 SELECCT 語句的的觸發(fā)器，可可以在需要這這種功能的任任何時(shí)候使用用它。FGA在10GG中的增強(qiáng)：3.8.1 對對所有DMLL的審計(jì)： 在9i中中FGA只能能對Seleect語句進(jìn)進(jìn)行審計(jì)，而而不能對其他他DML語句句（Updaate、Deelete、IInsertt）進(jìn)行審計(jì)計(jì)，如果想對對其他DMLL語句進(jìn)行審審計(jì)那么

30、只能能采取數(shù)據(jù)庫庫處發(fā)起的形形式來實(shí)現(xiàn)。在在10G中實(shí)實(shí)現(xiàn)了對所有有DML語句句的審計(jì)，如如下所示：begin dbmss_fga.add_ppolicyy ( oobjectt_scheema = TTEST, oobjectt_namee = AACCOUNNT, ppolicyy_namee = AACCOUNNT_ACCCESS, aaudit_colummn = BBALANCCE, aaudit_condiition = BBALANCCE = 3000， sstatemment_ttypes = IINSERTT, UPDDATE, DELETTE, SEELECT );end;

31、通過stateement_typess = INSERRT, UPPDATE, DELEETE, SSELECTT參數(shù)制定定了新的策略略，該策略可可以對Sellect之外外的所有DMML操作進(jìn)行行審計(jì)。因此此根據(jù)新的審審計(jì)條件和審審計(jì)策略會有有如下不同情情況：第 1 種情況況 之前：BALAANCE = 10000 用戶發(fā)出： update accouunt seet ballance = 12000 wheere ACCCOUNTT_NO = .舊的和新的 bbalancce 都小于于 3,0000，審計(jì)條條件不滿足；因此這條語語句將不會被被審計(jì)。第 2 種情況況 之前：BALAANCE =

32、 10000 用戶發(fā)出： update accouunt seet ballance = 32000 wheere ACCCOUNTT_NO = .新的 balaance 大大于 3,0000，審計(jì)計(jì)條件滿足；因此這條語語句將 會被被審計(jì)。 第 3 種情況況 之前：BALAANCE = 32000 用戶發(fā)出： update accouunt seet ballance = 12000 wheere ACCCOUNTT_NO = .新的 balaance 小小于 3,0000，但舊舊的 ballance 大于 3,000。因因此審計(jì)條件件滿足，這條條語句將被審審計(jì)。 第 4 種情況況 用戶插入一

33、行，其其中有 BAALANCEE = 30000 結(jié)果果為 FALLSE），這這條語句不會會被審計(jì)。重重要注意事項(xiàng)項(xiàng)：假設(shè)該列列有一個(gè)大于于 3,0000 的默認(rèn)認(rèn)值時(shí)，這條條語句仍然不不會被審計(jì)，即即使插入行的的 balaance 列列值大于 33000。 注意對于DDML語句的的審計(jì)是由一一個(gè)自動事務(wù)務(wù)插入的；即即使回滾 DDML語句的操作，審計(jì)記錄也將將存在不會跟跟著回滾。3.8.2制定定相關(guān)的列策略略：在表 ACCOOUNT 上上定義的一個(gè)個(gè)策略，如下下： begin dbmss_fga.add_ppolicyy ( oobjectt_scheema = TTEST, oobjectt

34、_namee = AACCOUNNT, ppolicyy_namee = AACCOUNNT_SELL, aaudit_colummn = AACCOUNNT_NO, BALAANCE, aaudit_condiition = BBALANCCE = 3000, sstatemment_ttypes = SSELECTT );end;在某些情況下，列列的組合可能能很重要，而而不是某個(gè)特特定的列。以以上策略是在在 ACCOOUNT_NNO 和 BBALANCCE 上定義義的。那么如果用戶戶發(fā)出以下語語句： select balannce frrom acccountts wheere accco

35、untt_no = 99955;這條語句將被審審計(jì)，因?yàn)?balannce 列被被選中，且余余額為 3,200，大大于 3,0000，滿足足審計(jì)條件。如果一個(gè)用戶想想查出在銀行行的總余額，他發(fā)出： select sum(bbalancce) frrom acccountt;這條查詢幾乎沒沒什么害處；它不明確指指出帳戶所有有者和帳戶余余額。因此安全策略略可能不會要要求審計(jì)這條條查詢。不過，這條條查詢 select balannce frrom acccountt wherre acccount_no = 9995必須被審計(jì)；因因?yàn)樗鞔_地地指定了一個(gè)個(gè)帳戶。默認(rèn)認(rèn)地，所有語語句都被審計(jì)計(jì)（無論使

36、用用了什么樣的的列組合）。這這將創(chuàng)建大量量不需要的審審計(jì)線索項(xiàng)目目，并可能帶帶來一些空間間限制問題。為為了限制它們們，您可以指指定僅當(dāng)在查查詢中使用了了希望的列組組合時(shí)才開始始審計(jì)。當(dāng)定定義策略時(shí)，您您可以使用一一個(gè)新的參數(shù)數(shù)： audit_ccolumnn_optss = DDBMS_FFGA.ALLL_COLLUMNS這個(gè)參數(shù)將使策策略僅當(dāng)列 ACCOUUNT_NOO 和 BAALANCEE 在查詢中中都被訪問時(shí)時(shí)才創(chuàng)建審計(jì)計(jì)線索項(xiàng)目。例例如，以下查查詢將產(chǎn)生一一個(gè)審計(jì)線索索項(xiàng)目。 select accouunt_noo, ballance from accouunt;但這條查詢不會會產(chǎn)生

37、審計(jì)線線索項(xiàng)目。 select accouunt_noo fromm accoount;使用這個(gè)參數(shù)將將把審計(jì)的數(shù)數(shù)量限制在一一個(gè)更易管理理的大小。如如果希望采用用默認(rèn)的行為為 即任任意列被選中中時(shí)都進(jìn)行審審計(jì)，那么您您可以對同一一參數(shù)的使用用不同值。 audit_ccolumnn_optss = DDBMS_FFGA.ANNY_COLLUMNS3.8.3 與與標(biāo)準(zhǔn)審計(jì)的的結(jié)合： 通過制定定如下審計(jì)策策略實(shí)現(xiàn)標(biāo)準(zhǔn)準(zhǔn)審計(jì)與細(xì)粒粒度審計(jì)的結(jié)結(jié)合begin dbmss_fga.add_ppolicyy ( oobjectt_scheema = TESTT, oobjectt_namee = ACCO

38、OUNT, ppolicyy_namee = ACCOOUNT_SSEL, aaudit_colummn = ACCOOUNT_NNO, BAALANCEE, aaudit_condiition = BALAANCE = 30000, sstatemment_ttypes = SELEECT, aaudit_colummn_optts = DBMS_FGA.AALL_COOLUMNSS, aaudit_traill = DB );end;通過指定auddit_trrail = DB參參數(shù)實(shí)現(xiàn)在細(xì)細(xì)粒度審計(jì)時(shí)時(shí)開啟標(biāo)準(zhǔn)審審計(jì)。在 OOraclee Dataabase 10g 中，標(biāo)準(zhǔn)審計(jì)也得得到了巨大的的改進(jìn)。通過過 AUDIIT 命令執(zhí)執(zhí)行標(biāo)準(zhǔn)審計(jì)，它它現(xiàn)在能夠捕捕獲大量